H3C推出的終端準入控制解決方案（EAD）提供了一個全新的、開放的安全防御體系架構，為客戶帶來完整的終端安全和控制方案。作為國內網絡產品解決方案的主要提供商之一，H3C在自身辦公環(huán)境中首先應用了自己開發(fā)并擁有獨立知識產權的EAD解決方案，在企業(yè)網內部安全控制和信息安全防范方面取得了較為顯著的成效。

　　案例規(guī)模

　　共6000個信息點

　　管理需求

• 提供多種接入方式。不管是局域網還是廣域網、VPN和無線，都能夠對接入的用戶進行身份認證和安全狀態(tài)控制。
• 身份認證。對登錄網絡用戶進行唯一性身份認證，實現(xiàn)一個用戶帳號對應一臺或者多臺計算機，且與接入公司資產相綁定；
• 信息安全。避免外來計算機隨意接入涉密內部辦公網絡，杜絕帳戶盜用、PC機盜用、MAC地址仿冒等。
• 與Norton殺毒聯(lián)動。保證接入網絡的用戶終端沒有感染病毒，且病毒庫得到及時更新。
• 軟件黑白名單。規(guī)范接入網絡的終端必須安裝、運行某些特定管理軟件和防病毒客戶端軟件等。
• 訪問權限。員工需要按照所屬部門、角色劃分工作和業(yè)務訪問權限，不同的角色有不同的權利和責任。對于已經接入網絡的用戶，需要規(guī)范用戶的網絡行為，不同崗位的員工，其網絡訪問權限必須明確區(qū)分，嚴格控制。認證可以與公司統(tǒng)一的域控制器相融合，達到單點登錄到域就可訪問所有受限資源的目的。
• 日志審計。提供終端訪問網絡的詳細上網日志信息和強大的管理查詢功能，便于管理員定位問題和跟蹤終端訪問明細。

　　解決方案實施

　　針對H3C對于終端的安全防護和實際組網規(guī)劃需求，EAD解決方案的綜合組網如下圖所示：全網在終端接入層交換機（具體設備型號見上圖示例）啟用802.1X議認證，客戶端PC安裝iNode智能客戶端（以下簡稱iNode客戶端）以及WSUS補丁管理插件，配合事先部署的Norton防病毒客戶端；“隔離”服務器區(qū)分別放置了DHCP Server、微軟AD域控制器和WSUS補丁服務器、Norton防病毒服務器等。

　　H3C北研所的辦公網絡拓撲示意圖如下：

　　應用效果

• 用戶身份管理及安全控制策略

　　為了嚴格控制用戶的網絡接入，北京研發(fā)部門和各地辦事處在接入層設備處啟用802.1X證，杭州基地則在網關處啟用Portal認證，并且采用用戶名/密碼/多MAC地址綁定的身份驗證策略，有效限制了用戶訪問網絡的區(qū)域，并堅決杜絕了外來和未授權用戶非法使用網絡；通過EAD策略服務器系統(tǒng)負責同步AD域控制器中的用戶信息，由管理員審核后方可開通權限。用戶終端通過DHCP動態(tài)獲取IP地址上網，設置接入安全策略為僅限H3C iNode智能客戶端方可認證，并限制禁止終端用戶私自修改MAC地址和網卡的IP地址必須使用DHCP動態(tài)獲取方式，有效地防止了外來計算機入侵、MAC仿冒盜用帳號和私設IP導致IP地址沖突的情況發(fā)生。

• 終端安全管理

　　H3C企業(yè)內部網使用的防病毒軟件是Symantec的Norton Antivirus企業(yè)版防病毒軟件，為了保證防病毒客戶端的正常運行，iNode客戶端在用戶每次登錄網絡時，都需要檢查殺毒客戶端是否正常啟動、運行并且強制檢查防病毒軟件的版本和病毒庫版本，一旦用戶的終端在訪問網絡時出現(xiàn)染毒或者Norton防病毒客戶端運行異常，iNode客戶端會立即上報給安全策略服務器，用戶終端會立即收到修復通知并被聯(lián)動接入設備隔離到“隔離區(qū)”，防止帶毒或者“易感”的終端接入網絡誘發(fā)安全問題。

　　針對終端要求必須安裝和運行的特定軟件，管理員可以設置軟件黑白名單，認證并實時檢查此類軟件的安裝運行情況，如果有違規(guī)即刻被限制訪問隔離區(qū)甚至直接斷開終端網絡連接。

• 員工終端訪問權限控制

　　員工認證通過后，根據用戶身份和所屬部門，EAD方案將用戶劃分為不同的策略組（如研發(fā)類，非研發(fā)類，會議室，外來人員及臨時帳號等），將其劃分入不同的VLAN，并且授予用戶相應的ACL訪問權限，有效防止越權訪問資源的發(fā)生。

　　與Windows AD域控制機制結合，采用成熟的802.1X與Windows域統(tǒng)一認證技術，實現(xiàn)網絡接入和Windows域的單點統(tǒng)一登錄，使得用戶在登錄Windows時僅需輸入一次用戶名密碼即可獲得相應的受控訪問權限，方便了使用和業(yè)務流程整合。

　　EAD安全策略服務器與智能客戶端配合可以對各種外聯(lián)或代理進行禁止。無論用戶采用何種方式，包括IE代理、雙網卡以及內網用戶通過Modem上網等都可以進行控制，以上的禁止方式，可以進行靈活選擇，滿足不同組網需要。

• 豐富的終端審計手段

　　針對用戶終端的上網行為，EAD提供的詳細上網明細（包括用戶帳號信息，用戶的IP/MAC地址，接入區(qū)域的設備IP/端口號/VLAN ID，上下線時間，上下行流量等）、安全日志（違規(guī)安全事件詳細內容/發(fā)生時間及相應處理結果等）和系統(tǒng)日志為IT部門管理員提供了豐富的定位問題終端、解決終端網絡接入問題以及系統(tǒng)維護的手段和方法，上網帳號與相關資產信息的綁定也為信息安全提供了事后追溯的必要依據。