【正文】 .................... 18 EAD系統(tǒng)技術(shù)參數(shù) ................................................................................. 18 EAD系統(tǒng)環(huán)境要求 ................................................................................. 19 6 附： EAD解決方案應(yīng)用模型及功能特點 ............................................................ 19 應(yīng)用模型 ............................................................................................... 19 安全準(zhǔn)入應(yīng)用模型 ......................................................................... 19 安全準(zhǔn)入工作流程 ......................................................................... 20 功能特點 ............................................................................................... 21 安全狀態(tài)評估 ................................................................................ 21 用戶權(quán)限管理 ................................................................................ 22 用戶行為監(jiān)控 ................................................................................ 23杭州華三通信 技術(shù)有限公司 202073 內(nèi)部資料，請勿擴散 第 4 頁 , 共 20 頁 端點準(zhǔn)入防御 (EAD)方案 技術(shù) 建議書 1 概述 網(wǎng)絡(luò)安全問題的解決，三分靠技術(shù)，七分靠管理，嚴(yán)格管理是企業(yè)、機構(gòu)及用戶免受網(wǎng)絡(luò)安全問題威脅的重要措施。事實上，多數(shù)企業(yè)、機構(gòu)都缺乏有效的制度和手段管理網(wǎng)絡(luò)安全。網(wǎng)絡(luò)用戶不及時升級系統(tǒng)補丁、升級病毒庫的現(xiàn)象普遍存在； 隨意接入網(wǎng)絡(luò)、 私設(shè)代理服務(wù)器、私自訪問 保密資源 、 非法拷貝機密文件 、利用非法軟件獲取利益 等行為在企業(yè)網(wǎng)中也比比皆是。管理的欠缺不僅會直接影響用戶網(wǎng)絡(luò)的正常運行，還可能使企業(yè)蒙受巨大的商業(yè)損失。 為了解決現(xiàn)有網(wǎng)絡(luò)安全管理中存在的不足，應(yīng)對網(wǎng)絡(luò)安全威脅 ， H3C推出了 端點準(zhǔn)入防御（ EAD， Endpoint Admission Defense）解決方案 。該方案 從用戶終端準(zhǔn)入控制入手，整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品，通過安全客戶端、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備 以及 防病毒軟件產(chǎn)品、 系統(tǒng) 補丁管理產(chǎn)品 、 資產(chǎn)管理產(chǎn)品、桌面管理產(chǎn)品 的聯(lián)動 ，對接入網(wǎng)絡(luò)的用戶終端強制實施企業(yè)安全策略，嚴(yán)格控制終端用戶的網(wǎng)絡(luò)使用行為，可以加強用戶終端的主動防御能力，大幅度提高網(wǎng)絡(luò)安全。 EAD在用戶接入網(wǎng)絡(luò)前，通過統(tǒng)一管理的安全策略強制檢查用戶終端的安全狀態(tài)，并根據(jù)對用戶終端安全狀態(tài)的檢查結(jié)果實 施接入控制策略，對不符合企業(yè)安全標(biāo)準(zhǔn)的用戶進行“隔離 ”并強制用戶進行病毒庫升級、系統(tǒng)補丁 升級 等操作；在保證用戶終端具備自防御能力并安全接入的前提下， 可以 通過動態(tài)分配 ACL、 VLAN等 合理控制用戶的網(wǎng)絡(luò)權(quán)限， 從而 提升網(wǎng) 絡(luò) 的 整體 安全防御能力。 2 EAD 端點準(zhǔn)入防御解決方案 介紹 EAD端點準(zhǔn)入防御方案包括兩個重要功能：安全防護和安全監(jiān)控 。 安全防護主要是對終端接入網(wǎng)絡(luò)進行認(rèn)證，保證只有安全的終端才能接入網(wǎng)絡(luò)，對達不到安全要求的終端可以進行修復(fù)，保障終端和網(wǎng)絡(luò)的安全；安全監(jiān)控是指在上網(wǎng)過程中，系統(tǒng)實時監(jiān)控用戶終端的安全 狀態(tài)，并針對用戶終端的安全事件采取相應(yīng)的應(yīng)對措施，實時保障網(wǎng)絡(luò)安全。 杭州華三通信 技術(shù)有限公司 202073 內(nèi)部資料，請勿擴散 第 5 頁 , 共 20 頁 方案思路 EAD解決方案的 實現(xiàn)思路，是通過將網(wǎng)絡(luò)接入控制和用戶終端安全策略控制相結(jié)合，以用戶終端對企業(yè)安全策略的符合度為條件，控制用戶 訪問 網(wǎng)絡(luò)的接入權(quán)限，從而降低病毒、非法訪問等 安全 威脅對 企業(yè)網(wǎng)絡(luò)帶來的危害 。 為達到以上目的， H3C提出了包括檢查 、 隔離 、修復(fù) 、 監(jiān)控的整體解決思路。 1. 檢查： ? 檢查網(wǎng)絡(luò)接入用戶的身份； ? 檢查 網(wǎng)絡(luò) 接入用戶的訪問權(quán)限； ? 檢查網(wǎng)絡(luò)接入用戶終端的安全 狀態(tài) ； 2. 隔離： ? 隔離非法用戶終端和越權(quán)訪問； ? 隔離存在重大安全問題或安全 隱患的用戶終端； 3. 修復(fù) ： ? 幫助存在安全問題或安全隱患的用戶終端進行安全修復(fù)，以便能夠正常使用網(wǎng)絡(luò)； 4. 監(jiān)控 ： ? 實時監(jiān)控在線用戶的終端安全狀態(tài)，及時獲取終端安全信息 ； ? 對非法用戶、越權(quán)訪問和存在安全問題的網(wǎng)絡(luò)終端進行定位統(tǒng)計，為網(wǎng)絡(luò)安全管理提供依據(jù)； ? 通過制定新的安全策略，持續(xù)保障網(wǎng)絡(luò)的安全。 方案組成部分 為了有效實現(xiàn)用戶終端安全準(zhǔn)入控制，需要實現(xiàn)終端安全信息采集點、終端安全信息決策點和終端安全信息執(zhí)行點的分離，同時還需要提供有效的技術(shù)手段，對用戶終端存在的安全問題進行修復(fù)，使之符合企業(yè)終端安全策略，順利接入 網(wǎng)絡(luò)進行工作。 EAD解決方案的組成部分見下圖： 杭州華三通信 技術(shù)有限公司 202073 內(nèi)部資料，請勿擴散 第 6 頁 , 共 20 頁 圖 1 EAD解決方案 組成部分 如圖 1所示， EAD解決方案的 基本部件包括 EAD安全策略服務(wù)器 （ CAMS服務(wù)器） 、 防病毒服務(wù)器、補丁服務(wù)器等修復(fù) 服務(wù)器 、安全聯(lián)動設(shè)備 和 H3C安全客戶端 ， 各部件各司其職，由安全策略中心協(xié)調(diào)，共同完成對網(wǎng)絡(luò)接入終端的 安全準(zhǔn)入控制。 EAD 安全策略服務(wù)器 EAD方案的核心是整合與聯(lián)動，而 EAD安全策略服務(wù)器 （ CAMS服務(wù)器） 是 EAD方案中的管理與控制中心，兼具用戶管理、安全策略管理、安全狀態(tài)評估、安全聯(lián)動控制以及安全事件審計等功能。 ? 安全策 略管理。安全策略服務(wù)器定義了對用戶終端進行準(zhǔn)入控制的一系列策略，包括用戶終端安全狀態(tài)評估配置、補丁檢查項配置、安全策略配置、終端修復(fù)配置以及對終端用戶的隔離方式配置等。 ? 用戶管理。企業(yè)網(wǎng)中，不同的用戶、不同類型的接入終端可能要求不同級別的安全檢查和控制。安全策略服務(wù)器可以為不同用戶提供基于身份的個性化安全配置和網(wǎng)絡(luò)服務(wù)等級，方便管理員對網(wǎng)絡(luò)用戶制定差異化的安全策略。 ? 安全聯(lián)動控制。安全策略服務(wù)器負(fù)責(zé)評估安全客戶端上報的安全狀態(tài)，控制安全聯(lián)動設(shè)備對用戶的隔離與開放，下發(fā)用戶終端的修復(fù)方式與安全策略。通過安全策 略服務(wù)器的控制，安全客戶端、安全聯(lián)動設(shè)備與 修復(fù) 服務(wù)器才可以協(xié)同工作，配合完杭州華三通信 技術(shù)有限公司 202073 內(nèi)部資料，請勿擴散 第 7 頁 , 共 20 頁 成端到端的安全準(zhǔn)入控制。 修復(fù) 服務(wù)器 在 EAD方案中， 修復(fù)服務(wù)器可以是第三方廠商提供的 防 病毒服務(wù)器、補丁服務(wù)器或用戶 自行 架設(shè)的 文件 服務(wù)器 。 此類服務(wù)器通常放置于網(wǎng)絡(luò) 隔離區(qū)中，用于終端進行自我修復(fù) 操作 。網(wǎng)絡(luò)版的防病毒服務(wù)器提供病毒庫升級服務(wù)，允許防病毒客戶端進行在線升級；補丁服務(wù)器則提供系統(tǒng)補丁升級服務(wù)， 在 用戶終端的系統(tǒng)補丁不能滿足安全要求時， 用戶終端可連接至 補丁服務(wù)器進行補丁下載和升級。 EAD解決方案與微軟 SMS產(chǎn)品可以無縫集成， 能夠 實現(xiàn) 系統(tǒng)補丁檢查和 自動 升級， 推薦使用 SMS桌面管理軟件與 EAD解決方案配合部署。 同時 EAD解決方案與瑞星、金山、江民防病毒軟件可以實現(xiàn)聯(lián)動病毒檢查，強制終端用戶進行入網(wǎng)前得病毒檢查，推薦使用瑞星、金山、江民防病毒軟件與 EAD配合部署。 安全聯(lián)動設(shè)備 安全聯(lián)動設(shè)備是企業(yè)網(wǎng)絡(luò)中安全策略的實施點，起到強制用戶準(zhǔn)入認(rèn)證、隔離不合格終端、為合法用戶提供網(wǎng)絡(luò)服務(wù)的作用。 根據(jù)應(yīng)用場合的不同，安全聯(lián)動設(shè)備可以是交換機 或BAS設(shè)備 ，分別實現(xiàn)不同認(rèn)證方式（如 Portal）的端點準(zhǔn)入控制。不論是哪種接入設(shè)備或采用哪 種認(rèn)證方式，安全聯(lián)動設(shè)備均具有以下功能： ? 強制網(wǎng)絡(luò)接入終端進行身份認(rèn)證和安全狀態(tài)評估。 ? 隔離不符合安全策略的用戶終端。聯(lián)動設(shè)備接收到安全策略服務(wù)器下發(fā)的隔離指令后， 目前 可以通過 動態(tài) ACL方式限制用戶的訪問權(quán)限；同樣，收到解除用戶隔離的指令后也可以在線解