【正文】 ? 安全狀態(tài)監(jiān)控： 定時監(jiān)控終端用戶的安全狀態(tài)，發(fā)現(xiàn)感染病毒后根據(jù)安全策略可將其限制到隔離區(qū)。 ? 軟件安裝和運(yùn)行檢測： 檢測終端軟件的安裝和運(yùn)行狀態(tài)。 ? 防病毒聯(lián)動： 主要包含兩個方面，一是端點(diǎn)用戶接入網(wǎng)絡(luò)時，檢查其計(jì)算機(jī)上防病毒軟件的安裝運(yùn)行情況以及病毒庫和掃描引擎版本是否符合安全要求等，不符合安全要求可以根據(jù)策略阻止用戶接入網(wǎng)絡(luò)或?qū)⑵湓L問限制在隔離區(qū)；二是端點(diǎn)用戶接入網(wǎng)絡(luò)后， EAD定期檢查防病毒軟件的運(yùn)行狀態(tài)，如果發(fā)現(xiàn)不符合安全要求可以根據(jù)策略強(qiáng)制讓用戶下線或?qū)⑵湓L問限制在隔離區(qū)。 ? 動態(tài)授權(quán)： 如果用戶身份驗(yàn)證、安全檢查都通過，則 EAD安全策略服務(wù)器將預(yù)先配置的該用戶的權(quán)限信息（包括網(wǎng)絡(luò)訪問權(quán)限等）下發(fā)給安全聯(lián)動設(shè)備，由安全聯(lián)動設(shè)備實(shí)現(xiàn)按用戶身份的權(quán)限控制。 ? iNode 客戶端： 軟件環(huán)境： Windows 20xx/XP/20xx； 硬件環(huán)境： CPU主頻 、 128M以上內(nèi)存。同時，對于重要的網(wǎng)絡(luò)用戶，比如公司老板，管理員對其網(wǎng)絡(luò)訪問的管理也可應(yīng)用監(jiān)控模式。具體來說，就是一旦用戶終端安全狀態(tài)不合格，就限制其網(wǎng)絡(luò)訪問區(qū)域?yàn)楦綦x區(qū)，在進(jìn)行修復(fù)操作，滿足企業(yè)終端安全策略要求后，才能重新發(fā)起認(rèn)證，正常接入網(wǎng)絡(luò)。 5. 實(shí)施效果 1. 由于 在網(wǎng)絡(luò)出口設(shè)備上部署了 Portal認(rèn)證 ，所有 非 授權(quán) 用戶將不能 隨意訪問網(wǎng)絡(luò) 。 在用戶希望對原有網(wǎng)絡(luò)改動最小的情況下，可以將 S7502E旁掛在網(wǎng)絡(luò)出口 或 核心設(shè)備上，提供 用戶接入控制功能。 匯聚層 EAD應(yīng)用組網(wǎng)模式下 ，認(rèn)證設(shè)備下掛接入層設(shè)備， 如果接入層 設(shè)備 端口不作 VLAN劃分，用戶終端之間將可實(shí)現(xiàn)互訪。降低了病毒和遠(yuǎn)程攻擊對企業(yè)網(wǎng)帶來的安全風(fēng)險。 6. 如果用戶補(bǔ)丁升級不成功，用戶仍 然 無法訪問其他網(wǎng)絡(luò)資源 ，回到步驟 4 7. 用戶可以正常訪問其他授權(quán) （ ACL、 VLAN） 的網(wǎng)絡(luò)資源 。 杭州華三通信 技術(shù)有限公司 202073 內(nèi)部資料，請勿擴(kuò)散 第 13 頁 , 共 20 頁 4. 流程說明 EAD方案可以依據(jù)角色對網(wǎng)絡(luò)接入用戶實(shí)施不同的安全檢查策略并授予不同的網(wǎng)絡(luò)訪問權(quán)限。 新建網(wǎng)絡(luò) 部署 接入層 準(zhǔn)入控制 將 接入層 設(shè)備 作為安全準(zhǔn)入控制點(diǎn)，對試圖接入網(wǎng)絡(luò)的用戶終端進(jìn)行安全檢查， 強(qiáng)制用戶終端進(jìn)行防病毒、操作系統(tǒng)補(bǔ)丁等企業(yè)定義的安全策略檢查， 防止非法用戶和不符合企業(yè)安全策略的終端接入網(wǎng)絡(luò)， 降低病毒、蠕蟲 等安全威脅在企業(yè)擴(kuò)散 的風(fēng)險。 ? Web報表 ： 包括預(yù)建立的 120多份報告，涵蓋硬件和軟件資產(chǎn)目錄以及計(jì)算機(jī)狀態(tài)和軟件部署進(jìn)展。對于一個計(jì)劃好的配置，可以很輕松的獲取目標(biāo)群組當(dāng)前的硬件基礎(chǔ)，現(xiàn)有的應(yīng)用程序，版本信息，以及系統(tǒng)當(dāng)前服務(wù)包和熱修復(fù)的級別。這些信息將被傳遞到 EAD安全策略服務(wù)器，執(zhí)行端點(diǎn)準(zhǔn)入的判斷與控制。 根據(jù)應(yīng)用場合的不同，安全聯(lián)動設(shè)備可以是交換機(jī) 或BAS設(shè)備 ，分別實(shí)現(xiàn)不同認(rèn)證方式（如 Portal）的端點(diǎn)準(zhǔn)入控制。安全策略服務(wù)器負(fù)責(zé)評估安全客戶端上報的安全狀態(tài)，控制安全聯(lián)動設(shè)備對用戶的隔離與開放，下發(fā)用戶終端的修復(fù)方式與安全策略。 EAD解決方案的組成部分見下圖： 杭州華三通信 技術(shù)有限公司 202073 內(nèi)部資料，請勿擴(kuò)散 第 6 頁 , 共 20 頁 圖 1 EAD解決方案 組成部分 如圖 1所示， EAD解決方案的 基本部件包括 EAD安全策略服務(wù)器 （ CAMS服務(wù)器） 、 防病毒服務(wù)器、補(bǔ)丁服務(wù)器等修復(fù) 服務(wù)器 、安全聯(lián)動設(shè)備 和 H3C安全客戶端 ， 各部件各司其職，由安全策略中心協(xié)調(diào)，共同完成對網(wǎng)絡(luò)接入終端的 安全準(zhǔn)入控制。該方案 從用戶終端準(zhǔn)入控制入手，整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品，通過安全客戶端、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備 以及 防病毒軟件產(chǎn)品、 系統(tǒng) 補(bǔ)丁管理產(chǎn)品 、 資產(chǎn)管理產(chǎn)品、桌面管理產(chǎn)品 的聯(lián)動 ，對接入網(wǎng)絡(luò)的用戶終端強(qiáng)制實(shí)施企業(yè)安全策略，嚴(yán)格控制終端用戶的網(wǎng)絡(luò)使用行為，可以加強(qiáng)用戶終端的主動防御能力，大幅度提高網(wǎng)絡(luò)安全。網(wǎng)絡(luò)用戶不及時升級系統(tǒng)補(bǔ)丁、升級病毒庫的現(xiàn)象普遍存在； 隨意接入網(wǎng)絡(luò)、 私設(shè)代理服務(wù)器、私自訪問 保密資源 、 非法拷貝機(jī)密文件 、利用非法軟件獲取利益 等行為在企業(yè)網(wǎng)中也比比皆是。 為達(dá)到以上目的， H3C提出了包括檢查 、 隔離 、修復(fù) 、 監(jiān)控的整體解決思路。企業(yè)網(wǎng)中，不同的用戶、不同類型的接入終端可能要求不同級別的安全檢查和控制。 EAD解決方案與微軟 SMS產(chǎn)品可以無縫集成， 能夠 實(shí)現(xiàn) 系統(tǒng)補(bǔ)丁檢查和 自動 升級， 推薦使用 SMS桌面管理軟件與 EAD解決方案配合部署。安全聯(lián)動設(shè)備可以根據(jù)安全策略服務(wù)器下發(fā)的策略，為用戶提供個性化的網(wǎng)絡(luò)服務(wù)，如提供不同的 ACL、 VLAN等。 iNode客戶端通過調(diào)用 微軟 SMS提供的 API接口，成功實(shí)現(xiàn)認(rèn)證時 補(bǔ)丁 自動檢測和 升級， 融合了 EAD與 SMS的優(yōu)勢，為客戶提供更完善的網(wǎng)絡(luò)安全管理解決方案， 其部署圖如下： 圖 2 EAD與 SMS聯(lián)動 解決 方案 系統(tǒng)結(jié)構(gòu)圖 杭州華三通信 技術(shù)有限公司 202073 內(nèi)部資料，請勿擴(kuò)散 第 9 頁 , 共 20 頁 EAD 與 SMS 聯(lián)動技術(shù)優(yōu)勢 EAD解決方案與 SMS聯(lián)動 有許多 技術(shù) 優(yōu)勢： 1） 聯(lián)動的松散耦合性：充分利用微軟成熟的 桌面 管理工具，由 SMS實(shí)現(xiàn) 各種 Windows環(huán)境下用戶 的桌面管理 需求：資產(chǎn)管理、補(bǔ)丁管理、軟件分發(fā)和安裝等；由 EAD實(shí)現(xiàn)有線、無線、遠(yuǎn)程 VPN接入認(rèn)證、用戶管理、多元素綁定認(rèn)證，并且聯(lián)動 SMS實(shí)現(xiàn)認(rèn)證時對用戶的補(bǔ)丁自動檢測和升級 ； 2） 方案部署便捷，由域進(jìn)行 SMS、 iNode客戶端的分發(fā)安裝， iNode客戶端提供定制安裝版本，可以根據(jù)用戶需要進(jìn)行定制安裝 ； 同時由網(wǎng)絡(luò)認(rèn)證訪問功能，限制所有接入網(wǎng)絡(luò)的用戶均需安裝 iNode客戶端和 SMS客戶端； 3） 更高的安全性，由于 EAD安全認(rèn)證限制了所有接入網(wǎng)絡(luò)的用戶必須 安裝和運(yùn)行iNode客戶端以及 SMS客戶端，這樣 EAD安全策略和 SMS安全 策略均可以得到全面的執(zhí)行。報告詳細(xì)列出了用戶使用了哪些應(yīng)用系統(tǒng)，應(yīng)用系統(tǒng)使用了多久，以及用戶使用哪個管理系統(tǒng)。 ? 基于活動目錄的站點(diǎn)邊界 ： 站點(diǎn)邊界現(xiàn)在可以基于活動目錄站點(diǎn)名稱，而不是基于網(wǎng)際協(xié)議（ IP）子網(wǎng)。 ? EAD安全代理服務(wù)器 必 須 部署于隔離區(qū)，可以與 CAMS自助服務(wù)器共用一臺主機(jī)。 4. 安全 客戶端 通知用戶進(jìn)行補(bǔ)丁和病毒庫的 升級 操作 。 3. 合法用戶接入網(wǎng)絡(luò)后，其互訪權(quán)限受 S30/35/39/50系列 交換機(jī)中的 VLAN控制。 杭州華三通信 技術(shù)有限公司 202073 內(nèi)部資料，請勿擴(kuò)散 第 15 頁 , 共 20 頁 3. 方案說明 ? 在 匯聚 交換機(jī)中要部署 ，強(qiáng)制進(jìn)行基于用戶的 和動態(tài) ACL控制。但在 EAD解決方案中，需要使用 iNode客戶端來進(jìn)行終端的安全狀態(tài)檢測和控制，因此在Web認(rèn)證的基礎(chǔ)上，擴(kuò)展了 Portal協(xié)議，使之不僅能夠處理 Http協(xié)議，還可以控制其他協(xié)議的數(shù)據(jù)流，使 EAD解決方案也支持 Portal認(rèn)證方式下的端點(diǎn)準(zhǔn)入控制。區(qū)別在于： 1. 用戶進(jìn)行網(wǎng)絡(luò)登錄認(rèn)證之前，可以訪問 Portal服務(wù)器等 URL。如防病毒軟件的安裝和版本檢查可以采用隔離模式，補(bǔ)丁軟件依照重要性的不同可以采取不同的模式，一些非法軟件的安裝可以通過 提醒模式 進(jìn)行提醒。 監(jiān)控模式 監(jiān)控模式同 提醒 模式的實(shí)現(xiàn)流程基本相同， 區(qū)別在于監(jiān)控模式下，安全客戶端不通過彈出窗口向用戶提示終端的不合格項(xiàng) 。 下線模式也是目前友商 相似方案的主要實(shí)現(xiàn)模式， EAD支持下線模式可以增強(qiáng)方案對設(shè)備的兼容性。 ? 安全檢查： 身份認(rèn)證通過后進(jìn)行終端安全檢查，由 EAD安全策略服務(wù)器驗(yàn)證用戶終端的安全狀態(tài)（包括補(bǔ)丁版本、病毒庫版本、軟件安裝等）是否合格。 ? 安全狀態(tài)定時評估： 安全客戶端可以定時檢測用戶安全狀態(tài) ， 防止用戶上網(wǎng)過程中因安全狀態(tài)發(fā)生變化而造成的與安全策略的不一致 。 用戶權(quán)限管理 ? 強(qiáng)身份認(rèn)證： 在用戶身份認(rèn)證時，可綁定用戶接入 IP、 MAC、接入設(shè)備 IP、端口和 VLAN等信息，進(jìn)行強(qiáng)身份認(rèn)證，防 止帳號盜用、限定帳號所使用的終端，確保接入用戶的身份安全。 ? 限制終端用戶使用多網(wǎng)卡和撥號網(wǎng)絡(luò)： 防止用戶終端成為內(nèi)外網(wǎng)互訪的橋梁 ， 避免因此可能造成的信息安全問題 。 。 ? 支 持匿名認(rèn)證： iNode客戶端 與 CAMS服務(wù)器配合 提供 用戶 匿名認(rèn)證 功能 ，用戶不需要輸入用戶名、密碼即可完成身份認(rèn)證和安全認(rèn)證。當(dāng)前支持的強(qiáng) AV聯(lián)動支持的防病毒軟件有：瑞星、金山和江民。 安全狀態(tài)評估 ? 終端補(bǔ)丁檢測： 評估客戶端的補(bǔ)丁安裝是否合格，可以檢測的補(bǔ)丁包括：操作系統(tǒng)(Windows 20xx/XP/20xx等，不包括 Windows 98)等符合微軟 補(bǔ)丁規(guī)范的熱補(bǔ)丁 。