【正文】 毒 版 本 、 系 統(tǒng) 補 丁 等 信 息 ）安 全 認 證 成 功 ， 下 發(fā) 監(jiān) 控 策 略R a d i u s / 安 全 認 證 成 功 ， 下 發(fā) 工 作 A C L安 全 狀 態(tài) 監(jiān) 控安 全 狀 態(tài) 信 息檢 查 終 端 安 全 狀 態(tài)圖表 2 EAD安全準入流程圖 功能特點 EAD解決方案已實現(xiàn)以下功能規(guī)格，在具體應用部署時，可根據(jù)用戶網(wǎng)絡的實際使用需求，確定 EAD的應用模式和部署方案。弱聯(lián)動不需要防病毒廠商提供聯(lián)動插件， iNode客戶端通過其他方式實現(xiàn)對防病毒軟件的運行狀態(tài)檢查以及行為控制。對于不符合安全策略的用戶可以記錄日志、提醒或隔離。 ? 強制用戶下線： 管理員可以強制行為 “可疑 ”的用戶下線 。 ? 代理限制： 可以限制用戶使用和設置代理服務器 。 ? “危險 ”用戶隔離： 對于安全狀態(tài)評估不合格的用戶，可以限制其訪問權限（通過ACL隔離），使其只能訪問 防 病毒服務器、補丁服務器等用于系統(tǒng)修復的網(wǎng)絡資源。 ? 自動補丁管理： 提供與微軟 WSUS/SMS（全稱： Windows Server Update Services/System Management Server）協(xié)同的自動補丁管理，當用戶補丁不合格時，自動安裝補丁 。 ? 安全隔離： 不合格的終端將被安全聯(lián)動設備通過 ACL策略 限制在隔離區(qū)進行安全修復。 與 Cisco設備配合部署 EAD解決方案，推薦使用下線模式。網(wǎng)絡管理員可在 EAD安全策略服務器的管理界面中 實時 對用戶終端安全狀態(tài) 進行 監(jiān)控，了解用戶終端的安全信息。 四 種模式對于實現(xiàn)的終端安全狀態(tài)監(jiān)控 功能各有不同，對安全設備的要求也不相同。 2. iNode安全認證客戶端可以在認證前從 Portal認證頁面下載并安裝。 杭州華三通信 技術有限公司 202073 內部資料，請勿擴散 第 16 頁 , 共 20 頁 1. 方案 組網(wǎng) 圖 5 網(wǎng)關型 EAD解決方案 組網(wǎng) 應用 2. 組網(wǎng)設備 ? 在舊網(wǎng)改造中，可以使用 MSR、 AR2 AR4 S7502E作為企業(yè)的安全網(wǎng)關，支持 Portal認證，并 實施 EAD方案 。 ? 其余同接入層準入控制 4. 流程說明 同接入層準入控制方案用戶認 證流程。不同角色的用戶分屬不同的 VLAN，跨 VLAN的用戶不能互訪（受組網(wǎng)方式限制）。 5. 用戶 升級完成后， 可 重新 進行安全認證。 ? 補丁服務器 （可選）必須 部署于隔離區(qū)，可以與 EAD安全代理共用一臺主機。 ? 高級安全模式 ： 內置計算機和本地系統(tǒng)帳號可用于服務器的所有功能（譬如數(shù)杭州華三通信 技術有限公司 202073 內部資料，請勿擴散 第 11 頁 , 共 20 頁 據(jù)庫訪問），這顯著地簡化了在 SMS 20xx的帳號和密碼管理，同時，通過不用創(chuàng)建額外的高權限帳號使企業(yè)更加安全 。使用情況可由用戶或計算機跟蹤，而 且，可以圍繞并發(fā)的使用情況數(shù)據(jù)生成報告。不符合安全策略要求的用戶，只能訪問網(wǎng)絡隔離區(qū)資源，最大程度的提高了網(wǎng)絡安全性； 4） 補丁更新的即時性：用戶 在初始連接網(wǎng)絡時就會被要求進行補丁檢查，終端 機器的補丁狀態(tài)檢查不合格后馬上轉入補丁自動更新過程； EAD解決方案的定時重認證功能結合微軟操作系統(tǒng)的 Windows Automatic Updates駐留服務，可以保證用戶終端的補丁得到實時更新； 5） 與 SMS桌面 資產(chǎn) 管理功能相結合 ， EAD在線用戶安全檢測功能，可以幫助管理員輕松核對所有上網(wǎng)用戶的資產(chǎn)是否正確 ； Microsoft SMS 功能 概述 應用程序配置 ? 詳細的部署規(guī)劃 ： 詳細的應用程序部署規(guī)劃。 安全客戶端 H3C客戶端是安裝在用戶終端系統(tǒng)上的軟件，是對用戶終端進行身份認證、安全狀態(tài)評估以及安全策略實 施的主體，其主要功能包括： ? 提供 、 Portal等多種認證方式，可以與 交換機、 BAS網(wǎng)關 等設備配合實現(xiàn)接杭州華三通信 技術有限公司 202073 內部資料，請勿擴散 第 8 頁 , 共 20 頁 入層、匯聚層的端點準入控制。 同時 EAD解決方案與瑞星、金山、江民防病毒軟件可以實現(xiàn)聯(lián)動病毒檢查，強制終端用戶進行入網(wǎng)前得病毒檢查，推薦使用瑞星、金山、江民防病毒軟件與 EAD配合部署。安全策略服務器可以為不同用戶提供基于身份的個性化安全配置和網(wǎng)絡服務等級，方便管理員對網(wǎng)絡用戶制定差異化的安全策略。 1. 檢查： ? 檢查網(wǎng)絡接入用戶的身份； ? 檢查 網(wǎng)絡 接入用戶的訪問權限； ? 檢查網(wǎng)絡接入用戶終端的安全 狀態(tài) ； 2. 隔離： ? 隔離非法用戶終端和越權訪問； ? 隔離存在重大安全問題或安全 隱患的用戶終端； 3. 修復 ： ? 幫助存在安全問題或安全隱患的用戶終端進行安全修復，以便能夠正常使用網(wǎng)絡； 4. 監(jiān)控 ： ? 實時監(jiān)控在線用戶的終端安全狀態(tài)，及時獲取終端安全信息 ； ? 對非法用戶、越權訪問和存在安全問題的網(wǎng)絡終端進行定位統(tǒng)計，為網(wǎng)絡安全管理提供依據(jù)； ? 通過制定新的安全策略，持續(xù)保障網(wǎng)絡的安全。管理的欠缺不僅會直接影響用戶網(wǎng)絡的正常運行，還可能使企業(yè)蒙受巨大的商業(yè)損失。 為了解決現(xiàn)有網(wǎng)絡安全管理中存在的不足，應對網(wǎng)絡安全威脅 ， H3C推出了 端點準入防御（ EAD， Endpoint Admission Defense）解決方案 。 方案組成部分 為了有效實現(xiàn)用戶終端安全準入控制，需要實現(xiàn)終端安全信息采集點、終端安全信息決策點和終端安全信息執(zhí)行點的分離，同時還需要提供有效的技術手段，對用戶終端存在的安全問題進行修復，使之符合企業(yè)終端安全策略，順利接入 網(wǎng)絡進行工作。 ? 安全聯(lián)動控制。 安全聯(lián)動設備 安全聯(lián)動設備是企業(yè)網(wǎng)絡中安全策略的實施點，起到強制用戶準入認證、隔離不合格終端、為合法用戶提供網(wǎng)絡服務的作用。 ? 檢查用戶終端的安全狀態(tài)，包括操作系統(tǒng)版本、系統(tǒng)補丁、共享目錄、已安裝的軟件、已啟動的服務等用戶終端信息；同時提供與防病毒客戶端聯(lián)動的接口，實現(xiàn)與第三方防病毒 軟件產(chǎn)品 客戶端的聯(lián)動，檢查用戶終端的防病毒軟件版本、病毒庫版本、以及病毒查殺信息。 SMS 20xx提供了 詳細的報告，使應用程序配置過程變得輕松。 ? 詳細的 軟件、 硬件資產(chǎn)目錄 ： Windows管理工具（ WMI）增強功能，實現(xiàn)在資產(chǎn)目錄掃描過程中客戶端的性能提升，并提供一套更豐富的資產(chǎn)目錄數(shù)據(jù)。 ? 改進的狀態(tài)工具 ： 狀態(tài)數(shù)據(jù)提供了有關 SMS 20xx在服務器和客戶端兩方面處理當前狀況的實時信息 4 EAD 解決方案組網(wǎng) 部署 通過與不同網(wǎng)絡接入設備的聯(lián)動， EAD解決方案可在多種 應用場景中實現(xiàn)用戶終端安全準入控制，滿足不同網(wǎng)絡環(huán)境下，端點安全準入控制的需要。 ? 防病毒服務器（可選）必須部署于隔離區(qū)，可以與補丁服務器、 EAD安全代理共用一臺主機，可以選擇 Norton防病毒、趨勢防病毒、 McAFee防病毒、安博士防病毒、 CA Kill安全甲胄 、 瑞星殺毒軟件、金山毒霸以及江民 KV防病毒軟件 。如果 合格 則 解除隔離，進入步驟 7。 4. 用戶正常接入網(wǎng)絡前，必須通過安全客戶端的安全檢查，確保沒有感染病毒且病毒庫版本和補丁得到及時升級。 5. 實施效果 實施效果 同接入層準入控制 相同 ，但是網(wǎng)絡改造費用降低、系統(tǒng)部署簡單。 3. 方案說明 ? 使用 AR46/2 MSR、 S7502E設備配合組網(wǎng)，設備通常放置在網(wǎng)絡出口，并在設備上開啟 Portal認證功能。 簡化了客戶端分發(fā)工作。 隔離模式 對于 一些關系比較重大的安全漏洞或補丁，如 Windows服務器的致命安全補丁，需要進行比較嚴厲的控制 。 一些相對普通的安全問題，如提示性的補丁安 裝，可以在不影響終端用戶工作的情況下，由管理員進行定期檢查并通告。 5 系統(tǒng)參數(shù)及環(huán)境要求 EAD 系統(tǒng)技術參數(shù) ? 網(wǎng)絡帶寬占用：用戶終端安全狀態(tài)信息 1K； ? 并發(fā)連接數(shù)： CAMS應用服務器可支持 5000個并發(fā)連接； ? 雙機備份：支持 24小時主備數(shù)據(jù)自動同步方案； 杭州華三通信 技術有限公司 202073 內部資料，請勿擴散 第 19 頁 , 共 20 頁 EAD 系統(tǒng)環(huán)境要求 ? CAMS 安全策略服務器 軟件環(huán)境：操作系統(tǒng)和數(shù)據(jù)庫分別為 Windows 20xx Advanced Server中文版＋SP SQL Server 20xx＋ SP4 ? 硬件環(huán)境： 5000 用戶，推薦使用雙路 Xeon 的 PC 服務器以上、 1G 以上內存。 ? 安全修復： 進入隔離區(qū)的用戶可以進行補丁、病毒庫的升級、卸載非法軟件和停止非法服務等操作，直到安全狀態(tài)合格。 ? 終端運行狀態(tài)實時 檢測： 可以對上線用戶終端的系統(tǒng)信息進行實時檢測，包括已安裝程序列表、已安裝補丁列表、已運