【正文】 。 ? 安全日志審計： 定時收集客戶端的實時安全狀態(tài)并記錄日志；查詢用戶的安全狀態(tài)日志、安全事件日志以及在線用戶的安全狀態(tài)。 用戶行為監(jiān)控 ? 終端強制或提醒修復： 強制或提醒不符合安全策略的終端用戶主機進行防病毒軟件升級，病毒庫升級，補丁安裝；目前只支持手工方式（金山的客戶端可以與系統(tǒng)中 心做自動升級）。 ? 限制終端用戶使用多網卡和撥號網絡： 防止用戶終端成為內外網互訪的橋梁 ， 避免因此可能造成的信息安全問題 。 ? 支 持匿名認證： iNode客戶端 與 CAMS服務器配合 提供 用戶 匿名認證 功能 ，用戶不需要輸入用戶名、密碼即可完成身份認證和安全認證?？梢韵拗平尤刖W絡的用戶必須安裝、運行或禁止安裝、運行其中某些軟件。 ? “危險 ”用戶在線隔離： 用戶上網過程中安全狀態(tài)發(fā)生變化造成與安全策略不一致杭州華三通信 技術有限公司 202073 內部資料，請勿擴散 第 23 頁 , 共 20 頁 時 （ 如感染不能殺除的病毒 ） ， EAD可以在線隔離并通知用戶。 用戶權限管理 ? 強身份認證： 在用戶身份認證時，可綁定用戶接入 IP、 MAC、接入設備 IP、端口和 VLAN等信息，進行強身份認證，防 止帳號盜用、限定帳號所使用的終端，確保接入用戶的身份安全。當前支持的強 AV聯(lián)動支持的防病毒軟件有：瑞星、金山和江民。 聯(lián)動方式目前包括強聯(lián)動和 弱聯(lián)動，強聯(lián)動需要防病毒軟件廠商提供聯(lián)動插件， iNode客戶端通過該聯(lián)動插件完成對防病毒軟件的運行狀態(tài)檢查以及行為控制。 ? 終端運行狀態(tài)實時 檢測： 可以對上線用戶終端的系統(tǒng)信息進行實時檢測，包括已安裝程序列表、已安裝補丁列表、已運行進程列表、共享目錄信息、分區(qū)表、屏保設置和已啟動服務列表等。 ? 安全狀態(tài)定時評估： 安全客戶端可以定時檢測用戶安全狀態(tài) ， 防止用戶上網過程中因安全狀態(tài)發(fā)生變化而造成的與安全策略的不一致 。 安全狀態(tài)評估 ? 終端補丁檢測： 評估客戶端的補丁安裝是否合格，可以檢測的補丁包括：操作系統(tǒng)(Windows 20xx/XP/20xx等，不包括 Windows 98)等符合微軟 補丁規(guī)范的熱補丁 。 ? 實時監(jiān)控： 在用戶網絡使用過程 中 ，安全客戶端根據安全策略服務器下發(fā)的監(jiān)控策略，實時監(jiān)控用戶終端的安全狀態(tài)，一旦發(fā)現(xiàn)用戶終端安全狀態(tài)不符合企業(yè)安全策略，則向 EAD安全策略服務器上報安全事件，由 EAD安全 策略服務器按照預定義的安全策略，采取相應的控制措施，比如通知安全聯(lián)動設備隔離用戶。 ? 安全修復： 進入隔離區(qū)的用戶可以進行補丁、病毒庫的升級、卸載非法軟件和停止非法服務等操作，直到安全狀態(tài)合格。 ? 安全檢查： 身份認證通過后進行終端安全檢查，由 EAD安全策略服務器驗證用戶終端的安全狀態(tài)（包括補丁版本、病毒庫版本、軟件安裝等）是否合格。 圖表 1 EAD解決方案安全準入應用模型圖 杭州華三通信 技術有限公司 202073 內部資料，請勿擴散 第 20 頁 , 共 20 頁 安全準入工作流程 ? 身份驗證： 用戶終端接入網絡時，首先進行用戶身份認證，非法用戶將被拒絕接入網絡。 ? NAS 設備： H3C S3600、 S5600、 S7500系列交換機、 AR2 AR4 MSR路由器 。 5 系統(tǒng)參數及環(huán)境要求 EAD 系統(tǒng)技術參數 ? 網絡帶寬占用：用戶終端安全狀態(tài)信息 1K； ? 并發(fā)連接數： CAMS應用服務器可支持 5000個并發(fā)連接； ? 雙機備份：支持 24小時主備數據自動同步方案； 杭州華三通信 技術有限公司 202073 內部資料，請勿擴散 第 19 頁 , 共 20 頁 EAD 系統(tǒng)環(huán)境要求 ? CAMS 安全策略服務器 軟件環(huán)境：操作系統(tǒng)和數據庫分別為 Windows 20xx Advanced Server中文版＋SP SQL Server 20xx＋ SP4 ? 硬件環(huán)境： 5000 用戶，推薦使用雙路 Xeon 的 PC 服務器以上、 1G 以上內存。 下線模式也是目前友商 相似方案的主要實現(xiàn)模式， EAD支持下線模式可以增強方案對設備的兼容性。主要與 Portal認證相配合 ，實現(xiàn)網絡出口或是關鍵數據區(qū)域的認證保護。 提醒 模式和監(jiān)控模式下，安全聯(lián)動設備可以不需要支持動態(tài) ACL下發(fā)控制功能。 一些相對普通的安全問題，如提示性的補丁安 裝，可以在不影響終端用戶工作的情況下，由管理員進行定期檢查并通告。 監(jiān)控模式 監(jiān)控模式同 提醒 模式的實現(xiàn)流程基本相同， 區(qū)別在于監(jiān)控模式下，安全客戶端不通過彈出窗口向用戶提示終端的不合格項 。在 提醒 模式下，安全客戶端檢查用戶終端的安全狀態(tài)信息，并將不合格項以彈出窗口的形式提供給終端用戶，同時提供修復指導和相關鏈接。 隔離模式要求安全聯(lián)動設備必須支持動態(tài) ACL特性，能夠實時應用 EAD安全策略服務器下發(fā)的 ACL規(guī)格，并應用于用戶連接。 隔離模式 對于 一些關系比較重大的安全漏洞或補丁，如 Windows服務器的致命安全補丁，需要進行比較嚴厲的控制 。如防病毒軟件的安裝和版本檢查可以采用隔離模式，補丁軟件依照重要性的不同可以采取不同的模式，一些非法軟件的安裝可以通過 提醒模式 進行提醒。 3. 通過安全認證網關和策略服務器、客戶端配合，解決了網絡上多廠商設備共存的問題； 4. 其余同接入層準入控制。 2. 合法用戶 通過身份認證、安全認證 后，其訪問權限受 認證 設備 的 ACL控制。 簡化了客戶端分發(fā)工作。區(qū)別在于： 1. 用戶進行網絡登錄認證之前，可以訪問 Portal服務器等 URL。 ? 隔離區(qū)的設置、第三方服務器的設置、 CAMS自助服務器 和 EAD安全代理服務器的 設置等信息同接入層準入控制。 ? CAMS服務器需要安裝 Portal認證組件， 在 Portal認證頁 面上，提供安全客戶端的下載鏈接。 3. 方案說明 ? 使用 AR46/2 MSR、 S7502E設備配合組網，設備通常放置在網絡出口，并在設備上開啟 Portal認證功能。但在 EAD解決方案中，需要使用 iNode客戶端來進行終端的安全狀態(tài)檢測和控制，因此在Web認證的基礎上，擴展了 Portal協(xié)議，使之不僅能夠處理 Http協(xié)議，還可以控制其他協(xié)議的數據流，使 EAD解決方案也支持 Portal認證方式下的端點準入控制。而這時的企業(yè)網絡通常為多廠商設備共存，很難單獨使用 一家廠商的設備實施網絡的準入控制，這種情況下，視網絡規(guī)模大小，我們推薦使用一臺或多臺網關設備作為強制認證控制器，使用基于 Portal的認證協(xié)議， 與 iNode客戶端、安全策略服務器配合完成 EAD端點準入防御 。 建議在嚴格控制用戶之間互訪的情況下，接入層設備在不同端口之間劃分不同的 VLAN。 5. 實施效果 實施效果 同接入層準入控制 相同 ，但是網絡改造費用降低、系統(tǒng)部署簡單。 杭州華三通信 技術有限公司 202073 內部資料，請勿擴散 第 15 頁 , 共 20 頁 3. 方案說明 ? 在 匯聚 交換機中要部署 ，強制進行基于用戶的 和動態(tài) ACL控制。尤其是在對用戶原有企業(yè)網絡進行改造，實施 EAD解決方案時，可以將原有匯聚層設備替換為支持 EAD解決方案的 H3C匯聚層設備，實現(xiàn) EAD解決方案的應用。 5. 通過使用 iNode客戶端，可對用戶的終端使用行為進行嚴格管理，比如禁止設置代理服務器、禁用雙網卡、禁止撥號等。 4. 用戶正常接入網絡前，必須通過安全客戶端的安全檢查，確保沒有感染病毒且病毒庫版本和補丁得到及時升級。 3. 合法用戶接入網絡后，其互訪權限受 S30/35/39/50系列 交換機中的 VLAN控制。 2. 合法用戶接入網絡后，其訪問權限受 S30/35/39/50系列 交換機中的 ACL控制。 5. 實施效果 1. 由于接入層交換機對端口部署了 ，所有非法用戶將不能訪問企業(yè)內部網絡。如果 合格 則 解除隔離，進入步驟 7。 4. 安全 客戶端 通知用戶進行補丁和病毒庫的 升級 操作 。 3. CAMS通知接入設備 （ S30/35/36系列或其他 支持 EAD解決方案 的交換機） ，將該用戶的訪問權限限制到隔離區(qū)內。其原理性的流程如下： 1. 用戶上網前 必須首先進行身份認證，確認是 合法用戶后， 安全 客戶端 還要 檢測病毒軟件和 補丁安裝情況，上報 CAMS。 ? 防病毒服務器（可選）必須部署于隔離區(qū)，可以與補丁服務器、 EAD安全代理共用一臺主機，可以選擇 Norton防病毒、趨勢防病毒、 McAFee防病毒、安博士防病毒、 CA Kill安全甲胄 、 瑞星殺毒軟件、金山毒霸以及江民 KV防病毒軟件 。 ? EAD安全代理服務器 必 須 部署于隔離區(qū)，可以與 CAMS自助服務器共用一臺主機。 ? 在 接入 交換機（ S30/35/36系列 交換機）中 要 部署 ，強制