——中国最专业、部署最广泛的网络准入解决方案
在实际网络应用中,新的安全威胁不断涌现,病毒和蠕虫日益肆虐,其自我繁殖的本性使其对网络的破坏程度和范围持续扩大,经常引起系统崩溃、网络瘫痪,使用户蒙受严重损失。在实际网络中,任何一台终端的安全状态(主要是指终端的防病毒能力、补丁级别和系统安全设置),都将直接影响到整个网络的安全。
网络安全从本质上讲是管理问题。保证用户终端的安全、阻止威胁入侵网络,对用户的网络访问行为进行有效的控制,是保证企业网络安全运行的前提,也是目前用户急需解决的问题。
H3C终端准入解决方案(EAD)从控制用户终端安全接入网络的角度入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,有效地加强了用户终端的主动防御能力,为网络管理人员提供了有效、易用的管理工具和手段。
对于要接入安全网络的用户,EAD解决方案首先要对其进行身份认证,通过身份认证的用户进行终端的安全认证,根据网络管理员定制的安全策略进行包括病毒库更新情况、系统补丁安装情况、软件的黑白名单等内容的安全检查,根据检查的结果,EAD对用户网络准入进行授权和控制。通过安全认证后,用户可以正常使用网络,与此同时,EAD可以对用户终端运行情况和网络使用情况进行审计和监控。EAD解决方案对用户网络准入的整体认证过程如下图所示:
图1 终端准入解决方案(EAD)流程
EAD解决方案组网包括安全客户端、安全联动设备、EAD安全策略服务器和第三方服务器。
安全客户端:是指安装了H3C iNode智能客户端的用户接入终端,负责身份认证的发起和安全策略的检查。
安全联动设备:安全联动设备是网络中安全策略的实施点,起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。根据应用场合的不同,安全联动设备可以是交换机、路由器或VPN网关,分别实现不同认证方式(如802.1x、VPN和Portal等)的端点准入控制。针对多样化的网络EAD提供了灵活多样的组网方案,安全联动设备可以根据需要进行灵活部署。
EAD安全策略服务器:EAD方案的核心是整合与联动,而安全策略服务器是EAD方案中的管理与控制中心,兼具用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。
第三方服务器:是指补丁服务器、病毒服务器和安全代理服务器等,被部署在隔离区中。当用户通过身份认证但安全认证失败时,将被隔离到隔离区,此时用户能且仅能访问隔离区中的服务器,通过第三方服务器进行自身安全修复,直到满足安全策略要求。
u 严格的身份认证。除基于用户名和密码的身份认证外,EAD还支持身份与接入终端的MAC地址、IP地址、所在VLAN、接入设备IP、接入设备端口号等信息进行绑定,支持智能卡、数字证书认证,增强身份认证的安全性。
u 完备的安全状态评估。根据管理员配置的安全策略,EAD客户端能够对终端进行包括病毒库版本、补丁、安装的应用软件、代理、拨号配置等安全认证检查;同时,EAD解决方案还支持和微软SMS/WSUS、LANDesk、BigFix等业界桌面安全产品的配合使用,支持和瑞星、江民、金山、Symantec、McAfee、Trend Micro、安博士、卡巴斯基等国内外主流防病毒厂商联动。
u 基于角色的网络授权。EAD可基于终端用户的角色,向安全联动设备下发事先配置的接入控制策略,按照用户角色权限规范用户的网络使用行为。
u 桌面资产管理。EAD解决方案提供了对网络终端资产全方位的监控和管理的功能,可以对网络终端软硬件使用情况、变更情况进行监控,同时还支持网络终端资产的配置管理和软件的统一分发,实现对资产的有效管理。
u 用户与网络融合管理。基于iMC开放智能管理中枢SOA架构,EAD解决方案将用户管理和网络管理进行了智能融合,通过网络拓扑不仅能够了解到网络设备信息和状态,还可以实现对接入用户的直观管理,实现查看用户信息、强制用户下线、执行安全检查等操作。
u 扩展开放的解决方案。EAD解决方案为客户提供了一个扩展、开放的结构框架,最大限度的保护了用户已有的投资。
u 灵活方便的部署方式。EAD按照网络管理员配置的安全策略区别对待不同身份的用户,定制不同的安全检查和处理模式,包括VIP模式、Guest模式、隔离模式和下线模式;此外,EAD还支持灵活的旧网改造方案和客户端静默安装等特性。
