终端智能接入

方案简介

H3C iMC EIA终端智能接入组件是一款全面的企业终端网络接入策略管理解决方案。它提供企业统一的网络接入策略,实现企业网络(有线、无线和VPN网络)的统一接入管理,并提供对员工、访客、设备管理员基于角色、设备类型、接入时间、接入地点的网络访问控制,满足企业多种网络接入、多种终端接入的统一运维管理需求,确保终端安全策略在整个网络无缝地执行。

方案特点

集中化的设备资源和用户资源管理


除对网络设备的统一管理外,iMC也对用户基本信息进行集中维护,包括用户姓名、证件号码、通讯地址、电话、电子邮件、用户分组;并提供用户附加信息管理功能,管理员可根据网络运营的习惯进行用户信息定制,如学校可以定制学号、年级等信息,企业可以定制部门、职务等信息。

设备和用户的统一分组管理

支持设备和用户分组功能,通过对设备资源和用户进行分组管理,系统管理员方便的分配其他管理员的管理权限,便于职责分离。

接入业务服务和用户分组可灵活对应,使得特定分组用户才能配置对应的特定服务,便于管理员进行接入业务管理。

用户管理与网络设备管理相融合,用户管理操作更简单

接入设备列表中可以直接看到用户相关信息,提高了操作员日常维护的效率。

设备选定后可直接对其进行用户操作,比如,针对某个接入设备,将其所挂的用户全部下线处理等。

在线用户列表中提供接入设备查看入口,可查看当前在线用户所对应的接入设备的详细信息,比如,对应的基本信息、告警、性能状况等。

网络设备管理和用户管理的全面融和,使得操作更友好,全面提升操作员操作体验。

支持多种接入及认证方式,适合多种接入组网场景及应用场景

支持802.1x、VPN接入等多种认证接入方式。

支持PAP、CHAP、EAP-MD5、EAP-TLS、PEAP等多种身份验证方式,适应不同安全要求的应用场景。

支持用户与设备IP地址、接入端口、VLAN、用户IP地址和MAC地址等硬件信息的绑定认证,增强用户认证的安全性,防止帐号盗用和非法接入。

支持与Windows域管理器、第三方邮件系统(必须支持LDAP协议)的统一认证,避免用户记忆多个用户名和密码。

支持终端准入控制(EAD)解决方案,确保所有接入网络的用户终端符合企业的安全策略

严格的权限控制手段,强化用户接入控制管理

基于用户的权限控制策略,可以为不同用户定制不同网络访问权限。

可以控制用户的上网带宽(QoS;802.1x认证支持)、限制用户同时在线数、禁止用户设置和使用代理服务器,有效防止个别用户对网络资源的过度占用。

支持最大闲置时长限制。

可以实现对用户ACL、VLAN的控制,限制用户对内部敏感服务器和外部非法网站的访问(802.1x认证支持)。

可以限制用户IP地址分配策略,防止IP地址盗用和冲突。

可以限制用户的接入时段和接入区域,用户只能在允许的时间和地点上网。

可以限制终端用户使用多网卡和拨号网络,防止内部信息泄露。

可以限制用户必须使用专用安全客户端,并强制自动升级,确保认证客户端的安全性。

详尽的用户监控,强化对终端用户的监视控制

iMC用户管理组件提供强大的“黑名单”管理,可以将恶意猜测密码的用户加入黑名单,并可按MAC、IP地址跟踪非法行为的来源。

管理员可以实时监控在线用户,强制非法用户下线。

支持消息下发,管理员可以向上网用户发布通知消息,如“系统升级,网络将在10分中后切断”、“您的密码遭恶意试探,请注意保护密码安全”等。

iMC用户管理组件记录认证失败日志,便于方便定位用户无法认证通过的原因。

集中方便的接入业务用户管理,简化管理员维护操作

基于服务的用户分类管理,用户的认证绑定策略、安全策略、访问权限均封装于服务中,简化管理员的操作,保证网络管理模式的统一。

接入用户相关的管理动作集中化,界面对操作员来说更友好、更美观易用。

接入用户可使用自助服务,帐号申请、查询、修改都通过自助服务页面完成,既提高效率,又减轻管理员的工作量。

灵活的访客账号创建流程

根据不同的应用场景,EIA访客管理提供不同的访客账号创建模式:

1、 公共领域访客短信认证模式

在公共领域(如商场、酒店、连锁、展馆、景区、营业厅、交通候客厅等),访客需要能通过手机号码注册账号并通过短信获取账号密码信息,快速接入公众无线网络,具体流程如下:

1) 访客管理员在iMC EIA服务器上配置访客接入控制策略、账号失效天数等参数;

2) 访客连接 “访客SSID”;

3) 访客在推送的Web认证页面中输入个人手机号码,点击“获取密码”按钮;

4) iMC EIA服务器为该手机号自动注册访客账号并分配已配置的访客接入控制策略及账号有效时间;

5) iMC EIA服务器通过短信猫或短信网关将帐号及密码信息通过短信方式发送给访客;

6) 访客手机接收短信,在Web认证页面中输入获取到的密码;

7) 访客身份验证成功后,根据访客接入控制策略控制访问Internet及特定网络资源;

8) EIA服务器定期自动删除失效访客账号;

2、 企业访客接待员开户模式

企业访客账号需专人(保安、前台或员工)管理的情况下,访客接待员可以通过登录自助系统为来访人员直接创建账号并分配接入策略,开户成功后通过邮件,具体流程如下:

1) 访客接待登录iMC EIA服务器自助平台,创建访客帐号并分配访客接入控制策略及有效时长;

2) iMC EIA服务器通过Email、短信方式将帐号及密码信息发送给访客;

3) 访客连接“访客SSID”;

4) 访客在推送的Web认证页面中输入其访客账号和密码;

5) 访客身份验证成功后,根据访客接入控制策略控制访问Internet及特定网络资源;;

6) EIA服务器定期自动删除失效访客账号

3、 企业访客自助开户模式

企业访客自助模式是指账号由访客自行申请,但需要企业访客接待员统一审批的管理模式,具体流程如下:

1) 访客连接“访客SSID”;

2) 访客在推送的Web认证页面中点击“访客预注册”,在预注册页面中输入账号申请信息并选择访客接待员;

3) 访客接待员登录iMC EIA服务器自助平台,为已预注册的访客分配网络接入策略及有效时长;

4) 访客帐号生效后,可通过Email或者短信方式发送给该访客;

5) 访客重新连接“访客SSID”,并在推送的Web认证页面中输入其访客账号和密码;

6) 访客身份验证成功后,根据访客接入控制策略控制访问Internet及特定网络资源;;

7) EIA服务器定期自动删除失效访客账号

4、 其它访客开户模式

访客可以通过智能终端扫描二维码方便快捷地实现开户、接入,节省传统访客账号审批流程。通过EIA 丰富的SDK接口可与企业微信公众平台对接,实现访客通过关注企业微信公众号,一键快捷接入企业无线网络。

支持通过多种短信环境发送访客账号信息

* 支持通过主流短信猫接口发送短信通知,如WaveCom、万象、金笛等。

* 支持通过Web接口访问第三方短信网关,快速、高效地发送账号信息短信。

* 封装统一短信通知接口,支持与客户自有短信平台通过定制开发对接。

融合的接入设备管理,操作简单、管理方便

接入设备配置与iMC ACL Manager解决方案的协同,选定接入设备后,可直接为此设备进行ACL配置;同时,在接入设备列表中,可查看其对应的ACL部署信息,便于快速部署及开通业务接入业务。

为接入设备提供查询设备明细信息的链接,可通过简单的鼠标点击看到接入设备的详细信息,比如对应的基本信息、告警、性能状况等。

接入设备管理与拓扑管理的融合,拓扑中可以清晰的显示出接入设备,查看接入设备相关信息,并可通过鼠标点击方式,将此接入设备设置为非接入设备。

基于场景的授权策略,强化设备管理用户授权管理

支持按场景分配授权策略,场景是设备位置区域、设备类型和接入时段的组合,可定义在不同场景下设备管理用户所使用的Shell Profile和操作命令集。

支持按固定时段、年/月/周/日为周期的接入时段配置,控制设备管理用户的登录设备各时间段的权限。

支持Shell Profile精细化配置,定义设备管理用户登录设备时的全局属性,包括权限级别、接入ACL、限制时长等。

支持命令集精细化配置,定义设备管理用户登录设备时的可执行的命令集合。

详尽的日志审计,详细记录设备管理用户行为

提供认证日志监控,记录设备管理用户登录设备成功或失败信息,包括登录名、登录结果(失败原因)、认证时间、登录设备IP、终端用户IP、权限级别、登录动作、认证类型、服务类型等。

提供授权日志监控。授权行为包括登录授权和命令行授权:若设备启用登录授权,TAM服务器会对登录成功的用户进行登录级别授权,并记录登录授权日志;若设备启用命令行授权,TAM服务器会在设备管理用户执行每一条命令时判断该用户是否拥有执行命令的权限,并记录命令行授权日志。

提供设备管理用户行为审计日志监控。TAM服务器记录用户登录、登出设备以及各种行为日志,审计日志内容包括:登录名、审计类型、审计时间、设备IP、终端用户IP、命令行等。

智能的广告推送,适应不同网络运营方需求

iMC EIA组件可以配合iMC管理平台,针对不同用户身份/接入位置进行不同的广告推送业务,协助接入用户最快获取最需要的信息,从而可与第三方广告平台配合,适应不同网络运营方需求,达成广告平台、网络运营方以及接入用户的三赢。

运行环境

属性

参数

硬件平台

服务器端:PC服务器:Xeon 2.4 G(及以上)、内存4G(及以上)、硬盘80G(及以上)、48倍速光驱、100M网卡�%