H3C公司推出的EAD解决方案提供了一个全新的、开放的安全防御体系架构，它不仅提供了对客户端终端的网络接入控制，还能够与第三方桌面安全软件（如微软WSUS、SMS，BigFix等）联动，实现双方方案的互补，为客户带来完整的终端安全和控制方案。作为国内网络产品解决方案的顶级提供商之一，H3C公司在自身办公环境中首先应用了自己开发并拥有独立知识产权的EAD解决方案，在企业网内部安全控制和信息安全防范方面取得了较为显著的成效。

H3C公司自成立之初就将知识产权保护和信息安全防护作为企业保持核心竞争力的主要手段，产品软硬件研发、企业信息流程控制等核心业务必需一个安全、高效、稳定运行的信息化网络系统，其中客户端病毒库自动更新、操作系统补丁及时更新、集中统一用户安全策略，保证用户终端的安全，阻止病毒、木马程序威胁入侵网络等，是保证办公网络安全运行的前提。H3C公司IT和信息安全部门针对特殊的应用环境和公司信息安全管理规定，要求对用户的网络访问行为进行有效的控制，实时监控用户行为及终端的安全状态，因此提出了如下需求：

n        案例规模

共6000个信息点

n        管理需求

Ø         提供多种接入方式。不管是局域网还是广域网、VPN和无线，都能够对接入的用户进行身份认证和安全状态控制。

Ø         身份认证。对登录网络用户进行唯一性身份认证，实现一个用户帐号对应一台或者多台计算机，且与接入公司资产相绑定；

Ø         信息安全。避免外来计算机随意接入涉密内部办公网络，杜绝帐户盗用、PC机盗用、MAC地址仿冒等。

Ø         与NORTON杀毒联动。保证接入网络的用户终端没有感染病毒，且病毒库得到及时更新。

Ø         与微软WSUS联动。保证用户终端的操作系统必须及时更新系统补丁。

Ø         软件黑白名单。规范接入网络的终端必须安装、运行某些特定管理软件和防病毒客户端软件等。

Ø         在线监控和修复。保证对终端的安全事件能实时监控和实施控制，有效保证整体网络安全。

Ø         访问权限。员工需要按照所属部门、角色划分工作和业务访问权限，不同的角色有不同的权利和责任。对于已经接入网络的用户，需要规范用户的网络行为，不同岗位的员工，其网络访问权限必须明确区分，严格控制。认证可以与公司统一的域控制器相融合，达到单点登录到域就可访问所有受限资源的目的。

Ø         日志审计。提供终端访问网络的详细上网日志信息和强大的管理查询功能，便于管理员定位问题和跟踪终端访问明细。

Ø         管理权限。提供方便管理员身份权限控制、用户帐号维护、安全策略定制的管理功能。

n        解决方案实施

针对H3C公司对于终端的安全防护和实际组网规划需求，EAD终端准入控制解决方案的综合组网如上图所示：全网在终端接入层交换机（具体设备型号见上图示例）启用802.1x协议认证，客户端PC安装EAD安全认证客户端（H3C iNode智能客户端，以下简称iNode客户端）以及WSUS补丁管理插件，配合事先部署的Norton防病毒客户端；“隔离”服务器区分别放置了DHCP Server、微软AD域控制器和WSUS补丁服务器、Norton防病毒服务器等。

H3C公司北京研究所的办公网络拓扑示意图如下：

n        应用效果

Ø         用户身份管理及安全控制策略

为了严格控制用户的网络接入，北京研发部门和各地办事处在接入层设备处启用802.1x认证，杭州基地则在网关处启用Portal认证，并且采用用户名/密码/多MAC地址绑定的身份验证策略，有效限制了用户访问网络的区域，并坚决杜绝了外来和未授权用户非法使用网络；通过安全策略服务器系统负责同步AD域控制器中的用户信息，利用iMC EAD的可自定义多种附加信息功能由用户输入所属部门、姓名、工号、主机名、资产编号等信息，由管理员审核后方可开通权限。用户终端通过DHCP动态获取IP地址上网，设置接入安全策略为仅限H3C iNode智能客户端方可认证，并限制禁止终端用户私自修改MAC地址和网卡的IP地址必须使用DHCP动态获取方式，有效地防止了外来计算机入侵、MAC仿冒盗用帐号和私设IP导致IP地址冲突的情况发生。

Ø         终端安全管理

H3C公司企业内部网使用的防病毒软件是Symantec的Norton Antivirus企业版防病毒软件，由其自身系统中心服务器负责防病毒客户端的版本升级和病毒库定义的定期更新，终端病毒防护的实时监控和检查由用户终端的防病毒软件完成。因此为了保证此防病毒客户端的正常运行，iNode客户端在用户每次登录网络时，都需要检查杀毒客户端是否正常启动、运行并且强制检查防病毒软件的版本和病毒库版本，并实时监控该客户端的运行状况，一旦用户的终端在访问网络时出现染毒或者Norton防病毒客户端运行异常，iNode客户端会立即上报给安全策略服务器，用户终端会立即收到修复通知并被联动接入设备隔离到“隔离区”，防止带毒或者“易感”的终端接入网络诱发安全问题。

终端安装了WSUS补丁插件程序后，系统补丁的更新就可以在iNode认证时自动到WSUS服务器进行查询，检测到有需要的更新后会自动下载并安装。在用户正常上网过程中结合微软的Windows Automatic Update功能，终端也可以实时在线更新补丁。系统还提供手工修复系统补丁的服务器，用于长期没有接入网络的终端用户手工下载安装补丁。

针对终端要求必须安装和运行的特定软件，管理员可以设置软件黑白名单，认证时检查此类软件的安装运行情况，如果有违规即刻被限制访问隔离区甚至直接断开终端网络连接；对已经通过安全检查的终端用户，EAD解决方案仍然对终端的安全状态进行实时监控，如果病毒客户端被禁用或者运行了禁止运行的软件等均会根据安全策略将终端用户隔离甚至实施切断网络连接。

Ø         员工终端访问权限控制

员工认证通过后，根据用户身份和所属部门，EAD方案将用户划分为不同的策略组（如研发类，非研发类，会议室，外来人员及临时帐号等），将其划分入不同的VLAN，并且授予用户相应的ACL访问权限，有效防止越权访问资源的发生。通过基于身份的ACL访问规则控制，可以保证只有具有权限的员工允许访问关键服务器，禁止非法访问和部门间互访。

与Windows AD域控制机制结合，采用成熟的802.1x与Windows域统一认证技术，实现网络接入和Windows域的单点统一登录，使得用户在登录Windows时仅需输入一次用户名密码即可获得相应的受控访问权限，方便了使用和业务流程整合。

EAD安全策略服务器与安全客户端配合可以对各种外联或代理进行禁止。无论用户采用何种方式，包括IE代理、双网卡以及内网用户通过Modem上网等都可以进行控制，以上的禁止方式，可以进行灵活选择，满足不同组网需要。

Ø         管理员权限管理和丰富的问题终端定位手段

利用EAD解决方案安全策略管理服务器提供的功能强大的管理操作员角色身份、权限控制和访问控制列表管理功能，H3C公司信息安全部对能够操作使用控制系统的管理员定义了严格的控制策略，保证了系统安全性；并且借助丰富详细的管理员操作日志，可以追踪到所有的操作员的管理行为。

针对用户终端的上网行为，EAD提供的详细上网明细（包括用户帐号信息，用户的IP/MAC地址，接入区域的设备IP/端口号/VLAN ID，上下线时间，上下行流量等）、安全日志（违规安全事件详细内容/发生时间及相应处理结果等）和系统日志为IT部门网络管理员提供了丰富的定位问题终端、解决终端网络接入问题以及系统维护的手段和方法，上网帐号与相关资产信息的绑定也为信息安全提供了事后追溯的必要依据。