百度是全球最大的中文搜索引擎。在中国首创了竞价排名商业模式，2005年8月5日，百度在美国纳斯达克上市，成为2005年全球资本市场上最为引人注目的上市公司，百度由此进入一个崭新的发展阶段。

企业的办公和业务运作需要一个高效和安全稳定的信息化网络系统，客户端病毒库及时更新、系统补丁及时分发、集中统一执行企业安全策略、保证用户终端的安全、阻止威胁入侵网络，是保证企业网高效安全运行的前提。特别是像百度这样一家高科技上市公司的IT网络系统，对终端安全状态和用户身份的审核， 对用户访问网络的行为进行有效控制，对萨班斯法案检查的遵从都显得尤为重要。因此用户提出了如下需求：

n         接入用户身份管理

Ø         限制非法笔记本电脑或非授权用户接入网络。

Ø         对登陆网络用户进行唯一性身份认证，实现一个用户帐号对应一台计算机，且与接入网络端口绑定，避免外来计算机随意接入公司网络，杜绝帐户盗用、PC机盗用。

Ø         准入控制与VPN集成，统一LAN接入和VPN接入终端安全。

n        终端安全管理

在百度园区网络中，任何一台终端的安全状态（主要是指终端的防病毒能力、补丁级别和系统安全设置），都将直接影响到整个网络的安全。

Ø         需要保证接入网络的用户终端没有感染病毒，且病毒库得到及时更新。

Ø         用户终端的操作系统，必须及时更新系统补丁。

Ø         规范接入网络的终端必须安装、运行或禁止安装、运行其中某些软件。

n         员工访问权限控制

员工需要分工明确，各负其职，按角色划分工作范围，不同的角色有不同的权利和责任。对于已经接入网络的用户，需要规范用户的网络行为，不同岗位的员工，其网络访问权限必须明确区分，严格控制。

百度公司EAD方案实施：

图：百度公司部署的EAD

针对百度公司对于终端的安全需求，H3C采用EAD终端准入控制解决方案，提出如下解决措施：

n         用户身份管理及安全控制策略

根据百度提出的安全需求，选用了H3C的S3628TP-SI交换机作为安全接入设备，在用户接入安全策略方面，设置了用户认证绑定用户MAC、接入设备IP、端口等信息，并限制所有用户必须使用DHCP方式分配IP地址，有效防止了IP地址冲突。

对于分支机构和外出用户的访问，采用H3C VPN客户端的EAD部署方式，保证外部用户访问企业内网的私密性和安全性，同时还能保证企业安全策略对内外用户的统一实施。

n         终端安全管理

在网络中专门划分出隔离区域，防病毒软件服务器、EAD安全策略服务器、DHCP服务器均放置在网络隔离区中；   

百度使用瑞星的防病毒软件，由中心服务器负责防病毒客户端的版本升级和病毒库的定期更新。因此H3C iNode安全客户端在用户每次登录时，都会检查防病毒软件的版本和病毒库版本，确保所有版本均为策略服务器规定的版。

系统补丁采用手工安装的方式，在EAD安全策略服务器中设置补丁安装的URL，当终端用户上网进行安全检测时，一旦发现补丁状况不符合要求，即进行隔离并给出下载地址，提示安装这些补丁才能够正常上网。

n         用户权限控制

员工认证通过后，根据用户身份，EAD方案授予用户不同的ACL访问权限。有效的防止越权访问资源的发生。通过基于身份的ACL访问规则控制，可以保证只有本部门的员工允许访问相关的服务器，禁止非法访问。

EAD安全策略服务器与安全客户端配合可以对各种外联或代理进行禁止。无论用户采用何种方式，包括IE代理、双网卡以及内网用户通过Modem上网等都可以进行控制，以上的禁止方式，可以进行灵活选择，满足不同组网需要。