H3C-EAD-終端準(zhǔn)入解決方案1

H3CEAD終端準(zhǔn)入控制解決方案——中國(guó)最專(zhuān)業(yè)、部署最廣泛的終端控制解決方案——目錄TOC\o"1-2"\h\z\u導(dǎo)讀 3前言 4實(shí)踐是檢驗(yàn)真理的唯一標(biāo)準(zhǔn) 4第1章EAD解決方案概述 6第2章部署篇 91. 在園區(qū)網(wǎng)中部署EAD解決方案 92. 在廣域網(wǎng)中部署EAD解決方案 113. 在VPN網(wǎng)絡(luò)中部署EAD解決方案 134. 在無(wú)線局域網(wǎng)中部署EAD解決方案 145. 在異構(gòu)網(wǎng)絡(luò)中部署EAD解決方案 15第3章技術(shù)專(zhuān)題篇 161. EAD與iMC融合管理解決方案 162. 基于802.1x的客戶(hù)端快速部署技術(shù) 203. Windows域統(tǒng)一認(rèn)證技術(shù) 214. EAD可控軟件技術(shù) 235. EAD匿名認(rèn)證技術(shù) 256. EAD無(wú)客戶(hù)端技術(shù) 277. EAD桌面資產(chǎn)管理解決方案 308. EAD分級(jí)管理解決方案 339. EAD高可靠性解決方案 36第4章案例篇 381. EAD案例：國(guó)家統(tǒng)計(jì)局 382. EAD案例：新華社 413. EAD案例：中國(guó)國(guó)際廣播電臺(tái) 434. EAD案例：海南省電子政務(wù)網(wǎng) 455. EAD案例：成都市政府?dāng)?shù)據(jù)中心 476. EAD案例：中國(guó)銀行總行 487. EAD案例：中國(guó)建設(shè)銀行廈門(mén)開(kāi)發(fā)中心 498. EAD案例：華夏銀行 509. EAD案例：民生銀行 5210. EAD案例：湖南省農(nóng)村信用社 5411. EAD案例：用友軟件 5712. EAD案例：太原鋼鐵 6113. EAD案例：H3C公司 64第5章附錄：EAD部分用戶(hù)名單 68 政府 68 金融 69 公共事業(yè) 69 企業(yè) 70 運(yùn)營(yíng)商 71

導(dǎo)讀在創(chuàng)新無(wú)處不在的IT世界里，從要求可用性到安全性再到高效率，只經(jīng)歷了短短的幾年時(shí)間。而在IT管理概念中，時(shí)至今日終端管理無(wú)疑已經(jīng)成為最重要的內(nèi)容之一，它同樣遵循著從可用性到安全性再到追求效率的發(fā)展規(guī)律。像薩班斯-奧克斯利法案（Sarbanes-OxleyActof2002）對(duì)維護(hù)網(wǎng)絡(luò)信息的安全性、保密性和完整性就提出了相關(guān)要求，而要達(dá)到這些要求，對(duì)終端的有效管理是解決問(wèn)題的根本之道。那我們是否還像以前那樣頭痛醫(yī)頭、腳痛醫(yī)腳最終不得不面對(duì)一套割裂的管理系統(tǒng)？是否能有一套完整的管理方案可同時(shí)解決終端的可用性、安全性和高效率呢？為了解決這個(gè)問(wèn)題，H3C推出了H3CEAD（H3CEnduserAdmissionDomination）終端準(zhǔn)入控制解決方案。H3CEAD解決方案伴隨著IT管理的發(fā)展，從最早實(shí)現(xiàn)用戶(hù)身份認(rèn)證，到實(shí)現(xiàn)網(wǎng)絡(luò)安全認(rèn)證，再到實(shí)現(xiàn)終端高效管理，也完成了從保障網(wǎng)絡(luò)的可用性到安全性再到高效率的變化。H3CEAD解決方案截至2008年5月份，在現(xiàn)網(wǎng)中使用的用戶(hù)數(shù)已經(jīng)突破40萬(wàn)，這個(gè)變化不是一個(gè)數(shù)字的變化，更代表了業(yè)界終端管理水平在質(zhì)的方面的飛躍。為了讓大家更好的了解終端管理的理念及技術(shù)發(fā)展趨勢(shì)，我們推出了這份《H3CEAD終端準(zhǔn)入控制解決方案》專(zhuān)題。在這里，我們可以看到EAD在園區(qū)網(wǎng)、廣域網(wǎng)、VPN網(wǎng)絡(luò)、無(wú)線網(wǎng)絡(luò)、異構(gòu)網(wǎng)絡(luò)中實(shí)現(xiàn)終端管理的部署方案，可以看到EAD隨需安裝的無(wú)客戶(hù)端解決方案，可以了解EAD高可靠的雙機(jī)解決方案，當(dāng)然還少不了EAD解決方案最豐富的應(yīng)用案例，我們可以一起分享EAD如何在用友軟件打造高效網(wǎng)絡(luò)，在民生銀行、在新華社、在太原鋼鐵……等等的經(jīng)典應(yīng)用。IT管理復(fù)雜，所以更需要我們從根源抓起，從接入IT資源和網(wǎng)絡(luò)的終端抓起，才是建構(gòu)完善IT管理體系的法寶。我們希望通過(guò)這本專(zhuān)題能夠讓所有IT管理者們堅(jiān)定將IT管理進(jìn)行到底的信心，我們更希望通過(guò)我們的闡述能夠讓那些還未應(yīng)用終端控制解決方案的IT管理者們發(fā)現(xiàn)終端管理的價(jià)值。前言實(shí)踐是檢驗(yàn)真理的唯一標(biāo)準(zhǔn)——40萬(wàn)用戶(hù)實(shí)踐的信心保障，終端控制不再是IT管理的薄弱點(diǎn)IT管理者如何看終端？如何對(duì)終端設(shè)備進(jìn)行高效、安全、全方位控制一直都困擾著眾多IT管理者，由于終端設(shè)備數(shù)量多、分布廣、使用者素質(zhì)及應(yīng)用水平參差不齊，而且終端設(shè)備所接入的網(wǎng)絡(luò)環(huán)境異構(gòu)化程度很高，導(dǎo)致了終端成為整個(gè)IT管理環(huán)境中最容易出現(xiàn)問(wèn)題的一環(huán)，對(duì)終端問(wèn)題的響應(yīng)業(yè)已成為IT管理者日常最主要的工作之一。據(jù)2007年底國(guó)外一項(xiàng)權(quán)威調(diào)查報(bào)告顯示，75％的IT管理者認(rèn)為內(nèi)部網(wǎng)絡(luò)的終端是使他們的IT系統(tǒng)受到攻擊的最主要來(lái)源。高效、安全、全方位的終端控制工具能有效改善IT管理者對(duì)終端管理的效率并顯著降低工作量，進(jìn)而極大提升整個(gè)IT管理水平。什么是終端控制？終端控制應(yīng)該是包含了終端身份、終端安全、終端權(quán)限、終端在線防御、終端在線審計(jì)、終端資產(chǎn)管理等內(nèi)容的全方位控制。目前眾多的終端控制軟件要么僅是面向終端桌面，實(shí)現(xiàn)終端資產(chǎn)、軟件分發(fā)等一些純粹的桌面功能，要么是解決終端身份準(zhǔn)入問(wèn)題，而忽略了從終端控制全流程的角度去深度分析所有可能產(chǎn)生問(wèn)題的環(huán)節(jié)，進(jìn)而使這些環(huán)節(jié)成為聯(lián)動(dòng)的一個(gè)整體。因此，正確、全面地認(rèn)識(shí)自身所在行業(yè)終端管理的發(fā)展趨勢(shì)和特點(diǎn)，是各IT管理部門(mén)面臨的重要議題，同時(shí)也是各單位高層IT決策人員在進(jìn)行信息化投入時(shí)所必須參考的重要評(píng)估項(xiàng)。作為業(yè)界最早推出完整終端控制解決方案的廠家（H3CEAD，終端準(zhǔn)入控制解決方案），H3C始終堅(jiān)持認(rèn)為終端控制最關(guān)鍵的問(wèn)題是全流程的把控及易用性，并圍繞這一個(gè)核心思想投入200多名研發(fā)人員進(jìn)行持續(xù)的研究工作。H3CEAD解決方案不是一個(gè)孤立的、被動(dòng)的終端控制解決方案，它可以有效和網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)，實(shí)現(xiàn)終端身份、安全、權(quán)限、在線防御、在線審計(jì)、資產(chǎn)管理等全面控制，并支持局域網(wǎng)、廣域網(wǎng)、無(wú)線、VPN等多種方式接入。2008年H3CEAD解決方案除了保持易用、異構(gòu)環(huán)境靈活部署、人性化管理、終端補(bǔ)丁管理、防病毒管理、非法軟件控制、ARP防攻擊、網(wǎng)絡(luò)準(zhǔn)入、身份識(shí)別、在線防御、在線審計(jì)等優(yōu)勢(shì)功能外，還推出了雙機(jī)熱備、資產(chǎn)管理、軟件分發(fā)、外接設(shè)備控制、終端“綠色環(huán)?！惫芾淼纫幌盗刑厣δ埽谝I(lǐng)著業(yè)界終端控制技術(shù)發(fā)展的方向。檢驗(yàn)終端控制解決方案的標(biāo)準(zhǔn)是什么？憑著多年來(lái)在各行業(yè)的豐富實(shí)踐，H3CEAD解決方案得到了廣大用戶(hù)的普遍認(rèn)可，繼2005年被中國(guó)電子信息產(chǎn)業(yè)發(fā)展研究院授予“2000－2005年中國(guó)最具價(jià)值網(wǎng)絡(luò)安全領(lǐng)域解決方案”、2007年喜獲“金融行業(yè)優(yōu)秀網(wǎng)絡(luò)信息安全解決方案”并以部署20萬(wàn)用戶(hù)領(lǐng)跑中國(guó)市場(chǎng)后，2008年H3CEAD在應(yīng)用的廣度、深度方面均獲得了極大的延伸，截至2008年5月份，在現(xiàn)網(wǎng)中使用EAD的用戶(hù)數(shù)成功突破40萬(wàn)，包括中國(guó)銀行、中國(guó)建設(shè)銀行、中國(guó)民生銀行、國(guó)務(wù)院辦公廳、新華社、國(guó)家人事部、國(guó)家統(tǒng)計(jì)局、國(guó)家電網(wǎng)、中國(guó)外運(yùn)集團(tuán)、太原鋼鐵、用友軟件等高端用戶(hù)均獲得成功應(yīng)用，在國(guó)內(nèi)終端控制市場(chǎng)遙遙領(lǐng)先。實(shí)踐是檢驗(yàn)終端控制解決方案的唯一標(biāo)準(zhǔn)，大規(guī)模、全行業(yè)的成熟應(yīng)用鑄就了H3CEAD“中國(guó)最專(zhuān)業(yè)、部署最廣泛的終端控制解決方案”的用戶(hù)口碑，而40萬(wàn)用戶(hù)實(shí)踐的信心保障，使得終端控制不再是IT管理的薄弱點(diǎn)。EAD解決方案概述H3C終端準(zhǔn)入控制解決方案（EAD，EnduserAdmissionDomination）從控制用戶(hù)終端安全接入網(wǎng)絡(luò)的角度入手，整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品，通過(guò)智能客戶(hù)端、安全策略服務(wù)器、聯(lián)動(dòng)設(shè)備以及第三方軟件的聯(lián)動(dòng)，對(duì)接入網(wǎng)絡(luò)的用戶(hù)終端按需實(shí)施靈活的安全策略，并嚴(yán)格控制終端用戶(hù)的網(wǎng)絡(luò)使用行為，極大地加強(qiáng)了用戶(hù)終端的主動(dòng)防御能力，為IT管理人員提供了高效、易用的管理工具。對(duì)于要接入網(wǎng)絡(luò)的用戶(hù)，EAD解決方案首先要對(duì)其進(jìn)行身份認(rèn)證，通過(guò)身份認(rèn)證的用戶(hù)進(jìn)行終端的安全檢查，根據(jù)IT管理員制定的安全策略進(jìn)行包括病毒庫(kù)更新情況、系統(tǒng)補(bǔ)丁安裝情況、軟件的黑白名單等內(nèi)容的安全檢查，根據(jù)檢查的結(jié)果，EAD對(duì)用戶(hù)網(wǎng)絡(luò)準(zhǔn)入進(jìn)行授權(quán)和控制。通過(guò)安全認(rèn)證后，用戶(hù)可以正常使用網(wǎng)絡(luò)，與此同時(shí)，EAD可以對(duì)用戶(hù)終端運(yùn)行情況、網(wǎng)絡(luò)使用情況和資產(chǎn)情況進(jìn)行審計(jì)和監(jiān)控。EAD解決方案對(duì)終端用戶(hù)的整體控制過(guò)程如下圖所示：EAD解決方案組件：EAD解決方案組件包括智能客戶(hù)端、聯(lián)動(dòng)設(shè)備、安全策略服務(wù)器和第三方服務(wù)器。智能客戶(hù)端：是指安裝了H3CiNode智能客戶(hù)端的用戶(hù)接入終端，負(fù)責(zé)身份認(rèn)證的發(fā)起、安全策略的檢查以及和安全策略服務(wù)器配合進(jìn)行終端控制。聯(lián)動(dòng)設(shè)備：聯(lián)動(dòng)設(shè)備是網(wǎng)絡(luò)中安全策略的實(shí)施點(diǎn)，起到強(qiáng)制用戶(hù)準(zhǔn)入認(rèn)證、隔離不合格終端、為合法用戶(hù)提供網(wǎng)絡(luò)服務(wù)的作用。根據(jù)應(yīng)用場(chǎng)合的不同，聯(lián)動(dòng)設(shè)備可以是交換機(jī)、路由器、VPN網(wǎng)關(guān)或無(wú)線設(shè)備，分別實(shí)現(xiàn)不同認(rèn)證方式（如802.1x、VPN和Portal等）的終端準(zhǔn)入控制。針對(duì)多樣化的網(wǎng)絡(luò)，EAD提供了靈活多樣的組網(wǎng)方案，聯(lián)動(dòng)設(shè)備可以根據(jù)需要進(jìn)行靈活部署。安全策略服務(wù)器：EAD方案的核心是整合與聯(lián)動(dòng)，而安全策略服務(wù)器是EAD方案中的管理與控制中心，兼具終端用戶(hù)管理、安全策略管理、安全狀態(tài)評(píng)估、安全聯(lián)動(dòng)控制以及安全事件審計(jì)等功能。第三方服務(wù)器：是指補(bǔ)丁服務(wù)器、病毒服務(wù)器等，被部署在隔離區(qū)中。當(dāng)用戶(hù)通過(guò)身份認(rèn)證但安全認(rèn)證失敗時(shí)，將被隔離到隔離區(qū)，此時(shí)用戶(hù)能且僅能訪問(wèn)隔離區(qū)中的服務(wù)器，通過(guò)第三方服務(wù)器進(jìn)行自身安全修復(fù)，直到滿足安全策略要求。功能特點(diǎn)：嚴(yán)格的身份認(rèn)證除基于用戶(hù)名和密碼的身份認(rèn)證外，EAD還支持身份與接入終端的MAC地址、IP地址、所在VLAN、所在SSID、接入設(shè)備IP、接入設(shè)備端口號(hào)等信息進(jìn)行綁定，支持智能卡、數(shù)字證書(shū)認(rèn)證，支持域統(tǒng)一認(rèn)證，增強(qiáng)身份認(rèn)證的安全性。完備的安全狀態(tài)評(píng)估根據(jù)管理員配置的安全策略，用戶(hù)可以進(jìn)行的安全認(rèn)證檢查包括終端病毒庫(kù)版本檢查、終端補(bǔ)丁檢查、終端安裝的應(yīng)用軟件檢查、是否有代理、撥號(hào)配置等；為了更好的滿足客戶(hù)的需求，EAD客戶(hù)端支持和微軟SMS/WSUS、LANDesk等業(yè)界桌面安全產(chǎn)品的配合使用，支持和瑞星、江民、金山、Symantec、McAfee、TrendMicro、安博士、卡巴斯基等國(guó)內(nèi)外主流病毒廠商聯(lián)動(dòng)。全方位的桌面資產(chǎn)管理EAD解決方案提供了對(duì)終端資產(chǎn)全方位的監(jiān)控和管理的功能，可以對(duì)終端軟硬件使用、變更情況、USB存儲(chǔ)介質(zhì)等外設(shè)使用情況進(jìn)行監(jiān)控，同時(shí)還支持終端資產(chǎn)的配置管理和軟件的統(tǒng)一分發(fā)，實(shí)現(xiàn)對(duì)資產(chǎn)的有效管理。用戶(hù)與網(wǎng)絡(luò)融合管理基于H3CiMC（開(kāi)放智能管理中樞）SOA架構(gòu)，EAD解決方案將用戶(hù)管理和網(wǎng)絡(luò)管理進(jìn)行了智能融合，通過(guò)網(wǎng)絡(luò)拓?fù)洳粌H能夠了解到網(wǎng)絡(luò)設(shè)備信息和狀態(tài)，還可以實(shí)現(xiàn)對(duì)接入用戶(hù)的直觀管理，實(shí)現(xiàn)查看用戶(hù)信息、強(qiáng)制用戶(hù)下線、執(zhí)行安全檢查等操作?；诮巧木W(wǎng)絡(luò)授權(quán)在用戶(hù)終端通過(guò)病毒、補(bǔ)丁等安全信息檢查后，EAD可基于終端用戶(hù)的角色，向聯(lián)動(dòng)設(shè)備下發(fā)事先配置的接入控制策略，按照用戶(hù)角色權(quán)限規(guī)范用戶(hù)的網(wǎng)絡(luò)使用行為。終端用戶(hù)的所屬VLAN、ACL訪問(wèn)策略、是否禁止使用代理、是否禁止使用雙網(wǎng)卡等安全措施均可由管理員統(tǒng)一配置實(shí)施。靈活方便的部署方式EAD方案部署靈活，維護(hù)方便。EAD按照IT管理員配置的安全策略區(qū)別對(duì)待不同身份的用戶(hù)，定制不同的安全檢查和處理模式，包括VIP模式、Guest模式、隔離模式和下線模式；此外，EAD還支持靈活的舊網(wǎng)改造方案和客戶(hù)端靜默安裝等特性。擴(kuò)展開(kāi)放的解決方案EAD解決方案提供了一個(gè)擴(kuò)展、開(kāi)放的結(jié)構(gòu)框架，最大限度的保護(hù)了用戶(hù)已有的投資。EAD廣泛、深入地和國(guó)內(nèi)外防病毒、操作系統(tǒng)、桌面安全等廠商展開(kāi)合作，融合各家所長(zhǎng)；EAD與第三方認(rèn)證服務(wù)器、聯(lián)動(dòng)設(shè)備等之間的交互基于標(biāo)準(zhǔn)、開(kāi)放的協(xié)議架構(gòu)和規(guī)范，易于互聯(lián)互通。部署篇在園區(qū)網(wǎng)中部署EAD解決方案目前，IT管理員更多關(guān)注外網(wǎng)的防護(hù)，包括部署IPS/IDS、防火墻等設(shè)備，但是實(shí)際中更多的網(wǎng)絡(luò)安全事件都是由脆弱的用戶(hù)終端和“失控”的局域網(wǎng)使用行為引起。在局域網(wǎng)中，用戶(hù)終端不及時(shí)升級(jí)系統(tǒng)補(bǔ)丁和病毒庫(kù)的現(xiàn)象普遍存在；私設(shè)代理服務(wù)器、私自訪問(wèn)外部網(wǎng)絡(luò)、濫用禁用軟件等行為也比比皆是?！笆Э亍钡挠脩?hù)終端一旦接入網(wǎng)絡(luò)，就相當(dāng)于安全威脅繞過(guò)了IPS/IDS、防火墻這些“馬其諾防線”，直接面對(duì)網(wǎng)絡(luò)核心業(yè)務(wù)。因此保證用戶(hù)終端的安全，對(duì)用戶(hù)的局域網(wǎng)訪問(wèn)行為進(jìn)行有效的控制，是保證網(wǎng)絡(luò)安全運(yùn)行的前提，也是目前局域網(wǎng)安全管理急需解決的問(wèn)題。EAD提供了一個(gè)全新的安全防御體系，將終端安全狀態(tài)與網(wǎng)絡(luò)接入控制相融合，加強(qiáng)了對(duì)用戶(hù)/終端的集中管理，提高了網(wǎng)絡(luò)終端的主動(dòng)抵抗能力。EAD方案通過(guò)智能客戶(hù)端、安全策略服務(wù)器、接入設(shè)備以及第三方服務(wù)器的聯(lián)動(dòng)，可以將不符合安全要求的終端限制在“隔離區(qū)”內(nèi)，防止“危險(xiǎn)”終端對(duì)局域網(wǎng)安全的損害，避免“易感”終端受病毒、蠕蟲(chóng)的攻擊，從而大幅度提升了局域網(wǎng)抵御新興安全威脅的能力。為了確保只有符合安全標(biāo)準(zhǔn)的用戶(hù)接入網(wǎng)絡(luò)，EAD通過(guò)交換機(jī)的配合，強(qiáng)制用戶(hù)在接入網(wǎng)絡(luò)前通過(guò)802.1x方式進(jìn)行身份認(rèn)證和安全狀態(tài)評(píng)估，幫助管理員實(shí)施安全策略，確保終端病毒庫(kù)和系統(tǒng)補(bǔ)丁得到及時(shí)更新，降低病毒和蠕蟲(chóng)蔓延的風(fēng)險(xiǎn)，阻止來(lái)自網(wǎng)絡(luò)內(nèi)部的安全威脅。接入層交換機(jī)實(shí)施EAD的組網(wǎng)方案EAD可以配合接入層交換機(jī)，通過(guò)802.1x認(rèn)證方式實(shí)現(xiàn)對(duì)接入用戶(hù)的控制。在這種組網(wǎng)方案中，策略強(qiáng)制執(zhí)行點(diǎn)在接入層交換機(jī)上，具有對(duì)不符合安全策略的用戶(hù)隔離嚴(yán)格的特點(diǎn)，可以有效防止來(lái)自網(wǎng)絡(luò)內(nèi)部的安全威脅（注，這種組網(wǎng)方案要求接入交換機(jī)支持EAD功能）。如下圖：匯聚層交換機(jī)實(shí)施EAD的組網(wǎng)方案如果接入交換機(jī)不支持EAD功能，也可以在匯聚交換機(jī)上啟用EAD功能來(lái)執(zhí)行終端的控制。在這種組網(wǎng)方案中，安全策略的強(qiáng)制執(zhí)行點(diǎn)在匯聚層交換機(jī)上，對(duì)于接入層交換機(jī)內(nèi)部之間的互訪，可以啟用端口隔離、PVLAN等安全功能，來(lái)防止接入層交換機(jī)內(nèi)部主機(jī)的相互影響。如下圖：在廣域網(wǎng)中部署EAD解決方案對(duì)于擁有分支或下屬機(jī)構(gòu)的單位，由于經(jīng)常存在對(duì)分支機(jī)構(gòu)的管理相對(duì)松散的狀況，從而存在各種安全漏洞和網(wǎng)絡(luò)失控行為。當(dāng)一些不能確保安全的分支機(jī)構(gòu)用戶(hù)通過(guò)廣域網(wǎng)訪問(wèn)總部網(wǎng)絡(luò)時(shí)，就會(huì)使總部受到非法攻擊和病毒感染的幾率成倍增加，這樣的途徑甚至?xí)缓诳屠贸蔀楣魞?nèi)部網(wǎng)絡(luò)的“幫兇”。如何確保分支機(jī)構(gòu)的用戶(hù)終端安全狀態(tài)符合安全策略，如何在保證廣域網(wǎng)用戶(hù)能夠訪問(wèn)總部的同時(shí)，消除廣域網(wǎng)帶來(lái)的安全威脅，這些問(wèn)題都成為IT管理員不得不面對(duì)的挑戰(zhàn)。為解決上述問(wèn)題，H3C提供EAD廣域網(wǎng)終端控制方案，在骨干路由器或BAS設(shè)備中強(qiáng)制用戶(hù)進(jìn)行Portal認(rèn)證和安全狀態(tài)檢查，確保用戶(hù)訪問(wèn)總部時(shí)具有符合標(biāo)準(zhǔn)的安全狀態(tài)。EAD廣域網(wǎng)終端控制方案基于Portal協(xié)議進(jìn)行身份認(rèn)證和安全認(rèn)證。廣域網(wǎng)終端控制方案中的Portal認(rèn)證主要涉及到用戶(hù)PC上運(yùn)行的iNode智能客戶(hù)端、聯(lián)動(dòng)設(shè)備（出口路由器）、EADPortal服務(wù)器、EAD安全策略服務(wù)器和DHCP服務(wù)器等。以上是Portal主動(dòng)認(rèn)證的基本流程圖（圖中的數(shù)字表示流程的順序）。典型組網(wǎng)以上是廣域網(wǎng)終端控制方案的典型組網(wǎng)，由出口路由器或交換機(jī)完成基于Portal的接入控制，進(jìn)行用戶(hù)網(wǎng)絡(luò)訪問(wèn)的通斷與開(kāi)放，由EAD進(jìn)行準(zhǔn)入策略的控制、安全狀態(tài)的檢測(cè)以及身份和安全認(rèn)證。對(duì)于一個(gè)未認(rèn)證的用戶(hù)，聯(lián)動(dòng)設(shè)備不允許用戶(hù)數(shù)據(jù)通過(guò)，要求用戶(hù)通過(guò)智能客戶(hù)端輸入認(rèn)證信息。Portal服務(wù)器會(huì)將用戶(hù)的認(rèn)證信息傳遞給聯(lián)動(dòng)設(shè)備，然后聯(lián)動(dòng)設(shè)備再與EAD服務(wù)器通信進(jìn)行身份認(rèn)證和安全認(rèn)證，認(rèn)證通過(guò)并驗(yàn)證用戶(hù)符合定義的安全策略，設(shè)備會(huì)打開(kāi)用戶(hù)與網(wǎng)絡(luò)的通路，用戶(hù)可以訪問(wèn)網(wǎng)絡(luò)；否則根據(jù)EAD安全策略中定義的處理模式（VIP、Guest、隔離、下線）對(duì)用戶(hù)進(jìn)行相應(yīng)的安全管理操作。EAD廣域網(wǎng)解決方案對(duì)于網(wǎng)絡(luò)環(huán)境復(fù)雜的舊網(wǎng)改造和升級(jí)具有很大優(yōu)勢(shì)，客戶(hù)可以對(duì)現(xiàn)有網(wǎng)絡(luò)不做改動(dòng)的情況下直接在網(wǎng)絡(luò)出口路由器上啟用Portal認(rèn)證，但是因控制點(diǎn)集中在出口路由器上，廣域網(wǎng)用戶(hù)訪問(wèn)總部之前可以訪問(wèn)分支機(jī)構(gòu)內(nèi)部的網(wǎng)絡(luò)資源，所以方案特別適用于總部管理和監(jiān)控較為嚴(yán)格，分支機(jī)構(gòu)內(nèi)部訪問(wèn)比較松散的場(chǎng)合。在VPN網(wǎng)絡(luò)中部署EAD解決方案在一些實(shí)際應(yīng)用中，移動(dòng)用戶(hù)和家庭辦公用戶(hù)通常采用VPN方式接入到園區(qū)網(wǎng)中，這些遠(yuǎn)程用戶(hù)的網(wǎng)絡(luò)訪問(wèn)雖然具有私密性，但I(xiàn)T管理員仍然不能保證這些用戶(hù)主機(jī)的狀態(tài)是安全的，不安全的主機(jī)通過(guò)VPN接入同樣會(huì)危害內(nèi)部網(wǎng)絡(luò)。通過(guò)在VPN組網(wǎng)環(huán)境部署EAD解決方案，可以對(duì)遠(yuǎn)程接入用戶(hù)強(qiáng)制實(shí)施安全策略，嚴(yán)格控制終端用戶(hù)的網(wǎng)絡(luò)使用行為，提高網(wǎng)絡(luò)接入的安全性。在VPN解決方案中，VPN技術(shù)采用標(biāo)準(zhǔn)的IPSec+L2TP應(yīng)用模式來(lái)提供可靠的身份認(rèn)證和安全加密功能。為了能夠利用現(xiàn)有的VPN技術(shù)實(shí)現(xiàn)終端準(zhǔn)入功能，H3C擴(kuò)展了PPP協(xié)議的處理流程以便支持EAD方案中需要用到的基于用戶(hù)的策略控制、實(shí)時(shí)控制和消息透?jìng)鞴δ?。iNode智能客戶(hù)端通過(guò)L2TP和IPSec協(xié)議與VPN網(wǎng)關(guān)建立VPN連接，VPN網(wǎng)關(guān)通過(guò)Radius協(xié)議向EAD發(fā)起認(rèn)證。認(rèn)證步驟如下：iNode智能客戶(hù)端向VPN網(wǎng)關(guān)設(shè)備發(fā)起VPN隧道連接，VPN網(wǎng)關(guān)設(shè)備處理連接請(qǐng)求，這個(gè)過(guò)程就是先建立IPSec隧道連接再建立L2TP隧道連接。PPP鏈路協(xié)商時(shí)會(huì)利用客戶(hù)端上的用戶(hù)名和口令到EAD安全策略服務(wù)器上進(jìn)行認(rèn)證，認(rèn)證通過(guò)后策略服務(wù)器下發(fā)ACL等用戶(hù)策略給VPN網(wǎng)關(guān)設(shè)備。VPN網(wǎng)關(guān)將ACL等用戶(hù)策略運(yùn)用到對(duì)應(yīng)的用戶(hù)PPP會(huì)話上，實(shí)現(xiàn)基于用戶(hù)的控制功能。典型組網(wǎng)EADVPN組網(wǎng)方案適用于小型駐外機(jī)構(gòu)和出差人員利用iNode智能客戶(hù)端從遠(yuǎn)程公共網(wǎng)絡(luò)通過(guò)加密隧道實(shí)現(xiàn)和總部之間的網(wǎng)絡(luò)連接。總部可以對(duì)該用戶(hù)進(jìn)行授權(quán)、驗(yàn)證和審計(jì)，而公共網(wǎng)絡(luò)上其它用戶(hù)則無(wú)法穿過(guò)虛擬隧道訪問(wèn)網(wǎng)絡(luò)內(nèi)部的資源。在無(wú)線局域網(wǎng)中部署EAD解決方案無(wú)線局域網(wǎng)（WLAN）以其安裝便捷、使用靈活、經(jīng)濟(jì)節(jié)約、易于擴(kuò)展等有線網(wǎng)絡(luò)無(wú)法比擬的優(yōu)點(diǎn)，得到越來(lái)越廣泛的應(yīng)用，但靈活方便的網(wǎng)絡(luò)接入方式同時(shí)也為局域網(wǎng)帶來(lái)了巨大的安全威脅。無(wú)線局域網(wǎng)的安全問(wèn)題主要體現(xiàn)在訪問(wèn)控制層面，非授權(quán)或者非安全的客戶(hù)一旦接入網(wǎng)絡(luò)后，將會(huì)直接面對(duì)核心服務(wù)器，威脅核心業(yè)務(wù)，因此能對(duì)無(wú)線接入用戶(hù)進(jìn)行身份識(shí)別、安全檢查和網(wǎng)絡(luò)授權(quán)的訪問(wèn)控制系統(tǒng)必不可少。在無(wú)線網(wǎng)絡(luò)中，結(jié)合使用EAD解決方案，可以有效的滿足園區(qū)網(wǎng)的無(wú)線安全準(zhǔn)入的需求。H3CEAD解決方案可以在無(wú)線局域網(wǎng)環(huán)境下，有效的滿足客戶(hù)無(wú)線安全準(zhǔn)入的需求，其組網(wǎng)圖如下：如圖所示，EAD可以配合無(wú)線AP和無(wú)線控制器，通過(guò)認(rèn)證實(shí)現(xiàn)對(duì)無(wú)線接入用戶(hù)的終端準(zhǔn)入控制。這種組網(wǎng)方案可以防止采用無(wú)線接入的人員訪問(wèn)內(nèi)網(wǎng)時(shí)帶來(lái)的安全隱患，同時(shí)也有效的解決了用戶(hù)有線、無(wú)線接入方式的統(tǒng)一安全控制問(wèn)題。在整個(gè)過(guò)程中，擁有合法身份的用戶(hù)除了被驗(yàn)證用戶(hù)名、密碼等信息外，還被檢查是否滿足安全策略的要求，包括病毒軟件是否安裝、病毒庫(kù)是否升級(jí)、是否安裝了必要的系統(tǒng)補(bǔ)丁等等。對(duì)于同時(shí)滿足了身份檢查和安全檢查的用戶(hù)，EAD會(huì)根據(jù)預(yù)定義的策略為其分配對(duì)應(yīng)的網(wǎng)絡(luò)訪問(wèn)權(quán)限，避免了非授權(quán)的網(wǎng)絡(luò)訪問(wèn)現(xiàn)象。在異構(gòu)網(wǎng)絡(luò)中部署EAD解決方案在實(shí)際情況中，很多用戶(hù)的網(wǎng)絡(luò)環(huán)境中往往包含多個(gè)廠家的設(shè)備甚至是集線器設(shè)備。對(duì)于這種異構(gòu)的網(wǎng)絡(luò)環(huán)境，如何實(shí)現(xiàn)終端準(zhǔn)入、安全檢查、用戶(hù)授權(quán)、行為記錄等EAD解決方案？H3C推出EAD網(wǎng)關(guān)設(shè)備解決這個(gè)問(wèn)題，如下圖所示：以上是EAD網(wǎng)關(guān)解決方案的典型組網(wǎng)，在匯聚層設(shè)備通過(guò)兩條鏈路旁掛一臺(tái)EAD網(wǎng)關(guān)，由EAD網(wǎng)關(guān)作為聯(lián)動(dòng)設(shè)備，完成基于Portal的接入控制，進(jìn)行用戶(hù)網(wǎng)絡(luò)訪問(wèn)的通斷與開(kāi)放，由EAD服務(wù)器進(jìn)行準(zhǔn)入策略的控制、安全狀態(tài)的檢測(cè)以及身份和安全認(rèn)證。對(duì)于一個(gè)未認(rèn)證的用戶(hù)，匯聚層設(shè)備將上行流量轉(zhuǎn)發(fā)給EAD網(wǎng)關(guān)，EAD網(wǎng)關(guān)不允許用戶(hù)數(shù)據(jù)通過(guò)，要求用戶(hù)通過(guò)iNode智能客戶(hù)端輸入認(rèn)證信息。Portal服務(wù)器會(huì)將用戶(hù)的認(rèn)證信息傳遞給EAD網(wǎng)關(guān)，然后EAD網(wǎng)關(guān)再與EAD服務(wù)器通信進(jìn)行身份認(rèn)證和安全認(rèn)證，如果認(rèn)證通過(guò)，EAD網(wǎng)關(guān)會(huì)打開(kāi)用戶(hù)與互聯(lián)網(wǎng)的通路，用戶(hù)可以訪問(wèn)互聯(lián)網(wǎng)；否則根據(jù)安全策略中定義的處理模式（VIP、Guest、隔離、下線）對(duì)用戶(hù)進(jìn)行相應(yīng)的安全管理操作。在這個(gè)過(guò)程中上行流量經(jīng)過(guò)EAD網(wǎng)關(guān)認(rèn)證，而下行流量可以不經(jīng)過(guò)EAD網(wǎng)關(guān)。EAD網(wǎng)關(guān)解決方案對(duì)于環(huán)境復(fù)雜的局域網(wǎng)舊網(wǎng)改造和升級(jí)具有很大優(yōu)勢(shì)，客戶(hù)可以在對(duì)現(xiàn)有網(wǎng)絡(luò)不做改動(dòng)的情況下，直接在匯聚層旁掛EAD網(wǎng)關(guān)并啟用Portal認(rèn)證。需要注意的是由于用戶(hù)的接入控制集中在匯聚層的EAD網(wǎng)關(guān)上，局域網(wǎng)用戶(hù)即使認(rèn)證失敗也可以訪問(wèn)內(nèi)部的網(wǎng)絡(luò)資源，所以該方案適用于匯聚層以上、數(shù)據(jù)中心和互聯(lián)網(wǎng)區(qū)等監(jiān)控較為嚴(yán)格，而內(nèi)部訪問(wèn)不用嚴(yán)格控制的場(chǎng)合。技術(shù)專(zhuān)題篇EAD與iMC融合管理解決方案H3C憑借多年網(wǎng)絡(luò)管理產(chǎn)品的研發(fā)經(jīng)驗(yàn)以及對(duì)網(wǎng)絡(luò)管理的深刻理解，推出了面向下一代的網(wǎng)絡(luò)管理產(chǎn)品：開(kāi)放智能管理中樞（IntelligentManagementCenter，以下簡(jiǎn)稱(chēng)：iMC）。iMC以業(yè)務(wù)管理和業(yè)務(wù)流程模型為核心，采用面向服務(wù)架構(gòu)（SOA）的設(shè)計(jì)思想，提供按需裝配的組件化結(jié)構(gòu)，為客戶(hù)提供網(wǎng)絡(luò)業(yè)務(wù)、資源和用戶(hù)的融合管理解決方案，幫助客戶(hù)實(shí)現(xiàn)網(wǎng)絡(luò)業(yè)務(wù)的端到端管理。通過(guò)iMC可以靈活組織功能組件，形成直接面向客戶(hù)需求的業(yè)務(wù)流解決方案，從根本上解決多業(yè)務(wù)融合管理的復(fù)雜性。H3C開(kāi)放智能管理中樞（iMC）解決方案架構(gòu)iMC從根本上顛覆了傳統(tǒng)網(wǎng)絡(luò)管理軟件的設(shè)計(jì)思想，將網(wǎng)絡(luò)管理工作從繁雜的、相互獨(dú)立的管理工具中解脫出來(lái)，以業(yè)務(wù)融合和業(yè)務(wù)流為主旨思想，實(shí)現(xiàn)用戶(hù)、資源和業(yè)務(wù)三大網(wǎng)絡(luò)要素的融合管理。iMC真正實(shí)現(xiàn)了以用戶(hù)為本，靈活分配IT資源，迅速響應(yīng)業(yè)務(wù)的目標(biāo)，實(shí)現(xiàn)了基礎(chǔ)資源的管理和統(tǒng)一訪問(wèn)。iMC針對(duì)不同業(yè)務(wù)進(jìn)行獨(dú)立設(shè)計(jì)，形成可擴(kuò)展的組件，可按照客戶(hù)所需選擇裝配，從而最終以業(yè)務(wù)流的方式貫穿在整個(gè)網(wǎng)絡(luò)管理和運(yùn)維過(guò)程中。iMC主界面iMC用戶(hù)管理界面用戶(hù)管理與設(shè)備管理的融合EAD解決方案可基于iMC平臺(tái)進(jìn)行部署。EAD解決方案的用戶(hù)管理功能可以與iMC網(wǎng)絡(luò)設(shè)備管理功能相融合，使得用戶(hù)管理操作更加簡(jiǎn)單，管理能力更加強(qiáng)大。在iMC的拓?fù)涔芾斫缑嫔峡梢灾庇^的操作接入設(shè)備，并直接管理每個(gè)設(shè)備上接入的相關(guān)用戶(hù)，可進(jìn)行查看用戶(hù)信息、強(qiáng)制用戶(hù)下線、執(zhí)行安全檢查等操作，使終端用戶(hù)的管理更加直觀清晰。接入設(shè)備列表中可以直接看到用戶(hù)相關(guān)信息，不僅操作簡(jiǎn)單方便，而且提高了操作員日常維護(hù)的效率。可針對(duì)選定的接入設(shè)備進(jìn)行用戶(hù)操作，比如，針對(duì)某個(gè)接入設(shè)備，將其所掛的用戶(hù)進(jìn)行全部下線處理等?？梢栽谠诰€用戶(hù)列表中通過(guò)點(diǎn)擊接入設(shè)備，直接查看當(dāng)前在線用戶(hù)所對(duì)應(yīng)的接入設(shè)備的詳細(xì)信息，比如，對(duì)應(yīng)的基本信息、告警、性能狀況等。該功能使得操作更友好，可全面提升操作員的操作體驗(yàn)。用戶(hù)管理與用戶(hù)行為審計(jì)的融合EAD的用戶(hù)管理功能還可以與iMC的用戶(hù)行為審計(jì)解決方案（UBAS）功能相融合，實(shí)現(xiàn)基于用戶(hù)的行為審計(jì)。傳統(tǒng)的網(wǎng)絡(luò)行為審計(jì)只能基于IP地址，在DHCP動(dòng)態(tài)分配IP的應(yīng)用環(huán)境下，往往無(wú)法直接追查到訪問(wèn)網(wǎng)站的某個(gè)IP是哪個(gè)用戶(hù)在使用。而iMC融合用戶(hù)管理和行為審計(jì)的解決方案，不僅支持多種日志格式（包括NAT、NetStream、DIG），實(shí)現(xiàn)2到7層的網(wǎng)絡(luò)行為審計(jì)，并且通過(guò)和用戶(hù)接入信息聯(lián)動(dòng)，可以直接審計(jì)到用戶(hù)帳號(hào)信息，而不僅僅是用戶(hù)IP地址信息。用戶(hù)管理與網(wǎng)絡(luò)流量分析的融合同樣，EAD的用戶(hù)管理功能可以與iMC的網(wǎng)絡(luò)流量分析（NTA）功能相融合，實(shí)現(xiàn)基于用戶(hù)的流量分析。傳統(tǒng)的流量分析方案基于IP地址，能夠讓客戶(hù)及時(shí)了解各種網(wǎng)絡(luò)應(yīng)用所占用的帶寬、消耗的網(wǎng)絡(luò)資源和TopN流量的來(lái)源，但是在DHCP動(dòng)態(tài)分配IP的應(yīng)用環(huán)境下，往往無(wú)法直接追查到占用帶寬（如下載BT應(yīng)用）最多的某個(gè)IP是哪個(gè)用戶(hù)在使用。而iMC融合用戶(hù)管理和流量分析的解決方案，不僅提供豐富的網(wǎng)絡(luò)流量分析報(bào)表，也可以獲取相關(guān)的用戶(hù)帳號(hào)、DNS域名和MAC地址信息。在這里，EAD實(shí)現(xiàn)了對(duì)用戶(hù)的準(zhǔn)入控制、終端安全、桌面資產(chǎn)管理等功能，iMC平臺(tái)實(shí)現(xiàn)了對(duì)網(wǎng)絡(luò)、安全、存儲(chǔ)、多媒體等設(shè)備的資源管理功能，UBAS、NTA等組件實(shí)現(xiàn)了行為審計(jì)、流量分析等業(yè)務(wù)的管理功能，這幾者結(jié)合在一起，為用戶(hù)提供了前所未有的融合用戶(hù)、資源和業(yè)務(wù)三大要素的開(kāi)放式管理體驗(yàn)。

基于802.1x的客戶(hù)端快速部署技術(shù)網(wǎng)絡(luò)的終端安全問(wèn)題由來(lái)已久，但是由于終端的數(shù)目眾多，部署管理軟件客戶(hù)端的工作量太大，給解決終端安全問(wèn)題造成了巨大障礙。為解決客戶(hù)在部署客戶(hù)端方面遇到的工作量問(wèn)題，H3C公司在EAD客戶(hù)端中集成了快速部署技術(shù)，不需要管理員干預(yù)就可以自動(dòng)下發(fā)客戶(hù)端，解決了客戶(hù)端部署的難題。如果終端設(shè)備沒(méi)有安裝iNode智能客戶(hù)端，認(rèn)證成功之前（包括認(rèn)證失敗）終端用戶(hù)只能訪問(wèn)一個(gè)特定的隔離區(qū)或是某一個(gè)（或幾個(gè)）服務(wù)器。當(dāng)用戶(hù)在IE中輸入網(wǎng)站地址試圖訪問(wèn)外部網(wǎng)站時(shí)，交換機(jī)會(huì)將用戶(hù)訪問(wèn)的URL重定向到設(shè)置好的URL（例如iNode智能客戶(hù)端下載界面），這樣用戶(hù)一打開(kāi)IE就必須進(jìn)入管理員預(yù)設(shè)的界面。在預(yù)設(shè)界面會(huì)提供客戶(hù)端和其他必須安裝的軟件鏈接供用戶(hù)安裝，用戶(hù)正確安裝iNode智能客戶(hù)端后進(jìn)行認(rèn)證，如果身份認(rèn)證和安全認(rèn)證順利通過(guò)，訪問(wèn)限制將被取消，用戶(hù)獲得正常的訪問(wèn)權(quán)限。典型組網(wǎng)這種組網(wǎng)方式是以接入層交換機(jī)作為EAD控制點(diǎn)，終結(jié)802.1x，接入層交換機(jī)提供基于802.1x的快速部署功能。EAD快速部署提供了一個(gè)全新的特性，該特性為IT管理員和終端用戶(hù)進(jìn)行iNode智能客戶(hù)端軟件的快速部署提供了極大的方便，有力的提高了EAD解決方案的易部署性。Windows域統(tǒng)一認(rèn)證技術(shù)很多單位已經(jīng)建立了基于Windows域的信息管理系統(tǒng)，通過(guò)Windows域管理用戶(hù)訪問(wèn)權(quán)限和應(yīng)用執(zhí)行權(quán)限。然而，基于Windows的權(quán)限控制只能作用到應(yīng)用層，而無(wú)法實(shí)現(xiàn)對(duì)用戶(hù)的物理訪問(wèn)權(quán)限的控制，比如對(duì)網(wǎng)絡(luò)接入權(quán)限的控制，非法用戶(hù)可隨意接入用戶(hù)網(wǎng)絡(luò)，這就給網(wǎng)絡(luò)應(yīng)用安全帶來(lái)很多隱患。為了更加有效地控制和管理網(wǎng)絡(luò)資源，提高網(wǎng)絡(luò)接入的安全性，很多網(wǎng)絡(luò)的管理者希望通過(guò)802.1x認(rèn)證實(shí)現(xiàn)對(duì)接入用戶(hù)的身份識(shí)別和權(quán)限控制。但是，將802.1x接入認(rèn)證與域認(rèn)證結(jié)合以加強(qiáng)網(wǎng)絡(luò)安全的方案在具體的實(shí)施過(guò)程中卻遇到以下問(wèn)題：1、Windows域登錄認(rèn)證要求用戶(hù)必須首先接入網(wǎng)絡(luò)，建立用戶(hù)與域控制器間的網(wǎng)絡(luò)連接，然后才可以登錄并進(jìn)入桌面。而一般的802.1x認(rèn)證需要用戶(hù)首先進(jìn)入桌面，然后才可以進(jìn)行網(wǎng)絡(luò)接入認(rèn)證、建立網(wǎng)絡(luò)連接。兩種認(rèn)證之間的時(shí)序依賴(lài)關(guān)系產(chǎn)生了明顯的矛盾，導(dǎo)致使用802.1x進(jìn)行網(wǎng)絡(luò)接入認(rèn)證的用戶(hù)無(wú)法登錄到Windows域。2、Windows域與802.1x認(rèn)證服務(wù)器各自擁有專(zhuān)用的用戶(hù)身份識(shí)別和權(quán)限控制信息，造成用戶(hù)接入網(wǎng)絡(luò)和登錄Windows域時(shí)需要使用兩套用戶(hù)名和密碼，給用戶(hù)的使用帶來(lái)不少操作上的麻煩。如何解決目前Windows域登錄與802.1x認(rèn)證的矛盾，融合網(wǎng)絡(luò)中802.1x接入認(rèn)證與Windows域認(rèn)證，全面簡(jiǎn)化用戶(hù)操作，實(shí)現(xiàn)網(wǎng)絡(luò)接入與Windows域的單點(diǎn)登錄，是目前許多IT管理員迫切需要解決的問(wèn)題。通過(guò)對(duì)802.1x認(rèn)證流程和Windows域登錄流程的深入研究，H3C公司提出了Windows域與802.1x統(tǒng)一認(rèn)證方案，平滑地解決了兩種認(rèn)證流程之間的矛盾，避免了用戶(hù)二次認(rèn)證的煩瑣。該方案的關(guān)鍵在于兩個(gè)“同步”過(guò)程：同步域用戶(hù)與802.1x接入用戶(hù)的身份信息（用戶(hù)名、密碼），EAD解決方案使用LDAP功能實(shí)現(xiàn)用戶(hù)和Windows域用戶(hù)信息的同步。同步域登錄與802.1x認(rèn)證流程，EAD解決方案通過(guò)H3C自主開(kāi)發(fā)的iNode智能客戶(hù)端實(shí)現(xiàn)認(rèn)證流程的同步。統(tǒng)一認(rèn)證的基本流程如下圖所示：在應(yīng)用H3C的Windows域與802.1x統(tǒng)一認(rèn)證方案后，用戶(hù)網(wǎng)絡(luò)的安全性極大增強(qiáng)。具體來(lái)說(shuō)，實(shí)現(xiàn)Windows域與802.1x統(tǒng)一認(rèn)證可為用戶(hù)網(wǎng)絡(luò)帶來(lái)以下優(yōu)點(diǎn)：增強(qiáng)了網(wǎng)絡(luò)接入的安全性，有效杜絕非法用戶(hù)接入，實(shí)現(xiàn)對(duì)非法用戶(hù)的物理隔離；增強(qiáng)了Windows域的安全性，用戶(hù)必須通過(guò)802.1x認(rèn)證才能訪問(wèn)并登錄到Windows域中，提高了域內(nèi)應(yīng)用資源的安全性；解決了Windows域登錄與802.1x不能兼容的矛盾；透明的統(tǒng)一認(rèn)證流程，與通常的域認(rèn)證過(guò)程完全一致，無(wú)需額外培訓(xùn)；實(shí)現(xiàn)了網(wǎng)絡(luò)接入與Windows域的單點(diǎn)登錄，方便用戶(hù)的使用與操作，減少用戶(hù)同時(shí)記憶兩套用戶(hù)名與密碼的繁瑣；實(shí)現(xiàn)用戶(hù)密碼的統(tǒng)一、集中維護(hù)（由域控制器維護(hù)），提高了用戶(hù)密碼保護(hù)的安全性，方便用戶(hù)修改密碼。

EAD可控軟件技術(shù)對(duì)于一個(gè)有良好管理的網(wǎng)絡(luò)來(lái)說(shuō)，一定會(huì)存在相當(dāng)數(shù)量的規(guī)定措施來(lái)要求遵守，下表是某單位對(duì)員工終端軟件安裝的明確要求。必須安裝禁止安裝NortonAntiVirus防病毒客戶(hù)端LotusNotes辦公軟件MicrosoftOffice組件即時(shí)通信軟件P2P軟件媒體播放軟件QQMSNAIM雅虎通BTeDonkeyPPLiveGnutellaKazaaThunderRealOneplayer通過(guò)對(duì)NortonAntivirus防病毒客戶(hù)端的強(qiáng)制安裝保證終端用戶(hù)的安全性；強(qiáng)制安裝LotusNotes和MicrosoftOffice辦公軟件；明確禁止安裝P2P、即時(shí)通信軟件，防止員工在上班時(shí)間利用公司網(wǎng)絡(luò)聊天、下載電影等。但通常的情況是，一些硬性的規(guī)定往往容易被束之高閣，安全策略被隨意破壞，這當(dāng)中或許是由于無(wú)意間破壞（如新員工未安裝防病毒客戶(hù)端便接入公司網(wǎng)絡(luò)），但也有可能是人為的故意破壞（如員工私自安裝P2P軟件）。也就是說(shuō)，在沒(méi)有行之有效的手段保證IT政令得以執(zhí)行的網(wǎng)絡(luò)中，即使有再完善的終端軟件管理規(guī)定，也不過(guò)是一張廢紙。正式購(gòu)買(mǎi)的防病毒軟件和桌面管理軟件由于終端管理手段的缺失，而形同虛設(shè)。網(wǎng)絡(luò)中往往是病毒橫行、P2P流量充斥帶寬。在網(wǎng)絡(luò)建設(shè)日趨完善的今天，如何對(duì)內(nèi)網(wǎng)進(jìn)行安全管理，如何從源頭杜絕上述問(wèn)題的發(fā)生，如何有效的保證IT政令暢行無(wú)阻，成了每個(gè)IT部門(mén)人員最為頭疼的問(wèn)題。基于在網(wǎng)絡(luò)和安全控制管理領(lǐng)域的深厚積累，H3C推出了集智能客戶(hù)端、安全策略服務(wù)器、聯(lián)動(dòng)設(shè)備以及第三方服務(wù)器為一體的EAD解決方案。EAD解決方案整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品，可以對(duì)接入網(wǎng)絡(luò)的用戶(hù)終端強(qiáng)制實(shí)施安全策略，嚴(yán)格控制終端用戶(hù)的網(wǎng)絡(luò)使用行為，它從網(wǎng)絡(luò)用戶(hù)終端準(zhǔn)入控制入手，在根本上解決了上述問(wèn)題。EAD終端準(zhǔn)入控制解決方案在安全策略服務(wù)器統(tǒng)一進(jìn)行安全策略的管理，并在安全策略管理中提供黑白軟件統(tǒng)一管理功能。管理員可根據(jù)IT政令，在安全策略服務(wù)器定義員工終端黑白軟件列表，通過(guò)智能客戶(hù)端實(shí)時(shí)檢測(cè)、網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)控制，完成對(duì)用戶(hù)終端的軟件安裝運(yùn)行狀態(tài)的統(tǒng)一監(jiān)控和管理。首先管理員需要根據(jù)軟件運(yùn)行的進(jìn)程名稱(chēng)，在安全策略服務(wù)器定義可控軟件列表；同時(shí)對(duì)每一種受控軟件規(guī)則定義相應(yīng)的安全模式，即當(dāng)用戶(hù)終端接入網(wǎng)絡(luò)時(shí)，智能客戶(hù)端發(fā)現(xiàn)該規(guī)則被違反時(shí)，系統(tǒng)采取的策略。而后，管理員可以在安全策略中添加可控軟件控制規(guī)則。在安全策略服務(wù)器完成對(duì)可控軟件列表和安全策略中軟件控制部分的定義之后，用戶(hù)終端的軟件安裝狀態(tài)便可以通過(guò)EAD解決方案來(lái)完成統(tǒng)一監(jiān)控和管理，其原理性流程如下：用戶(hù)上網(wǎng)時(shí)，iNode智能客戶(hù)端首先向EAD策略中心發(fā)起安全認(rèn)證請(qǐng)求；EAD策略中心根據(jù)用戶(hù)角色下發(fā)要求進(jìn)行軟件檢查指令和可控軟件列表；EAD客戶(hù)端收到軟件檢查指令，根據(jù)可控軟件列表檢查終端軟件安裝狀況，并將檢查結(jié)果發(fā)送給EAD策略中心。如果合格，進(jìn)入步驟6）；如果不合格，根據(jù)可控軟件列表中定義的安全模式，對(duì)用戶(hù)終端進(jìn)行處理，如未安裝防病毒客戶(hù)端，則強(qiáng)制到隔離區(qū)下載安裝防病毒客戶(hù)端等；確認(rèn)軟件安裝狀況滿足系統(tǒng)要求后，由用戶(hù)通過(guò)iNode智能客戶(hù)端界面再次發(fā)起安全認(rèn)證，重新軟件安裝狀況，如果合格，進(jìn)入步驟6）；否則回到步驟4）；EAD安全策略服務(wù)器通知聯(lián)動(dòng)設(shè)備，用戶(hù)可以正常訪問(wèn)授權(quán)的網(wǎng)絡(luò)資源。優(yōu)勢(shì)說(shuō)明靈活多樣的處理模式：針對(duì)每種軟件均提供提醒、監(jiān)控、隔離、下線四種安全模式，可對(duì)終端軟件安裝狀態(tài)靈活管理：如安裝P2P軟件立即強(qiáng)制用戶(hù)下線；未安裝防病毒客戶(hù)端則隔離安裝；安裝受控軟件如Photoshop，則只對(duì)用戶(hù)進(jìn)行監(jiān)控或提醒。保障安全投資：保證必備軟件如防病毒客戶(hù)端、桌面管理客戶(hù)端的正常安裝或運(yùn)行，保護(hù)現(xiàn)有的安全投資落到實(shí)處。保證IT政令有效執(zhí)行：將軟件管理與網(wǎng)絡(luò)準(zhǔn)入控制結(jié)合，嚴(yán)格保證IT政令暢通無(wú)阻。EAD匿名認(rèn)證技術(shù)終端控制解決方案在部署過(guò)程中的維護(hù)工作量較大的問(wèn)題困擾了很多用戶(hù)。尤其是在初期部署或臨時(shí)接入用戶(hù)比較多的應(yīng)用場(chǎng)景，管理員將面臨大量的帳號(hào)開(kāi)戶(hù)、分發(fā)和指導(dǎo)的工作，往往會(huì)造成部分用戶(hù)無(wú)法及時(shí)接入網(wǎng)絡(luò)，從而引起最終用戶(hù)對(duì)IT服務(wù)水平的不滿。為了解決終端控制解決方案在部署過(guò)程中帳戶(hù)維護(hù)工作量較大的問(wèn)題，EAD解決方案推出了匿名認(rèn)證特性，可以幫助管理員有效降低維護(hù)工作量，大大提升了終端控制解決方案的易用性和可維護(hù)性。原理說(shuō)明EAD匿名認(rèn)證流程十分簡(jiǎn)單，對(duì)原有的EAD處理流程沒(méi)有任何影響，只是在EAD安全策略服務(wù)器端自動(dòng)增加了系統(tǒng)缺省的匿名帳戶(hù)，同時(shí)在iNode智能客戶(hù)端也設(shè)置了相同的系統(tǒng)缺省帳戶(hù)。匿名認(rèn)證的流程如下：EAD系統(tǒng)安裝完成后，EAD安全策略服務(wù)器將自動(dòng)創(chuàng)建一個(gè)特殊帳號(hào)用戶(hù)，用戶(hù)名為anonymous，密碼不可修改，但可以啟用和禁用該帳戶(hù)；管理員只需根據(jù)安全策略為anonymous帳號(hào)選擇服務(wù)、設(shè)置綁定信息，而無(wú)需為臨時(shí)用戶(hù)開(kāi)設(shè)新的帳戶(hù)；終端用戶(hù)安裝客戶(hù)端后只需創(chuàng)建一個(gè)匿名連接，而不用輸入用戶(hù)名和密碼，iNode智能客戶(hù)端會(huì)將該連接的帳戶(hù)名自動(dòng)設(shè)置為anonymous，終端用戶(hù)不需任何輸入即可直接使用該連接進(jìn)行網(wǎng)絡(luò)接入認(rèn)證；從流程可以看出，啟用EAD匿名認(rèn)證十分方便，管理員無(wú)需創(chuàng)建新的帳戶(hù)，也無(wú)需向終端用戶(hù)分發(fā)帳號(hào)，即可完成EAD解決方案的初期部署；終端用戶(hù)也無(wú)需記憶用戶(hù)名密碼即可完成EAD安全認(rèn)證。需要注意的是，匿名認(rèn)證不需要用戶(hù)名、密碼，如果不加任何限制，任何人都可以使用匿名帳戶(hù)進(jìn)行接入認(rèn)證，這會(huì)給網(wǎng)絡(luò)的接入安全帶來(lái)一些隱患。因此，啟用匿名認(rèn)證時(shí)，必須嚴(yán)格控制匿名帳戶(hù)的訪問(wèn)權(quán)限，同時(shí)，最好對(duì)匿名帳戶(hù)進(jìn)行MAC綁定，保證只有具有授權(quán)MAC地址的終端才可以使用匿名認(rèn)證。應(yīng)用場(chǎng)景初期部署。部署初期，往往面臨大量的用戶(hù)帳號(hào)的開(kāi)戶(hù)與發(fā)放，工作量大且容易遺漏，這樣往往造成部分用戶(hù)無(wú)法及時(shí)獲取帳戶(hù)而不能正常接入網(wǎng)絡(luò)，造成部分用戶(hù)對(duì)IT服務(wù)水平的不滿。此時(shí)，管理員可以通過(guò)啟用匿名用戶(hù)認(rèn)證，并為匿名用戶(hù)設(shè)置合適的安全策略（比如限制資源訪問(wèn)權(quán)限）。終端用戶(hù)可以使用匿名認(rèn)證進(jìn)行網(wǎng)絡(luò)接入，并接受EAD客戶(hù)端的安全檢查和防護(hù)，在保障安全策略正常實(shí)施的前提下，提升用戶(hù)對(duì)IT服務(wù)水平的滿意度。在EAD部署和運(yùn)行基本穩(wěn)定后，可以根據(jù)網(wǎng)絡(luò)自身要求禁用匿名認(rèn)證。臨時(shí)/來(lái)訪用戶(hù)。一個(gè)單位不可避免會(huì)存在一些臨時(shí)/來(lái)訪用戶(hù)，管理員不得不經(jīng)常為此類(lèi)用戶(hù)進(jìn)行開(kāi)戶(hù)操作，還要以各種方式告知用戶(hù)其上網(wǎng)帳號(hào)和密碼，在用戶(hù)帳號(hào)使用完畢后還要及時(shí)銷(xiāo)戶(hù)以防止無(wú)效帳號(hào)過(guò)多。如果啟用匿名認(rèn)證，并為匿名認(rèn)證設(shè)置安全策略并進(jìn)行合理的端口綁定或批量MAC綁定，則可以輕松的管理臨時(shí)/來(lái)訪用戶(hù)，在合理分配網(wǎng)絡(luò)資源訪問(wèn)權(quán)限和安全策略控制的前提下，減輕開(kāi)銷(xiāo)戶(hù)的維護(hù)工作量，提高IT管理的效率。VIP用戶(hù)。單位中的部分特殊用戶(hù)可能對(duì)于記憶用戶(hù)名、密碼上網(wǎng)存在抵觸情緒，往往會(huì)對(duì)終端控制方案部署和安全策略的推行產(chǎn)生負(fù)面影響。此時(shí)，管理員可以啟用匿名認(rèn)證，同時(shí)協(xié)助特殊用戶(hù)設(shè)置匿名認(rèn)證連接為自動(dòng)認(rèn)證。這樣，特殊用戶(hù)在開(kāi)啟計(jì)算機(jī)后自動(dòng)完成認(rèn)證，在正常情況下基本感覺(jué)不到接入認(rèn)證過(guò)程的存在，既避免了特殊用戶(hù)記憶用戶(hù)名、密碼的繁瑣，又提高了終端控制方案的易用性。在這種情況下，為了防止濫用匿名帳戶(hù)，一般必須對(duì)匿名帳戶(hù)進(jìn)行端口或MAC綁定。EAD無(wú)客戶(hù)端技術(shù)為了對(duì)使用網(wǎng)絡(luò)的終端設(shè)備進(jìn)行完善的管理，H3C公司推出了EAD解決方案對(duì)接入網(wǎng)絡(luò)的終端進(jìn)行嚴(yán)格的檢測(cè)、控制和管理。借助H3CEAD解決方案，IT管理者對(duì)終端的管理和控制得到逐步完善，在此基礎(chǔ)上，對(duì)控制管理系統(tǒng)部署的便捷性要求以及對(duì)應(yīng)用場(chǎng)景的多樣性要求便漸漸浮出水面。傳統(tǒng)的終端控制解決方案對(duì)終端進(jìn)行管理和控制要求全部終端均安裝有客戶(hù)端軟件，通過(guò)客戶(hù)端代理完成用戶(hù)認(rèn)證、終端檢查和管理等功能。但是，對(duì)于外來(lái)訪客等臨時(shí)訪問(wèn)網(wǎng)絡(luò)的終端，無(wú)法要求其必須安裝客戶(hù)端軟件；另外，在一些大規(guī)模部署或終端設(shè)備上自身軟件情況復(fù)雜等應(yīng)用場(chǎng)景中，安裝客戶(hù)端軟件的開(kāi)銷(xiāo)較大。如何對(duì)臨時(shí)訪問(wèn)網(wǎng)絡(luò)的終端設(shè)備進(jìn)行更好的控制和管理，如何更方便地部署終端管理系統(tǒng)，成為網(wǎng)絡(luò)IT管理的一個(gè)重大課題。針對(duì)上述問(wèn)題，H3C公司推出了EAD無(wú)客戶(hù)端方案（也稱(chēng)之為可溶解客戶(hù)端方案）。服務(wù)器區(qū)服務(wù)器區(qū)EAD網(wǎng)關(guān)iNode客戶(hù)端補(bǔ)丁、防病毒服務(wù)器隔離區(qū)工作區(qū)EAD安全策略服務(wù)器可溶解客戶(hù)端EAD解決方案組網(wǎng)示意圖無(wú)客戶(hù)端方案中的可溶解客戶(hù)端與目前的iNode智能客戶(hù)端同為H3CEAD解決方案的重要組成部分，它們采用相同的組網(wǎng)方式，由客戶(hù)端本身、EAD安全策略服務(wù)器、聯(lián)動(dòng)設(shè)備和隔離區(qū)服務(wù)器（包括補(bǔ)丁服務(wù)器、防病毒服務(wù)器等）幾部分組成。EMBEDPowerPoint.Slide.8EAD認(rèn)證典型組網(wǎng)無(wú)客戶(hù)端方案通過(guò)ActiveX控件來(lái)驅(qū)動(dòng)可溶解客戶(hù)端的下載及自動(dòng)運(yùn)行，該ActiveX控件內(nèi)嵌在網(wǎng)頁(yè)中，用戶(hù)無(wú)需進(jìn)行特別的安裝操作，即可實(shí)現(xiàn)認(rèn)證和安全控制的觸發(fā)功能。用戶(hù)上網(wǎng)時(shí)，在終端的IE地址欄上輸入網(wǎng)頁(yè)URL地址后，IE就會(huì)向聯(lián)動(dòng)設(shè)備發(fā)送HTTP請(qǐng)求，如果該URL屬于受限資源，聯(lián)動(dòng)設(shè)備就會(huì)向終端返回一個(gè)指向Portal認(rèn)證頁(yè)的HTTP重定向回應(yīng)報(bào)文，將用戶(hù)訪問(wèn)轉(zhuǎn)向Portal認(rèn)證門(mén)戶(hù)網(wǎng)頁(yè)，ActiveX控件即內(nèi)嵌在該網(wǎng)頁(yè)中。在第一次使用可溶解客戶(hù)端時(shí)，IE將自動(dòng)下載并運(yùn)行網(wǎng)頁(yè)中的ActiveX控件并運(yùn)行可溶解客戶(hù)端應(yīng)用。用戶(hù)在進(jìn)行登錄操作時(shí)可溶解客戶(hù)端直接和Portal服務(wù)器進(jìn)行通信，從而完成身份認(rèn)證過(guò)程。認(rèn)證通過(guò)后，可溶解客戶(hù)端將向EAD策略服務(wù)器發(fā)起安全檢查請(qǐng)求，進(jìn)行病毒、補(bǔ)丁等檢查，對(duì)于通過(guò)安全檢查的終端設(shè)備，聯(lián)動(dòng)設(shè)備為其開(kāi)放訪問(wèn)權(quán)限，至此終端用戶(hù)就可以對(duì)受限資源進(jìn)行訪問(wèn)，同時(shí)H3CEAD服務(wù)器可以與溶解客戶(hù)端進(jìn)行通信，對(duì)用戶(hù)桌面終端進(jìn)行綜合管理。無(wú)客戶(hù)端方案具有客戶(hù)端可溶解、靈活性強(qiáng)、部署簡(jiǎn)便、輕量小巧等特點(diǎn)，它提供了一種全新的用戶(hù)接入體驗(yàn)，在為網(wǎng)絡(luò)終端控制管理提供有力保障的同時(shí)，也為EAD方案的部署提供了極大的便利。特性iNode可溶解客戶(hù)端iNode固定客戶(hù)端免安裝■□免卸載■□Portal認(rèn)證■■802.1x認(rèn)證□■VPN認(rèn)證□■防病毒軟件聯(lián)動(dòng)■■黑白軟件檢查■■系統(tǒng)補(bǔ)丁上報(bào)■■微軟補(bǔ)丁聯(lián)動(dòng)■■在線監(jiān)控■■在線用戶(hù)資產(chǎn)管理■■防IEProxy設(shè)置■■防多網(wǎng)卡■■防代理□■限制客戶(hù)端認(rèn)證網(wǎng)卡IP地址獲取方式■■限制客戶(hù)端認(rèn)證網(wǎng)卡MAC地址修改■■信息通知■■防ARP攻擊□■無(wú)客戶(hù)端方案與固定客戶(hù)端方案功能對(duì)比表EAD桌面資產(chǎn)管理解決方案EAD桌面資產(chǎn)管理提供了對(duì)資產(chǎn)全方位的管理和監(jiān)控的功能?；讷@取資產(chǎn)的軟硬件信息，實(shí)現(xiàn)對(duì)資產(chǎn)軟硬件使用、變更情況的監(jiān)控；基于對(duì)資產(chǎn)的配置和軟件分發(fā)，簡(jiǎn)化IT維護(hù)工作；基于監(jiān)控USB設(shè)備的使用情況并記錄日志，使關(guān)鍵數(shù)據(jù)得到保護(hù)；同時(shí)EAD還提供了多元化的資產(chǎn)統(tǒng)計(jì)報(bào)表，讓IT管理員對(duì)資產(chǎn)的監(jiān)控?cái)?shù)據(jù)分析的更加充分。桌面資產(chǎn)管理應(yīng)用模型桌面資產(chǎn)管理工作流程資產(chǎn)上線：資產(chǎn)上線分成幾種情況：1、已管理資產(chǎn)的上線：服務(wù)器根據(jù)客戶(hù)端上傳的資產(chǎn)編號(hào)找到資產(chǎn)記錄即回應(yīng)確認(rèn)信息，客戶(hù)端之后請(qǐng)求資產(chǎn)策略，服務(wù)器回應(yīng)資產(chǎn)策略給客戶(hù)端；2、客戶(hù)端注冊(cè)方式的新資產(chǎn)（該資產(chǎn)由管理員增加）上線：服務(wù)器端要求客戶(hù)端輸入資產(chǎn)編號(hào)，客戶(hù)端提交后，服務(wù)器端根據(jù)資產(chǎn)編號(hào)找到資產(chǎn)信息，發(fā)給客戶(hù)端確認(rèn)，確認(rèn)后服務(wù)端將該資產(chǎn)置為已管理狀態(tài)，回應(yīng)確認(rèn)信息，客戶(hù)端之后請(qǐng)求資產(chǎn)策略，服務(wù)器回應(yīng)資產(chǎn)策略給客戶(hù)端；3、服務(wù)器自動(dòng)生成新資產(chǎn)方式的上線：服務(wù)器端根據(jù)客戶(hù)端上傳的資產(chǎn)指紋信息生成新資產(chǎn)編號(hào)；客戶(hù)端彈出資產(chǎn)信息錄入界面并由用戶(hù)錄入，之后上傳給服務(wù)端，服務(wù)端回應(yīng)確認(rèn)信息，客戶(hù)端之后請(qǐng)求資產(chǎn)策略，服務(wù)器回應(yīng)資產(chǎn)策略給客戶(hù)端；4、重裝操作系統(tǒng)之后的客戶(hù)端上線：服務(wù)器端根據(jù)客戶(hù)端傳遞過(guò)來(lái)的指紋信息找到已有的資產(chǎn)記錄，之后回應(yīng)資產(chǎn)信息給客戶(hù)端；客戶(hù)端用戶(hù)確認(rèn)服務(wù)器返回的資產(chǎn)信息與自己的資產(chǎn)相匹配，之后，客戶(hù)端發(fā)送確認(rèn)報(bào)文給服務(wù)端；服務(wù)端確認(rèn)后將正在上線的資產(chǎn)與自身已有記錄關(guān)聯(lián)起來(lái)；服務(wù)端回應(yīng)確認(rèn)信息，客戶(hù)端之后請(qǐng)求資產(chǎn)策略，服務(wù)器回應(yīng)資產(chǎn)策略給客戶(hù)端；5、安裝了多操作系統(tǒng)的資產(chǎn)上線：用戶(hù)啟動(dòng)一個(gè)操作系統(tǒng)并上線成功后，在另一個(gè)操作系統(tǒng)下又發(fā)起上線請(qǐng)求；服務(wù)器端發(fā)現(xiàn)多操作系統(tǒng)情況，將只允許最后安裝的操作系統(tǒng)的客戶(hù)端可以上線；服務(wù)端回應(yīng)確認(rèn)信息，客戶(hù)端之后請(qǐng)求資產(chǎn)策略，服務(wù)器回應(yīng)資產(chǎn)策略給客戶(hù)端；資產(chǎn)信息上報(bào)：客戶(hù)端獲取本地資產(chǎn)信息，保存到本地，并上報(bào)給服務(wù)端；客戶(hù)端定期會(huì)掃描本地資產(chǎn)信息，如發(fā)現(xiàn)有變更，更新本地保存的資產(chǎn)文件，同時(shí)將資產(chǎn)變更信息上報(bào)給服務(wù)端；USB使用信息上報(bào)：客戶(hù)端實(shí)時(shí)監(jiān)測(cè)USB插入情況，如果有USB插入、向USB中寫(xiě)入文件、或者拔出USB，都會(huì)寫(xiě)入文件；客戶(hù)端定期上報(bào)USB使用信息給服務(wù)端；軟件分發(fā)：服務(wù)端為資產(chǎn)創(chuàng)建分發(fā)任務(wù)；客戶(hù)端向服務(wù)端請(qǐng)求資產(chǎn)策略，服務(wù)端回應(yīng)同時(shí)，將分發(fā)任務(wù)下達(dá)給客戶(hù)端；客戶(hù)端連接到分發(fā)服務(wù)器進(jìn)行軟件下載；下載到本地之后可由用戶(hù)自行安裝，也可以自動(dòng)安裝。桌面資產(chǎn)管理功能特點(diǎn)硬件資產(chǎn)管理收集資產(chǎn)硬件信息(CPU、硬盤(pán)等等)；通過(guò)資產(chǎn)分組管理各部門(mén)人員資產(chǎn)配備情況；及時(shí)了解硬件資產(chǎn)的配置變更情況；軟件資產(chǎn)管理收集資產(chǎn)軟件信息(安裝軟件、屏保、服務(wù)、進(jìn)程)；及時(shí)了解桌面資產(chǎn)的軟件變更情況(安裝/卸載軟件、操作系統(tǒng)重裝、IP地址變更)；資產(chǎn)統(tǒng)計(jì)對(duì)計(jì)算機(jī)類(lèi)型、CPU、硬盤(pán)、操作系統(tǒng)等提供圖表統(tǒng)計(jì)；支持對(duì)全部或者分組資產(chǎn)進(jìn)行統(tǒng)計(jì)；USB監(jiān)控插入U(xiǎn)SB設(shè)備，自動(dòng)產(chǎn)生告警報(bào)告管理員；報(bào)告通過(guò)USB設(shè)備寫(xiě)入的文件數(shù)量、文件名及文件大小、操作時(shí)間等信息；軟件分發(fā)能夠給指定的資產(chǎn)或指定分組下的所有資產(chǎn)自動(dòng)批量分發(fā)和安裝軟件；支持對(duì)分發(fā)軟件的靜默安裝；支持通過(guò)制定任務(wù)定時(shí)分發(fā)；支持Http、Ftp、文件共享等多種形式進(jìn)行軟件分發(fā)。EAD分級(jí)管理解決方案EAD解決方案應(yīng)用靈活、功能豐富，已經(jīng)在各種不同類(lèi)型的網(wǎng)絡(luò)中得到了廣泛的應(yīng)用。而對(duì)于一些終端用戶(hù)規(guī)模龐大的網(wǎng)絡(luò)環(huán)境（如擁有眾多分支機(jī)構(gòu)的大型企業(yè)），EAD解決方案特別推出了分級(jí)管理特性。為了便于全網(wǎng)的管理員進(jìn)行比較統(tǒng)一的策略部署，EAD分級(jí)管理特性推薦由最上級(jí)的管理員進(jìn)行基礎(chǔ)策略的統(tǒng)一定制，而后再進(jìn)行層層的下發(fā)。下級(jí)的管理員可以依據(jù)上級(jí)EAD下發(fā)的策略進(jìn)行繼承、自定義等操作，從而生成更加滿足本地需要的策略。EAD分級(jí)管理解決方案的架構(gòu)圖如下所示：EAD解決方案分級(jí)架構(gòu)示意圖圖中分部有多套EAD，各個(gè)EAD服務(wù)器上的相關(guān)安全策略、用戶(hù)策略等信息則由上級(jí)EAD服務(wù)器下發(fā)給下級(jí)?？偟膩?lái)說(shuō)，EAD分級(jí)管理特性可以從策略下發(fā)、信息上傳兩個(gè)方面進(jìn)行說(shuō)明。策略下發(fā)：上級(jí)的EAD服務(wù)器支持向下級(jí)EAD服務(wù)器下發(fā)服務(wù)策略、分級(jí)權(quán)限控制策略及安全策略等。其中，安全策略包括對(duì)應(yīng)的安全級(jí)別、可控軟件、補(bǔ)丁、防病毒軟件等信息。EAD解決方案策略下發(fā)配置上級(jí)向下級(jí)的下發(fā)包括手工下發(fā)和定時(shí)下發(fā)。手工下發(fā)任何時(shí)候都可以由管理員發(fā)起進(jìn)行；定時(shí)下發(fā)可以設(shè)置為每天的一個(gè)固定時(shí)間。上級(jí)向下級(jí)下發(fā)策略時(shí)，EAD服務(wù)器可以自動(dòng)比較策略更新時(shí)間和下發(fā)時(shí)間，從而保證下級(jí)的策略是最新的策略。EAD解決方案策略下發(fā)界面EAD解決方案策略定時(shí)下發(fā)設(shè)置策略下發(fā)支持多級(jí)下發(fā)進(jìn)行，中間一級(jí)在上一級(jí)的基礎(chǔ)上對(duì)下級(jí)進(jìn)行策略的下發(fā)控制，但不支持跨級(jí)下發(fā)。下級(jí)可以對(duì)上級(jí)下發(fā)的策略進(jìn)行增加、復(fù)制、修改、刪除等操作。從而下級(jí)可以根據(jù)上級(jí)的內(nèi)容進(jìn)行更加靈活的自定義等操作。同時(shí)，EAD服務(wù)器提供下發(fā)歷史查詢(xún)，可以查詢(xún)何時(shí)下發(fā)過(guò)，結(jié)果如何，下發(fā)了哪些服務(wù)等信息。EAD解決方案策略下發(fā)歷史查看信息上報(bào)：在實(shí)際的應(yīng)用中，下級(jí)EAD服務(wù)器在獲取到上級(jí)的策略之后，可以進(jìn)行修改和自定義等操作。同時(shí)，下級(jí)的EAD服務(wù)器也支持通過(guò)信息上報(bào)的方式，將相關(guān)的安全日志信息上報(bào)給上級(jí)的EAD服務(wù)器；上級(jí)EAD服務(wù)器可以對(duì)這些統(tǒng)計(jì)數(shù)據(jù)進(jìn)行查詢(xún)以及匯總，并基于上報(bào)的統(tǒng)計(jì)數(shù)據(jù)給出下定的統(tǒng)計(jì)報(bào)表（如不合格因素分布圖等等）。綜上所述，EAD解決方案的分級(jí)管理特性，更加適合在大型網(wǎng)絡(luò)中進(jìn)行部署，同時(shí)可以減輕管理員的工作負(fù)擔(dān)，支持用戶(hù)漫游，符合大型網(wǎng)絡(luò)運(yùn)行管理和維護(hù)的情況。EAD高可靠性解決方案在EAD解決方案中，EAD安全策略服務(wù)器是全網(wǎng)終端進(jìn)行認(rèn)證和保持狀態(tài)的關(guān)鍵模塊，是整體解決方案的核心中樞。因此，EAD解決方案的高可靠性，重點(diǎn)聚焦于EAD服務(wù)器核心中樞的高可靠、高穩(wěn)定運(yùn)行。而雙機(jī)冷備和雙機(jī)熱備方案的提出和運(yùn)用，為EAD高可靠性解決方案提供了重要技術(shù)保障。雙機(jī)系統(tǒng)是指，至少兩臺(tái)計(jì)算機(jī)實(shí)現(xiàn)計(jì)算機(jī)備份冗余的方案，從而可實(shí)現(xiàn)應(yīng)用的高可靠性。在典型的雙機(jī)系統(tǒng)中，每個(gè)節(jié)點(diǎn)都是運(yùn)行其自己進(jìn)程的一個(gè)獨(dú)立服務(wù)器，這些進(jìn)程可以彼此通信，對(duì)網(wǎng)絡(luò)客戶(hù)機(jī)來(lái)說(shuō)就像是形成了一個(gè)單一系統(tǒng)，協(xié)同起來(lái)向用戶(hù)提供應(yīng)用程序、系統(tǒng)資源和數(shù)據(jù)。它對(duì)外僅提供網(wǎng)絡(luò)服務(wù)或應(yīng)用程序（包括數(shù)據(jù)庫(kù)、Web服務(wù)和文件服務(wù)）的單一客戶(hù)視圖，與傳統(tǒng)的單一服務(wù)器系統(tǒng)相比，它有幾個(gè)優(yōu)點(diǎn)，包括對(duì)高可用性和可伸縮性應(yīng)用程序的支持、適應(yīng)模塊化增長(zhǎng)的容量。雙機(jī)冷備如圖所示，當(dāng)主EAD服務(wù)器出現(xiàn)故障時(shí)，交換機(jī)與EAD服務(wù)器之間通訊中斷，發(fā)出的認(rèn)證請(qǐng)求在一定時(shí)間內(nèi)未收到響應(yīng)。經(jīng)過(guò)缺省的重試次數(shù)后，交換機(jī)自動(dòng)將認(rèn)證請(qǐng)求發(fā)往備EAD服務(wù)器，同時(shí)將主服務(wù)器狀態(tài)置為block。等待一定的時(shí)間間隔后，再次嘗試將認(rèn)證請(qǐng)求發(fā)往主EAD服務(wù)器，若通訊恢復(fù)則立即將主服務(wù)器狀態(tài)置為active，從服務(wù)器狀態(tài)不變。為了保證主EAD服務(wù)器和備EAD服務(wù)器上保存的帳戶(hù)信息同步，EAD系統(tǒng)提供了數(shù)據(jù)庫(kù)自動(dòng)同步功能，每間隔24小時(shí)主EAD服務(wù)器和備EAD服務(wù)器會(huì)進(jìn)行一次數(shù)據(jù)庫(kù)同步。若有緊急需要也可手動(dòng)立即執(zhí)行數(shù)據(jù)庫(kù)同步。雙機(jī)熱備磁盤(pán)陣列磁盤(pán)陣列EADServer01EADServer02ge0ge2ge3ge0ge2ge3如圖所示，在兩臺(tái)EADServer之間通過(guò)群集軟件完成兩臺(tái)計(jì)算機(jī)的群集管理。在熱備方案中，群集管理軟件（SunCluster或Windows群集管理器）對(duì)兩臺(tái)計(jì)算機(jī)進(jìn)行群集管理起到至關(guān)重要的作用。對(duì)于iNode智能客戶(hù)端而言，兩臺(tái)經(jīng)過(guò)群集的主機(jī)就相當(dāng)于一臺(tái)主機(jī)，對(duì)外提供同一個(gè)訪問(wèn)地址。所有的iNode智能客戶(hù)端在進(jìn)行認(rèn)證和相關(guān)的報(bào)文傳輸，都對(duì)此虛擬主機(jī)進(jìn)行交互。同時(shí)，為了對(duì)數(shù)據(jù)進(jìn)行有效的保護(hù)，EAD高可靠性方案同時(shí)要確定磁盤(pán)的冗余備份方案，以防止或避免單點(diǎn)故障對(duì)系統(tǒng)運(yùn)行造成的影響。EAD方案建議采用磁盤(pán)陣列存儲(chǔ)應(yīng)用和數(shù)據(jù)庫(kù)的數(shù)據(jù)（也可以使用IX1000T的IPSAN架構(gòu)服務(wù)器），在此基礎(chǔ)上，兩臺(tái)互為備份的計(jì)算機(jī)可以共享一個(gè)磁盤(pán)空間，一旦一臺(tái)計(jì)算機(jī)出現(xiàn)問(wèn)題，則可以快速通過(guò)另一臺(tái)計(jì)算機(jī)接管所有的數(shù)據(jù)報(bào)文的處理。綜上，利用冷備及熱備技術(shù)，再配合支持多計(jì)算機(jī)系統(tǒng)的群集軟件，結(jié)合磁盤(pán)陣列（或IPSAN架構(gòu)服務(wù)器）本身的高可靠性，EAD高可靠性方案可以一體化保證從網(wǎng)絡(luò)、到計(jì)算、再到存儲(chǔ)的端到端高可靠性，保證EAD關(guān)鍵安全策略服務(wù)器的穩(wěn)定運(yùn)行，為用戶(hù)認(rèn)證及終端安全管理提供有力的保障。案例篇EAD案例：國(guó)家統(tǒng)計(jì)局國(guó)家統(tǒng)計(jì)局是國(guó)家經(jīng)濟(jì)信息統(tǒng)計(jì)機(jī)關(guān)，為保證統(tǒng)計(jì)數(shù)據(jù)的保密性和安全性，迫切需要一個(gè)安全、高效、穩(wěn)定運(yùn)行的信息化網(wǎng)絡(luò)系統(tǒng)，其中客戶(hù)端病毒庫(kù)自主更新、系統(tǒng)補(bǔ)丁及時(shí)分發(fā)、集中統(tǒng)一用戶(hù)安全策略，保證用戶(hù)終端的安全、阻止病毒等威脅入侵網(wǎng)絡(luò)，是保證辦公網(wǎng)絡(luò)安全運(yùn)行的前提。特別需要對(duì)用戶(hù)接入網(wǎng)絡(luò)做唯一身份合法性認(rèn)證，對(duì)用戶(hù)的網(wǎng)絡(luò)訪問(wèn)行為進(jìn)行有效的控制，實(shí)時(shí)監(jiān)控用戶(hù)行為及終端的安全狀態(tài)，因此提出了如下需求：接入用戶(hù)身份管理限制非法筆記本電腦或非授權(quán)、外來(lái)用戶(hù)接入隨意使用網(wǎng)絡(luò)。對(duì)登錄網(wǎng)絡(luò)用戶(hù)進(jìn)行唯一性身份認(rèn)證，實(shí)現(xiàn)一個(gè)用戶(hù)帳號(hào)對(duì)應(yīng)一臺(tái)或者多臺(tái)計(jì)算機(jī)，且與接入網(wǎng)絡(luò)端口綁定；避免外來(lái)計(jì)算機(jī)隨意接入涉密內(nèi)部辦公網(wǎng)絡(luò)，杜絕帳戶(hù)盜用、PC機(jī)盜用、MAC地址仿冒等。終端安全管理在國(guó)家統(tǒng)計(jì)局內(nèi)部辦公網(wǎng)絡(luò)中，任何一臺(tái)終端的安全狀態(tài)（主要是指終端的防病毒能力、系統(tǒng)軟件補(bǔ)丁級(jí)別和系統(tǒng)安全設(shè)置），都將直接影響到整個(gè)網(wǎng)絡(luò)的安全。需要保證接入網(wǎng)絡(luò)的用戶(hù)終端沒(méi)有感染病毒，且病毒庫(kù)得到及時(shí)更新。用戶(hù)終端的操作系統(tǒng)必須及時(shí)更新系統(tǒng)補(bǔ)丁。規(guī)范接入網(wǎng)絡(luò)的終端必須安裝、運(yùn)行或禁止安裝、運(yùn)行某些特定軟件。保證對(duì)終端的安全事件能實(shí)時(shí)監(jiān)控和實(shí)施控制，有效保證整體網(wǎng)絡(luò)安全。員工訪問(wèn)權(quán)限控制員工需要分工明確，各負(fù)其職，按所屬單位、部門(mén)、角色劃分工作范圍，不同的角色有不同的權(quán)利和責(zé)任。對(duì)于已經(jīng)接入網(wǎng)絡(luò)的用戶(hù)，需要規(guī)范用戶(hù)的網(wǎng)絡(luò)行為，不同崗位的員工，其網(wǎng)絡(luò)訪問(wèn)權(quán)限必須明確區(qū)分，嚴(yán)格控制。管理員便于管理和定位問(wèn)題終端需要提供終端訪問(wèn)網(wǎng)絡(luò)的詳細(xì)上網(wǎng)日志信息和強(qiáng)大的管理查詢(xún)功能，便于管理員定位問(wèn)題。系統(tǒng)需要提供方便管理員身份權(quán)限控制、用戶(hù)帳號(hào)維護(hù)、安全策略定制的管理功能。國(guó)家統(tǒng)計(jì)局的辦公網(wǎng)絡(luò)模型圖如下：國(guó)家統(tǒng)計(jì)局EAD解決方案實(shí)施：針對(duì)國(guó)家統(tǒng)計(jì)局對(duì)于終端的安全防護(hù)和實(shí)際組網(wǎng)規(guī)劃需求，H3C采用EAD解決方案，提出如下解決措施：用戶(hù)身份管理及安全控制策略為了嚴(yán)格控制用戶(hù)的網(wǎng)絡(luò)接入，接入層設(shè)備啟用802.1x認(rèn)證，并且采用用戶(hù)名/密碼/多MAC地址綁定/網(wǎng)絡(luò)接入設(shè)備端口的身份驗(yàn)證策略，有效限制了用戶(hù)訪問(wèn)網(wǎng)絡(luò)的區(qū)域，并堅(jiān)決杜絕了外來(lái)和未授權(quán)用戶(hù)非法使用網(wǎng)絡(luò)。用戶(hù)終端通過(guò)DHCP動(dòng)態(tài)獲取IP地址上網(wǎng)，并且設(shè)置接入安全策略由H3CiNode智能客戶(hù)端（以下簡(jiǎn)稱(chēng)iNode客戶(hù)端）限制禁止終端用戶(hù)私自修改MAC地址和網(wǎng)卡的IP地址必須使用DHCP動(dòng)態(tài)獲取方式，有效地防止了MAC仿冒盜用帳號(hào)和私設(shè)IP導(dǎo)致IP地址沖突的情況發(fā)生。同時(shí)采用H3C成熟的802.1x與Windows域統(tǒng)一認(rèn)證技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)接入和Windows域的單點(diǎn)統(tǒng)一登錄。終端安全管理統(tǒng)計(jì)局使用的防病毒軟件是北信源的VRV網(wǎng)絡(luò)殺毒客戶(hù)端，由其自身系統(tǒng)中心服務(wù)器負(fù)責(zé)防病毒客戶(hù)端的版本升級(jí)和病毒庫(kù)定義的定期更新，以及終端操作系統(tǒng)安全漏洞的實(shí)時(shí)監(jiān)控和檢查。H3CiNode智能客戶(hù)端在用戶(hù)每次登錄時(shí)，都需要檢查殺毒客戶(hù)端是否正常啟動(dòng)、運(yùn)行并且強(qiáng)制檢查防病毒軟件的版本和病毒庫(kù)版本，確保所有終端版本必須滿足安全策略的規(guī)定。針對(duì)終端安裝的特定軟件，管理員可以設(shè)置可控軟件名單，認(rèn)證時(shí)檢查此類(lèi)軟件的安裝運(yùn)行情況，如果有違規(guī)即刻被限制訪問(wèn)隔離區(qū)甚至直接斷開(kāi)終端網(wǎng)絡(luò)連接；對(duì)已經(jīng)通過(guò)安全檢查的終端用戶(hù)，EAD解決方案仍然對(duì)終端的安全狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控，如果病毒客戶(hù)端被禁用或者運(yùn)行了禁止運(yùn)行的軟件等均會(huì)根據(jù)安全策略將終端用戶(hù)隔離甚至實(shí)施切斷網(wǎng)絡(luò)連接。員工終端訪問(wèn)權(quán)限控制員工認(rèn)證通過(guò)后，根據(jù)用戶(hù)身份和所屬部門(mén)，EAD方案將用戶(hù)劃分為不同的策略組，將其劃分入不同的VLAN，并且授予用戶(hù)相應(yīng)的ACL訪問(wèn)權(quán)限，有效防止越權(quán)訪問(wèn)資源的發(fā)生。通過(guò)基于身份的ACL訪問(wèn)規(guī)則控制，可以保證只有具有權(quán)限的員工允許訪問(wèn)關(guān)鍵服務(wù)器，禁止非法訪問(wèn)和部門(mén)間互訪。EAD安全策略服務(wù)器與智能客戶(hù)端配合可以對(duì)各種外聯(lián)或代理進(jìn)行禁止。無(wú)論用戶(hù)采用何種方式，包括IE代理、雙網(wǎng)卡以及內(nèi)網(wǎng)用戶(hù)通過(guò)Modem上網(wǎng)等都可以進(jìn)行控制，同時(shí)這些安全策略均可以進(jìn)行靈活選擇和設(shè)置，滿足不同組網(wǎng)需要。靈活的客戶(hù)端分發(fā)部署國(guó)家統(tǒng)計(jì)局內(nèi)網(wǎng)全部部署了的北信源系統(tǒng)提供軟件分發(fā)功能，H3C的iNode客戶(hù)端采用靜默安裝方式直接下發(fā)到員工終端，安裝過(guò)程不需要用戶(hù)干預(yù)，減輕了管理員的部署工作量。針對(duì)新增接入的終端，iNode客戶(hù)端及VRV殺毒客戶(hù)端的安裝方法采用了在接入網(wǎng)絡(luò)中劃分GuestVLAN，未安裝客戶(hù)端的終端不需認(rèn)證即可訪問(wèn)存放有上述軟件的文件服務(wù)器，下載安裝好客戶(hù)端后即可訪問(wèn)網(wǎng)絡(luò)了。管理員權(quán)限管理和豐富的問(wèn)題終端定位手段利用EAD解決方案安全策略管理服務(wù)器提供的功能強(qiáng)大的管理操作員角色身份、權(quán)限控制和訪問(wèn)控制列表管理功能，國(guó)家統(tǒng)計(jì)局對(duì)能夠操作使用控制系統(tǒng)的管理員定義了嚴(yán)格的控制策略，保證了系統(tǒng)安全性；并且借助豐富詳細(xì)的管理員操作日志，可以追蹤到所有的操作員的管理行為。針對(duì)用戶(hù)終端的上網(wǎng)行為，EAD提供的詳細(xì)上網(wǎng)明細(xì)（包括用戶(hù)帳號(hào)信息，用戶(hù)的IP/MAC地址，接入?yún)^(qū)域的設(shè)備IP/端口號(hào)/VLANID，上下線時(shí)間，上下行流量等）、安全日志（違規(guī)安全事件詳細(xì)內(nèi)容/發(fā)生時(shí)間及相應(yīng)處理結(jié)果等）和系統(tǒng)日志為國(guó)家統(tǒng)計(jì)局的IT管理員提供了豐富的定位問(wèn)題終端、解決終端網(wǎng)絡(luò)接入問(wèn)題以及系統(tǒng)維護(hù)的手段和方法。EAD案例：新華社作為中國(guó)最大的新聞信息采集和發(fā)布中心，新華社網(wǎng)絡(luò)接入的權(quán)限必須嚴(yán)格控制。為滿足新華社大樓的智能化使用需求，同時(shí)滿足信息系統(tǒng)的高安全要求，其計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)將分為內(nèi)網(wǎng)局域網(wǎng)和外網(wǎng)局域網(wǎng)兩部分，兩個(gè)網(wǎng)絡(luò)在物理上完全隔離。內(nèi)網(wǎng)局域網(wǎng)與現(xiàn)有辦公樓內(nèi)網(wǎng)系統(tǒng)連通，用于處理內(nèi)部的辦公信息系統(tǒng)；采用星型二級(jí)結(jié)構(gòu)，包括核心層和接入層。主干采用光纖，三層交換到桌面。各接入層交換機(jī)通過(guò)光纖與兩臺(tái)核心交換機(jī)互連。局域網(wǎng)重要服務(wù)器通過(guò)千兆光纖直接與核心交換機(jī)互聯(lián)。外網(wǎng)局域網(wǎng)用于工作人員的新聞瀏覽、資料查詢(xún)和下載、信息發(fā)布等應(yīng)用。網(wǎng)絡(luò)結(jié)構(gòu)采用星型二級(jí)結(jié)構(gòu)，主干采用光纖以太網(wǎng)主干交換方式，水平非屏蔽交換到桌面，各接入交換機(jī)通過(guò)千兆光纖鏈路與核心交換機(jī)高速互聯(lián)?；ヂ?lián)網(wǎng)服務(wù)器組通過(guò)千兆光纖、快速以太網(wǎng)連接至核心交換機(jī)。新華社EAD解決方案實(shí)施新華社根據(jù)業(yè)務(wù)發(fā)展的需要，在新聞大廈信息化系統(tǒng)的改造過(guò)程中，本著高性能、高可靠的原則，按照國(guó)家電子政務(wù)內(nèi)網(wǎng)的技術(shù)標(biāo)準(zhǔn)，通過(guò)全面的分析論證，選擇H3CEAD解決方案實(shí)現(xiàn)對(duì)接入用戶(hù)安全的統(tǒng)一管理。方案實(shí)施時(shí)，采用接入層設(shè)備（S7506R、S5600）作為安全準(zhǔn)入控制點(diǎn)，對(duì)用戶(hù)終端強(qiáng)制安裝iNode智能客戶(hù)端，對(duì)試圖接入網(wǎng)絡(luò)的用戶(hù)終端進(jìn)行安全檢查。通過(guò)實(shí)施EAD解決方案，不僅有效防止了非法用戶(hù)和不符合安全策略的終端接入，而且有效地保證了新華社各項(xiàng)網(wǎng)絡(luò)安全策略（防病毒軟件更新、桌面補(bǔ)丁更新、軟件安裝管理）的執(zhí)行。新華社EAD方案部署示意圖1新華社EAD方案部署示意圖2防止未授權(quán)用戶(hù)使用網(wǎng)絡(luò)和基于用戶(hù)的權(quán)限控制通過(guò)EAD解決方案，在對(duì)用戶(hù)進(jìn)行用戶(hù)名、密碼認(rèn)證的同時(shí)，還可以通過(guò)靈活的MAC、IP、VLAN、Port任意組合綁定，很好的杜絕了外來(lái)和未授權(quán)用戶(hù)非法使用網(wǎng)絡(luò)；同時(shí)，對(duì)于已經(jīng)安全接入的用戶(hù)，聯(lián)動(dòng)設(shè)備可以根據(jù)安全策略服務(wù)器下發(fā)的策略，為用戶(hù)提供個(gè)性化的網(wǎng)絡(luò)服務(wù)，如提供不同的ACL、VLAN等。系統(tǒng)補(bǔ)丁、防病毒軟件的統(tǒng)一控制新華社大樓實(shí)施EAD解決方案后，可以對(duì)接入終端的防病毒軟件、系統(tǒng)補(bǔ)丁、黑白軟件進(jìn)行統(tǒng)一管理，既保證了系統(tǒng)補(bǔ)丁、病毒庫(kù)的及時(shí)更新和自動(dòng)升級(jí)，也有效地減輕了管理員的工作量。EAD案例：中國(guó)國(guó)際廣播電臺(tái)中國(guó)國(guó)際廣播電臺(tái)（CRI，以下簡(jiǎn)稱(chēng)國(guó)際臺(tái)）創(chuàng)辦于1941年12月3日，是中國(guó)面向全世界受眾的國(guó)家媒體單位。在國(guó)際臺(tái)日常的工作中，IT系統(tǒng)應(yīng)用發(fā)揮出越來(lái)越大的作用，逐漸成為每個(gè)編輯、記者無(wú)法離開(kāi)的基本工作手段。隨著網(wǎng)絡(luò)架構(gòu)的搭建和網(wǎng)絡(luò)環(huán)境的完善，國(guó)際臺(tái)的工作效率得到提高，但網(wǎng)絡(luò)管理人員的維護(hù)負(fù)擔(dān)卻在無(wú)形中增加；在黑客技術(shù)和病毒技術(shù)不斷發(fā)展的今天，如何保證信息安全、播出安全也成為國(guó)際臺(tái)用戶(hù)關(guān)注的主要問(wèn)題。新聞工作的特殊性決定了國(guó)際臺(tái)網(wǎng)絡(luò)結(jié)構(gòu)分散、用戶(hù)數(shù)龐大的特點(diǎn)，同時(shí)新聞工作的嚴(yán)謹(jǐn)和高效又要求網(wǎng)絡(luò)安全的高度保障，因而國(guó)際臺(tái)用戶(hù)在智能高效的網(wǎng)絡(luò)管理架構(gòu)之上迫切需要一個(gè)穩(wěn)定可靠的終端安全防御體系。經(jīng)過(guò)對(duì)業(yè)內(nèi)主流網(wǎng)絡(luò)管理產(chǎn)品的全面分析論證，國(guó)際臺(tái)選擇H3C公司iMC開(kāi)放智能管理中樞、EAD終端準(zhǔn)入控制解決方案，打造了一體化的終端準(zhǔn)入控制平臺(tái)，提供了網(wǎng)絡(luò)資源、用戶(hù)、終端安全的融合管理解決方案，從根本上解決了網(wǎng)絡(luò)終端安全管理的復(fù)雜性問(wèn)題。EAD在國(guó)際臺(tái)的應(yīng)用通過(guò)iMC國(guó)際臺(tái)實(shí)現(xiàn)了網(wǎng)絡(luò)中路由器、交換機(jī)、無(wú)線、安全、語(yǔ)音、存儲(chǔ)等設(shè)備資源的統(tǒng)一集中化管理，并為網(wǎng)絡(luò)用戶(hù)、安全等業(yè)務(wù)的融合統(tǒng)一管理提供平臺(tái)。通過(guò)部署EAD解決方案，以接入層交換機(jī)為EAD控制點(diǎn)，實(shí)現(xiàn)了對(duì)終端用戶(hù)的安全認(rèn)證及準(zhǔn)入控制，有效保障了內(nèi)網(wǎng)安全性。國(guó)際臺(tái)使用效果如何有效的安全終端防御體系EAD解決方案通過(guò)身份/安全認(rèn)證、網(wǎng)絡(luò)訪問(wèn)授權(quán)等方式，保證了國(guó)際臺(tái)網(wǎng)絡(luò)終端接入的安全性：通過(guò)在接入層設(shè)備啟用802.1x認(rèn)證，對(duì)接入用戶(hù)進(jìn)行身份認(rèn)證，同時(shí)通過(guò)靈活的MAC、IP、VLAN、Port任意組合綁定，杜絕了外來(lái)和未授權(quán)用戶(hù)非法使用網(wǎng)絡(luò)；員工認(rèn)證通過(guò)后，根據(jù)用戶(hù)身份和所屬部門(mén)，EAD方案將用戶(hù)劃分為不同的策略組，將其劃分入不同的業(yè)務(wù)VLAN，授予相應(yīng)的ACL訪問(wèn)權(quán)限，有效防止了越權(quán)訪問(wèn)資源的發(fā)生。高性能的網(wǎng)絡(luò)管理方案通過(guò)使用iMC開(kāi)放智能管理中樞，國(guó)際臺(tái)實(shí)現(xiàn)了全網(wǎng)設(shè)備的統(tǒng)一管理，通過(guò)靈活的拓?fù)浒l(fā)現(xiàn)管理、實(shí)時(shí)的性能監(jiān)控、智能的故障告警分析等功能幫助管理員方便的實(shí)現(xiàn)網(wǎng)絡(luò)資源配置管理、性能監(jiān)控、準(zhǔn)確定位故障并快速解決，大大減輕網(wǎng)絡(luò)運(yùn)維人員的工作壓力，提高IT工作效率。網(wǎng)絡(luò)與安全融合管理iMC的各個(gè)組件都是一個(gè)有機(jī)融合的整體，通過(guò)創(chuàng)新性的用戶(hù)終端拓?fù)?，將全網(wǎng)接入用戶(hù)和網(wǎng)絡(luò)拓?fù)溆袡C(jī)整合，所有用戶(hù)的安全狀態(tài)、接入設(shè)備等信息都可在網(wǎng)絡(luò)拓?fù)渲幸挥[無(wú)遺。同時(shí)以拓?fù)錇槿肟?，提供了所有常用用?hù)操作如用戶(hù)下線、發(fā)送在線消息等，為國(guó)際臺(tái)用戶(hù)網(wǎng)絡(luò)管理提供便利的同時(shí)，也為全網(wǎng)用戶(hù)狀態(tài)監(jiān)控、非法異常用戶(hù)準(zhǔn)確定位提供了方便。EAD案例：海南省電子政務(wù)網(wǎng)電子政務(wù)建設(shè)是國(guó)家信息化的龍頭工程。2002年國(guó)家信息化領(lǐng)導(dǎo)小組第一次會(huì)議決定，把電子政務(wù)建設(shè)作為今后一個(gè)時(shí)期我國(guó)信息化工作的重點(diǎn)，出臺(tái)了《我國(guó)電子政務(wù)建設(shè)的指導(dǎo)意見(jiàn)》，要求政府先行，帶動(dòng)國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展信息化。為了實(shí)現(xiàn)這一戰(zhàn)略，海南省委、省政府高度重視信息化建設(shè)，1997年起就將電子政務(wù)作為主要建設(shè)內(nèi)容，不斷安排財(cái)政資金進(jìn)行系統(tǒng)建設(shè)，全省逐漸形成電子政務(wù)建設(shè)的良好勢(shì)頭。但由于缺乏統(tǒng)一規(guī)劃，系統(tǒng)建設(shè)水平較低，信息共享難、資源利用率不高，政府對(duì)電子政務(wù)建設(shè)的投入有限，全省的電子政務(wù)建設(shè)在全國(guó)處于中下水平。如何整合現(xiàn)有資源、從海南實(shí)際出發(fā)加快電子政務(wù)建設(shè)已成當(dāng)務(wù)之急。用戶(hù)需求海南電子政務(wù)外網(wǎng)網(wǎng)絡(luò)建設(shè)的目的是：建成全省統(tǒng)一的黨政IP網(wǎng)，實(shí)現(xiàn)省、市縣和鄉(xiāng)鎮(zhèn)三級(jí)黨政機(jī)關(guān)網(wǎng)絡(luò)的互連互通。政務(wù)內(nèi)網(wǎng)覆蓋政府各單位和各廳局；政務(wù)外網(wǎng)覆蓋省、市縣和鄉(xiāng)鎮(zhèn)各級(jí)政府機(jī)關(guān)并能與有關(guān)社會(huì)機(jī)構(gòu)邏輯隔離信息互通。同時(shí)建成資源高度集中和共享的政府?dāng)?shù)據(jù)中心，為全省的所有省屬政府部門(mén)提供安全可靠的應(yīng)用系統(tǒng)運(yùn)行環(huán)境；通過(guò)統(tǒng)一的政務(wù)信息資源目錄體系與交換體系，依法應(yīng)該共享的政府部門(mén)政務(wù)業(yè)務(wù)數(shù)據(jù)通過(guò)共享平臺(tái)實(shí)現(xiàn)共享。在確保各業(yè)務(wù)單位共享網(wǎng)絡(luò)基礎(chǔ)設(shè)施的同時(shí)，各單位擁有各自獨(dú)立的辦公網(wǎng)絡(luò)，保證信息安全。EAD服務(wù)于海南電子政務(wù)網(wǎng)海南電子政務(wù)網(wǎng)根據(jù)實(shí)際情況實(shí)際情況，采用了H3CEAD解決方案，打造了基于身份的虛擬訪問(wèn)、服務(wù)器安全、一體化準(zhǔn)入、終端全面防護(hù)、智能聯(lián)動(dòng)的一體化安全訪問(wèn)管理制度，為海南電子政務(wù)網(wǎng)客戶(hù)最關(guān)心的問(wèn)題提供了完美的答案。1、基于用戶(hù)身份的網(wǎng)絡(luò)訪問(wèn)權(quán)限管理：用戶(hù)要求客戶(hù)端不能同時(shí)訪問(wèn)政務(wù)網(wǎng)與Internet，但又能夠在兩張網(wǎng)中自由切換。實(shí)施方案中采用了虛擬園區(qū)網(wǎng)解決方案，通過(guò)EAD認(rèn)證動(dòng)態(tài)下發(fā)VLAN和ACL，將用戶(hù)劃分到不同的邏輯網(wǎng)絡(luò)中。通過(guò)GuestVLAN特性，所有的接入端口默認(rèn)屬于初始VLAN，并與Internet連通，使用戶(hù)在沒(méi)有經(jīng)過(guò)認(rèn)證的情況下也能訪問(wèn)Internet；初始VLAN與政務(wù)網(wǎng)VLAN邏輯隔離，用戶(hù)訪問(wèn)Internet時(shí)不能訪問(wèn)政務(wù)網(wǎng)絡(luò)資源；每臺(tái)交換機(jī)可配置不同的初始VLAN，不同交換機(jī)下的用戶(hù)在訪問(wèn)Internet時(shí)也相互隔離，不能互訪；用戶(hù)需要訪問(wèn)政務(wù)網(wǎng)時(shí)，啟用EAD認(rèn)證，服務(wù)器根據(jù)用戶(hù)的身份向接入交換機(jī)下發(fā)動(dòng)態(tài)VLAN，將端口劃入對(duì)應(yīng)的政務(wù)網(wǎng)VLAN中，同時(shí)與Internet隔離；在用戶(hù)接入網(wǎng)絡(luò)時(shí)動(dòng)態(tài)指定該用戶(hù)所屬的VLAN，實(shí)現(xiàn)基于用戶(hù)身份的靈活辦公，保證某一部門(mén)的員工不論從哪個(gè)交換機(jī)端口接入網(wǎng)絡(luò)，均屬于