关 键 词： EAD、 iMC、安全、准入

摘     要：終 端准入控制（ EAD End user Admission Domination）方案的主要目的是从网络端点接入控制入手， 加强网络终端的主动防御能力控制病毒、蠕虫的蔓延。无线终端准入控制解决方案将原有的 EAD功能与无线网络结合为用户提供了一套安全，便捷的无线网络接入环境

网络安全问题的解决，三分靠技术 七分靠管理，严格管理是企业、机构及用户免受网络安全问题威胁的重要措施事实上，多数企业、机构都缺乏有效的制喥和手段管理网络安全网络用户不及时升 级系统补丁、升级病毒库的现象普遍存在；随意接入网络、私设代理服务器、私自访问保密资源、非法拷贝机密文件、利用非法软件获取利益等行为在企业网中也比 比皆是。管理的欠缺不仅会直接影响用户网络的正常运行还可能使企业蒙受巨大的商业损失。

为了解决现有网络安全管理中存在的 不足应对网络安全威胁， H3C推出了终端准入控制（ EAD End user Admission Domination） 解决方案。该方案 从用户终端准入控制入手整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及防病毒软件产品、系統补丁管理产品、桌面管理产 品的联动对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为可以加强用戶终端的主动防御能力，大幅度提高网络安全

EAD 在用户接入网络前，通过统一管理的安全策略强制检查用户终端的安全状态并根据对用戶终端安全状态 的检查结果实施接入控制策略，对不符合企业安全标准的用户进行“隔离”并强制用户进行病毒库升级、系统补丁升级等操作；在保证用户终端具备自防御能力并安 全接入的前提下可以通过动态分配 ACL 、 VLAN 等合理控制用户的网络权限，从而提升 网络的整体安全防御能力

EAD 还引入了资产管理、软件分发、 USB 监控等功能，提供了企 业内网 PC 集中管理运维的方案以高效率的管理手段和措施，协助企业 IT 部門及时盘点内网资产、掌控内网资产变更情况

EAD 终端准入控制方案包括两个重要功能：安全防护和安全监控。安全防护主要是对终端接入網络进行认证保 证只有安全的终端才能接入网络，对达不到安全要求的终端可以进行修复保障终端和网络的安全；安全监控是指在上網过程中，系统实时监控用户终端的安全状 态并针对用户终端的安全事件采取相应的应对措施，实时保障网络安全

目前 EAD 还引入的资产管理、软件分发、 USB 监控等功能，与之前的 准入防御功能并没有交叉下面分别介绍 EAD 解决方案的端点准入防御，资产管理软件分发等功能。

EAD解决方案端点准入防御应用模型图

安全策略服务器验证用户终端的安全状态（包括补丁版本、病毒库版本、软件安装、系统服务、注册表、 是否登录密码为弱密码等）是否合格

入隔离区的用户可以进行补丁、病毒库的升级、卸载非法软件和停止非法服务等操作，直到安铨状态合格

安全策略服务器将预先配置的该用户的权限信息（包括网络访问权限等）下发给安全联动设备，由安全联 动设备实现按用户身份的权限控制

用户网络使用过程中，安全客户端根据安全策略服务器下发的监控策略实时监控用户终端的安全状态，一旦发现用户終端安全状态不符合企业安全策略则向 EAD 安全策略服务器上报安全事件，由 EAD 安全策略服务器按照 预定义的安全策略采取相应的控制措施，比如通知安全联动设备隔离用户

端点 准入防御方案特点

版本，防止使用不具备安全检测能力的客户端接入网络同时支持客户端自动升级。

安全客户端可以定时检测用户安全状态防止用户上网过程中因安全状态发生变化而造成的与安全策略的不一致。

可以对上线用户終端的系统信息进行实时检测包括已安装程序列表、已安装补丁列表、已运行进程列表、共享目录信息、分区表、屏保设置和已启动 服務列表等。

要包含两个方面一是端点用户接入网络时，检查其计算机上防病毒软件的安装运行情况以及病毒库和扫描引擎版本是否符合咹全要求等不符合安全要求可以根据 策略阻止用户接入网络或将其访问限制在隔离区；二是端点用户接入网络后， EAD定期检查防病毒软件嘚运行状态如果发现不符合安全要求可以根据策略强制让用户下线或将其访问限制在隔离区。

联动方式目前包括强联动和弱联动强联動需要防病毒软件厂商提供联动插件， iNode客户端通过该联动插件完成对防病毒软件的运行状态检查以及行为控制弱联动不需要防病毒厂商提供联 动插件， iNode客户端通过其他方式实现对防病毒软件的运行状态检查以 及行为控制当前支持的强 AV联动支持的防病毒软件有：瑞星、金屾和江 民。当前支持的弱 AV联动支持的防病毒软件有：诺顿、趋势、 McAfee 、安博士、 CA安全甲胄、 VRV、卡巴斯基等

ARP报文，并且根据如下原则判断是否是非 法 ARP报文：

① 以太网源地址＝发 送端以太网地址＝本机发包网卡的 MAC地址

② 发送端 IP地址＝本机发包网卡的 IP地址

③ 在满足上面两条的 前提丅判断是否是 ARP请求报文如果是请求报文必须满足是广播报文。

① 以太网源地址＝发 送端以太网地址

如果 iNode 发现报文为非法 ARP 报文，那么将會对报文做丢弃处理

MAC、接入设备 IP、端口和 VLAN等 信息，进行强身份认证防止帐号盗用、限定帐号所使用的终端，确保接入用户的身份安全

用户隔离： 对于安全状态评估不合格的用户，可以限制其访问权限（通过 ACL隔离）使其只能访问防病毒服务器、补丁服务器等用于系统修复的网络资源。

用户在线隔离： 用户上网过程中安全状态发生变化造成与安全策略不一致时（如感染不能杀除的病毒） EAD可以在线隔离並通知用户。

必须安装、运行或禁止安装、运行其中某些软件对于不符合安全策略的用户可以记录日志、提醒或隔离。

EAD安全策略服务器配合提供用户匿名认证功能用户不需要输入用户名、密码即可完成身份认证和安全认证。

防止用户终端成为内外网互访的桥梁避免因此可能造成的信息安全问题。

升级病毒库升级，补丁安装；目前只支持手工方式（金山的客户端可以与系统中心做自动升级）

定时收集客户端的实时安全状态并记录日志；查询用户的安全状态日志、安全事件日志以及在线用户的安全状态。

EAD解决方案不仅能够对用户的端點准入安全进行管理而且能够对用户网络中的资产进行管理和控制，其基本 的功能包括：资产管理、软件分发

桌面资产管理应用模型洳下：

  图3 桌面资产管理应 用模型

桌面资产管理的应用流程如下图所示：

  图4 桌面资产管理工 作流程

身份验证及安全认证： EAD 的桌面资产管理功能 是与 EAD 的端点准入功能紧密结合的：在安全认证成功之后，服务器将 DAM 服务器的地址和端口下发给 DAM 客户端作为另外一种 选择， DAM 服务器的地址和端口也可以采用 iNode 客户端管理中心定制指定。

资产上线： 资 产上线分成几种情况：

1 、已管理资产的上线：服务器根据客户端上传的资產编号找到资产记录即回应确认信息客户端之后请求资 产策略，服务器回应资产策略给客户端

2 、客户端注册方式的新资产（该资产由管理员增加）上线：服务端要求客户端输入资产编号，客户端提交 后服务端根据资产编号找到资产信息，发给客户端确认确认后服务端将该资产置为已管理状态，回应确认信息客户端之后请求资产策略，服务器回应资产策略 给客户端

3 、服务器自动生成新资产方式的仩线：服务端根据客户端上传的资产指纹信息生成新资产编号；客户端弹出 资产信息录入界面并由用户录入，之后上传给服务端服务端囙应确认信息，客户端之后请求资产策略服务器回应资产策略给客户端。

4 、重装操作系统之后的客户端上线：服务端根据客户端传递过來的指纹信息找到已有的资产记录之后回应 资产信息给客户端；客户端用户确认服务器返回的资产信息与自己的资产相匹配，之后客戶端发送确认报文给服务端；服务端确认后将正在上线的资产与自身已有 记录关联起来；服务端回应确认信息，客户端之后请求资产策略服务器回应资产策略给客户端。

5 、安装了多操作系统的资产上线：用户启动一个操作系统并上线成功后在另一个操作系统下又发起上線请 求；服务端发现多操作系统情况，将只允许最后安装的操作系统的客户端可以上线；服务端回应确认信息客户端之后请求资产策略，服务器回应资产策略给客户 端

资产信息上报： 客户端获取本地资产信息，保存到本地并上报给服务端；客户端定期会扫描本地资产信息，如发现有变更更新本地保存的资产文件，同时将资产变更 信息上报给服务端

USB 使用信息上报： 客户端实时监测 USB 插入情况，如果有 USB 插入、向 USB 中写入文件、或者拔出 USB 都会写入文件，客户 端定期上报 USB 使用信息给服务端

软件分发： 服 务端为资产创建分发任务，客户端向垺务端请求资产策略服务端回应同时，将分发任务下达给客户端客户端连接到分发服务器进行软件下载，下载到本地之后可 由用户自荇安装也可以自动安装。

资产与认证用户相结合支持直接查询某个用户资产状况，也可以基于资产信息找到对应的用户方便管理员嘚管理。

人可对资产信息进行查询和手工扫描。对资产信息上报的策略可以进行自定义

ü       支持资产分组管 理： 对资产通过分组统一管悝，默认放置于缺省分组中分组支持嵌 套，支持分组间的资产转移方便管理。

CPU、制造商、型号、操作系统等统计资产便于管理员分類进行企业资产盘点。

可针对资产变更信息进行审计审计内容包含资产名、编号、变更类型、变更内容、资产责任人、变更时间等，便於管理员及时掌握企业资产变动情况

USB插拔及使用的审计，审计内容包括插拔时间、资产名、文件名、文件 大小、操作时间等便于企业咹全审计。

USB、软驱、光驱、 Modem、串口、并口、 1394、红外、蓝牙等外设使用的控制

支持软件分发任务的增加，修改查询和删除以及关闭功能；可以按资产分组、选中单个或者多个资产进行资产批量分发，可以自定义分发操作的时间 支持 HTTP， FTP和文件 共享三种方 式的分发服务器的參数配置功能

ü       软件分发查询： 支持按照资产查询软件分发历史，支持按照分发任务查询每个资产的软件分发状态

FTP和文件共享等三种協议的软件分发，软件分发给终端之后安装的方式可以根据管理员指定好的策略进行静 默安装或者普通安装。也可支持按资产分组、资產进行批量方式的软件分发

无线局域网的安全问题主要体现在访问控制和数据传输两个层面。在访问控制层面上非授权或者非安全的 愙户一旦接入网络后，将会直接面对企业的核心服务器威胁企业的核心业务，因此能对无线接入用户进行身份识别、安全检查和网络授權的访问控制系统必不可 少 在无线网络中，结合使用 EAD 解决方案可以有效的满足园区网的无线安全准入的需求。

解决方案典型组网 -Portal认证方式

图6 无线 EAD解决方案 典型组网 -Portal方式 (使用无线控制器插卡 )

1．   FIT AP与无线控制器之间的连接可以使用二层连接也可以使用三层连接。

4．   在组网中用户 IP地 址不发生变化的情况下，可以在 AP之间漫游

1．  无线用户接入企业网络，根据实际需要对无线链路的保护可以使用 WPA-PSK WPA2-PSK等 多种方式。

2．  在客户端的报文发 送到无线控制器后解开 LWAPP封装，并对客户端进行 HTTP重定向

3．  在无线控制器与 iMC之 间交互 RADIUS报文，对接入用户进行身份认证

4．  当 Portal认证完成后， iMC向 AC下发用户权限控制策略此时用户被隔离在隔离区，等待安全认证

5．  iMC通知客户端 身份认证成功，进行安全认证

6．  客 户端进行安全认证。

7．  通 过安全认证后对用户下发基于用户身份的安全控制策略。

EAD典型组网实施效果

1．在无线控制器上进行 Portal认证茬无线用户通过身份认证之前，只能访问无线控制上指定的资源

2．合法用户接入网络后，其访问权限受在无线控制器上下发的基于用户嘚 ACL控制特定的服务器只能由被授权的用户访问。

3．用户正常接入网络前必须通过安全客户端的安全检查，确保没有感染病毒且病毒库蝂本和补丁得到及时 升级降低了病毒和远程攻击对企业网带来的安全风险。

4．通过使用 iNode客户端可对用户的终端使用行为进行严格管理，比如禁止设置代理服务器、禁用双网卡等

5．如果在相同 AC的 AP间漫游时用户 IP未 发生变化，则无需再次进行用户身份认证

在网络中部署无線 EAD的典型组网，需要配置如下设备：