EAD内网控制解决方案

wjf007911
1 ℃
2020-01-10

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

1EAD内网控制解决方案您是否经常受到内网病毒泛滥的影响呢？是不是员工的PC私设代理服务器访问外部网络您却无可奈何？......您需要怎样改变这种救火队式的工作呢？1.用户PC管理的各种问题在企业网络中，用户的终端计算机不及时升级系统补丁和病毒库、私设代理服务器、私自访问外部网络、滥用企业禁用软件的行为比比皆是，脆弱的用户终端一旦接入网络，就等于给潜在的安全威胁敞开了大门，使安全威胁在更大范围内快速扩散，进而导致网络使用行为的“失控”。保证用户终端的安全、阻止威胁入侵网络，对用户的网络访问行为进行有效的控制，是保证企业网络安全运行的前提，也是目前企业急需解决的问题。2.看似纷繁的问题却有一样的解决办法网络安全从本质上讲是管理问题。H3C终端准入控制（EAD，EnduserAdmissionDomination）解决方案从控制用户终端安全接入网络的角度入手，整合网络接入控制与终端安全产品，通过智能客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，有效地加强了用户终端的主动防御能力，为企业网络管理人员提供了有效、易用的管理工具和手段。对于要接入网络的用户，EAD解决方案首先要对其进行身份认证，通过身份认证的用户进行终端的安全认证，根据网络管理员定制的安全策略进行包括病毒库更新情况、系统补丁安装情况、软件的黑白名单等内容的安全检查，根据检查的结果，EAD对用户网络准入进行授权和控制。通过安全认证后，用户可以正常使用网络，与此同时，EAD可以对用户终端运行情况和网络使用情况进行审计和监控。EAD解决方案对用户网络准入的整体认证过程如下图所示：组网模型如下图所示，EAD组网模型图中包括iNode智能客户端、安全联动设备、iMC安全策略服务器和第三方服务器。2iNode智能客户端：是指安装了H3CiNode智能客户端的用户接入终端，负责身份认证的发起和安全策略的检查。网络联动设备：是指用户网络中的交换机、路由器、VPN网关等设备。EAD提供了灵活多样的组网方案，安全联动设备可以根据需要灵活部署在各层比如网络接入层和汇聚层。iMC（EAD）安全策略组件：它要求与安全联动设备路由可达。负责给客户端下发安全策略、接收客户端安全策略检查结果并进行审核，向安全联动设备发送网络访问的授权指令。第三方服务器：是指补丁服务器、病毒服务器和安全代理服务器等，被部署在隔离区中。当用户通过身份认证但安全认证失败时，将被隔离到隔离区，此时用户能且仅能访问隔离区中的服务器，通过第三方服务器进行自身安全修复，直到满足安全策略要求。3.典型组网应用3.1.局域网安全准入防护在企业网内部，接入终端一般是通过交换机接入企业网络，EAD通过与交换机的联动，强制检查用户终端的病毒库和系统补丁信息，降低病毒和蠕虫蔓延的风险，同时强制实施网络接入用户的安全策略，阻止来自企业内部的安全威胁。3.2.广域网安全准入防护大型企业往往拥有分支机构或合作伙伴，其分支机构、合作伙伴也可以通过专线或WAN连接企业总部。这种组网方式在开放型的商业企业中比较普遍，受到的安全威胁也更严重。为了确保接入企业内部网的用户具有合法身份且符合企业安全标准，可以在分支机构路由器、总部路由器或网关中实施EAD准入控制，保证接入网络的用户终端不会对内部网络造成安全威胁。3.3.VPN安全准入防护3一些企业和机构允许移动办公员工或外部合作人员通过VPN方式接入企业内部网络。EAD方案可以通过VPN网关确保远程接入用户在进入企业内部网之前，检查用户终端的安全状态，并在用户认证通过后实施企业安全策略。对于没有安装智能客户端的远程用户，管理员可以选择拒绝其访问内部网络或限制其访问权限。3.4.WLAN无线安全准入防护对于外来访客和企业内部的移动用户，使用WLAN无线网卡接入企业网络的情况越来越多，这带来了许多安全问题，EAD通过与FATAP、AC无线控制器等无线设备的联动，强制用户在使用无线网络之前，必须先进行身份认证、安全状态检查，在享受便捷的无线网络同时，大大减少了来自空中的安全威胁。3.5.网关安全准入防护通常企业在满足互联互通的要求后，会逐渐意识在内部网络安全控制的必要性，尤其是终端用户的安全问题，这时终端的安全准入控制就显得尤为重要。而企业网络通常为多厂商设备共存，很难单独使用一家厂商的设备实施网络的准入控制。这种情况下，视网络规模大小，我们推荐使用一台或多台网关设备作为强制认证控制器，使用基于Portal的认证协议，部署在核心层、数据中心、网络出口等位置，与iNode客户端、安全策略服务器配合完成EAD终端准入控制。4.组网设备配置模式描述组网限制交换机要求监控模式管理员能够监控终端用户的安全状态，但不进行技术手段的隔离等控制，可通过行政手段处罚用户（员工）仅要求接入设备支持认证，不要求动态ACL隔离支持802.1X的接入交换机均可警告模式管理员能够监控终端用户的安全状态，并且在用户上网的时候能够给予消息警告，但不进行技术手段的隔离等控制，可通过行政手段处罚用户（员工）仅要求接入设备支持认证，不要求动态ACL隔离隔离模式管理员能够监控终端用户的安全状态，并且在用户上网的时候能够隔离要求接入设备支持认证及动态ACL隔离下发802.1X认证H3CS3100EI、S3600SI/EI、S5100EI、S3610、S5510、S5600、S5500SI、S5500EI、S7500（E）、Portal认证S5500EI、S7500E、S9500