1     需求分析

一、接入控制需求

1) 局域网接入控制：能通过802.1x 协议，配合支持准入控制功能的网络交换机，实现用户身份认证，并根据终端安全性检查结果，确定终端接入方式，对于认证失败的用户，断开其网络连接；认证成功但安全性检查不通过的终端，放入隔离区自动引导其完成主机完整性修复；对于认证和安全性检查全部通过的主机，按照策略设定完成相应网络设置和终端安全客户端设置；

2)网关准入控制：针对无线用户、VPN用户和来访客人，应配合支持准入控制功能的安全网关设备，对访问终端执行安全性检查和修复，下发终端策略；只有身份认证和安全状态检查都通过的用户，才能允许其访问内部网络；

3) 隔离区：无论局域网还是无线用户，在执行终端安全检查过程中都支持隔离区设置，采取二层Guset VLAN技术或三层ACL技术，自动对不符合安全性检查的终端进行隔离，并自动启动终端修复过程；

二、安全性检查

1) 安全补丁：支持与微软WSUS系统联动，对windows2000/XP/2003 等各类终端的操作系统进行补丁检查和升级；

2) 防病毒软件：支持对趋势/金山防病毒软件的运行状态、软件版本、病毒库版本进行检查；

3) 黑白软件：可提供软件黑白名单功能，软件识别准确，控制特定软件的安装、使用；

4) 注册表：可对终端注册表任意键值进行检查，不符合要求的自动对其进行修改；

5) VIP用户权限：可灵活设置用户权限，对VIP用户采取宽松的安全策略；

6)防ARP攻击：可以通过网关地址保护，检测ARP攻击流量并强制下线等措施，对局域网中存在的ARP攻击问题进行防护；

7)多元素绑定：可以绑定用户名、IP地址、MAC地址、设备端口、VLAN等，防止网络滥用；

8) 软、硬件资产调查：可通过中心控制台详细看到所有接入终端的软、硬件信息，并能以报表形式呈现；

9)外设管理：可管理个人电脑终端的USB、红外、蓝牙、1394、读卡器、PCI 插槽等各种外设和接口，将其设为禁用，或不能被用作连接外部存储器；

10) 软件分发：能通过中心服务器自动向所有接入终端稳定可靠地下发补丁或相关软件。

11)安全审计：能够对用户登录、上网情况、失败信息、管理员操作、连接时间等有详细日志记录可查，日志及时上传管理服务器数据库；

三、可靠性及管理需求

1) 服务器支持双机备份：中心策略服务器支持双机冗余配置，主服务器发生故障时，功能可向从服务器转移。策略服务器配置具有良好的备份和恢复机制；

2) 用户群组策略：能针对用户分组，安全策略针对单个用户，或某组用户绑定；

3) 管理目标分组：能针对不同的层级、区域、用户组、计算机组等设定不同的管理员；

2     终端准入控制方案

    部署一套EAD终端准入控制系统，与防病毒软件、WSUS补丁管理相配合，防毒软件、WSUS负责专业杀毒、补丁下载，EAD专注于网络接入控制、桌面管理、用户行为审计和终端安全管理功能，可以为XXXX提供全面、完善的端到端网络安全解决方案。同时，EAD采用双机热备或双机冷备方式部署，以提高系统的可靠性。

准入方面，对局域网用户采用接入层802.1x部署方案。EAD直接与H3C交换机配合，实现终端准入控制功能。H3C交换机支持标准的802.1x功能，不仅可以实现单端口单用户的准入控制，也可以实现单端口多用户的准入控制，从而实现对HUB及小交换机用户的管理。特定情况下，可以将HUB下挂到H3C交换机下面，EAD可以区分HUB下面的多个用户，并根据不同用户的安全状态下发不同策略。

    对于无线用户，EAD可以与胖AP、AC无线控制器、EAD网关等配合，通过三层Portal方式进行准入控制。由于瘦AP＋AC无线控制器的组网方式给大部分用户所采用，因此一般情况下无线EAD方案主要是与AC无线控制器配合。无线用户接入时，会弹出页面对用户进行认证和检查。

EAD也支持无线环境下的802.1x用户接入，但经过多个项目实施发现，802.1x由于是二层方式，受底层无线网卡的影响较大，不同品牌的无线网卡稳定性参差不齐，可能存在掉线的情况，因此从实践经验出发，建议用户采用稳定性极高的三层Portal方式。

EAD可以不仅可以支持常见的准入、安全和桌面资产管理功能，也支持ACL下发、匿名认证、防ARP攻击、异常流量检测、U盘外设管理、结合设备与业务的融合管理等创新功能。另外，EAD支持与H3C UBAS行为审计系统、NTA流量分析系统联动，结合EAD强大的用户身份、权限的管理，高效地管理网络用户的同时，可以帮助管理员分析网络中的异常流量，追查恶意的上网行为，为管理员提供行之有效的网络管理和用户管理策略。

2.1      网络准入控制

通过与不同网络接入设备的联动，EAD解决方案可在多种应用场景中实现用户终端安全准入控制，满足不同网络环境下，终端安全准入控制的需要。

2.1.1 接入层准入控制

将接入层设备作为安全准入控制点，对试图接入网络的用户终端进行安全检查，强制用户终端进行防病毒、操作系统补丁等企业定义的安全策略检查，防止非法用户和不符合企业安全策略的终端接入网络，降低病毒、蠕虫等安全威胁在企业扩散的风险。

方案组网

                                                                                           图1 接入层EAD解决方案组网应用

方案说明

n  用户终端必须安装iNode客户端，在上网前首先要进行802.1x和安全认证，否则将不能接入网络或者只能访问隔离区的资源。其中，隔离区是指在交换机中配置的一组ACL，一般包括EAD安全代理服务器、补丁服务器、防病毒服务器、DNS、DHCP等服务器的IP地址。

n  在接入交换机中要部署802.1x认证和安全认证，强制进行基于用户的802.1x认证和动态ACL、VLAN控制。

n  EAD安全策略服务器中配置用户的服务策略、接入策略、安全策略，用户进行802.1x认证时，由EAD安全策略服务器验证用户身份的合法性，并基于用户角色（服务）向安全客户端下发安全评估策略（如检查病毒库版本、补丁安装情况等），完成身份和安全评估后，由EAD安全策略服务器确定用户的ACL、VLAN以及病毒监控策略等。

n  EAD安全代理服务器必须部署于隔离区，可以与自助服务器共用一台主机。

n  补丁服务器（可选）必须部署于隔离区，可以与EAD安全代理共用一台主机。

n  防病毒服务器（可选）必须部署于隔离区，可以与补丁服务器、EAD安全代理共用一台主机，可以选择Norton防病毒、趋势防病毒、McAfee防病毒、安博士防病毒、CAKill安全甲胄、瑞星杀毒软件、金山毒霸以及江民KV防病毒软件。

2.1.2 汇聚层准入控制

    当网络中接入层设备不支持EAD特性时，可以将汇聚层设备作为安全准入控制点，实施EAD解决方案，这样可简化EAD解决方案的应用部署。尤其是在对用户原有企业网络进行改造，实施EAD解决方案时，可以将原有汇聚层设备替换为支持EAD解决方案的H3C汇聚层设备，实现EAD解决方案的应用。

方案组网

                                                                                                   图2 汇聚层EAD解决方案组网应用

方案说明

n  在汇聚交换机中要部署802.1x认证和安全认证，强制进行基于用户的802.1x和动态ACL控制。

n  其余同接入层准入控制

流程说明

    同接入层准入控制方案用户认证流程。

实施效果

    实施效果同接入层准入控制相同，但是网络改造费用降低、系统部署简单。汇聚层EAD应用组网模式下，认证设备下挂接入层设备，如果接入层设备端口不作VLAN划分，用户终端之间将可实现互访。建议在严格控制用户之间互访的情况下，接入层设备在不同端口之间划分不同的VLAN。

2.1.3 无线用户的准入控制

  无线局域网的安全问题主要体现在访问控制和数据传输两个层面。在访问控制层面上，非授权或者非安全的客户一旦接入网络后，将会直接面对企业的核心服务器，威胁企业的核心业务，因此能对无线接入用户进行身份识别、安全检查和网络授权的访问控制系统必不可少。 在无线网络中，结合使用EAD解决方案，可以有效的满足园区网的无线安全准入的需求。

                                                                                           图3 无线EAD解决方案典型组网1

组网特点介绍

1．  物理组网方式与802.1X接入方式相同。

2．  FIT AP与无线控制器之间的连接可以使用二层连接，也可以使用三层连接。

3．  用户接入时需要使用Windows客户端接入无线网络，然后使用iNode进行Portal接入。

4．  在组网中，用户IP地址不发生变化的情况下，可以在AP之间漫游。

5．  基于用户身份的控制信息在AC上下发。

2.1.4  基于VLAN/ACL的隔离

EAD可以与支持802.1x的交换机（二层、三层均可）实现完美配合。用户的ACL可以在认证通过后由IMCEAD下发给接入设备，由设备动态控制用户的访问权限；也可以在用户认证通过后由IMC EAD将所属的VLAN可以在下发给接入设备，由接入设备动态设置用户所属的VLAN。通过与网络设备的配合可以实现基于用户的访问权限动态控制，限制用户对内部敏感服务器和外部非法网站的访问。

2.2       终端安全管理

2.2.1 安全杀毒

通过与第三方防病毒厂商合作，EAD终端准入控制解决方案中，EAD策略服务器根据安全策略对安装了第三方防病毒产品客户端和iNode智能客户端的用户终端计算机进行安全检查。对于不符合安全策略的用户终端，通过配合相关网络设备采用ACL或VLAN访问控制的方式，从物理或网络层面上将“危险”终端限制在隔离区中。“危险”终端可以访问隔离区中的补丁服务器、防病毒软件服务器来进行系统修复，修复完成后，通过身份认证、安全认证后即可获得网络访问权限。

目前EAD支持的第三方防病毒软件包括：国内的瑞星、金山、江民，国外的Symantec、趋势科技、McAfee、安博士、卡巴斯基、CA、NOD32等众多知名厂商，并且不断在增加中。

2.2.2  黑白软件管理

EAD提供黑白软件统一管理功能。管理员可根据企业的IT政令，在安全策略服务器定义员工终端黑白软件列表，通过安全客户端实时检测、网络设备联动控制，完成对用户终端的软件安装运行状态的统一监控和管理。

管理员根据软件运行的进程名称，在安全策略服务器定义黑白软件列表；同时对每一种受控软件规则定义相应的安全模式，即当用户终端接入网络时，安全客户端发现该规则被违反时，系统采取的策略。其次，管理员在安全策略中添加黑白软件控制规则。

    在安全策略服务器完成对黑白软件列表和安全策略中软件控制部分的定义之后，用户终端的软件安装状态便可以通过EAD解决方案来完成统一监控和管理。

2.2.3  注册表安全检查

支持注册表安全检测：EAD支持系统服务检测，包括服务种类、是否启动等。对于不符合服务检查项的用户需要根据安全策略做出相应处理，包括提醒、隔离、下线等。

支持远程用户修改本机注册表防御；支持远程访问、共享、进程调用防御。

2.2.4 异常流量监控特性

为了对终端用户的网络流量进行监控，EAD解决方案支持异常流量监控特性。管理员在安全策略服务器上设置终端用户流量阈值，并打开iNode客户端异常流量监控功能。异常流量阈值分为两种，当终端用户超过第一阈值时，EAD策略服务器上可以收到iNode发送的用户流量信息。安全策略服务器仅对终端用户进行告警提示。当终端用户流量超过第二阈值时，安全策略服务器会向iNode客户端发送下线指令。

2.2.5 防ARP攻击特性

随着ARP攻击的泛滥，给企业带来的损失也越来越大。EAD解决方案提供防ARP攻击特性。在EAD安全策略服务器上设定终端用户正确的ARP表，并在认证时下发给iNode客户端。iNode客户端定时清空终端用户本地的ARP表，并查找用户网卡的路由IP信息，与安全策略服务器下发的ARP表进行核对。如果找到对应的路由IP信息，就把该纪录添加到客户的机器上。

2.2.6  桌面及资产管理

资产管理、软件分发是iMC EAD的主要功能，支持对企业内部的计算机制造商、计算机型号、CPU、硬盘等硬件进行统计和管理，还能够对计算机操作系统及各种软件进行统计、分发。总的来说可以实现进行资产分组、资产管理、资产变更管理、资产统计、软件分发管理等功能。

2.3      访客管理

       EAD在企业网的应用会对用户接入的管理带来一定的工作量，尤其是在临时用户比较多的应用环境，管理员会面临大量开户、销户和帐号发放的操作。EAD提供了匿名认证的选项可以帮助管理员在不影响企业安全策略实施前提下，减轻对临时帐户的管理工作量。

EAD初期部署时有效降低维护工作量，快速满足安全接入需求

       EAD部署初期，往往面临大量的用户帐号的开户与发放，工作量大且容易遗漏，这样往往造成部分用户无法及时获取帐户而不能正常接入网络，造成部分用户对IT服务水平的不满。此时，管理员可以通过启用匿名用户认证，并为匿名用户设置合适的安全策略（比如限制资源访问权限）。终端用户可以使用匿名认证进行网络接入，并接受EAD客户端的安全检查和防护，在保障企业安全策略正常实施的前提下，提升用户对IT服务水平的满意度。在EAD部署和运行基本稳定后，可以根据企业自身要求禁用匿名认证。

临时/来访用户使用匿名认证，减轻开销户的维护工作量

    企业中不可避免会存在一些临时/来访用户，管理员不得不经常为此类用户进行开户操作，还要以各种方式告知用户其上网帐号和密码，在用户帐号使用完毕后还要及时销户以防止无效帐号过多。如果启用匿名认证，并为匿名认证设置安全策略并进行合理的端口绑定或批量MAC绑定，则可以轻松的管理临时/来访用户，在合理分配网络资源访问权限和安全策略控制的前提下，减轻开销户的维护工作量，提高IT管理的效率。

特殊用户采用匿名认证，满足特殊用户的易用性要求

    企业中的部分特殊用户可能对于记忆用户名、密码上网存在抵触情绪，往往会对EAD部署和安全策略的推行产生负面影响。此时，管理员可以启用匿名认证，同时协助特殊用户设置匿名认证连接为自动认证，这样，特殊用户在开启计算机后自动完成认证，在正常情况下基本感觉不到接入认证过程的存在，既避免了特殊用户记忆用户名、密码的繁琐，又提高了EAD接入的易用性。在这种情况下，为了防止滥用匿名帐户，一般必须对匿名帐户进行端口或MAC绑定。

2.4      高可用性解决方案

在EAD解决方案中，EAD安全策略服务器是全网终端进行认证和保持状态的关键模块，是整体解决方案的核心中枢。因此，EAD解决方案的高可靠性，重点聚焦于EAD服务器核心中枢的高可靠、高稳定运行。而双机冷备和双机热备方案的提出和运用，为EAD高可靠性解决方案提供了重要技术保障。

双机系统是指，至少两台计算机实现计算机备份冗余的方案，从而可实现应用的高可靠性。在典型的双机系统中，每个节点都是运行其自己进程的一个独立服务器，这些进程可以彼此通信，对网络客户机来说就像是形成了一个单一系统，协同起来向用户提供应用程序、系统资源和数据。它对外仅提供网络服务或应用程序（包括数据库、Web 服务和文件服务）的单一客户视图，与传统的单一服务器系统相比，它有几个优点，包括对高可用性和可伸缩性应用程序的支持、适应模块化增长的容量。

利用冷备及热备技术，再配合支持多计算机系统的群集软件，结合磁盘阵列（或IP SAN架构服务器）本身的高可靠性，EAD高可靠性方案可以一体化保证从网络、到计算、再到存储的端到端高可靠性，保证EAD关键安全策略服务器的稳定运行，为用户认证及终端安全管理提供有力的保障。

2.4.1 双机冷备

如图所示，当主EAD服务器出现故障时，交换机与EAD服务器之间通讯中断，发出的认证请求在一定时间内未收到响应。经过缺省的重试次数后，交换机自动将认证请求发往备EAD服务器，同时将主服务器状态置为block。等待一定的时间间隔后，再次尝试将认证请求发往主EAD服务器，若通讯恢复则立即将主服务器状态置为active，从服务器状态不变。

为了保证主EAD服务器和备EAD服务器上保存的帐户信息同步，EAD系统提供了数据库自动同步功能，每间隔24小时主EAD服务器和备EAD服务器会进行一次数据库同步。若有紧急需要也可手动立即执行数据库同步。

2.4.2  双机热备

如图所示，在两台EAD Server之间通过群集软件完成两台计算机的群集管理。在热备方案中，群集管理软件（SunCluster或Windows群集管理器）对两台计算机进行群集管理起到至关重要的作用。对于iNode智能客户端而言，两台经过群集的主机就相当于一台主机，对外提供同一个访问地址。所有的iNode智能客户端在进行认证和相关的报文传输，都对此虚拟主机进行交互。

同时，为了对数据进行有效的保护，EAD高可靠性方案同时要确定磁盘的冗余备份方案，以防止或避免单点故障对系统运行造成的影响。EAD方案建议采用磁盘阵列存储应用和数据库的数据（也可以使用IX1000T的IPSAN 架构服务器），在此基础上，两台互为备份的计算机可以共享一个磁盘空间，一旦一台计算机出现问题，则可以快速通过另一台计算机接管所有的数据报文的处理。

2.4.3  逃生

如图所示，逃生是一种低成本的高可用性方案，适合资金预算有限的中小型网络用户。实施逃生时，需要一台普通PC安装逃生工具，同时需要在接入设备上备份的Radius服务器的IP地址（指向安装逃生工具的PC）。

当EAD主服务器无法正确响应认证请求时，如数据库出问题、机器宕掉、认证进程出错等，将会造成大量用户无法上线。如果事先配置了备份Radius服务器的IP，此时设备会自动转向安装有逃生工具的PC。而PC上的逃生进程对所有的认证请求都直接批准，不管用户是否存在，密码是否正确，这样就避免了主服务器出问题而影响用户使用网络。