圖1 EAD解決方案端點(diǎn)準(zhǔn)入防御應(yīng)用模型圖
　　l 身份驗(yàn)證：用戶終端接入網(wǎng)絡(luò)時(shí)，首先進(jìn)行用戶身份認(rèn)證，非法用戶將被拒絕接入網(wǎng)絡(luò)。目前EAD解決方案支持802.1x，Portal認(rèn)證。
　　l 安全檢查：身份認(rèn)證通過后進(jìn)行終端安全檢查，由EAD安全策略服務(wù)器驗(yàn)證用戶終端的安全狀態(tài)(包括補(bǔ)丁版本、病毒庫(kù)版本、軟件安裝、系統(tǒng)服務(wù)、注冊(cè)表、是否登錄密碼為弱密碼等)是否合格。
　　l 安全隔離：不合格的終端將被安全聯(lián)動(dòng)設(shè)備通過ACL策略限制在隔離區(qū)進(jìn)行安全修復(fù)。
　　l 安全修復(fù)：進(jìn)入隔離區(qū)的用戶可以進(jìn)行補(bǔ)丁、病毒庫(kù)的升級(jí)、卸載非法軟件和停止非法服務(wù)等操作，直到安全狀態(tài)合格。
　　l 動(dòng)態(tài)授權(quán)：如果用戶身份驗(yàn)證、安全檢查都通過，則EAD安全策略服務(wù)器將預(yù)先配置的該用戶的權(quán)限信息(包括網(wǎng)絡(luò)訪問權(quán)限等)下發(fā)給安全聯(lián)動(dòng)設(shè)備，由安全聯(lián)動(dòng)設(shè)備實(shí)現(xiàn)按用戶身份的權(quán)限控制。
　　l 實(shí)時(shí)監(jiān)控：在用戶網(wǎng)絡(luò)使用過程中，安全客戶端根據(jù)安全策略服務(wù)器下發(fā)的監(jiān)控策略，實(shí)時(shí)監(jiān)控用戶終端的安全狀態(tài)，一旦發(fā)現(xiàn)用戶終端安全狀態(tài)不符合企業(yè)安全策略，則向EAD安全策略服務(wù)器上報(bào)安全事件，由EAD安全策略服務(wù)器按照預(yù)定義的安全策略，采取相應(yīng)的控制措施，比如通知安全聯(lián)動(dòng)設(shè)備隔離用戶。
　　

                                           　　圖2 EAD安全準(zhǔn)入流程圖
　　1.2.2 EAD端點(diǎn)準(zhǔn)入防御方案特點(diǎn)
　　安全狀態(tài)評(píng)估
　　Ø 終端補(bǔ)丁檢測(cè)：評(píng)估客戶端的補(bǔ)丁安裝是否合格，可以檢測(cè)的補(bǔ)丁包括：操作系統(tǒng)(Windows 2000/XP/2003等，不包括Windows 98)等符合微軟補(bǔ)丁規(guī)范的熱補(bǔ)丁。
　　Ø 安全客戶端版本檢測(cè)：可以檢測(cè)安全客戶端iNode Client的版本，防止使用不具備安全檢測(cè)能力的客戶端接入網(wǎng)絡(luò)，同時(shí)支持客戶端自動(dòng)升級(jí)。
　　Ø 安全狀態(tài)定時(shí)評(píng)估：安全客戶端可以定時(shí)檢測(cè)用戶安全狀態(tài)，防止用戶上網(wǎng)過程中因安全狀態(tài)發(fā)生變化而造成的與安全策略的不一致。
　　Ø 自動(dòng)補(bǔ)丁管理：提供與微軟WSUS/SMS(全稱：Windows Server Update Services/System Management Server)協(xié)同的自動(dòng)補(bǔ)丁管理，當(dāng)用戶補(bǔ)丁不合格時(shí)，自動(dòng)安裝補(bǔ)丁。
　　Ø
終端運(yùn)行狀態(tài)實(shí)時(shí)檢測(cè)：可以對(duì)上線用戶終端的系統(tǒng)信息進(jìn)行實(shí)時(shí)檢測(cè)，包括已安裝程序列表、已安裝補(bǔ)丁列表、已運(yùn)行進(jìn)程列表、共享目錄信息、分區(qū)表、屏保設(shè)置和已啟動(dòng)服務(wù)列表等。
　　Ø
防病毒聯(lián)動(dòng)：主要包含兩個(gè)方面，一是端點(diǎn)用戶接入網(wǎng)絡(luò)時(shí)，檢查其計(jì)算機(jī)上防病毒軟件的安裝運(yùn)行情況以及病毒庫(kù)和掃描引擎版本是否符合安全要求等，不符合安全要求可以根據(jù)策略阻止用戶接入網(wǎng)絡(luò)或?qū)⑵湓L問限制在隔離區(qū);二是端點(diǎn)用戶接入網(wǎng)絡(luò)后，EAD定期檢查防病毒軟件的運(yùn)行狀態(tài)，如果發(fā)現(xiàn)不符合安全要求可以根據(jù)策略強(qiáng)制讓用戶下線或?qū)⑵湓L問限制在隔離區(qū)。
　　聯(lián)動(dòng)方式目前包括強(qiáng)聯(lián)動(dòng)和弱聯(lián)動(dòng)，強(qiáng)聯(lián)動(dòng)需要防病毒軟件廠商提供聯(lián)動(dòng)插件，iNode客戶端通過該聯(lián)動(dòng)插件完成對(duì)防病毒軟件的運(yùn)行狀態(tài)檢查以及行為控制。弱聯(lián)動(dòng)不需要防病毒廠商提供聯(lián)動(dòng)插件，iNode客戶端通過其他方式實(shí)現(xiàn)對(duì)防病毒軟件的運(yùn)行狀態(tài)檢查以及行為控制。當(dāng)前支持的強(qiáng)AV聯(lián)動(dòng)支持的防病毒軟件有：瑞星、金山和江民。當(dāng)前支持的弱AV聯(lián)動(dòng)支持的防病毒軟件有：諾頓、趨勢(shì)、McAfee
、安博士、CA安全甲胄、VRV、卡巴斯基等。
　　Ø ARP防火墻：iNode客戶端將截獲用戶的ARP報(bào)文，并且根據(jù)如下原則判斷是否是非法ARP報(bào)文：
　　n 發(fā)出的ARP報(bào)文必須滿足：
　?、僖蕴W(wǎng)源地址=發(fā)送端以太網(wǎng)地址=本機(jī)發(fā)包網(wǎng)卡的MAC地址
　?、诎l(fā)送端IP地址=本機(jī)發(fā)包網(wǎng)卡的IP地址
　?、墼跐M足上面兩條的前提下判斷是否是ARP請(qǐng)求報(bào)文，如果是請(qǐng)求報(bào)文必須滿足是廣播報(bào)文。
　　n 接收的ARP報(bào)文必須滿足：
　?、僖蕴W(wǎng)源地址=發(fā)送端以太網(wǎng)地址。
　　如果iNode發(fā)現(xiàn)報(bào)文為非法ARP報(bào)文，那么將會(huì)對(duì)報(bào)文做丟棄處理。
　　用戶權(quán)限管理
　　Ø
強(qiáng)身份認(rèn)證：在用戶身份認(rèn)證時(shí)，可綁定用戶接入IP、MAC、接入設(shè)備IP、端口和VLAN等信息，進(jìn)行強(qiáng)身份認(rèn)證，防止帳號(hào)盜用、限定帳號(hào)所使用的終端，確保接入用戶的身份安全。
　　Ø “危險(xiǎn)”用戶隔離：對(duì)于安全狀態(tài)評(píng)估不合格的用戶，可以限制其訪問權(quán)限(通過ACL隔離)，使其只能訪問防病毒服務(wù)器、補(bǔ)丁服務(wù)器等用于系統(tǒng)修復(fù)的網(wǎng)絡(luò)資源。
　　Ø “危險(xiǎn)”用戶在線隔離：用戶上網(wǎng)過程中安全狀態(tài)發(fā)生變化造成與安全策略不一致時(shí)(如感染不能殺除的病毒)，EAD可以在線隔離并通知用戶。
　　Ø
軟件安裝和運(yùn)行檢測(cè)：檢測(cè)終端軟件的安裝和運(yùn)行狀態(tài)?？梢韵拗平尤刖W(wǎng)絡(luò)的用戶必須安裝、運(yùn)行或禁止安裝、運(yùn)行其中某些軟件。對(duì)于不符合安全策略的用戶可以記錄日志、提醒或隔離。
　　Ø 支持匿名認(rèn)證：iNode客戶端與EAD安全策略服務(wù)器配合提供用戶匿名認(rèn)證功能，用戶不需要輸入用戶名、密碼即可完成身份認(rèn)證和安全認(rèn)證。
　　Ø 接入時(shí)間、區(qū)域控制：可以限制用戶只能在允許的時(shí)間和地點(diǎn)(接入設(shè)備和端口)上網(wǎng)。
　　Ø 限制終端用戶使用多網(wǎng)卡和撥號(hào)網(wǎng)絡(luò)：防止用戶終端成為內(nèi)外網(wǎng)互訪的橋梁，避免因此可能造成的信息安全問題。
　　Ø 代理限制：可以限制用戶使用和設(shè)置代理服務(wù)器。
　　用戶行為監(jiān)控
　　Ø
終端強(qiáng)制或提醒修復(fù)：強(qiáng)制或提醒不符合安全策略的終端用戶主機(jī)進(jìn)行防病毒軟件升級(jí)，病毒庫(kù)升級(jí)，補(bǔ)丁安裝;目前只支持手工方式(金山的客戶端可以與系統(tǒng)中心做自動(dòng)升級(jí))。
　　Ø 安全狀態(tài)監(jiān)控：定時(shí)監(jiān)控終端用戶的安全狀態(tài)，發(fā)現(xiàn)感染病毒后根據(jù)安全策略可將其限制到隔離區(qū)。
　　Ø 安全日志審計(jì)：定時(shí)收集客戶端的實(shí)時(shí)安全狀態(tài)并記錄日志;查詢用戶的安全狀態(tài)日志、安全事件日志以及在線用戶的安全狀態(tài)。
　　Ø 強(qiáng)制用戶下線：管理員可以強(qiáng)制行為“可疑”的用戶下線。
　　1.2.3 桌面資產(chǎn)管理方案介紹
　　EAD解決方案不僅能夠?qū)τ脩舻亩它c(diǎn)準(zhǔn)入安全進(jìn)行管理，而且能夠?qū)τ脩艟W(wǎng)絡(luò)中的資產(chǎn)進(jìn)行管理和控制，其基本的功能包括：資產(chǎn)管理、軟件分發(fā)。
　　桌面資產(chǎn)管理應(yīng)用模型如下：
　　

                                           　　圖3 桌面資產(chǎn)管理應(yīng)用模型
　　桌面資產(chǎn)管理的應(yīng)用流程如下圖所示：
　　

                                               　　圖4 桌面資產(chǎn)管理工作流程
　　身份驗(yàn)證及安全認(rèn)證：EAD的桌面資產(chǎn)管理功能是與EAD的端點(diǎn)準(zhǔn)入功能緊密結(jié)合的：在安全認(rèn)證成功之后，服務(wù)器將DAM服務(wù)器的地址和端口下發(fā)給DAM客戶端。作為另外一種選擇，DAM服務(wù)器的地址和端口，也可以采用iNode客戶端管理中心定制指定。
　　資產(chǎn)上線：資產(chǎn)上線分成幾種情況：
　　1、已管理資產(chǎn)的上線：服務(wù)器根據(jù)客戶端上傳的資產(chǎn)編號(hào)找到資產(chǎn)記錄即回應(yīng)確認(rèn)信息，客戶端之后請(qǐng)求資產(chǎn)策略，服務(wù)器回應(yīng)資產(chǎn)策略給客戶端。
　　2、客戶端注冊(cè)方式的新資產(chǎn)(該資產(chǎn)由管理員增加)上線：服務(wù)端要求客戶端輸入資產(chǎn)編號(hào)，客戶端提交后，服務(wù)端根據(jù)資產(chǎn)編號(hào)找到資產(chǎn)信息，發(fā)給客戶端確認(rèn)，確認(rèn)后服務(wù)端將該資產(chǎn)置為已管理狀態(tài)，回應(yīng)確認(rèn)信息，客戶端之后請(qǐng)求資產(chǎn)策略，服務(wù)器回應(yīng)資產(chǎn)策略給客戶端。
　　3、服務(wù)器自動(dòng)生成新資產(chǎn)方式的上線：服務(wù)端根據(jù)客戶端上傳的資產(chǎn)指紋信息生成新資產(chǎn)編號(hào);客戶端彈出資產(chǎn)信息錄入界面并由用戶錄入，之后上傳給服務(wù)端，服務(wù)端回應(yīng)確認(rèn)信息，客戶端之后請(qǐng)求資產(chǎn)策略，服務(wù)器回應(yīng)資產(chǎn)策略給客戶端。
　　4、重裝操作系統(tǒng)之后的客戶端上線：服務(wù)端根據(jù)客戶端傳遞過來的指紋信息找到已有的資產(chǎn)記錄，之后回應(yīng)資產(chǎn)信息給客戶端;客戶端用戶確認(rèn)服務(wù)器返回的資產(chǎn)信息與自己的資產(chǎn)相匹配，之后，客戶端發(fā)送確認(rèn)報(bào)文給服務(wù)端;服務(wù)端確認(rèn)后將正在上線的資產(chǎn)與自身已有記錄關(guān)聯(lián)起來;服務(wù)端回應(yīng)確認(rèn)信息，客戶端之后請(qǐng)求資產(chǎn)策略，服務(wù)器回應(yīng)資產(chǎn)策略給客戶端。
　　5、安裝了多操作系統(tǒng)的資產(chǎn)上線：用戶啟動(dòng)一個(gè)操作系統(tǒng)并上線成功后，在另一個(gè)操作系統(tǒng)下又發(fā)起上線請(qǐng)求;服務(wù)端發(fā)現(xiàn)多操作系統(tǒng)情況，將只允許最后安裝的操作系統(tǒng)的客戶端可以上線;服務(wù)端回應(yīng)確認(rèn)信息，客戶端之后請(qǐng)求資產(chǎn)策略，服務(wù)器回應(yīng)資產(chǎn)策略給客戶端。
　　資產(chǎn)信息上報(bào)：客戶端獲取本地資產(chǎn)信息，保存到本地，并上報(bào)給服務(wù)端;客戶端定期會(huì)掃描本地資產(chǎn)信息，如發(fā)現(xiàn)有變更，更新本地保存的資產(chǎn)文件，同時(shí)將資產(chǎn)變更信息上報(bào)給服務(wù)端。
　　USB使用信息上報(bào)：客戶端實(shí)時(shí)監(jiān)測(cè)USB插入情況，如果有USB插入、向USB中寫入文件、或者拔出USB，都會(huì)寫入文件，客戶端定期上報(bào)USB使用信息給服務(wù)端。
　　軟件分發(fā)：服務(wù)端為資產(chǎn)創(chuàng)建分發(fā)任務(wù)，客戶端向服務(wù)端請(qǐng)求資產(chǎn)策略，服務(wù)端回應(yīng)同時(shí)，將分發(fā)任務(wù)下達(dá)給客戶端，客戶端連接到分發(fā)服務(wù)器進(jìn)行軟件下載，下載到本地之后可由用戶自行安裝，也可以自動(dòng)安裝。
　　1.2.4 桌面資產(chǎn)管理功能特點(diǎn)
　　終端資產(chǎn)管理
　　ü 基于用戶的資產(chǎn)管理：資產(chǎn)與認(rèn)證用戶相結(jié)合，支持直接查詢某個(gè)用戶資產(chǎn)狀況，也可以基于資產(chǎn)信息找到對(duì)應(yīng)的用戶，方便管理員的管理。
　　ü 資產(chǎn)編號(hào)處理：可自動(dòng)/手工生成資產(chǎn)編號(hào)，為資產(chǎn)分配責(zé)任人或自動(dòng)關(guān)聯(lián)責(zé)任人?？蓪?duì)資產(chǎn)信息進(jìn)行查詢和手工掃描。對(duì)資產(chǎn)信息上報(bào)的策略可以進(jìn)行自定義。
　　ü 支持資產(chǎn)信息的增刪改：管理員可以增加、刪除、修改資產(chǎn)信息。
　　ü 支持資產(chǎn)分組管理：對(duì)資產(chǎn)通過分組統(tǒng)一管理，默認(rèn)放置于缺省分組中。分組支持嵌套，支持分組間的資產(chǎn)轉(zhuǎn)移，方便管理。
　　ü 資產(chǎn)信息審計(jì)：可對(duì)軟硬件資產(chǎn)進(jìn)行查詢，支持按CPU、制造商、型號(hào)、操作系統(tǒng)等統(tǒng)計(jì)資產(chǎn)，便于管理員分類進(jìn)行企業(yè)資產(chǎn)盤點(diǎn)。
　　ü 資產(chǎn)變更審計(jì)：可針對(duì)資產(chǎn)變更信息進(jìn)行審計(jì)，審計(jì)內(nèi)容包含資產(chǎn)名、編號(hào)、變更類型、變更內(nèi)容、資產(chǎn)責(zé)任人、變更時(shí)間等，便于管理員及時(shí)掌握企業(yè)資產(chǎn)變動(dòng)情況。
　　ü 支持USB使用審計(jì)：支持USB插拔及使用的審計(jì)，審計(jì)內(nèi)容包括插拔時(shí)間、資產(chǎn)名、文件名、文件大小、操作時(shí)間等，便于企業(yè)安全審計(jì)。
　　ü 支持USB等外設(shè)使用控制：支持對(duì)USB、軟驅(qū)、光驅(qū)、Modem、串口、并口、1394、紅外、藍(lán)牙等外設(shè)使用的控制。
　　軟件分發(fā)
　　ü 分發(fā)任務(wù)管理：支持軟件分發(fā)任務(wù)的增加，修改，查詢和刪除以及關(guān)閉功能;可以按資產(chǎn)分組、選中單個(gè)或者多個(gè)資產(chǎn)進(jìn)行資產(chǎn)批量分發(fā)，可以自定義分發(fā)操作的時(shí)間，支持HTTP，F(xiàn)TP和文件共享三種方式的分發(fā)服務(wù)器的參數(shù)配置功能。
　　ü 軟件分發(fā)查詢：支持按照資產(chǎn)查詢軟件分發(fā)歷史，支持按照分發(fā)任務(wù)查詢每個(gè)資產(chǎn)的軟件分發(fā)狀態(tài)。
　　ü 軟件分發(fā)：支持HTTP、FTP和文件共享等三種協(xié)議的軟件分發(fā)，軟件分發(fā)給終端之后，安裝的方式可以根據(jù)管理員指定好的策略進(jìn)行靜默安裝或者普通安裝。也可支持按資產(chǎn)分組、資產(chǎn)進(jìn)行批量方式的軟件分發(fā)。
　　2 無線EAD解決方案介紹
　　無線局域網(wǎng)的安全問題主要體現(xiàn)在訪問控制和數(shù)據(jù)傳輸兩個(gè)層面。在訪問控制層面上，非授權(quán)或者非安全的客戶一旦接入網(wǎng)絡(luò)后，將會(huì)直接面對(duì)企業(yè)的核心服務(wù)器，威脅企業(yè)的核心業(yè)務(wù)，因此能對(duì)無線接入用戶進(jìn)行身份識(shí)別、安全檢查和網(wǎng)絡(luò)授權(quán)的訪問控制系統(tǒng)必不可少。
在無線網(wǎng)絡(luò)中，結(jié)合使用EAD解決方案，可以有效的滿足園區(qū)網(wǎng)的無線安全準(zhǔn)入的需求。
　　2.1 無線EAD解決方案典型組網(wǎng)-Portal認(rèn)證方式
　　

                      　　圖5 無線EAD典型組網(wǎng)-Portal方式(使用獨(dú)立無線控制器)
　　

                           　　圖6 無線EAD解決方案典型組網(wǎng)-Portal方式(使用無線控制器插卡)
　　2.1.1 組網(wǎng)特點(diǎn)介紹
　　1. FIT AP與無線控制器之間的連接可以使用二層連接，也可以使用三層連接。
　　2. 用戶接入時(shí)需要使用Windows客戶端接入無線網(wǎng)絡(luò)" title="無線網(wǎng)絡(luò)">無線網(wǎng)絡(luò)，然后使用iNode進(jìn)行Portal接入。
　　3. Portal接入控制方式使用二層Portal(匯聚交換機(jī)作為客戶端網(wǎng)關(guān))。
　　4. 在組網(wǎng)中，用戶IP地址不發(fā)生變化的情況下，可以在AP之間漫游。
　　5. 基于用戶身份的控制信息在AC上下發(fā)。
　　2.1.2 無線用戶認(rèn)證流程
　　

                                       　　圖7 無線用戶認(rèn)證流程-Portal認(rèn)證方式
　　1. 無線用戶接入企業(yè)網(wǎng)絡(luò)，根據(jù)實(shí)際需要對(duì)無線鏈路的保護(hù)可以使用WPA-PSK，WPA2-PSK等多種方式。
　　2. 在客戶端的報(bào)文發(fā)送到無線控制器后，解開LWAPP封裝，并對(duì)客戶端進(jìn)行HTTP重定向。
　　3. 在無線控制器與iMC之間交互RADIUS報(bào)文，對(duì)接入用戶進(jìn)行身份認(rèn)證。
　　4. 當(dāng)Portal認(rèn)證完成后，iMC向AC下發(fā)用戶權(quán)限控制策略。此時(shí)用戶被隔離在隔離區(qū)，等待安全認(rèn)證。
　　5. iMC通知客戶端身份認(rèn)證成功，進(jìn)行安全認(rèn)證。
　　6. 客戶端進(jìn)行安全認(rèn)證。
　　7. 通過安全認(rèn)證后，對(duì)用戶下發(fā)基于用戶身份的安全控制策略。
　　2.1.3 無線EAD典型組網(wǎng)實(shí)施效果
　　1.在無線控制器上進(jìn)行Portal認(rèn)證，在無線用戶通過身份認(rèn)證之前，只能訪問無線控制上指定的資源。
　　2.合法用戶接入網(wǎng)絡(luò)后，其訪問權(quán)限受在無線控制器上下發(fā)的基于用戶的ACL控制。特定的服務(wù)器只能由被授權(quán)的用戶訪問。
　　3.用戶正常接入網(wǎng)絡(luò)前，必須通過安全客戶端的安全檢查，確保沒有感染病毒且病毒庫(kù)版本和補(bǔ)丁得到及時(shí)升級(jí)。降低了病毒和遠(yuǎn)程攻擊對(duì)企業(yè)網(wǎng)帶來的安全風(fēng)險(xiǎn)。
　　4.通過使用iNode客戶端，可對(duì)用戶的終端使用行為進(jìn)行嚴(yán)格管理，比如禁止設(shè)置代理服務(wù)器、禁用雙網(wǎng)卡等。
　　5.如果在相同AC的AP間漫游時(shí)用戶IP未發(fā)生變化，則無需再次進(jìn)行用戶身份認(rèn)證。
　　2.1.4 無線EAD典型組網(wǎng)中涉及的設(shè)備
　　在網(wǎng)絡(luò)中部署無線EAD的典型組網(wǎng)，需要配置如下設(shè)備：
　　.無線控制器：
　　H3C" title="H3C">H3C WX3024
　　H3C WX5002
　　H3C WX6103，H3C LSQM1WCMB0，H3C LSBM1WCM2A0
　　.AP：
　　H3C WA2110-AG
　　H3C WA2210-AG
　　H3C WA2220-AG
　　H3C WA1208E
　　.策略服務(wù)器：
　　H3C iMC/CAMS
　　.n 認(rèn)證客戶端：
　　H3C iNode