圖1 EAD解決方案端點準(zhǔn)入防御應(yīng)用模型圖
　　l 身份驗證：用戶終端接入網(wǎng)絡(luò)時，首先進行用戶身份認證，非法用戶將被拒絕接入網(wǎng)絡(luò)。目前EAD解決方案支持802.1x，Portal認證。
　　l 安全檢查：身份認證通過后進行終端安全檢查，由EAD安全策略服務(wù)器驗證用戶終端的安全狀態(tài)(包括補丁版本、病毒庫版本、軟件安裝、系統(tǒng)服務(wù)、注冊表、是否登錄密碼為弱密碼等)是否合格。
　　l 安全隔離：不合格的終端將被安全聯(lián)動設(shè)備通過ACL策略限制在隔離區(qū)進行安全修復(fù)。
　　l 安全修復(fù)：進入隔離區(qū)的用戶可以進行補丁、病毒庫的升級、卸載非法軟件和停止非法服務(wù)等操作，直到安全狀態(tài)合格。
　　l 動態(tài)授權(quán)：如果用戶身份驗證、安全檢查都通過，則EAD安全策略服務(wù)器將預(yù)先配置的該用戶的權(quán)限信息(包括網(wǎng)絡(luò)訪問權(quán)限等)下發(fā)給安全聯(lián)動設(shè)備，由安全聯(lián)動設(shè)備實現(xiàn)按用戶身份的權(quán)限控制。
　　l 實時監(jiān)控：在用戶網(wǎng)絡(luò)使用過程中，安全客戶端根據(jù)安全策略服務(wù)器下發(fā)的監(jiān)控策略，實時監(jiān)控用戶終端的安全狀態(tài)，一旦發(fā)現(xiàn)用戶終端安全狀態(tài)不符合企業(yè)安全策略，則向EAD安全策略服務(wù)器上報安全事件，由EAD安全策略服務(wù)器按照預(yù)定義的安全策略，采取相應(yīng)的控制措施，比如通知安全聯(lián)動設(shè)備隔離用戶。
　　

                                           　　圖2 EAD安全準(zhǔn)入流程圖
　　1.2.2 EAD端點準(zhǔn)入防御方案特點
　　安全狀態(tài)評估
　　Ø 終端補丁檢測：評估客戶端的補丁安裝是否合格，可以檢測的補丁包括：操作系統(tǒng)(Windows 2000/XP/2003等，不包括Windows 98)等符合微軟補丁規(guī)范的熱補丁。
　　Ø 安全客戶端版本檢測：可以檢測安全客戶端iNode Client的版本，防止使用不具備安全檢測能力的客戶端接入網(wǎng)絡(luò)，同時支持客戶端自動升級。
　　Ø 安全狀態(tài)定時評估：安全客戶端可以定時檢測用戶安全狀態(tài)，防止用戶上網(wǎng)過程中因安全狀態(tài)發(fā)生變化而造成的與安全策略的不一致。
　　Ø 自動補丁管理：提供與微軟WSUS/SMS(全稱：Windows Server Update Services/System Management Server)協(xié)同的自動補丁管理，當(dāng)用戶補丁不合格時，自動安裝補丁。
　　Ø
終端運行狀態(tài)實時檢測：可以對上線用戶終端的系統(tǒng)信息進行實時檢測，包括已安裝程序列表、已安裝補丁列表、已運行進程列表、共享目錄信息、分區(qū)表、屏保設(shè)置和已啟動服務(wù)列表等。
　　Ø
防病毒聯(lián)動：主要包含兩個方面，一是端點用戶接入網(wǎng)絡(luò)時，檢查其計算機上防病毒軟件的安裝運行情況以及病毒庫和掃描引擎版本是否符合安全要求等，不符合安全要求可以根據(jù)策略阻止用戶接入網(wǎng)絡(luò)或?qū)⑵湓L問限制在隔離區(qū);二是端點用戶接入網(wǎng)絡(luò)后，EAD定期檢查防病毒軟件的運行狀態(tài)，如果發(fā)現(xiàn)不符合安全要求可以根據(jù)策略強制讓用戶下線或?qū)⑵湓L問限制在隔離區(qū)。
　　聯(lián)動方式目前包括強聯(lián)動和弱聯(lián)動，強聯(lián)動需要防病毒軟件廠商提供聯(lián)動插件，iNode客戶端通過該聯(lián)動插件完成對防病毒軟件的運行狀態(tài)檢查以及行為控制。弱聯(lián)動不需要防病毒廠商提供聯(lián)動插件，iNode客戶端通過其他方式實現(xiàn)對防病毒軟件的運行狀態(tài)檢查以及行為控制。當(dāng)前支持的強AV聯(lián)動支持的防病毒軟件有：瑞星、金山和江民。當(dāng)前支持的弱AV聯(lián)動支持的防病毒軟件有：諾頓、趨勢、McAfee
、安博士、CA安全甲胄、VRV、卡巴斯基等。
　　Ø ARP防火墻：iNode客戶端將截獲用戶的ARP報文，并且根據(jù)如下原則判斷是否是非法ARP報文：
　　n 發(fā)出的ARP報文必須滿足：
　?、僖蕴W(wǎng)源地址=發(fā)送端以太網(wǎng)地址=本機發(fā)包網(wǎng)卡的MAC地址
　?、诎l(fā)送端IP地址=本機發(fā)包網(wǎng)卡的IP地址
　?、墼跐M足上面兩條的前提下判斷是否是ARP請求報文，如果是請求報文必須滿足是廣播報文。
　　n 接收的ARP報文必須滿足：
　?、僖蕴W(wǎng)源地址=發(fā)送端以太網(wǎng)地址。
　　如果iNode發(fā)現(xiàn)報文為非法ARP報文，那么將會對報文做丟棄處理。
　　用戶權(quán)限管理
　　Ø
強身份認證：在用戶身份認證時，可綁定用戶接入IP、MAC、接入設(shè)備IP、端口和VLAN等信息，進行強身份認證，防止帳號盜用、限定帳號所使用的終端，確保接入用戶的身份安全。
　　Ø “危險”用戶隔離：對于安全狀態(tài)評估不合格的用戶，可以限制其訪問權(quán)限(通過ACL隔離)，使其只能訪問防病毒服務(wù)器、補丁服務(wù)器等用于系統(tǒng)修復(fù)的網(wǎng)絡(luò)資源。
　　Ø “危險”用戶在線隔離：用戶上網(wǎng)過程中安全狀態(tài)發(fā)生變化造成與安全策略不一致時(如感染不能殺除的病毒)，EAD可以在線隔離并通知用戶。
　　Ø
軟件安裝和運行檢測：檢測終端軟件的安裝和運行狀態(tài)?？梢韵拗平尤刖W(wǎng)絡(luò)的用戶必須安裝、運行或禁止安裝、運行其中某些軟件。對于不符合安全策略的用戶可以記錄日志、提醒或隔離。
　　Ø 支持匿名認證：iNode客戶端與EAD安全策略服務(wù)器配合提供用戶匿名認證功能，用戶不需要輸入用戶名、密碼即可完成身份認證和安全認證。
　　Ø 接入時間、區(qū)域控制：可以限制用戶只能在允許的時間和地點(接入設(shè)備和端口)上網(wǎng)。
　　Ø 限制終端用戶使用多網(wǎng)卡和撥號網(wǎng)絡(luò)：防止用戶終端成為內(nèi)外網(wǎng)互訪的橋梁，避免因此可能造成的信息安全問題。
　　Ø 代理限制：可以限制用戶使用和設(shè)置代理服務(wù)器。
　　用戶行為監(jiān)控
　　Ø
終端強制或提醒修復(fù)：強制或提醒不符合安全策略的終端用戶主機進行防病毒軟件升級，病毒庫升級，補丁安裝;目前只支持手工方式(金山的客戶端可以與系統(tǒng)中心做自動升級)。
　　Ø 安全狀態(tài)監(jiān)控：定時監(jiān)控終端用戶的安全狀態(tài)，發(fā)現(xiàn)感染病毒后根據(jù)安全策略可將其限制到隔離區(qū)。
　　Ø 安全日志審計：定時收集客戶端的實時安全狀態(tài)并記錄日志;查詢用戶的安全狀態(tài)日志、安全事件日志以及在線用戶的安全狀態(tài)。
　　Ø 強制用戶下線：管理員可以強制行為“可疑”的用戶下線。
　　1.2.3 桌面資產(chǎn)管理方案介紹
　　EAD解決方案不僅能夠?qū)τ脩舻亩它c準(zhǔn)入安全進行管理，而且能夠?qū)τ脩艟W(wǎng)絡(luò)中的資產(chǎn)進行管理和控制，其基本的功能包括：資產(chǎn)管理、軟件分發(fā)。
　　桌面資產(chǎn)管理應(yīng)用模型如下：
　　

                                           　　圖3 桌面資產(chǎn)管理應(yīng)用模型
　　桌面資產(chǎn)管理的應(yīng)用流程如下圖所示：
　　

                                               　　圖4 桌面資產(chǎn)管理工作流程
　　身份驗證及安全認證：EAD的桌面資產(chǎn)管理功能是與EAD的端點準(zhǔn)入功能緊密結(jié)合的：在安全認證成功之后，服務(wù)器將DAM服務(wù)器的地址和端口下發(fā)給DAM客戶端。作為另外一種選擇，DAM服務(wù)器的地址和端口，也可以采用iNode客戶端管理中心定制指定。
　　資產(chǎn)上線：資產(chǎn)上線分成幾種情況：
　　1、已管理資產(chǎn)的上線：服務(wù)器根據(jù)客戶端上傳的資產(chǎn)編號找到資產(chǎn)記錄即回應(yīng)確認信息，客戶端之后請求資產(chǎn)策略，服務(wù)器回應(yīng)資產(chǎn)策略給客戶端。
　　2、客戶端注冊方式的新資產(chǎn)(該資產(chǎn)由管理員增加)上線：服務(wù)端要求客戶端輸入資產(chǎn)編號，客戶端提交后，服務(wù)端根據(jù)資產(chǎn)編號找到資產(chǎn)信息，發(fā)給客戶端確認，確認后服務(wù)端將該資產(chǎn)置為已管理狀態(tài)，回應(yīng)確認信息，客戶端之后請求資產(chǎn)策略，服務(wù)器回應(yīng)資產(chǎn)策略給客戶端。
　　3、服務(wù)器自動生成新資產(chǎn)方式的上線：服務(wù)端根據(jù)客戶端上傳的資產(chǎn)指紋信息生成新資產(chǎn)編號;客戶端彈出資產(chǎn)信息錄入界面并由用戶錄入，之后上傳給服務(wù)端，服務(wù)端回應(yīng)確認信息，客戶端之后請求資產(chǎn)策略，服務(wù)器回應(yīng)資產(chǎn)策略給客戶端。
　　4、重裝操作系統(tǒng)之后的客戶端上線：服務(wù)端根據(jù)客戶端傳遞過來的指紋信息找到已有的資產(chǎn)記錄，之后回應(yīng)資產(chǎn)信息給客戶端;客戶端用戶確認服務(wù)器返回的資產(chǎn)信息與自己的資產(chǎn)相匹配，之后，客戶端發(fā)送確認報文給服務(wù)端;服務(wù)端確認后將正在上線的資產(chǎn)與自身已有記錄關(guān)聯(lián)起來;服務(wù)端回應(yīng)確認信息，客戶端之后請求資產(chǎn)策略，服務(wù)器回應(yīng)資產(chǎn)策略給客戶端。
　　5、安裝了多操作系統(tǒng)的資產(chǎn)上線：用戶啟動一個操作系統(tǒng)并上線成功后，在另一個操作系統(tǒng)下又發(fā)起上線請求;服務(wù)端發(fā)現(xiàn)多操作系統(tǒng)情況，將只允許最后安裝的操作系統(tǒng)的客戶端可以上線;服務(wù)端回應(yīng)確認信息，客戶端之后請求資產(chǎn)策略，服務(wù)器回應(yīng)資產(chǎn)策略給客戶端。
　　資產(chǎn)信息上報：客戶端獲取本地資產(chǎn)信息，保存到本地，并上報給服務(wù)端;客戶端定期會掃描本地資產(chǎn)信息，如發(fā)現(xiàn)有變更，更新本地保存的資產(chǎn)文件，同時將資產(chǎn)變更信息上報給服務(wù)端。
　　USB使用信息上報：客戶端實時監(jiān)測USB插入情況，如果有USB插入、向USB中寫入文件、或者拔出USB，都會寫入文件，客戶端定期上報USB使用信息給服務(wù)端。
　　軟件分發(fā)：服務(wù)端為資產(chǎn)創(chuàng)建分發(fā)任務(wù)，客戶端向服務(wù)端請求資產(chǎn)策略，服務(wù)端回應(yīng)同時，將分發(fā)任務(wù)下達給客戶端，客戶端連接到分發(fā)服務(wù)器進行軟件下載，下載到本地之后可由用戶自行安裝，也可以自動安裝。
　　1.2.4 桌面資產(chǎn)管理功能特點
　　終端資產(chǎn)管理
　　ü 基于用戶的資產(chǎn)管理：資產(chǎn)與認證用戶相結(jié)合，支持直接查詢某個用戶資產(chǎn)狀況，也可以基于資產(chǎn)信息找到對應(yīng)的用戶，方便管理員的管理。
　　ü 資產(chǎn)編號處理：可自動/手工生成資產(chǎn)編號，為資產(chǎn)分配責(zé)任人或自動關(guān)聯(lián)責(zé)任人。可對資產(chǎn)信息進行查詢和手工掃描。對資產(chǎn)信息上報的策略可以進行自定義。
　　ü 支持資產(chǎn)信息的增刪改：管理員可以增加、刪除、修改資產(chǎn)信息。
　　ü 支持資產(chǎn)分組管理：對資產(chǎn)通過分組統(tǒng)一管理，默認放置于缺省分組中。分組支持嵌套，支持分組間的資產(chǎn)轉(zhuǎn)移，方便管理。
　　ü 資產(chǎn)信息審計：可對軟硬件資產(chǎn)進行查詢，支持按CPU、制造商、型號、操作系統(tǒng)等統(tǒng)計資產(chǎn)，便于管理員分類進行企業(yè)資產(chǎn)盤點。
　　ü 資產(chǎn)變更審計：可針對資產(chǎn)變更信息進行審計，審計內(nèi)容包含資產(chǎn)名、編號、變更類型、變更內(nèi)容、資產(chǎn)責(zé)任人、變更時間等，便于管理員及時掌握企業(yè)資產(chǎn)變動情況。
　　ü 支持USB使用審計：支持USB插拔及使用的審計，審計內(nèi)容包括插拔時間、資產(chǎn)名、文件名、文件大小、操作時間等，便于企業(yè)安全審計。
　　ü 支持USB等外設(shè)使用控制：支持對USB、軟驅(qū)、光驅(qū)、Modem、串口、并口、1394、紅外、藍牙等外設(shè)使用的控制。
　　軟件分發(fā)
　　ü 分發(fā)任務(wù)管理：支持軟件分發(fā)任務(wù)的增加，修改，查詢和刪除以及關(guān)閉功能;可以按資產(chǎn)分組、選中單個或者多個資產(chǎn)進行資產(chǎn)批量分發(fā)，可以自定義分發(fā)操作的時間，支持HTTP，F(xiàn)TP和文件共享三種方式的分發(fā)服務(wù)器的參數(shù)配置功能。
　　ü 軟件分發(fā)查詢：支持按照資產(chǎn)查詢軟件分發(fā)歷史，支持按照分發(fā)任務(wù)查詢每個資產(chǎn)的軟件分發(fā)狀態(tài)。
　　ü 軟件分發(fā)：支持HTTP、FTP和文件共享等三種協(xié)議的軟件分發(fā)，軟件分發(fā)給終端之后，安裝的方式可以根據(jù)管理員指定好的策略進行靜默安裝或者普通安裝。也可支持按資產(chǎn)分組、資產(chǎn)進行批量方式的軟件分發(fā)。
　　2 無線EAD解決方案介紹
　　無線局域網(wǎng)的安全問題主要體現(xiàn)在訪問控制和數(shù)據(jù)傳輸兩個層面。在訪問控制層面上，非授權(quán)或者非安全的客戶一旦接入網(wǎng)絡(luò)后，將會直接面對企業(yè)的核心服務(wù)器，威脅企業(yè)的核心業(yè)務(wù)，因此能對無線接入用戶進行身份識別、安全檢查和網(wǎng)絡(luò)授權(quán)的訪問控制系統(tǒng)必不可少。
在無線網(wǎng)絡(luò)中，結(jié)合使用EAD解決方案，可以有效的滿足園區(qū)網(wǎng)的無線安全準(zhǔn)入的需求。
　　2.1 無線EAD解決方案典型組網(wǎng)-Portal認證方式
　　

                      　　圖5 無線EAD典型組網(wǎng)-Portal方式(使用獨立無線控制器)
　　

                           　　圖6 無線EAD解決方案典型組網(wǎng)-Portal方式(使用無線控制器插卡)
　　2.1.1 組網(wǎng)特點介紹
　　1. FIT AP與無線控制器之間的連接可以使用二層連接，也可以使用三層連接。
　　2. 用戶接入時需要使用Windows客戶端接入無線網(wǎng)絡(luò)" title="無線網(wǎng)絡(luò)">無線網(wǎng)絡(luò)，然后使用iNode進行Portal接入。
　　3. Portal接入控制方式使用二層Portal(匯聚交換機作為客戶端網(wǎng)關(guān))。
　　4. 在組網(wǎng)中，用戶IP地址不發(fā)生變化的情況下，可以在AP之間漫游。
　　5. 基于用戶身份的控制信息在AC上下發(fā)。
　　2.1.2 無線用戶認證流程
　　

                                       　　圖7 無線用戶認證流程-Portal認證方式
　　1. 無線用戶接入企業(yè)網(wǎng)絡(luò)，根據(jù)實際需要對無線鏈路的保護可以使用WPA-PSK，WPA2-PSK等多種方式。
　　2. 在客戶端的報文發(fā)送到無線控制器后，解開LWAPP封裝，并對客戶端進行HTTP重定向。
　　3. 在無線控制器與iMC之間交互RADIUS報文，對接入用戶進行身份認證。
　　4. 當(dāng)Portal認證完成后，iMC向AC下發(fā)用戶權(quán)限控制策略。此時用戶被隔離在隔離區(qū)，等待安全認證。
　　5. iMC通知客戶端身份認證成功，進行安全認證。
　　6. 客戶端進行安全認證。
　　7. 通過安全認證后，對用戶下發(fā)基于用戶身份的安全控制策略。
　　2.1.3 無線EAD典型組網(wǎng)實施效果
　　1.在無線控制器上進行Portal認證，在無線用戶通過身份認證之前，只能訪問無線控制上指定的資源。
　　2.合法用戶接入網(wǎng)絡(luò)后，其訪問權(quán)限受在無線控制器上下發(fā)的基于用戶的ACL控制。特定的服務(wù)器只能由被授權(quán)的用戶訪問。
　　3.用戶正常接入網(wǎng)絡(luò)前，必須通過安全客戶端的安全檢查，確保沒有感染病毒且病毒庫版本和補丁得到及時升級。降低了病毒和遠程攻擊對企業(yè)網(wǎng)帶來的安全風(fēng)險。
　　4.通過使用iNode客戶端，可對用戶的終端使用行為進行嚴(yán)格管理，比如禁止設(shè)置代理服務(wù)器、禁用雙網(wǎng)卡等。
　　5.如果在相同AC的AP間漫游時用戶IP未發(fā)生變化，則無需再次進行用戶身份認證。
　　2.1.4 無線EAD典型組網(wǎng)中涉及的設(shè)備
　　在網(wǎng)絡(luò)中部署無線EAD的典型組網(wǎng)，需要配置如下設(shè)備：
　　.無線控制器：
　　H3C" title="H3C">H3C WX3024
　　H3C WX5002
　　H3C WX6103，H3C LSQM1WCMB0，H3C LSBM1WCM2A0
　　.AP：
　　H3C WA2110-AG
　　H3C WA2210-AG
　　H3C WA2220-AG
　　H3C WA1208E
　　.策略服務(wù)器：
　　H3C iMC/CAMS
　　.n 認證客戶端：
　　H3C iNode