H3C推出的终端准入控制解决方案(EAD)提供了一个全新的、开放的安全防御体系架构,为客户带来完整的终端安全和控制方案。作为国内网络产品解决方案的主要提供商之一,H3C在自身办公环境中首先应用了自己开发并拥有独立知识产权的EAD解决方案,在企业网内部安全控制和信息安全防范方面取得了较为显著的成效。
案例规模
共6000个信息点
管理需求
- 提供多种接入方式。不管是局域网还是广域网、VPN和无线,都能够对接入的用户进行身份认证和安全状态控制。
- 身份认证。对登录网络用户进行唯一性身份认证,实现一个用户帐号对应一台或者多台计算机,且与接入公司资产相绑定;
- 信息安全。避免外来计算机随意接入涉密内部办公网络,杜绝帐户盗用、PC机盗用、MAC地址仿冒等。
- 与Norton杀毒联动。保证接入网络的用户终端没有感染病毒,且病毒库得到及时更新。
- 软件黑白名单。规范接入网络的终端必须安装、运行某些特定管理软件和防病毒客户端软件等。
- 访问权限。员工需要按照所属部门、角色划分工作和业务访问权限,不同的角色有不同的权利和责任。对于已经接入网络的用户,需要规范用户的网络行为,不同岗位的员工,其网络访问权限必须明确区分,严格控制。认证可以与公司统一的域控制器相融合,达到单点登录到域就可访问所有受限资源的目的。
- 日志审计。提供终端访问网络的详细上网日志信息和强大的管理查询功能,便于管理员定位问题和跟踪终端访问明细。
解决方案实施
针对H3C对于终端的安全防护和实际组网规划需求,EAD解决方案的综合组网如下图所示:全网在终端接入层交换机(具体设备型号见上图示例)启用802.1X议认证,客户端PC安装iNode智能客户端(以下简称iNode客户端)以及WSUS补丁管理插件,配合事先部署的Norton防病毒客户端;“隔离”服务器区分别放置了DHCP Server、微软AD域控制器和WSUS补丁服务器、Norton防病毒服务器等。
H3C北研所的办公网络拓扑示意图如下:
应用效果
- 用户身份管理及安全控制策略
为了严格控制用户的网络接入,北京研发部门和各地办事处在接入层设备处启用802.1X证,杭州基地则在网关处启用Portal认证,并且采用用户名/密码/多MAC地址绑定的身份验证策略,有效限制了用户访问网络的区域,并坚决杜绝了外来和未授权用户非法使用网络;通过EAD策略服务器系统负责同步AD域控制器中的用户信息,由管理员审核后方可开通权限。用户终端通过DHCP动态获取IP地址上网,设置接入安全策略为仅限H3C iNode智能客户端方可认证,并限制禁止终端用户私自修改MAC地址和网卡的IP地址必须使用DHCP动态获取方式,有效地防止了外来计算机入侵、MAC仿冒盗用帐号和私设IP导致IP地址冲突的情况发生。
- 终端安全管理
H3C企业内部网使用的防病毒软件是Symantec的Norton Antivirus企业版防病毒软件,为了保证防病毒客户端的正常运行,iNode客户端在用户每次登录网络时,都需要检查杀毒客户端是否正常启动、运行并且强制检查防病毒软件的版本和病毒库版本,一旦用户的终端在访问网络时出现染毒或者Norton防病毒客户端运行异常,iNode客户端会立即上报给安全策略服务器,用户终端会立即收到修复通知并被联动接入设备隔离到“隔离区”,防止带毒或者“易感”的终端接入网络诱发安全问题。
针对终端要求必须安装和运行的特定软件,管理员可以设置软件黑白名单,认证并实时检查此类软件的安装运行情况,如果有违规即刻被限制访问隔离区甚至直接断开终端网络连接。
- 员工终端访问权限控制
员工认证通过后,根据用户身份和所属部门,EAD方案将用户划分为不同的策略组(如研发类,非研发类,会议室,外来人员及临时帐号等),将其划分入不同的VLAN,并且授予用户相应的ACL访问权限,有效防止越权访问资源的发生。
与Windows AD域控制机制结合,采用成熟的802.1X与Windows域统一认证技术,实现网络接入和Windows域的单点统一登录,使得用户在登录Windows时仅需输入一次用户名密码即可获得相应的受控访问权限,方便了使用和业务流程整合。
EAD安全策略服务器与智能客户端配合可以对各种外联或代理进行禁止。无论用户采用何种方式,包括IE代理、双网卡以及内网用户通过Modem上网等都可以进行控制,以上的禁止方式,可以进行灵活选择,满足不同组网需要。
- 丰富的终端审计手段
针对用户终端的上网行为,EAD提供的详细上网明细(包括用户帐号信息,用户的IP/MAC地址,接入区域的设备IP/端口号/VLAN ID,上下线时间,上下行流量等)、安全日志(违规安全事件详细内容/发生时间及相应处理结果等)和系统日志为IT部门管理员提供了丰富的定位问题终端、解决终端网络接入问题以及系统维护的手段和方法,上网帐号与相关资产信息的绑定也为信息安全提供了事后追溯的必要依据。
