2.2.1 H3C iMC EAD终端准入控制-

3.终端准入控制功能及方案资料

EAD解决方案概述——维护网络正常秩序，助力企业核心价值H3C终端准入控制解决方案（EAD，End user Admission Domination）是全球首个推向市场的终端管理解决方案，也是国内应用最广、用户数最多的终端管理系列产品。

EAD方案为网络管理者、网络运营者和企业IT人员提供了一套系统、有效、易用的管理工具，帮助保护、管理和监控网络终端，使网络能够为企业的核心目标和核心业务服务，减少了日益复杂的网络问题和非法使用对网络用户的牵绊。

5 EAD终端准入控制解决方案EAD解决方案通过多种身份认证方式确认终端用户的合法性；通过与微软和众多防病毒厂商的配合联动，检查终端的安全漏洞、终端杀毒软件的安装和病毒库更新情况；通过黑白软件管理，约束终端安装和运行的软件；通过统一接入策略和安全策略管理，控制终端用户的网络访问权限；通过桌面资产管理，进行桌面资产注册和监控、外设管理和软件分发；通过iMC UBA用户行为审计组件，审计终端用户的网络行为；通过iMC智能管理框架基于资源、用户和业务的一体化管理，实现对整个网络的监控和智能联动。

从而形成对终端的事前规划、事中监控和事后审计的立体化管理。

EAD解决方案对终端用户的整体控制过程如下图所示：EAD解决方案组件：EAD解决方案组件包括智能客户端、联动设备、安全策略服务器和第三方服务器。

⏹智能客户端：是指安装了H3C iNode智能客户端的用户接入终端，负责身份认证的发起、安全策略的检查以及和安全策略服务器配合进行终端控制。

⏹联动设备：联动设备是网络中安全策略的实施点，起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。

根据应用场合的不同，联动设备可以是交换机、路由器、准入网关、VPN或无线设备，分别实现不同认证方式（如802.1X、VPN和Portal等）的终端准入控制。

针对多样化的网络，EAD提供了灵活多样的组网方案，联动设备可以根据需要进行灵活部署。

H3C_EAD安全解决方案及实施步骤

H3C EAD安全解决方案指导书实施方案二零一零年十二月四日目录1 EAD解决方案介绍 (11)1.1 EAD系统介绍 (11)2 EAD解决方案实施指导 (12)2.1 802.1X认证方式 (12)2.1.1 协议综述 (12)2.1.2 802.1X认证体系的结构 (12)2.1.3 802.1x典型组网 (13)1．802.1x认证起在接入层交换机上. (13)2．采用二次ACL下发的方式（隔离acl,安全acl）来实现对安全检查不合格的用户进行隔离，对安全检查合格的用户放行. (13)3．由于是二次acl下发的方式，要求接入层交换机为H3C交换机（具体的交换机型号请参考EAD的产品版本配套表）. (13)4．控制点低，控制严格（采用802.1x认证方式，接入用户未通过认证前无法访问任何网络资源） (13)5．由于802.1x控制非常严格，非通过认证的用户无法访问任何网络资源，但有些场景下用户需要用户未认证前能访问一些服务器，如DHCP,DNS,AD(active directory域控)，此时可采用802.1x的免认证规则，具体配置参照华三相关设备操作手册。

(13)6．为确保性能，iMC EAD一般要求分布式部署 (13)7．对于不支持二次acl下发的交换机（我司部分设备及所有第三方厂家交换机），可以通过使用iNode的客户端acl功能来实现隔离区的构造，即将原本下发到设备上的acl下发到iNode客户端上，中间设备只需做到能透传EAP封装radius属性即可 (13)8．二次acl下发需要iNode定制“客户端acl特性”，该特性需要iNode安装额外的驱动，对终端操作系统的稳定性有较高的要求。

(13)9．在接入层设备不是H3C交换机的情况下，由于设备不支持二次acl下发无法采用二次acl下发的方式来构造隔离区，此时可以通过下线＋不安全提示阈值的方式来模拟构造隔离区，实现EAD功能。

H3C iMC服务器准入特性说明

H3C iMC服务器准入特性说明1 特性介绍iMC服务器准入控制功能是EAD解决方案的重要补充。

EAD很好解决了PC终端接入网络的认证和控制问题，但是缺乏对服务器和打印机接入网络时造成的安全隐患的有效控制。

服务器和打印机不宜或无法安装认证客户端软件，也无法通过需要有人值守的网页方式进行认证。

所以服务器和打印机一般在网络里不进行认证，如果非法终端通过服务器或打印机所连接交换机的接口接入网络，将无法对这些非法终端进行有效的控制，成为用户的内网安全隐患。

服务器准入控制问题由此也成为EAD产品推广时用户经常关注的问题之一。

iMC新推出的服务器准入控制特性，能够有效阻止非法终端接入到服务器区域，通过关闭端口，异常告警，异常接入日志审计和历史接入跟踪功能，将服务器接入区域的网络也严格监控起来，很好的消除了上述服务器接入区域内的安全隐患。

2 功能特点iMC服务器准入控制具备如下功能特点：1．无需在服务器或打印机上部署客户端软件2．支持自动学习网络中服务器或打印机的IP/MAC地址信息3．允许服务器或打印机在指定的交换机接口上面认证接入网络，在非指定区域无法接入网络4．非法终端通过服务器或打印机端口接入网络时，可以根据策略让其接入端口立即关闭或延时关闭5．可以设置由于非法终端接入造成关闭的端口定时自动恢复6．非法终端接入网络时可以发送告警，并记录详尽日志，供以后审计查询7．从网管的角度，对服务器准入进行管理，不需要对设备进行特殊配置，管理方便、简单。

8．采用公共MIB实现，可以支持第三方设备3 特性配置详解服务器准入管理是从网管的角度对服务器准入进行安全认证，由服务器准入绑定、交换机准入绑定、终端异常处理策略、异常接入日志、历史接入记录、实时定位等功能组成。

(1) 服务器准入绑定服务器准入绑定方式分为两种，第一种为将终端（服务器）同某个交换机接口绑定，限制终端只能通过绑定的交换机接口接入网络，第二种为将终端（服务器）配置为免认证，使终端可以通过网络中的任何位置接入网络。

iMC+EAD终端准入控制组件功能列表

支持安全日志上报统计报表实时用户在线统计图 24小时安全趋势图当日安全统计图安全日志明细报表
安全日志汇总报表资产管理资产管理资产分组管理资产增加批量导入资产自动生成资产转移资产分组资产信息采集资产信息实时刷新硬件资产变更管理软件资产变更管理资产统计灵活的资产责任人管理资产注册管理外设管理外设监控
流量监控管理 IP流量监控
广播报文数监控
认证网卡的报文数监控
TCP/UDP连接数监控
流量定时检测注册表监控管支持注册表监控策略管理理多种键值检查类型多种键值类型
操作系统弱密支持操作系统弱密码检测码检测管理弱密码词典的上传功能弱密码的定时检测打印机监控支持是否监控打印机支持打印机监控日志系统管理业务策略分组管理管理员的业务策略分权
安装部署
支持Solaris+Oracle平台支持分布式部署
备注安全策略的增删改查操作。安全级别的增删改查操作，预置五种安全级别：下线模式，隔离模式，VIP模式，访客模式和监控模式。提供多种安全控制手段，EAD可以在某个安全状态评估不合格时，直接让用户下线，彻底将终端从网络中断开。 EAD可以在某个安全状态评估不合格时，可以通过动态下发ACL，限制在线用户的访问权限，使用户只能访问病毒服务器、补丁服务器等用于系统修复的网络资源。 EAD可以在某个安全状态评估不合格时，会提醒用户哪些因素不合格需要修复，终端用户可以根据提醒手工进行相关修复。 EAD可以在某个安全状态评估不合格时，不会提醒终端用户，只在服务器中记录日志，供管理员审计使用。 iNode客户端可以定时检测用户安全状态，防止用户上网过程中因安全状态发生变化而造成的与安全策略的不一致。 EAD有很多监测点，每个监测点对终端和网络安全的影响不同，EAD可以对不同的监测点设置不同的安全模式。漫游用户只能在漫游地做安全认证，可以定义缺省的漫游安全策略，漫游用户缺省使用该安全策略进行安全认证。支持和金山毒霸网络版，瑞星杀毒软件网络版，江民 guestvlan 杀毒软件网络版进行高级联动。支持和赛门铁克、趋势、McAfee、安博士，KILL安全胄甲、北信源、卡巴斯基、NOD32防病毒软件的联动，可以检测杀毒引擎版本或病毒库版本。支持两种杀毒软件引擎版本的检测方式，包括自适应天数方式和指定版本方式支持两种病毒库版本的检测方式，包括自适应天数方式和指定版本方式如果防病毒软件检查失败，可以下发防病毒软件服务器的地址。终端用户可以在该地址下载防病毒软件和病毒库。客户端实时检测防病毒软件的运行情况，如果进程异常，会根据策略进行相应动作。支持与防病毒软件进行高级联动，可以强制用户在接入网络前首先查杀病毒。 iNode客户端可以定时检测用户安全状态，防止用户上网过程中因安全状态发生变化而造成的与安全策略的不一致。可以支持预置之外的操作系统。支持补丁的增删改查操作。将补丁分为紧急，重要，一般和提示四类。提供与微软WSUS/SMS协同的自动补丁管理，当用户补丁不合格时自动安装补丁。

H3CiMC服务器准入特性说明

H3C iMC服务器准入特性说明1 特性介绍iMC服务器准入控制功能是EAD解决方案的重要补充。

EAD很好解决了PC终端接入网络的认证和控制问题，但是缺乏对服务器和打印机接入网络时造成的安全隐患的有效控制。

服务器和打印机不宜或无法安装认证客户端软件，也无法通过需要有人值守的网页方式进行认证。

所以服务器和打印机一般在网络里不进行认证，如果非法终端通过服务器或打印机所连接交换机的接口接入网络，将无法对这些非法终端进行有效的控制，成为用户的内网安全隐患。

服务器准入控制问题由此也成为EAD产品推广时用户经常关注的问题之一。

iMC新推出的服务器准入控制特性，能够有效阻止非法终端接入到服务器区域，通过关闭端口，异常告警，异常接入日志审计和历史接入跟踪功能，将服务器接入区域的网络也严格监控起来，很好的消除了上述服务器接入区域内的安全隐患。

2 功能特点iMC服务器准入控制具备如下功能特点：1．无需在服务器或打印机上部署客户端软件2．支持自动学习网络中服务器或打印机的IP/MAC地址信息3．允许服务器或打印机在指定的交换机接口上面认证接入网络，在非指定区域无法接入网络4．非法终端通过服务器或打印机端口接入网络时，可以根据策略让其接入端口立即关闭或延时关闭5．可以设置由于非法终端接入造成关闭的端口定时自动恢复6．非法终端接入网络时可以发送告警，并记录详尽日志，供以后审计查询7．从网管的角度，对服务器准入进行管理，不需要对设备进行特殊配置，管理方便、简单。

8．采用公共MIB实现，可以支持第三方设备3 特性配置详解服务器准入管理是从网管的角度对服务器准入进行安全认证，由服务器准入绑定、交换机准入绑定、终端异常处理策略、异常接入日志、历史接入记录、实时定位等功能组成。

(1) 服务器准入绑定服务器准入绑定方式分为两种，第一种为将终端（服务器）同某个交换机接口绑定，限制终端只能通过绑定的交换机接口接入网络，第二种为将终端（服务器）配置为免认证，使终端可以通过网络中的任何位置接入网络。

H3C-iMC-EAD升级实施方案

技术文档H3C iMC EAD系统升级实施方案修改记录目录一、项目概述 (4)1.1项目背景 (4)1.2目标及范围 (4)1.3定义及术语 (5)1.4项目原则 (5)二、项目分析 (6)2.1需求分析 (6)2.2现网架构 (6)2.2.1组网架构 (6)2.2.2用户结构 (6)2.2.3认证流程 (7)三、解决方案 (8)3.1整体方案 (8)3.1.1可选方案 (8)3.1.2推荐方案 (8)3.2总体架构 (10)3.2.1系统中间架构 (10)3.2.2新系统目标架构 (10)3.3.3新系统用户结构 (11)3.2.4新系统的认证流程 (11)3.3新系统规格要求 (12)3.3.1服务器硬件要求 (12)3.3.2服务器软件要求 (12)3.4账户迁移 (12)3.5策略迁移 (13)3.6实施步骤 (13)3.6.1 iNode升级 (13)3.6.2 认证迁移 (13)四、项目实施组织安排 (13)4.1项目实施组织结构 (13)4.2技术支持人员 (14)五、实施步骤 (14)5.1服务器部署调试 (14)5.2 iNode试点 (14)5.3 iNode推广 (14)5.4 认证迁移 (15)六、功能定义 (15)6.1策略定义 (15)6.2配置规则 (16)6.2.1系统帐号分组 (16)6.2.2用户分组 (16)6.2.3防病毒策略命名 (18)6.2.4防病毒策略命名（与上一项一致） (18)6.2.5客户端ACL命名 (18)6.2.6内网外联审计策略命名 (18)6.2.7内网外联策略命名 (18)6.2.8可控软件组命名 (18)6.2.9 安全级别命名 (19)6.2.10安全策略命名 (19)6.2.11接入策略命名 (20)6.2.12接入服务命名 (20)6.2.13资产编号命名 (21)6.2.14资产策略命名 (21)6.2.15资产方案命名 (21)七、回退方案 (21)7.1认证回退 (21)7.2 iNode回退 (21)八、项目验收 (22)8.1.进行验收测试 (22)8.2.验收 (22)一、项目概述1.1项目背景网络是园区的信息传输管道，目前园区的业务数据、管理数据传输主要依赖网络传输。

EAD终端准入控制解决方案

EAD终端准入控制解决方案——中国最专业、部署最广泛的网络准入解决方案目前，在企业网络中，用户的终端计算机不及时升级系统补丁和病毒库、私设代理服务器、私自访问外部网络、滥用企业禁用软件的行为比比皆是，脆弱的用户终端一旦接入网络，就等于给潜在的安全威胁敞开了大门，使安全威胁在更大范围内快速扩散，进而导致网络使用行为的“失控”。

保证用户终端的安全、阻止威胁入侵网络，对用户的网络访问行为进行有效的控制，是保证企业网络安全运行的前提，也是目前企业急需解决的问题。

网络安全从本质上讲是管理问题。

H3C终端准入控制（EAD，End user Admission Domination）解决方案从控制用户终端安全接入网络的角度入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，有效地加强了用户终端的主动防御能力，为企业网络管理人员提供了有效、易用的管理工具和手段。

方案概述对于要接入网络的用户，EAD解决方案首先要对其进行身份认证，通过身份认证的用户进行终端的安全认证，根据网络管理员定制的安全策略进行包括病毒库更新情况、系统补丁安装情况、软件的黑白名单等内容的安全检查，根据检查的结果，EAD对用户网络准入进行授权和控制。

通过安全认证后，用户可以正常使用网络，与此同时，EAD 可以对用户终端运行情况和网络使用情况进行审计和监控。

EAD解决方案对用户网络准入的整体认证过程如下图所示：组网模型如下图所示，EAD组网模型图中包括iNode智能客户端、安全联动设备、iMC安全策略服务器和第三方服务器。

iNode智能客户端：是指安装了H3C iNode智能客户端的用户接入终端，负责身份认证的发起和安全策略的检查。

安全联动设备：是指用户网络中的交换机、路由器、VPN网关等设备。

EAD提供了灵活多样的组网方案，安全联动设备可以根据需要灵活部署在各层比如网络接入层和汇聚层。

H3C智能管理中心EAD端点准入防御解决方案

你是谁？
隔离区
你在做什么？
行为审计

8
EAD解决方案架构
接入方式局域网接入
EAD安全策略服务器
客户端
网络联动设备
后台服务器
网关接入
补丁服务器
广域网接入
Intranet
园区网核心
防病毒服务器
远程VPN接入
Internet
无线接入
其他服务器（如桌面管理）

15
软件补丁管理
根据需要增加需要进行检查的系统补丁，可以及时跟上微软的系统升级速度支持与微软WSUS/SMS联动，自动完成终端系统补丁检查和升级。

16
可控软件管理
终端用户应用软件控制管理，可以自主定义黑、白软件类型！

17
防ARP攻击特性
下发网关IP、 MAC地址到客户端，实现静态绑定支持IP流量和ARP报文异常管理
EAD全国范围内上网用户总数已超过201,600。
政府
金融
企业
电力
…
…

34
EAD解决方案成功案例－新华社
现有办公楼网络
补丁服务器病毒服务器 EAD 网络管理服安全策略服务器务器 Server群
万兆
无法通过身份千兆验证，拒绝接入网络 802.1x EAD控制安全状态不合格，被强制进入隔离区进行安全修复 802.1x 802.1x EAD控制 EAD控制
可直接通过拓扑强制不安全用户下线或发送实时消息

26
提纲
内网安全控制必要性端点准入防御（EAD）解决方案介绍 EAD解决方案特点介绍 EAD解决方案优势说明 EAD解决方案成功案例 EAD解决方案合作伙伴

H3C_EAD_终端准入解决方案1

H3C EAD终端准入控制解决方案目录导读 (3)前言 (4)实践是检验真理的唯一标准 (4)第1章EAD解决方案概述 (6)第2章部署篇 (9)1.在园区网中部署EAD解决方案 (9)2.在广域网中部署EAD解决方案 (11)3.在VPN网络中部署EAD解决方案 (13)4.在无线局域网中部署EAD解决方案 (14)5.在异构网络中部署EAD解决方案 (15)第3章技术专题篇 (16)1.EAD与iMC融合管理解决方案 (16)2.基于802.1x的客户端快速部署技术 (20)3.Windows域统一认证技术 (21)4.EAD可控软件技术 (23)5.EAD匿名认证技术 (25)6.EAD无客户端技术 (27)7.EAD桌面资产管理解决方案 (30)8.EAD分级管理解决方案 (33)9.EAD高可靠性解决方案 (36)第4章案例篇 (38)1.EAD案例：国家统计局 (38)2.EAD案例：新华社 (41)3.EAD案例：中国国际广播电台 (43)4.EAD案例：海南省电子政务网 (45)5.EAD案例：成都市政府数据中心 (47)6.EAD案例：中国银行总行 (48)7.EAD案例：中国建设银行厦门开发中心 (49)8.EAD案例：华夏银行 (50)9.EAD案例：民生银行 (52)10.EAD案例：湖南省农村信用社 (54)11.EAD案例：用友软件 (57)12.EAD案例：太原钢铁 (60)13.EAD案例：H3C公司 (63)第5章附录：EAD部分用户名单 (67)⏹政府 (67)⏹金融 (68)⏹公共事业 (68)⏹企业 (69)⏹运营商 (70)导读在创新无处不在的IT世界里，从要求可用性到安全性再到高效率，只经历了短短的几年时间。

而在IT 管理概念中，时至今日终端管理无疑已经成为最重要的内容之一，它同样遵循着从可用性到安全性再到追求效率的发展规律。

像萨班斯-奥克斯利法案（Sarbanes-Oxley Act of 2002）对维护网络信息的安全性、保密性和完整性就提出了相关要求，而要达到这些要求，对终端的有效管理是解决问题的根本之道。

H3C iMC EAD解决方案(含UAM)介绍

EAD解决方案介绍
ISSUE 2.0
日期：2011-06
杭州华三通信技术有限公司版权所有，未经授权不得使用与传播
引入
随着IT应用的不断发展，客户开始意识到对内网终端进行控制和管理的必要性，实施网络接入控制，确保企业网络安全，已是许多企业网客户的迫切需求。随着EAD解决方案的不断发展，新特性新功能层出不穷。以不断提供易用性和实用性，不断提高客户满意度为出发点，EAD 解决方案已经在不知不觉中发生了较大的变化。
网关旁挂的Portal组网、总部入口的Portal组网、穿
越NAT的Portal组网；
基于VPN的组网；
基于WLAN的Portal组网。

13
主要的网络接口、协议及兼容性说明
iMC UAM主要与H3C设备共同组网，与第三方支持 802.1x的接入设备混合组网具有较好的兼容性。iMC UAM中主要的网络协议包括：

5
UAM组件的主要功能（2）
支持多种接入及认证方式，适合多种接入组网场景及应用场景。
支持与LDAP服务器、Windows域管理器、第三方邮件系统（必须支持LDAP协议）的统一认证，避免用户记忆多个用户名和密码。 Portal认证提供纯Web、可溶解客户端及iNode客户端认证方式。支持定制Portal认证页面或嵌入到第三方主页，可根据不同的端口组、SSID、终端操作系统推送不同的认证
iMC UAM（ User Access Manage）是由H3C业务软件产品
线针对企业网、校园网和小运营商等多种网络运营环境开发
的一套基于Radius的集中式网络接入认证管理系统。iMC UAM 在Radius服务器基本的AAA（Authentication、 Authorization and Accounting）功能之上，提供了多业务融合的身份识别、权限控制平台，具有简单易用、高性能、

第三部分 H3C iMC EAD解决方案介绍

所有业务组件均基于iMC平台安装，用于实现各种业务。 EAD组件基于UAM组件安装。
UAM组件包含有：RADIUS服务器、策略服务器以及策略代理服务器、Portal组件 EAD组件包含有：EAD前台配置页面、桌面资产管理服务器以及桌面资产管理代理

8
UAM组件的主要功能（5）
集中的接入用户管理，简化管理员维护操作。
集中的接入用户管理功能，对接入用户实施分组管理，不同的用户分组可以由不同的管理员管理。提供对接入用户进行批量操作，支持批量导入、修改、加入黑名单、注销用户、导出帐号等接入用户相关的管理动作集中化，界面对操作员来说更友好、更美观易用。支持同步LDAP用户，可自定义LDAP同步策略，通过手工或定时任务方式从LDAP系统中同步用户信息。接入用户可使用自助服务，帐号申请、查询、修改都通过自助服务页面完成，既提高效率，又减轻管理员的工作量。
网关旁挂的Portal组网、总部入口的Portal组网、穿
越NAT的Portal组网；
基于VPN的组网；
基于WLAN的Portal组网。

13
主要的网络接口、协议及兼容性说明
iMC UAM主要与H3C设备共同组网，与第三方支持 802.1x的接入设备混合组网具有较好的兼容性。iMC UAM中主要的网络协议包括：

6
UAM组件的主要功能（3）
严格的权限控制手段，强化用户接入控制管理。
基于用户的权限控制策略，可以为不同用户定制不同网络访问权限。可以控制用户的上网带宽（QoS，需与H3C指定设备配合）、限制用户的同时在线数、禁止用户设置和使用代理服务器、限制最大闲置时长，有效防止个别用户对网络资源的过度占用。可对终端下发ACL、VLAN、QoS User Profile，限制用户对内部敏感服务器和外部非法网站的访问。可以限制用户IP地址分配策略，防止IP地址盗用和冲突。监控用户认证成功后的IP地址，若有变更则强制要求下线。可以限制用户的接入时段和接入区域，用户只能在允许的时间和地点上网。可以限制终端用户使用多网卡、拨号网络，禁止修改终端MAC地址，防止内部信息泄露。支持对iNode客户端版本的检测并强制自动升级，防止iNode客户端破解，确保客户端的安全性。接入用户网关配置，提供接入用户网关IP、MAC地址配置信息。配合 iNode客户端实现防止本地受到假冒网关方式的ARP欺骗功能。

H3CiMC服务器准入特性说明

H3CiMC服务器准入特性说明1特性介绍iMC服务器准入操纵功能是EAD解决方案的重要补充。

EAD很好解决了PC终端接入网络的认证与操纵问题，但是缺乏对服务器与打印机接入网络时造成的安全隐患的有效操纵。

服务器与打印机不宜或者无法安装认证客户端软件，也无法通过需要有人值守的网页方式进行认证。

因此服务器与打印机通常在网络里不进行认证，假如非法终端通过服务器或者打印机所连接交换机的接口接入网络，将无法对这些非法终端进行有效的操纵，成为用户的内网安全隐患。

服务器准入操纵问题由此也成为EAD产品推广时用户经常关注的问题之一。

iMC新推出的服务器准入操纵特性，能够有效阻止非法终端接入到服务器区域，通过关闭端口，特殊告警，特殊接入日志审计与历史接入跟踪功能，将服务器接入区域的网络也严格监控起来，很好的消除了上述服务器接入区域内的安全隐患。

2功能特点iMC服务器准入操纵具备如下功能特点：1. 无需在服务器或者打印机上部署客户端软件2. 支持自动学习网络中服务器或者打印机的IP/MAC地址信息3. 同意服务器或者打印机在指定的交换机接口上面认证接入网络，在非指定区域无法接入网络4. 非法终端通过服务器或者打印机端口接入网络时，能够根据策略让其接入端口立即关闭或者延时关闭5. 能够设置由于非法终端接入造成关闭的端口定时自动恢复6. 非法终端接入网络时能够发送告警，并记录详尽日志，供以后审计查询7. 从网管的角度，对服务器准入进行管理，不需要对设备进行特殊配置，管理方便、简单。

8. 使用公共MlB实现，能够支持第三方设备3特性配置详解服务器准入管理是从网管的角度对服务器准入进行安全认证，由服务器准入绑定、交换机准入绑定、终端特殊处理策略、特殊接入日志、历史接入记录、实时定位等功能构成。

（1）服务器准入绑定服务器准入绑定方式分为两种，第一种为将终端（服务器）同某个交换机接口绑定，限制终端只能通过绑定的交换机接口接入网络，第二种为将终端（服务器）配置为免认证，使终端能够通过网络中的任何位置接入网络。

H3CiMCEAD解决方案(含UAM)介绍

如“系统升级，网络将在10分中后切断”、“您的密码遭恶意试探，请注意保护密码安全”等。 ➢ iMC UAM记录认证失败日志，便于定位用户无法认证通过的原因。提供接入明细日志，便于审计用户的接入网络记录。 ➢ iMC UAM基于智能管理平台提供强大的终端拓扑管理功能，拓扑图融合了网络设备和终端用户监视管理功能，可针对接入设备进行在线用户查询、强制用户下线、进一步中查看该设备所挂接的终端用户及其安全状态等多项操作。
课程目标
学习完本课程，您应该能够：
熟悉UAM组件和EAD组件的功能特性熟悉EAD解决方案架构熟悉EAD解决方案的主要功能特性熟悉EAD解决方案的相关配置
目录
UAM组件介绍 EAD解决方案介绍 EAD解决方案与Cisco产品配合的应用 EAD解决方案的容灾方案
UAM组件的定义

5
UAM组件的主要功能（2）
支持多种接入及认证方式，适合多种接入组网场景及应用场景。
支持与LDAP服务器、Windows域管理器、第三方邮件系统（必须支持LDAP协议）的统一认证，避免用户记忆多个用户名和密码。
Portal认证提供纯Web、可溶解客户端及iNode客户端认证方式。支持定制Portal认证页面或嵌入到第三方主页，可根据不同的端口组、SSID、终端操作系统推送不同的认证页面。支持NAT环境下的Portal认证。（仅支持Portal网关与Portal服务器间存在NAT设备的情况,且只能使用iNode PC客户端。）

4
UAM组件的主要功能（1）
支持多种接入及认证方式，适合多种接入组网场景及应用场景。
支持802.1x、Portal、VPN接入、无线接入等多种认证接入方式。支持PAP、CHAP、EAP-MD5、EAP-TLS、PEAP等多种身份验证方式，适

iMC+EAD终端准入控制组件功能列表

ቤተ መጻሕፍቲ ባይዱ
服务器配置弱密码词典，在认证时将该词典下发给客户端，客户端遍历该词典，检测是否使用了弱密码。如果使用了弱密码，则会采取相应动作。管理员可以编辑弱密码词典，并将该词典上传到iMC服务器中。客户端会定时检测操作系统密码，如果发现为弱密码，则会采取相应动作。可以配置是否监控打印机。支持打印机监控日志入库和查询。支持业务策略分组的增删改查。一个维护员只能维护一个业务策略分组中的业务策略，一个业务策略分组可以由多个维护员进行维护。当分级部署时，下级节点不支持分权管理。管理员可根据组网和运营环境进行功能参数设置。可以对EAD在线用户的安全状态，当前的应用的ACL等等信息。支持通过操作系统的远程桌面连接登录到终端系统中进行维护和审计。提供针对单个在线用户进行计算机信息检查功能(DMA) 。管理员可以检查在线用户计算机的安全状况，检查项包括：查系统信息、检查已经安装的软件、检查已经安装的补丁、检查正在运行的进程、检查已经启动的服务、检查共享目录信息、检查分区表信息和检查屏幕保护是否启用、是否设置密码。将用户EAD认证的合格以及不合格的信息记录下来，可以按照各种条件查询安全日志。当第三方接入设备不支持计费报文时，仍然可以支持安全认证。管理员可以定义下级节点的IP、端口、登录名、密码以及需要下发的服务信息。支持管理员手工下发及定时下发。支持将不同的业务策略下发到不同的下级节点。上级节点可以查询下发到下级的任务的历史信息。下级节点可以查询上级下发的任务的历史信息。管理员可以针对具体的下级节点下发指定的服务配置，下级不能修改上级下发的服务配置。支持将需下发服务使用到的安全策略及缺省的安全策略下发给下级，下级不能修改上级下发的安全策略。支持将需下发安全策略使用到的安全级别下发给下级，下级不能修改上级下发的安全级别。支持将上级的黑白软件信息下发给下级，下级可以新增、删除或者修改黑白软件。支持将需下发安全策略使用到的流量监控策略下发给下级，下级不能修改上级下发的流量监控策略。支持将上级的注册表监控策略信息下发给下级，下级不能修改上级下发的注册表监控策略。支持将上级的软件补丁信息下发给下级，下级不能修改上级下发的软件补丁。支持将上级的防病毒软件软件信息下发给下级，下级不能修改上级下发的防病毒软件。

H3C EAD端点准入防御组件解决方案

H3C智能管理中心EAD安全策略组件解决方案1 产品简介目前，在企业网络中，用户的终端计算机不及时升级系统补丁和病毒库、私设代理服务器、私自访问外部网络、滥用企业禁用软件的行为比比皆是，脆弱的用户终端一旦接入网络，就等于给潜在的安全威胁敞开了大门，使安全威胁在更大范围内快速扩散，进而导致网络使用行为的“失控”。

保证用户终端的安全、阻止威胁入侵网络，对用户的网络访问行为进行有效的控制，是保证企业网络安全运行的前提，也是目前企业急需解决的问题。

同时，目前市场上常见的用户管理及接入控制软件往往缺乏与网络资源管理、业务管理的融合，导致管理手段单一、管理力度不足、管理操作复杂。

企业迫切需要一种管理方案，使得用户、网络、业务统一管理、互相协同、提升管理效率、满足多种接入场景所需。

H3C端点准入防御（EAD，Endpoint Admission Defense）解决方案从控制用户终端安全接入网络的角度入手，整合网络接入控制与终端安全产品，通过iNode智能客户端、EAD安全策略服务器、iMC平台、网络设备以及第三方软件的配合和联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为；同时，在管理上，又能做到用户管理与网络设备管理、网络拓扑管理的融合，并支持与iMC ACL Manager组件的联动，使得H3C 端点准入防御解决方案在有效地加强用户终端的主动防御能力的基础上，为企业网络管理人员更提供了有效、易用、强大的管理工具和手段。

1.1 方案概述对于要接入网络的用户，EAD解决方案首先要对其进行身份认证，通过身份认证的用户进行终端的安全认证，根据网络管理员定制的安全策略进行包括病毒库更新情况、系统补丁安装情况、软件的黑白名单等内容的安全检查，根据检查的结果，EAD对用户网络准入进行授权和控制。

通过安全认证后，用户可以正常使用网络，与此同时，EAD可以对用户终端运行情况和网络使用情况进行审计和监控。

H3C EAD终端准入控制解决方案

H3C EAD终端准入控制解决方案
无
【期刊名称】《软件和信息服务》
【年(卷),期】2011(000)002
【摘要】H3C EAD终端准入控制（Enduser Admission Domination）解决方案从控制用户终端安全接入网络的角度入手．整合网络接入控制与终端安全产品，通过智能客户端（是指安装了H3C iNode智能客户端的用户接入终端．负责身份认证的发起和安全策略的检查）、安全策略服务器（是指用户网络中的交换机、路由器、VPN网关等设备。

【总页数】1页(P65-65)
【作者】无
【作者单位】不详
【正文语种】中文
【中图分类】TP309
【相关文献】
1.基于校园网终端准入控制EAD的二次开发与应用 [J], 周巧雨
2.谋局全网纵深防御——中国银行大规模部署H3C EAD终端准入控制解决方案[J],
3.终端准入控制解决方案在检验检疫信息安全工作中的应用研究 [J], 季佳华;李月;吴穗玲;张伟
4.终端准入市场飞速增长H3C EAD占据领先 [J],
5.终端准入市场飞速增长H3C EAD占据领先 [J],
因版权原因，仅展示原文概要，查看原文内容请购买。