H3C终端准入控制解决方案-EDA

H3C iMC EAD终端准入控制
组件概述
企业网络中普遍存在事前无认证、事中无控制、事后无审计的“三无”管理现象，对用户使用网络的行为缺乏适当的管理，带来的病毒泛滥、黑客猖獗、上班聊天、BT下载等乱象丛生，失控的终端带来了巨大的安全威胁。

iMC EAD组件从控制用户安全接入网络的角度入手，整合网络接入控制与终端安全产品，通过智能客户端、安全策略服务器、智能网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，避免了传统桌面软件被卸载后管理失效的弊端，加强了用户终端的主动防御能力，为企业网络管理人员提供了有效、易用的管理工具和手段。

软件功能上，EAD集成了网络准入控制、终端安全检查、用户身份认证、动态访问授权、资产外设管理、行为审计联动等多种功能，符合了网络、安全、桌面三大技术阵营不断融合的发展趋势。

用户接入网络时，EAD通过对认证用户动态下发VLAN、ACL等安全隔离措施，能够保证访问网络的用户正确获得访问相关资源的权限。

EAD 还可以与防火墙、IPS/IDS、UTM、交换机、防病毒软件、补丁软件、安全管理中心等多种网络安全设备和软件联动，将用户身份与日志信息、安全策略等自动关联，实现基于用户、立体式的终端安全管理，进一步加强了整网的稳定和安全。

规格简表。

EAD解决方案概述——维护网络正常秩序，助力企业核心价值H3C终端准入控制解决方案（EAD，End user Admission Domination）是全球首个推向市场的终端管理解决方案，也是国内应用最广、用户数最多的终端管理系列产品。

EAD方案为网络管理者、网络运营者和企业IT人员提供了一套系统、有效、易用的管理工具，帮助保护、管理和监控网络终端，使网络能够为企业的核心目标和核心业务服务，减少了日益复杂的网络问题和非法使用对网络用户的牵绊。

5 EAD终端准入控制解决方案EAD解决方案通过多种身份认证方式确认终端用户的合法性；通过与微软和众多防病毒厂商的配合联动，检查终端的安全漏洞、终端杀毒软件的安装和病毒库更新情况；通过黑白软件管理，约束终端安装和运行的软件；通过统一接入策略和安全策略管理，控制终端用户的网络访问权限；通过桌面资产管理，进行桌面资产注册和监控、外设管理和软件分发；通过iMC UBA用户行为审计组件，审计终端用户的网络行为；通过iMC智能管理框架基于资源、用户和业务的一体化管理，实现对整个网络的监控和智能联动。

从而形成对终端的事前规划、事中监控和事后审计的立体化管理。

EAD解决方案对终端用户的整体控制过程如下图所示：EAD解决方案组件：EAD解决方案组件包括智能客户端、联动设备、安全策略服务器和第三方服务器。

⏹智能客户端：是指安装了H3C iNode智能客户端的用户接入终端，负责身份认证的发起、安全策略的检查以及和安全策略服务器配合进行终端控制。

⏹联动设备：联动设备是网络中安全策略的实施点，起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。

根据应用场合的不同，联动设备可以是交换机、路由器、准入网关、VPN或无线设备，分别实现不同认证方式（如802.1X、VPN和Portal等）的终端准入控制。

针对多样化的网络，EAD提供了灵活多样的组网方案，联动设备可以根据需要进行灵活部署。

H3C EAD安全解决方案指导书实施方案二零一零年十二月四日目录1 EAD解决方案介绍 (11)1.1 EAD系统介绍 (11)2 EAD解决方案实施指导 (12)2.1 802.1X认证方式 (12)2.1.1 协议综述 (12)2.1.2 802.1X认证体系的结构 (12)2.1.3 802.1x典型组网 (13)1．802.1x认证起在接入层交换机上. (13)2．采用二次ACL下发的方式（隔离acl,安全acl）来实现对安全检查不合格的用户进行隔离，对安全检查合格的用户放行. (13)3．由于是二次acl下发的方式，要求接入层交换机为H3C交换机（具体的交换机型号请参考EAD的产品版本配套表）. (13)4．控制点低，控制严格（采用802.1x认证方式，接入用户未通过认证前无法访问任何网络资源） (13)5．由于802.1x控制非常严格，非通过认证的用户无法访问任何网络资源，但有些场景下用户需要用户未认证前能访问一些服务器，如DHCP,DNS,AD(active directory域控)，此时可采用802.1x的免认证规则，具体配置参照华三相关设备操作手册。

(13)6．为确保性能，iMC EAD一般要求分布式部署 (13)7．对于不支持二次acl下发的交换机（我司部分设备及所有第三方厂家交换机），可以通过使用iNode的客户端acl功能来实现隔离区的构造，即将原本下发到设备上的acl下发到iNode客户端上，中间设备只需做到能透传EAP封装radius属性即可 (13)8．二次acl下发需要iNode定制“客户端acl特性”，该特性需要iNode安装额外的驱动，对终端操作系统的稳定性有较高的要求。

(13)9．在接入层设备不是H3C交换机的情况下，由于设备不支持二次acl下发无法采用二次acl下发的方式来构造隔离区，此时可以通过下线＋不安全提示阈值的方式来模拟构造隔离区，实现EAD功能。

h3c,ead解决方案篇一：H3C_EAD_终端准入解决方案1H3C EAD终端准入控制解决方案目录导读................................................. ................................................... ...................................................3前言................................................. ................................................... ...................................................4实践是检验真理的唯一标准................................................. ................................................... (4)第1章EAD解决方案概述 ................................................ ................................................... (6)第2章部署篇 ................................................ ................................................... (9)1. 在园区网中部署EAD解决方案 ................................................ (9)2. 在广域网中部署EAD解决方案 ................................................ .. (11)3. 在VPN网络中部署EAD解决方案 ................................................ (13)4. 在无线局域网中部署EAD解决方案 ................................................ . (14)5. 在异构网络中部署EAD解决方案................................................. . (15)第3章技术专题篇 ................................................ (16)1. EAD与iMC融合管理解决方案 ................................................ .. (16)2. 基于的客户端快速部署技术 ................................................ .. (20)3. Windows域统一认证技术 ................................................ ................................................... .. (21)4. EAD可控软件技术................................................. ................................................... .. (23)5. EAD匿名认证技术................................................. ................................................... .. (25)6. EAD无客户端技术................................................. (27)7. EAD桌面资产管理解决方案................................................. ...................................................308. EAD分级管理解决方案................................................. ................................................... . (33)9. EAD高可靠性解决方案................................................. ................................................... . (36)第4章案例篇 ................................................ ................................................... .. (38)1. EAD案例：国家统计局................................................. ................................................... . (38)2. EAD案例：新华社................................................. ................................................... .. (41)3. EAD案例：中国国际广播电台 ................................................ (43)4. EAD案例：海南省电子政务网 ................................................ (45)5. EAD案例：成都市政府数据中心................................................. .. (47)6. EAD案例：中国银行总行 ................................................ ................................................... . (48)7. EAD案例：中国建设银行厦门开发中心 ................................................ . (49)8. EAD案例：华夏银行 ................................................ (50)9. EAD案例：民生银行 ................................................ ................................................... .. (52)10. EAD案例：湖南省农村信用社 ................................................ (54)11. EAD案例：用友软件 ................................................ ................................................... .. (57)12. EAD案例：太原钢铁 ................................................ ................................................... .. (60)13. EAD案例：H3C公司................................................. ................................................... . (63)第5章附录：EAD部分用户名................................................... .. (67)? 政府................................................. ................................................... (67)? 金融................................................. ................................................... ....................................68 ??? 公共事业................................................. ................................................... .............................68 企业................................................. ................................................... ....................................69 运营商 ................................................ ................................................... (70)导读在创新无处不在的IT世界里，从要求可用性到安全性再到高效率，只经历了短短的几年时间。

企业网络终端准入控制解决方案作者：李琰来源：《数字技术与应用》2013年第06期摘要：随着IT应用的不断发展，大部分的企业及用户开始意识到对内网终端进行控制和管理的必要性，实施网络终端安全准入控制，确保企业网络安全，已是许多企业网客户的迫切需求。

终端准入控制解决方案从控制用户终端安全接入网络的角度入手，整合网络接入控制与终端安全产品，加强了用户终端的主动防御能力，保障了企业网络的安全。

关键词：终端准入网络安全 802.1x EAD中图分类号：TP393.08 文献标识码：A 文章编号：1007-9416（2013）06-0014-021 引言在创新无处不在的IT世界里，从要求可用性到安全性再到高效率，只经历了短短的几年时间。

如何对终端设备进行高效、安全、全方位控制一直都困扰着众多IT管理者，由于终端设备数量多、分布广、使用者素质及应用水平参差不齐，而且终端设备所接入的网络环境异构化程度很高，导致了终端成为整个IT管理环境中最容易出现问题的一环，对终端问题的响应业已成为IT管理者日常最主要的工作之一，它同样遵循着从可用性到安全性再到追求效率的发展规律。

终端作为网络的关键组成和服务对象，其安全性受到极大关注。

终端准入控制技术是网络安全一个重要的研究方向，它通过身份认证和完整性检查，依据预先设定的安全策略，通过软硬件结合的方式控制终端的访问权限，能有效限制不可信、非安全终端对网络的访问，从而达到保护网络及终端安全的目的。

终端准入控制技术的研究与应用对于提高网络安全性，保障机构正常运转具有重要作用；对于机构解决信息化建设中存在的安全问题具有重要意义。

目前，终端准入控制技术已经得到较大的发展和应用，在安全领域起到越来越重要的作用。

2 发展现状为了解决网络安全问题，安全专家相继提出了新的理念。

上世纪90年代以来，国内外提出了主动防御、可信计算等概念，认为安全应该回归终端，以终端安全为核心来解决信息系统的安全问题。

附件四：总体方案建议目录1 概述 (3)1.1 EAD解决方案概述 (3)1.2 总体特性及优势说明 (3)2 中国电信终端安全现状 (4)2.1 电信内部网络的准入控制 (5)2.2 电信员工的终端桌面管理 (5)3 EAD解决方案详细介绍 (6)3.1 方案思路 (6)3.2 方案组成部分 (7)3.2.1安全策略服务器 (8)3.2.2修复服务器 (8)3.2.3安全联动设备 (9)3.2.4安全客户端 (9)3.3 功能特点 (10)4 EAD全方位部署方案 (11)4.1 局域网接入部署方案 (11)4.2 广域网接入部署方案 (13)4.3 VPN组网部署方案 (14)4.4 无线局域网部署方案 (14)5 EAD解决方案组网部署建议 (15)5.1 新建网络部署 (16)5.1.1 接入层准入控制 (16)5.1.2汇聚层准入控制 (18)5.2 多厂商设备混合组网部署 (20)6 EAD测试方案建议 (21)6.1 终端准入控制 (21)6.2 通用行为审计 (27)6.3 特殊行为审计 (28)6.4 数据转储 (30)6.5 数据空间管理 (31)6.6 用户行为审计任务 (31)6.7 桌面资产管理 (32)6.8 软件分发管理 (35)7 总结 (36)1 概述1.1 EAD解决方案概述H3C终端准入控制解决方案（EAD）从终端准入控制入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及防病毒软件产品、系统补丁管理产品、资产管理产品、桌面管理产品的联动，对接入网络的终端用户强制实施企业安全策略，严格控制终端用户的网络使用行为，可以加强终端用户的主动防御能力，大幅度提高网络安全。

EAD在用户接入网络前，通过统一管理的安全策略强制检查终端用户的安全状态，并根据对终端用户安全状态的检查结果实施接入控制策略，对不符合企业安全标准的用户进行“隔离”并强制用户进行病毒库升级、系统补丁升级等操作；在保证终端用户具备自防御能力并安全接入的前提下，可以通过动态分配ACL、VLAN等合理控制用户的网络权限，从而提升网络的整体安全防御能力。

H3C网络准入控制及终端安全方案一、面临挑战企业网络从有线向无线转型的过程中，为保障网络安全，需实现有线无线一体化准入。

而单一的解决方案，不能满足复杂网络环境下的多样化准入控制需求：多用户角色：传统的网络环境下，主要应用对象为企业员工，但在移动办公场景下，应用对象可扩展至访客、领导、VIP会员等多种用户角色，需基于用户角色在访问权限上做区别；多分支异构：多分支机构中网络架构也会存在差异，如何做统一地接入管理，实现一体化认证，是一项重大的技术挑战；多终端接入：传统网络主要使用PC连接，随着移动终端的普及，终端的数量及类型也随之增多，用户的体验要求也越来越高，同时也带来了更多安全上的挑战。

二、解决方案1.H3C网络准入控制及终端安全方案概述宁盾网络准入控制及终端安全方案基于对终端风险以及用户身份的真实性进行双重验证，判断是否准入网络以及获得访问权限，实现接入网络终端及用户身份的双重可信，提升网络安全。

其安全管理逻辑是先对接入内网终端进行合规性检查，并确认接入网络用户身份的真实性，根据终端风险以及用户角色动态赋予访问权限，并和第三方网络审计以及态势感知平台联动，实现内外网上网实名审计以及主动防御。

在此方案中，H3C无线WLC开启portal认证，认证服务器指向宁盾认证服务平台，有线部分通过ND ACE结合AM做portal的统一准入，最终实现有线无线的一体化准入控制。

2.身份认证方式2.1员工场景①用户名密码认证，用户名密码可以创建，也可以与AD、LDAP同步帐号信息；②支持802.1X认证；③支持802.1x+portal认证；④支持802.1x+portal+动态码认证。

2.2访客场景①短信认证，可设定短信内容模版、短信验证码有效期及长度等；②微信认证，通过关注微信公众号进行认证连接上网；③支持二次无感知认证，可设定有效期，超过有效期的访客须通过其他认证方式登录；④支持协助扫码认证，快速授权上网，实现访客与被访人之间可追溯；⑤支持访客自助申请认证，由指定人员审批申请信息，加强内外网访问安全控制；⑥支持邮箱认证，访客可以通过邮箱认证接入网络。

EAD解决方案概述——维护网络正常秩序，助力企业核心价值H3C终端准入控制解决方案（EAD，End user Admission Domination）是全球首个推向市场的终端管理解决方案，也是国内应用最广、用户数最多的终端管理系列产品。

EAD方案为网络管理者、网络运营者和企业IT人员提供了一套系统、有效、易用的管理工具，帮助保护、管理和监控网络终端，使网络能够为企业的核心目标和核心业务服务，减少了日益复杂的网络问题和非法使用对网络用户的牵绊。

5 EAD终端准入控制解决方案EAD解决方案通过多种身份认证方式确认终端用户的合法性；通过与微软和众多防病毒厂商的配合联动，检查终端的安全漏洞、终端杀毒软件的安装和病毒库更新情况；通过黑白软件管理，约束终端安装和运行的软件；通过统一接入策略和安全策略管理，控制终端用户的网络访问权限；通过桌面资产管理，进行桌面资产注册和监控、外设管理和软件分发；通过iMC UBA用户行为审计组件，审计终端用户的网络行为；通过iMC智能管理框架基于资源、用户和业务的一体化管理，实现对整个网络的监控和智能联动。

从而形成对终端的事前规划、事中监控和事后审计的立体化管理。

EAD解决方案对终端用户的整体控制过程如下图所示：EAD解决方案组件：EAD解决方案组件包括智能客户端、联动设备、安全策略服务器和第三方服务器。

⏹智能客户端：是指安装了H3C iNode智能客户端的用户接入终端，负责身份认证的发起、安全策略的检查以及和安全策略服务器配合进行终端控制。

⏹联动设备：联动设备是网络中安全策略的实施点，起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。

根据应用场合的不同，联动设备可以是交换机、路由器、准入网关、VPN或无线设备，分别实现不同认证方式（如802.1X、VPN和Portal等）的终端准入控制。

针对多样化的网络，EAD提供了灵活多样的组网方案，联动设备可以根据需要进行灵活部署。

H3CEAD安全解决方案及实施步骤实施方案二零一零年十二月四日名目1 EAD解决方案介绍 (3)1.1EAD系统介绍 (3)2 EAD解决方案实施指导 (4)2.1 802.1X认证方式 (4)2.1.1协议综述 (4)2.1.2802.1X认证体系的结构 (5)2.1.3802.1x典型组网 (5)2.1.4802.1x与其他认证协议的简单比较 (8)2.2 P ORTAL认证方式 (8)2.2.1 Portal协议概述 (8)2.2.3 portal典型组网 (11)2.2.4 portal协议旁挂方式认证流程图 (14)2.2.5 portal两种方式组网的优缺点 (14)2.3L2TP VPN EAD (14)2.4无线EAD (15)3 INODE客户端安装及配置 (16)3.1I N ODE客户端软件安装的软硬件环境需求 (16)3.2 各种环境下I N ODE客户端的安装指导 (17)3.2.1802.1x环境下的iNode客户端安装过程 (17)3.2.2 Portal环境下iNode软件的安装 (19)3.2.3l2tp环境下的iNode软件的安装 (22)3.3 I N ODE终端配置 (22)3.3.1802.1x组网环境终端配置 (22)3.3.2Portal环境下客户端设置 (27)3.3.3L2TP环境下iNode软件的设置 (31)4 接入设备端配置 (35)4.18021X环境下接入层设备配置举例 (35)4.2PORTAL环境下接入设备的配置 (40)4.3L2TP－VPN终端设备配置 (42)5 RADIUS服务器配置 (45)5.1 802.1X服务器端配置 (45)5.1.1接入设备配置 (45)5.1.2EAD安全策略创建 (46)5.1.3创建服务，关联创建的EAD安全策略 (49)5.1.4创建接入用户，关联服务 (49)5.2P ORTAL环境下IMC(智能治理中心)端相应配置 (51)5.2.1portal部分操作 (51)5.2.2增加安全策略 (52)5.2.3增加服务,并关联安全策略 (52)5.2.4创建接入用户，关联服务 (53)1EAD解决方案介绍1.1EAD系统介绍H3C EAD（Endpoint Admission Defense，端点准入防备）解决方案是一套融合网络设备、用户终端和第三方安全产品的全网安全体系框架，其目的是整合孤立的单点安全部件，形成完整的网络安全体系，最终为用户提供端到端的安全防护。

H3C EAD终端准入控制解决方案目录导读 (3)前言 (4)实践是检验真理的唯一标准 (4)第1章EAD解决方案概述 (6)第2章部署篇 (9)1.在园区网中部署EAD解决方案 (9)2.在广域网中部署EAD解决方案 (11)3.在VPN网络中部署EAD解决方案 (13)4.在无线局域网中部署EAD解决方案 (14)5.在异构网络中部署EAD解决方案 (15)第3章技术专题篇 (16)1.EAD与iMC融合管理解决方案 (16)2.基于802.1x的客户端快速部署技术 (20)3.Windows域统一认证技术 (21)4.EAD可控软件技术 (23)5.EAD匿名认证技术 (25)6.EAD无客户端技术 (27)7.EAD桌面资产管理解决方案 (30)8.EAD分级管理解决方案 (33)9.EAD高可靠性解决方案 (36)第4章案例篇 (38)1.EAD案例：国家统计局 (38)2.EAD案例：新华社 (41)3.EAD案例：中国国际广播电台 (43)4.EAD案例：海南省电子政务网 (45)5.EAD案例：成都市政府数据中心 (47)6.EAD案例：中国银行总行 (48)7.EAD案例：中国建设银行厦门开发中心 (49)8.EAD案例：华夏银行 (50)9.EAD案例：民生银行 (52)10.EAD案例：湖南省农村信用社 (54)11.EAD案例：用友软件 (57)12.EAD案例：太原钢铁 (60)13.EAD案例：H3C公司 (63)第5章附录：EAD部分用户名单 (67)⏹政府 (67)⏹金融 (68)⏹公共事业 (68)⏹企业 (69)⏹运营商 (70)导读在创新无处不在的IT世界里，从要求可用性到安全性再到高效率，只经历了短短的几年时间。

而在IT 管理概念中，时至今日终端管理无疑已经成为最重要的内容之一，它同样遵循着从可用性到安全性再到追求效率的发展规律。

像萨班斯-奥克斯利法案（Sarbanes-Oxley Act of 2002）对维护网络信息的安全性、保密性和完整性就提出了相关要求，而要达到这些要求，对终端的有效管理是解决问题的根本之道。

EAD端点准入防御解决方案范文伴随着网络应用技术的快速发展，网络信息安全问题也日益突出。

病毒泛滥、系统漏洞、黑客攻击等诸多问题，已经直接影响到企业的正常运营。

如何应对网络安全威胁，确保企业网络安全，为企业运营提供可靠的网络保障，已经是每一个企业决策者不得不关注得问题，也是每一个网络管理员不得不面对得挑战。

目前，多数网络安全事件都是由脆弱的用户终端和“失控”的网络使用行为引起。

在企业网中，用户终端不及时升级系统补丁和病毒库的现象普遍存在；私设代理服务器、私自访问外部网络、滥用企业禁用软件等行为也比比皆是。

“失控”的用户终端一旦接入网络，就等于给潜在的安全威胁敞开了大门，使安全威胁在更大范围内快速扩散。

保证用户终端的安全、阻止威胁入侵网络，对用户的网络访问行为进行有效的控制，是保证企业网络安全运行的前提，也是目前企业网络安全管理急需解决的问题。

传统的网络安全产品对于网络安全问题的解决，通常是被动防御，事后补救。

H3C端点准入防御（EAD，EndpointAdmiionDefene）解决方案则从用户终端准入控制入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，可以加强用户终端的主动防御能力，大幅度提高网络安全。

方案概述EAD解决方案在用户接入网络前，强制检查用户终端的安全状态，并根据对用户终端安全状态的检查结果，强制实施用户接入控制策略，对不符合企业安全标准的用户进行“隔离”并强制用户进行病毒库升级、系统补丁安装等操作；在保证用户终端具备自防御能力并安全接入的前提下，合理控制用户的网络行为，提升整网的安全防御能力。

系统应用示意图如下所示：功能特点完备的安全状态评估用户终端的安全状态是指操作系统补丁、第三方软件版本、病毒库版本等反映终端防御能力的状态信息。

EAD通过对终端安全状态进行评估，使得只有符合企业安全标准的终端才能准许访问网络。

H3C EAD终端准入控制解决方案
无
【期刊名称】《软件和信息服务》
【年(卷),期】2011(000)002
【摘要】H3C EAD终端准入控制（Enduser Admission Domination）解决方案从控制用户终端安全接入网络的角度入手．整合网络接入控制与终端安全产品，通过智能客户端（是指安装了H3C iNode智能客户端的用户接入终端．负责身份认证的发起和安全策略的检查）、安全策略服务器（是指用户网络中的交换机、路由器、VPN网关等设备。

【总页数】1页(P65-65)
【作者】无
【作者单位】不详
【正文语种】中文
【中图分类】TP309
【相关文献】
1.基于校园网终端准入控制EAD的二次开发与应用 [J], 周巧雨
2.谋局全网纵深防御——中国银行大规模部署H3C EAD终端准入控制解决方案[J],
3.终端准入控制解决方案在检验检疫信息安全工作中的应用研究 [J], 季佳华;李月;吴穗玲;张伟
4.终端准入市场飞速增长H3C EAD占据领先 [J],
5.终端准入市场飞速增长H3C EAD占据领先 [J],
因版权原因，仅展示原文概要，查看原文内容请购买。

H3CEAD解决方案建设实践...文/管蓓长期以来，对于公司信息安全管理，我们通常认为安全威胁主要源于外界，于是大家都希望在互联网接入处，把病毒和攻击挡在门外，就可安全无忧。

殊不知，有许多重大的网络安全问题正是由内部人员引起。

例如，内部人员在浏览某些网站时，一些间谍软件、木马程序等恶意软件就会不知不觉地被下载到电脑中，并且在企业内网传播，不仅产生安全隐患，还会影响到网络的使用率。

据美国CSI/FBI对484家公司进行网络安全专项调查的结果显示：安全威胁造成的损失超过80%来自公司内部，其中有16%来自内部未授权的存取，有14%来自专利信息被窃取。

挑战对于当今绝大多数企业来说，公司的关键数据和信息是否安全往往能决定一个企业的存亡。

H3C作为一家高新科技公司，更是在其诞生之初就继承了非常严格的信息安全管理制度。

而随着公司规模的不断扩张，不仅员工及终端数剧增，网络复杂度也呈几何级增长。

新的补丁发布了，却总有人不理会，系统漏洞时时存在；新的病毒出现了，却总有人不及时升级病毒库，为病毒入侵大开方便之门；管理员查找、隔离、修复这些不符合安全策略的终端更是一项费时费力的工作。

总之，早期的信息安全管理因为技术的限制，在完善的制度与实际的终端安全实施之间存在巨大的差距。

因此，如何确保“正确的人”在“正确状态”下做“正确的事”，成为H3C IT部门以及研发体系密切关注的问题。

直到2006年，H3C推出了针对“内网控制”的第一套解决方案——EAD终端准入控制（End user Admission Domination）。

解决方案图1 EAD解决方案功能示意图如图1，用户终端接入内网时，要根据EAD服务器配置的安全策略对其进行检查，如不符合安全策略，则通过网络设备（往往是接入交换机、路由器或VPN网关设备）的联动配合，从物理或网络层面上将之限制在隔离区中，该“危险”终端可以访问隔离区中的补丁服务器、防病毒软件服务器进行系统修复，完成后再通过安全认证才可访问企业网络。