EAD特色功能

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

技术文档

目录

1 EAD与iMC融合管理解决方案 (3)

2 基于802.1x的客户端快速部署技术 (7)

3 EAD可控软件技术 (8)

4 EAD匿名认证技术 (9)

5 EAD无客户端技术 (12)

6 EAD桌面资产管理解决方案 (15)

7 EAD高可靠性解决方案 (18)

1 EAD与iMC融合管理解决方案

H3C凭借多年网络管理产品的研发经验以及对网络管理的深刻理解,推出了面向下一代的网络管理产品:开放智能管理中枢(Intelligent Management Center,以下简称:iMC)。iMC以业务管理和业务流程模型为核心,采用面向服务架构(SOA)的设计思想,提供按需装配的组件化结构,为客户提供网络业务、资源和用户的融合管理解决方案,帮助客户实现网络业务的端到端管理。通过iMC可以灵活组织功能组件,形成直接面向客户需求的业务流解决方案,从根本上解决多业务融合管理的复杂性。

H3C 开放智能管理中枢(iMC)解决方案架构

iMC从根本上颠覆了传统网络管理软件的设计思想,将网络管理工作从繁杂的、相互独立的管理工具中解脱出来,以业务融合和业务流为主旨思想,实现用户、资源和业务三大网络要素的融合管理。iMC 真正实现了以用户为本,灵活分配IT资源,迅速响应业务的目标,实现了基础资源的管理和统一访问。iMC针对不同业务进行独立设计,形成可扩展的组件,可按照客户所需选择装配,从而最终以业务流的方式贯穿在整个网络管理和运维过程中。

iMC主界面

iMC用户管理界面

用户管理与设备管理的融合

EAD解决方案可基于iMC平台进行部署。EAD解决方案的用户管理功能可以与iMC网络设备管理功能相融合,使得用户管理操作更加简单,管理能力更加强大。在iMC的拓扑管理界面上可以直观的操作接入设备,并直接管理每个接入的相关用户,可进行查看用户信息、强制用户下线、执行安全检查等操作,使终端用户的管理更加直观清晰。

1. 接入设备列表中可以直接看到用户相关信息,不仅操作简单方便,而且提高了操作员日常维

护的效率。

2. 可针对选定的接入设备进行用户操作,比如,针对某个接入设备,将其所挂的用户进行全部

下线处理等。

3. 可以在在线用户列表中通过点击接入设备,直接查看当前在线用户所对应的接入设备的详细

信息,比如,对应的基本信息、告警、性能状况等。该功能使得操作更友好,可全面提升操

作员的操作体验。

用户管理与用户行为审计的融合

EAD的用户管理功能还可以与iMC的用户行为审计解决方案(UBAS)功能相融合,实现基于用户的行为审计。传统的网络行为审计只能基于IP地址,在DHCP动态分配IP的应用环境下,往往无法直接追查到访问网站的某个IP是哪个用户在使用。而iMC融合用户管理和行为审计的解决方案,不仅支持多种日志格式(包括NAT、NetStream、DIG),实现2到7层的网络行为审计,并且通过和用户接入信息联动,可以直接审计到用户帐号信息,而不仅仅是用户IP地址信息。

用户管理与网络流量分析的融合

同样,EAD的用户管理功能可以与iMC的网络流量分析(NTA)功能相融合,实现基于用户的流量分析。传统的流量分析方案基于IP地址,能够让客户及时了解各种网络应用所占用的带宽、消耗的网络资源和TopN流量的来源,但是在DHCP动态分配IP的应用环境下,往往无法直接追查到占用带宽(如下载BT应用)最多的某个IP是哪个用户在使用。而iMC融合用户管理和流量分析的解决方案,不仅提供丰富的网络流量分析报表,也可以获取相关的用户帐号、DNS域名和MAC地址信息。

在这里,EAD实现了对用户的准入控制、终端安全、桌面资产管理等功能,iMC平台实现了对网络、安全、存储、多媒体等设备的资源管理功能,UBAS、NTA等组件实现了行为审计、流量分析等业务的管理功能,这几者结合在一起,为用户提供了前所未有的融合用户、资源和业务三大要素的开放式管理体验。

2 基于802.1x的客户端快速部署技术

网络的终端安全问题由来已久,但是由于终端的数目众多,部署管理软件客户端的工作量太大,给解决终端安全问题造成了巨大障碍。为解决客户在部署客户端方面遇到的工作量问题,H3C公司在EAD 客户端中集成了快速部署技术,不需要管理员干预就可以自动下发客户端,解决了客户端部署的难题。

如果终端设备没有安装iNode智能客户端,认证成功之前(包括认证失败)终端用户只能访问一个特定的隔离区或是某一个(或几个)服务器。当用户在IE中输入网站地址试图访问外部网站时,交换机会将用户访问的URL重定向到设置好的URL(例如iNode智能客户端下载界面),这样用户一打开IE 就必须进入管理员预设的界面。在预设界面会提供客户端和其他必须安装的软件链接供用户安装,用户正确安装iNode智能客户端后进行认证,如果身份认证和安全认证顺利通过,访问限制将被取消,用户获得正常的访问权限。

典型组网

这种组网方式是以接入层交换机作为EAD控制点,终结802.1x,接入层交换机提供基于802.1x的快速部署功能。

EAD快速部署提供了一个全新的特性,该特性为IT管理员和终端用户进行iNode智能客户端软件的快速部署提供了极大的方便,有力的提高了EAD解决方案的易部署性。

3 EAD可控软件技术

对于一个有良好管理的网络来说,一定会存在相当数量的规定措施来要求遵守,下表是某单位对员工终端软件安装的明确要求。

●通过对Norton Antivirus 防病毒客户端的强制安装保证终端用户的安全性;

●强制安装Lotus Notes和Microsoft Office办公软件;

●明确禁止安装P2P、即时通信软件,防止员工在上班时间利用公司网络聊天、下载电

影等。

但通常的情况是,一些硬性的规定往往容易被束之高阁,安全策略被随意破坏,这当中或许是由于无意间破坏(如新员工未安装防病毒客户端便接入公司网络),但也有可能是人为的故意破坏(如员工私自安装P2P软件)。

也就是说,在没有行之有效的手段保证IT政令得以执行的网络中,即使有再完善的终端软件管理规定,也不过是一张废纸。正式购买的防病毒软件和桌面管理软件由于终端管理手段的缺失,而形同虚设。网络中往往是病毒横行、P2P流量充斥带宽。在网络建设日趋完善的今天,如何对内网进行安全管理,如何从源头杜绝上述问题的发生,如何有效的保证IT政令畅行无阻,成了每个IT部门人员最为头疼的问题。

基于在网络和安全控制管理领域的深厚积累,H3C推出了集智能客户端、安全策略服务器、联动设备以及第三方服务器为一体的EAD解决方案。EAD解决方案整合网络接入控制与终端安全产品,可以对接入网络的用户终端强制实施安全策略,严格控制终端用户的网络使用行为,它从网络用户终端准入控制入手,在根本上解决了上述问题。

EAD终端准入控制解决方案在安全策略服务器统一进行安全策略的管理,并在安全策略管理中提供黑白软件统一管理功能。管理员可根据IT政令,在安全策略服务器定义员工终端黑白软件列表,通过智能客户端实时检测、网络设备联动控制,完成对用户终端的软件安装运行状态的统一监控和管理。

首先管理员需要根据软件运行的进程名称,在安全策略服务器定义可控软件列表;同时对每一种受控软件规则定义相应的安全模式,即当用户终端接入网络时,智能客户端发现该规则被违反时,系统采

相关文档
最新文档