EAD特色功能

技术文档

目录

1 EAD与iMC融合管理解决方案 (3)

2 基于802.1x的客户端快速部署技术 (7)

3 EAD可控软件技术 (8)

4 EAD匿名认证技术 (9)

5 EAD无客户端技术 (12)

6 EAD桌面资产管理解决方案 (15)

7 EAD高可靠性解决方案 (18)

1 EAD与iMC融合管理解决方案

H3C凭借多年网络管理产品的研发经验以及对网络管理的深刻理解，推出了面向下一代的网络管理产品：开放智能管理中枢（Intelligent Management Center，以下简称：iMC）。iMC以业务管理和业务流程模型为核心，采用面向服务架构（SOA）的设计思想，提供按需装配的组件化结构，为客户提供网络业务、资源和用户的融合管理解决方案，帮助客户实现网络业务的端到端管理。通过iMC可以灵活组织功能组件，形成直接面向客户需求的业务流解决方案，从根本上解决多业务融合管理的复杂性。

H3C 开放智能管理中枢（iMC）解决方案架构

iMC从根本上颠覆了传统网络管理软件的设计思想，将网络管理工作从繁杂的、相互独立的管理工具中解脱出来，以业务融合和业务流为主旨思想，实现用户、资源和业务三大网络要素的融合管理。iMC 真正实现了以用户为本，灵活分配IT资源，迅速响应业务的目标，实现了基础资源的管理和统一访问。iMC针对不同业务进行独立设计，形成可扩展的组件，可按照客户所需选择装配，从而最终以业务流的方式贯穿在整个网络管理和运维过程中。

iMC主界面

iMC用户管理界面

用户管理与设备管理的融合

EAD解决方案可基于iMC平台进行部署。EAD解决方案的用户管理功能可以与iMC网络设备管理功能相融合，使得用户管理操作更加简单，管理能力更加强大。在iMC的拓扑管理界面上可以直观的操作接入设备，并直接管理每个接入的相关用户，可进行查看用户信息、强制用户下线、执行安全检查等操作，使终端用户的管理更加直观清晰。

1. 接入设备列表中可以直接看到用户相关信息，不仅操作简单方便，而且提高了操作员日常维

护的效率。

2. 可针对选定的接入设备进行用户操作，比如，针对某个接入设备，将其所挂的用户进行全部

下线处理等。

3. 可以在在线用户列表中通过点击接入设备，直接查看当前在线用户所对应的接入设备的详细

信息，比如，对应的基本信息、告警、性能状况等。该功能使得操作更友好，可全面提升操

作员的操作体验。

用户管理与用户行为审计的融合

EAD的用户管理功能还可以与iMC的用户行为审计解决方案（UBAS）功能相融合，实现基于用户的行为审计。传统的网络行为审计只能基于IP地址，在DHCP动态分配IP的应用环境下，往往无法直接追查到访问网站的某个IP是哪个用户在使用。而iMC融合用户管理和行为审计的解决方案，不仅支持多种日志格式（包括NAT、NetStream、DIG），实现2到7层的网络行为审计，并且通过和用户接入信息联动，可以直接审计到用户帐号信息，而不仅仅是用户IP地址信息。

用户管理与网络流量分析的融合

同样，EAD的用户管理功能可以与iMC的网络流量分析（NTA）功能相融合，实现基于用户的流量分析。传统的流量分析方案基于IP地址，能够让客户及时了解各种网络应用所占用的带宽、消耗的网络资源和TopN流量的来源，但是在DHCP动态分配IP的应用环境下，往往无法直接追查到占用带宽（如下载BT应用）最多的某个IP是哪个用户在使用。而iMC融合用户管理和流量分析的解决方案，不仅提供丰富的网络流量分析报表，也可以获取相关的用户帐号、DNS域名和MAC地址信息。

在这里，EAD实现了对用户的准入控制、终端安全、桌面资产管理等功能，iMC平台实现了对网络、安全、存储、多媒体等设备的资源管理功能，UBAS、NTA等组件实现了行为审计、流量分析等业务的管理功能，这几者结合在一起，为用户提供了前所未有的融合用户、资源和业务三大要素的开放式管理体验。

2 基于802.1x的客户端快速部署技术

网络的终端安全问题由来已久，但是由于终端的数目众多，部署管理软件客户端的工作量太大，给解决终端安全问题造成了巨大障碍。为解决客户在部署客户端方面遇到的工作量问题，H3C公司在EAD 客户端中集成了快速部署技术，不需要管理员干预就可以自动下发客户端，解决了客户端部署的难题。

如果终端设备没有安装iNode智能客户端，认证成功之前（包括认证失败）终端用户只能访问一个特定的隔离区或是某一个（或几个）服务器。当用户在IE中输入网站地址试图访问外部网站时，交换机会将用户访问的URL重定向到设置好的URL（例如iNode智能客户端下载界面），这样用户一打开IE 就必须进入管理员预设的界面。在预设界面会提供客户端和其他必须安装的软件链接供用户安装，用户正确安装iNode智能客户端后进行认证，如果身份认证和安全认证顺利通过，访问限制将被取消，用户获得正常的访问权限。

典型组网

这种组网方式是以接入层交换机作为EAD控制点，终结802.1x，接入层交换机提供基于802.1x的快速部署功能。

EAD快速部署提供了一个全新的特性，该特性为IT管理员和终端用户进行iNode智能客户端软件的快速部署提供了极大的方便，有力的提高了EAD解决方案的易部署性。

3 EAD可控软件技术

对于一个有良好管理的网络来说，一定会存在相当数量的规定措施来要求遵守，下表是某单位对员工终端软件安装的明确要求。

●通过对Norton Antivirus 防病毒客户端的强制安装保证终端用户的安全性；

●强制安装Lotus Notes和Microsoft Office办公软件；

●明确禁止安装P2P、即时通信软件，防止员工在上班时间利用公司网络聊天、下载电

影等。

但通常的情况是，一些硬性的规定往往容易被束之高阁，安全策略被随意破坏，这当中或许是由于无意间破坏（如新员工未安装防病毒客户端便接入公司网络），但也有可能是人为的故意破坏（如员工私自安装P2P软件）。

也就是说，在没有行之有效的手段保证IT政令得以执行的网络中，即使有再完善的终端软件管理规定，也不过是一张废纸。正式购买的防病毒软件和桌面管理软件由于终端管理手段的缺失，而形同虚设。网络中往往是病毒横行、P2P流量充斥带宽。在网络建设日趋完善的今天，如何对内网进行安全管理，如何从源头杜绝上述问题的发生，如何有效的保证IT政令畅行无阻，成了每个IT部门人员最为头疼的问题。

基于在网络和安全控制管理领域的深厚积累，H3C推出了集智能客户端、安全策略服务器、联动设备以及第三方服务器为一体的EAD解决方案。EAD解决方案整合网络接入控制与终端安全产品，可以对接入网络的用户终端强制实施安全策略，严格控制终端用户的网络使用行为，它从网络用户终端准入控制入手，在根本上解决了上述问题。

EAD终端准入控制解决方案在安全策略服务器统一进行安全策略的管理，并在安全策略管理中提供黑白软件统一管理功能。管理员可根据IT政令，在安全策略服务器定义员工终端黑白软件列表，通过智能客户端实时检测、网络设备联动控制，完成对用户终端的软件安装运行状态的统一监控和管理。

首先管理员需要根据软件运行的进程名称，在安全策略服务器定义可控软件列表；同时对每一种受控软件规则定义相应的安全模式，即当用户终端接入网络时，智能客户端发现该规则被违反时，系统采