導語：略談企業網絡終端準入解決策略一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

一、終端準入聯動模型H3C終端準入控制解決方案(EAD,EnduserAdmissionDomination)

針對本企業網絡特性,通過配合接入層交換機802.1x認證方式實現對接入用戶的控制。安全策略服務器是方案中的管理與控制中心,兼具終端用戶管理、安全策略管理、安全狀態評估、安全聯動控制以及安全事件審計等功能。為了提高EAD系統的高可用性和容災性,我們采用雙機冷備方案,同時對系統自帶數據庫進行定時備份。第三方服務器是指補丁服務器、病毒服務器等,被部署在隔離區中。當用戶通過身份認證但安全認證失敗時,將被隔離到隔離區,此時用戶能且僅能訪問隔離區中的服務器,通過第三方服務器進行自身安全修復,直到滿足安全策略要求。

二、終端準入控制過程

EAD解決方案提供完善的接入控制,除基于用戶名和密碼的身份認證外,EAD還支持身份與接入終端的MAC地址、IP地址、所在VLAN、所在SSID、接入設備IP、接入設備端口號等信息進行綁定,支持智能卡、數字證書認證,支持域統一認證,增強身份認證的安全性。根據實際情況我們采用基于域統一認證,與接入終端MAC地址和接入設備IP信息進行綁定的嚴格身份認證模式。通過身份認證之后,根據管理員配置的安全策略,用戶進行包括終端病毒庫版本檢查、終端補丁檢查、是否有等安全認證檢查。通過安全認證后,用戶可正常使用網絡,同時EAD將對終端運行情況和網絡使用情況進行監控和審計。若未通過安全認證,則將用戶放入隔離區,直到用戶通過安全認證檢查。EAD解決方案對終端用戶的整體控制過程如圖2所示。

三、終端準入控制策略的實現

1接入用戶身份認證為了確保只有符合安全標準的用戶接入網絡,EAD通過交換機的配合,強制用戶在接入網絡前通過802.1x方式進行身份認證和安全狀態評估,但很多單位已經建立了基于Windows域的信息管理系統,通過Windows域管理用戶訪問權限和應用執行權限。為了更加有效地控制和管理網絡資源,提高網絡接入的安全性,EAD實現了Windows域與802.1x統一認證方案,平滑地解決了兩種認證流程之間的矛盾,避免了用戶二次認證的煩瑣。該方案的關鍵在于兩個“同步”過程:一是同步域用戶與802.1x接入用戶的身份信息(用戶名、密碼),EAD解決方案使用LDAP功能實現用戶和Windows域用戶信息的同步。二是同步域登錄與802.1x認證流程,EAD解決方案通過H3C自主開發的iNode智能客戶端實現認證流程的同步。統一認證的基本流程如圖3所示。

2安全策略狀態評估EAD終端準入控制解決方案在安全策略服務器統一進行安全策略的管理,并在安全策略管理中提供黑白軟件統一管理功能。管理員可根據IT政令,在安全策略服務器定義員工終端黑白軟件列表,通過智能客戶端實時檢測、網絡設備聯動控制,完成對用戶終端的軟件安裝運行狀態的統一監控和管理。如果用戶通過安全策略檢查,可以正常訪問授權的網絡資源;如果用戶未滿足安全策略,則將被強制放入隔離區內,直至通過安全策略檢查才可訪問授權的網絡資源。

3EAD與iMC融合管理EAD通過與iMC(開放智能管理中樞,IntelligentManagementCenter)靈活組織功能組件,形成直接面向客戶需求的業務流解決方案,從根本上解決多業務融合管理的復雜性。EAD實現了對用戶的準入控制、終端安全、桌面資產管理等功能,iMC平臺實現了對網絡、安全、存儲、多媒體等設備的資源管理功能,UBAS、NTA等組件實現了行為審計、流量分析等業務的管理功能,這幾者結合在一起,為企業IT管理員提供了前所未有的融合用戶、資源和業務三大要素的開放式管理體驗。

四、結語

在未實施終端準入解決方案之前,本企業網絡管理模式被動,雖制定完善的IT管理制度,但不能有效實行,比如不能及時升級系統補丁,不能及時升級殺毒軟件病毒庫,不能實時監控用戶軟件安裝,不能實時監控計算機硬件信息等問題。通過實施終端準入解決方案,降低了來自企業內部網絡的威脅,規范了終端準入安全策略,提高了IT管理員工作效率,從而保障了企業網絡環境的安全。

作者：李琰單位：中國鋁業鄭州研究院設備與自動化研究所