目前，在企业网络中，用户的终端计算机不及时升级系统补丁和病毒库、私设代理服务器、私自访问外部网络、滥用企业禁用软件的行为比比皆是，脆弱的用户终端一旦接入网络，就等于给潜在的安全威胁敞开了大门，使安全威胁在更大范围内快速扩散，进而导致网络使用行为的“失控”。保证用户终端的安全、阻止威胁入侵网络，对用户的网络访问行为进行有效的控制，是保证企业网络安全运行的前提，也是目前企业急需解决的问题。

网络安全从本质上讲是管理问题。H3C端点准入防御（EAD，Endpoint Admission Defense）解决方案从控制用户终端安全接入网络的角度入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，有效地加强了用户终端的主动防御能力，为企业网络管理人员提供了有效、易用的管理工具和手段。

1．方案概述

对于要接入安全网络的用户，EAD解决方案首先要对其进行身份认证，通过身份认证的用户进行终端的安全认证，根据网络管理员定制的安全策略进行包括病毒库更新情况、系统补丁安装情况、软件的黑白名单等内容的安全检查，根据检查的结果，EAD对用户网络准入进行授权和控制。通过安全认证后，用户可以正常使用网络，与此同时，EAD可以对用户终端运行情况和网络使用情况进行审计和监控。EAD解决方案对用户网络准入的整体认证过程如下图所示：

2．组网模型

如下图所示，EAD组网模型图中包括安全客户端、安全联动设备、EAD安全策略服务器和第三方服务器。

安全客户端：是指安装了H3C iNode智能客户端的用户接入终端，负责身份认证的发起和安全策略的检查。

安全联动设备：是指用户网络中的交换机、路由器、VPN网关等设备。EAD提供了灵活多样的组网方案，安全联动设备可以根据需要灵活部署在各层比如网络接入层和汇聚层。

EAD安全策略服务器：它要求和安全联动设备路由可达。负责给客户端下发安全策略、接收客户端安全策略检查结果并进行审核，向安全联动设备发送网络访问的授权指令。

第三方服务器：是指补丁服务器、病毒服务器和安全代理服务器等，被部署在隔离区中。当用户通过身份认证但安全认证失败时，将被隔离到隔离区，此时用户能且仅能访问隔离区中的服务器，通过第三方服务器进行自身安全修复，直到满足安全策略要求。

3．功能特点

•          严格的身份认证

除基于用户名和密码的身份认证外，EAD还支持身份与接入终端的MAC地址、IP地址、所在VLAN、接入设备IP、接入设备端口号等信息进行绑定，支持智能卡、数字证书认证，增强身份认证的安全性。

•          完备的安全状态评估

根据管理员配置的安全策略，用户可以进行的安全认证检查包括终端病毒库版本检查、终端补丁检查、终端安装的应用软件检查、是否有代理、拨号配置等；为了更好的满足客户的需求，EAD客户端支持和微软SMS、LANDesk、BigFix等业界桌面安全产品的配合使用，支持与瑞星、江民、金山、Symantec、McAfee、Trend Micro、Ahn等国内外主流防病毒厂商联动。例如EAD可充分利用微软成熟的桌面管理工具SMS实现Windows环境下用户的桌面管理需求，包括资产管理、补丁管理、软件分发和安装等。

•          基于角色的网络授权

在用户终端通过病毒、补丁等安全信息检查后，EAD可基于终端用户的角色，向安全联动设备下发事先配置的接入控制策略，按照用户角色权限规范用户的网络使用行为。终端用户的所属VLAN、ACL访问策略、是否禁止使用代理、是否禁止使用双网卡等安全措施均可由管理员统一配置实施。

•          扩展开放的解决方案

EAD解决方案为客户提供了一个扩展、开放的结构框架，最大限度的保护了用户已有的投资。EAD广泛、深入的和国内外防病毒、操作系统、桌面安全等厂商展开合作，融合各家所长；EAD与第三方认证服务器、安全联动设备等之间的交互基于标准、开放的协议架构和规范，易于互联互通。

•          灵活方便的部署方式

EAD方案部署灵活，维护方便。EAD按照网络管理员配置的安全策略区别对待不同身份的用户，定制不同的安全检查和处理模式，包括监控模式、提醒模式、隔离模式和下线模式；此外，EAD还支持灵活的旧网改造方案和客户端静默安装等特性。

•          ARP攻击防范

EAD方案可以通过绑定用户网关地址来防止恶意的ARP欺骗，客户端的流量监控功能还可以实时监控用户的非法流量，当出现异常时可以采取相应的安全措施。

4．典型组网应用

•          局域网安全准入防护

在企业网内部，接入终端一般是通过交换机接入企业网络，EAD通过与交换机的联动，强制检查用户终端的病毒库和系统补丁信息，降低病毒和蠕虫蔓延的风险，同时强制实施网络接入用户的安全策略，阻止来自企业内部的安全威胁。

l           广域网安全准入防护

大型企业往往拥有分支机构或合作伙伴，其分支机构、合作伙伴也可以通过专线或WAN连接企业总部。这种组网方式在开放型的商业企业中比较普遍，受到的安全威胁也更严重。为了确保接入企业内部网的用户具有合法身份且符合企业安全标准，可以在分支机构出口路由器、企业入口路由器或网关中实施EAD准入控制，保证接入网络的用户终端不会对内部网络造成安全威胁。

l           VPN安全准入防护

一些企业和机构允许移动办公员工或外部合作人员通过VPN方式接入企业内部网络。EAD方案可以通过VPN网关确保远程接入用户在进入企业内部网之前，检查用户终端的安全状态，并在用户认证通过后实施企业安全策略。对于没有安装安全客户端的远程用户，管理员可以选择拒绝其访问内部网络或限制其访问权限。

l            WLAN安全准入防护

WLAN接入的用户终端具有漫游性，经常脱离企业网络管理员的监控，容易感染病毒和木马或出现长期不更新系统补丁的现象。与局域网接入防护类似，对于这种无线接入的用户，EAD也可以在无线控制器的配合下，通过标准的802.1x方式，对用户的身份和安全状态进行认证与评估，防止外来病毒和蠕虫对网络的攻击。