導語：略談企業(yè)網絡終端準入解決策略一文來源于網友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

一、終端準入聯動模型H3C終端準入控制解決方案(EAD,EnduserAdmissionDomination)

針對本企業(yè)網絡特性,通過配合接入層交換機802.1x認證方式實現對接入用戶的控制。安全策略服務器是方案中的管理與控制中心,兼具終端用戶管理、安全策略管理、安全狀態(tài)評估、安全聯動控制以及安全事件審計等功能。為了提高EAD系統的高可用性和容災性,我們采用雙機冷備方案,同時對系統自帶數據庫進行定時備份。第三方服務器是指補丁服務器、病毒服務器等,被部署在隔離區(qū)中。當用戶通過身份認證但安全認證失敗時,將被隔離到隔離區(qū),此時用戶能且僅能訪問隔離區(qū)中的服務器,通過第三方服務器進行自身安全修復,直到滿足安全策略要求。

二、終端準入控制過程

EAD解決方案提供完善的接入控制,除基于用戶名和密碼的身份認證外,EAD還支持身份與接入終端的MAC地址、IP地址、所在VLAN、所在SSID、接入設備IP、接入設備端口號等信息進行綁定,支持智能卡、數字證書認證,支持域統一認證,增強身份認證的安全性。根據實際情況我們采用基于域統一認證,與接入終端MAC地址和接入設備IP信息進行綁定的嚴格身份認證模式。通過身份認證之后,根據管理員配置的安全策略,用戶進行包括終端病毒庫版本檢查、終端補丁檢查、是否有等安全認證檢查。通過安全認證后,用戶可正常使用網絡,同時EAD將對終端運行情況和網絡使用情況進行監(jiān)控和審計。若未通過安全認證,則將用戶放入隔離區(qū),直到用戶通過安全認證檢查。EAD解決方案對終端用戶的整體控制過程如圖2所示。

三、終端準入控制策略的實現

1接入用戶身份認證為了確保只有符合安全標準的用戶接入網絡,EAD通過交換機的配合,強制用戶在接入網絡前通過802.1x方式進行身份認證和安全狀態(tài)評估,但很多單位已經建立了基于Windows域的信息管理系統,通過Windows域管理用戶訪問權限和應用執(zhí)行權限。為了更加有效地控制和管理網絡資源,提高網絡接入的安全性,EAD實現了Windows域與802.1x統一認證方案,平滑地解決了兩種認證流程之間的矛盾,避免了用戶二次認證的煩瑣。該方案的關鍵在于兩個“同步”過程:一是同步域用戶與802.1x接入用戶的身份信息(用戶名、密碼),EAD解決方案使用LDAP功能實現用戶和Windows域用戶信息的同步。二是同步域登錄與802.1x認證流程,EAD解決方案通過H3C自主開發(fā)的iNode智能客戶端實現認證流程的同步。統一認證的基本流程如圖3所示。

2安全策略狀態(tài)評估EAD終端準入控制解決方案在安全策略服務器統一進行安全策略的管理,并在安全策略管理中提供黑白軟件統一管理功能。管理員可根據IT政令,在安全策略服務器定義員工終端黑白軟件列表,通過智能客戶端實時檢測、網絡設備聯動控制,完成對用戶終端的軟件安裝運行狀態(tài)的統一監(jiān)控和管理。如果用戶通過安全策略檢查,可以正常訪問授權的網絡資源;如果用戶未滿足安全策略,則將被強制放入隔離區(qū)內,直至通過安全策略檢查才可訪問授權的網絡資源。

3EAD與iMC融合管理EAD通過與iMC(開放智能管理中樞,IntelligentManagementCenter)靈活組織功能組件,形成直接面向客戶需求的業(yè)務流解決方案,從根本上解決多業(yè)務融合管理的復雜性。EAD實現了對用戶的準入控制、終端安全、桌面資產管理等功能,iMC平臺實現了對網絡、安全、存儲、多媒體等設備的資源管理功能,UBAS、NTA等組件實現了行為審計、流量分析等業(yè)務的管理功能,這幾者結合在一起,為企業(yè)IT管理員提供了前所未有的融合用戶、資源和業(yè)務三大要素的開放式管理體驗。

四、結語

在未實施終端準入解決方案之前,本企業(yè)網絡管理模式被動,雖制定完善的IT管理制度,但不能有效實行,比如不能及時升級系統補丁,不能及時升級殺毒軟件病毒庫,不能實時監(jiān)控用戶軟件安裝,不能實時監(jiān)控計算機硬件信息等問題。通過實施終端準入解決方案,降低了來自企業(yè)內部網絡的威脅,規(guī)范了終端準入安全策略,提高了IT管理員工作效率,從而保障了企業(yè)網絡環(huán)境的安全。

作者：李琰單位：中國鋁業(yè)鄭州研究院設備與自動化研究所