欢迎user
H3C凭借多年网络管理产品的研发经验以及对网络管理的深刻理解,推出了面向下一代的网络管理产品:iMC智能管理中心(Intelligent Management Center,以下简称:iMC)。iMC从根本上颠覆了传统网络管理软件的设计思想,以业务管理和业务流程模型为核心,采用面向服务架构(SOA)的设计思想,提供按需装配的组件化结构,为客户提供网络业务、资源和用户的融合管理解决方案,帮助客户实现网络业务的端到端管理。通过iMC可以灵活组织功能组件,形成直接面向客户需求的业务流解决方案,从根本上解决多业务融合管理的复杂性。
EAD安全策略组件可基于iMC平台进行部署,并且可以与iMC网络设备管理和其他业务管理功能相融合,使得用户管理操作更加简单,管理能力更加强大。
EAD安全策略组件(EAD,End user Admission Domination)从控制用户终端安全接入网络的角度入手,整合网络接入控制与终端安全产品,通过iNode智能客户端、EAD安全策略服务器、iMC平台、网络设备以及第三方软件的配合和联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为;同时,在管理上,又能做到用户管理与网络设备管理、网络拓扑管理的融合,并支持与iMC ACL Manager组件的联动,使得H3C 终端准入控制解决方案在有效地加强用户终端的主动防御能力的基础上,为企业网络管理人员更提供了有效、易用、强大的管理工具和手段。
对于要接入网络的用户,EAD解决方案首先要对其进行身份认证,通过身份认证的用户进行终端的安全认证,根据网络管理员定制的安全策略进行包括病毒库更新情况、系统补丁安装情况、软件的黑白名单等内容的安全检查,根据检查的结果,EAD对用户网络准入进行授权和控制。通过安全认证后,用户可以正常使用网络,与此同时,EAD可以对用户终端运行情况和网络使用情况进行审计和监控。EAD解决方案对用户网络准入的整体认证过程如下图所示:
iMC EAD 组件是一个集事前认证、事中监控、事后审计和业务管理为一体的多业务安全接入管理平台。该组件能够满足不同应用场景的身份识别、权限控制、安全准入和桌面管理的需求,其主要功能和特点如下:
支持802.1x、Portal、VPN接入、无线接入等多种认证接入方式,支持多业务统一认证。
支持PAP、CHAP、EAP-MD5、智能卡证书认证等多种身份验证方式,适应不同安全要求的应用场景。
支持接入帐号与接入设备IP地址、接入端口、VLAN、用户终端IP地址和MAC地址等硬件信息绑定认证,支持绑定认证自学习能力,简化管理维护工作。支持接入帐号与终端计算机名、域用户、SSID等身份信息绑定认证,增强用户认证的安全性,防止接入帐号盗用和非法接入。
支持与Windows域管理器、LDAP、第三方邮件系统(必须支持LDAP协议)的统一认证。
Portal认证提供可溶解客户端方式及iNode客户端方式。支持定制Portal认证页面或嵌入到第三方主页,可根据不同的端口组、SSID、终端操作系统推送不同的认证页面。
根据管理员配置的安全策略,用户可以进行的安全认证检查包括终端病毒库版本检查、终端补丁检查、终端安装的应用软件检查、是否有代理、拨号配置、资产管理、软件分发、U盘外设管理、远程协助等;为了更好的满足客户的需求,EAD客户端支持和瑞星、江民、金山、Symantec、MacAfee、Trend Micro、Ahn等国内外主流病毒厂商联动,支持和微软SMS、LANDesk、BigFix等业界桌面管理产品的配合使用。
丰富的批量操作,支持批量开户、批量续费、批量销户、批量修改等功能。
自定制的用户信息管理,管理员可根据网络运营的习惯进行用户信息定制:如企业可以定制部门、职务等信息。
基于Web的用户预注册,用户可以先通过Web填写用户信息后,再由管理员正式开通帐号,保证用户信息的准确性,减轻管理员的维护工作量。
支持基于用户的权限控制策略,可以为不同用户定制不同网络访问权限。
可以控制用户的上网带宽(QoS,需与H3C指定设备配合)、限制用户的同时在线数、禁止用户设置和使用代理服务器、限制最大闲置时长。
可以实现对用户ACL、VLAN的控制,限制用户对内部敏感服务器和外部非法网站的访问。(仅802.1x认证支持)
可以限制用户IP地址分配策略,防止IP地址盗用和冲突。
可以限制终端用户使用多网卡和拨号网络,防止内部信息泄露。
终端准入控制(EAD)解决方案能确保所有接入网络的用户终端符合企业的安全策略。当接入用户不符合企业安全策略时,系统支持采用下线、隔离、提醒、监控等安全模式对违规用户进行处理。用户从不同的接入区域接入网络,可以要求进行不同的安全策略检查。
提供四防软件(防病毒软件、防钓鱼软件、防间谍软件、防火墙软件)以及硬盘加密、补丁管理软件的协同防护能力。通过与桌面安全管理软件的结合,对终端准入进行主机健康检查,并对不符合企业既定安全策略的终端提供修复手段,保障企业网络安全。
提供操作系统补丁管理能力,确保终端的自防御能力。既可以手工定制需要检测的补丁,也可以和微软的WSUS服务器联动自动升级操作系统补丁。针对广域网网络的特点,提供分布式WSUS补丁升级和分支机构终端分时段升级补丁方案。
支持对软件安装,进程运行以及服务启动的合法性检查,支持对Windows注册表项的检测,支持系统特定文件监控、终端流量监控、终端操作系统弱密码检测、共享目录监控,确保终端的运行环境符合企业安全策略标准。
提供客户端ACL功能,支持客户端的安全ACL和隔离ACL,可以与第三方接入设备配合实现EAD安全检查进行有效隔离。支持防内网外联,防止内网的主机访问外网网络而造成的信息泄露。
接入设备列表中可以直接看到用户相关信息,操作简单方便,提高了操作员日常维护的效率。
可针对选定的接入设备进行用户操作,比如,针对某个接入设备,将其所挂的用户全部下线处理等。
可在在线用户列表中通过点击接入设备,直接查看当前在线用户所对应的接入设备的详细信息,比如对应的基本信息、告警、性能状况等。操作更友好,全面提升操作员的操作体验。
在拓扑上可以直观的操作接入设备、接入终端相关的用户管理功能。比如查看用户信息、强制用户下线、执行安全检查等。使终端用户的管理更加直观清晰。
在用户终端通过病毒、补丁等安全信息检查后,EAD可基于终端用户的角色,向安全联动设备下发事先配置的接入控制策略,按照用户角色权限规范用户的网络使用行为。终端用户的所属VLAN、ACL访问策略、是否禁止使用代理、是否禁止使用双网卡等安全措施均可由管理员统一配置实施。
EAD解决方案通过ARP网关地址自动下发、自动绑定的功能,使终端用户免受ARP欺骗攻击的影响,同时提供了ARP攻击报文过滤、ARP异常流量检测等控制措施,杜绝恶意用户的ARP攻击行为。
EAD解决方案实现了对终端资产全方位的监控和管理,可以对终端软硬件使用情况、变更情况进行监控,同时还支持终端资产的配置管理和软件的统一分发、远程协助、桌面防火墙管理,帮助客户更有效地管理企业的桌面资产。
EAD解决方案可以对U盘和外设的访问过程进行监控,可以查看重要文件通过U盘拷贝时,有无存在不当使用行为。EAD还提供了对U盘和其他外设的管理功能,可以对终端用户的各种外设进行控制,有效防止重要信息的泄密,而且在离线状态下依然生效。
EAD解决方案为客户提供了一个扩展、开放的结构框架,最大限度的保护了用户已有的投资。EAD广泛、深入的和国内外防病毒、操作系统、桌面安全等厂商展开合作,融合各家所长;EAD与第三方认证服务器、安全联动设备等之间的交互基于标准、开放的协议架构和规范,易于互联互通。
EAD支持分级式管理,EAD的策略可以分级下发,满足大型企业分布式部署,集中管理的需求。
EAD方案部署灵活,维护方便。EAD按照网络管理员配置的安全策略区别对待不同身份的用户,定制不同的安全检查和处理模式,包括监控模式、提醒模式、隔离模式和下线模式;此外,EAD还支持灵活的旧网改造方案和客户端静默安装等特性。
在企业网内部,接入终端一般是通过交换机接入企业网络,EAD通过与交换机的联动,强制检查用户终端的病毒库和系统补丁信息,降低病毒和蠕虫蔓延的风险,同时强制实施网络接入用户的安全策略,阻止来自企业内部的安全威胁。
接入层802.1x认证方式:控制严格、安全性高
汇聚层802.1x认证方式:部署简单、管理方便,可识别HUB用户。
对于拥有分支或下属机构的单位,由于经常存在对分支机构的管理相对松散的状况,从而存在各种安全漏洞和网络失控行为。
为解决上述问题,H3C提供EAD广域网终端控制方案,在骨干路由器或BAS设备中强制用户进行Portal认证和安全状态检查,确保用户访问总部时具有符合标准的安全状态。
一些企业和机构允许移动办公员工或外部合作人员通过VPN方式接入企业内部网络。EAD方案可以通过VPN网关确保远程接入用户在进入企业内部网之前,检查用户终端的安全状态,并在用户认证通过后实施企业安全策略。对于没有安装iNode智能客户端的远程用户,管理员可以选择拒绝其访问内部网络或限制其访问权限。
无线局域网(WLAN)以其安装便捷、使用灵活、经济节约、易于扩展等有线网络无法比拟的优点,得到越来越广泛的应用,但同时也为局域网带来了巨大的安全威胁。
在无线网络中,结合使用EAD解决方案,可以对无线接入用户进行身份识别、安全检查和网络授权,有效的满足园区网的无线安全准入的需求。
在实际情况中,很多用户的网络环境中往往包含多个厂家的设备甚至是集线器设备。对于这种异构的网络环境,如何实现终端准入、安全检查、用户授权、行为记录等EAD解决方案?H3C推出EAD网关设备,在汇聚层设备通过两条链路旁挂一台EAD网关,完成基于Portal的接入控制,进行用户网络访问的通断与开放,同时由EAD服务器进行准入策略的控制、安全状态的检测以及身份和安全认证。
项目 | 描述 |
H3C iMC-智能管理平台标准版(不含节点)-纯软件(DVD) | 必配,不含节点License。 |
H3C iMC-EAD安全策略组件(不含用户)-纯软件(CD) | 必配,不含用户License。 |
H3C iMC-EAD安全策略组件管理200用户License费用 | 选配,可增加管理200用户。 |
H3C iMC-EAD安全策略组件管理500用户License费用 | 选配,可增加管理500用户。 |
H3C iMC-EAD安全策略组件管理1000用户License费用 | 选配,可增加管理1000用户。 |
H3C iMC-EAD安全策略组件管理2000用户License费用 | 选配,可增加管理2000用户。 |
H3C iMC-EAD安全策略组件管理5000用户License费用 | 选配,可增加管理5000用户。 |
H3C iNode-iNode EAD客户端组件(for Windows) | 必配,光盘自带一个客户端。 |
H3C iNode-iNode EAD客户端组件(for Windows)每增加200用户应用软件费用 | 选配,可增加管理200用户。 |
H3C iNode-iNode EAD客户端组件(for Windows)每增加500用户应用软件费用 | 选配,可增加管理500用户。 |
H3C iNode-iNode EAD客户端组件(for Windows)每增加1000用户应用软件费用 | 选配,可增加管理1000用户。 |
H3C iNode-iNode EAD客户端组件(for Windows)每增加2000用户应用软件费用 | 选配,可增加管理2000用户。 |
H3C iNode-iNode EAD客户端组件(for Windows)每增加5000用户应用软件费用 | 选配,可增加管理5000用户。 |
如果EAD安全管理用户规模增加,则需要根据增加的用户数量购买license。同时需要根据增加后的用户数量考虑是否需要更换iMC安全策略组件服务器配置。若更换需要重新申请license。
属性 | 参数 |
硬件平台 | 服务器: PC服务器;CPU主频≥2.5GHz,4 CPU或2x双核CPU;内存≥8G;硬盘≥160G;48倍速光驱;声卡 客户端: PC主频≥1.8G;内存≥512MB;硬盘≥40GB |
操作系统 | 服务器: Windows环境: Windows Server 2003 SP1/SP2(简体中文版)、Windows Server 2008; Linux环境: Red Hat Enterprise Linux Version 5; 客户端: Microsoft Windows 2000、Windows XP、Windows Server 2003、Windows Vista、Windows Vista 64位、Windows 7、MAC OS10.4/10.5/10.6、REDHAT Linux ES3/ES5。 |
数据库 | Windows环境: SQL Server 2000 SP4、SQL Server 2005 SP2、SQL Server 2008 Linux环境: Oracle 11G |
硬件配置由网络规模决定,具体配置请咨询H3C当地办事处。