1. 方案需求来源分析

伴随经济的高速发展，网络技术也突飞猛进，企业网络技术日新月异，需求也越来越多，随着网络规模越来越大，企业经营者对网络的理解也越来越深刻，越来越认识到网络对于企业运作的重要性，企业运作对网络的依赖性，因此企业经营者对网络的安全性和健壮性的建设都提高到了一个新的水平，因为他们知道，鉴于当前企业运作对网络的依赖性，网络一旦出现问题，就直接影响企业的运营效率，甚至所有业务都中断。

为了提高网络的防御能力，企业经营者纷纷在企业网部署了防火墙、IPS等安全设备，但是发现还是会病毒横行，尤其是新病毒、木马出现时，企业被感染的概率非常高。

分析其原因，一方面，员工的安全意识并没有网络管理者那么高，甚至没有安全意识，比如操作系统关键补丁更新后，虽然发布内部通告，但也很少有人去主动更新，而且管理员无法监控多少台PC更新了补丁。新的病毒出现后，也很少有员工去主动更新杀毒软件的病毒库，甚至在终端PC上都没有安装杀毒软件。

另外一方面，对于来访用户的控制也缺少必要的手段，只能在关键的服务器资源设置访问密码，但如果员工的安全意识差，可能就会导致密码的泄漏等，给非法用户访问提供途径。如果公司有无线网络，这种潜在的威胁就会更高，非法用户可以不进入公司就可以对内部网络进行非法接入和访问等。

除此之外，提高员工工作效率，适当约束员工行为也比较重要。在全民皆股的时代，员工上班时间炒股比较常见，另外，长时间聊QQ，打网络游戏造成企业的生产效率低下，如何对上述问题进行管理，也成了各个IT主管所必须面对的问题。

综上所述，企业经营者为了提高其经营、办公网络的安全性、健壮性和网络办公效率，需要一套立体、全面的解决方案。

2. 方案简介

EAD解决方案全称是Endpoint Admission Domination终端准入控制，其核心就是对终端用户的准入和控制。它以接入认证技术为载体，为网络提供一套立体的安全体系。

EAD主要组件分为终端用户、接入控制设备、第三方补丁和病毒服务器、安全策略服务器。逻辑上分为隔离区和授权安全区域。其接入控制流程如下：

图1 EAD架构

终端用户首先通过接入认证技术进行身份认证，接入认证包括802.1X认证、PORTAL认证、L2TP认证。身份认证不通过，直接被拒绝，不能访问网络受保护资源。如果身份认证通过，则首先要把用户放到隔离区，然后进行安全检查，如果安全检查不合格，则用户将一直被隔离，只能访问隔离区域，直到自动修复或手工修复完成。如果安全检查合格，则用户会被动态授权，进入安全区域，可以访问受保护网络资源，但仅限于授权的网络资源，不能越权访问。此后用户在线过程中，其行为可以被约束，当打开或者安装禁止的进程或程序时，用户会被要求下线，禁止访问网络。这就是EAD的基本思想和操作。

3. 方案实现

3.1 部署方式

EAD方案以接入认证为载体实现用户的安全检查、行为监控和行为审计。接入认证技术可以是PORTAL、802.1X和L2TP，而且这三种接入技术分别适合不同的应用场景。

3.1.1 802.1X方式

在企业网内部局域网部署EAD方案时，如果接入交换机都支持802.1X，就可以部署802.1X认证方式的EAD了。这种部署方式的好处是，控制点低，最大化的保护企业网络。

图2 EAD 802.1X认证组网

3.1.2 Portal方式

如果接入交换机不支持802.1X认证，可以在汇聚层部署控制点，这种情况下，推荐使用PORTAL认证方式。如果是老网络改造，可以把PORTAL网关旁挂在汇聚层交换机上。这种部署方式的好处是，对现网影响小，而且旁挂方式与直接替换汇聚层交换机比，节省单板和接口成本，对现网改动小。此时需要在汇聚设备上使用策略路由，终端PC上行的流量全部被策略路由重定向到PORTAL网关上进行强制认证。下行流量可以直接在汇聚交换机下行，不经过PORTAL网关，这样做的目的是减少PORTAL网关的压力。而且旁挂的另外一个好处是，当一台PORTAL网关认证用户达到上限时，可以再旁挂一台PORTAL网关，扩容方便而且对现网改动小。如果不是旁挂，而是使用汇聚交换机直接做PORTAL，那么扩容时，就只能对网络"大动干戈"，新增一台PORTAL网关，而且把一部分接入交换机接入到该新增的网关上了。

图3EAD PORTAL旁挂组网

如果企业网有无线接入终端，可以部署无线EAD，无线EAD的控制点在无线控制器AC上，AC可以通过旁挂的方式部署到汇聚交换机或核心交换机上。AC和AP间的网络可以是二层网络，也可以是三层网络，不同支持仅在于AP和AC建立的隧道是二层隧道还是三层隧道，对于EAD本身来讲，区别不大。如图4：

图4 EAD 无线AC旁挂组网

第二种方式是使用交换机的无线控制器AC插卡，直接插到核心或汇聚交换机上，逻辑上这种组网和无线控制器AC旁挂的组网无异，只不过是由无线控制器AC单独机箱变成了插卡。如图5：

图5 EAD 无线插卡组网

这两种部署方式，虽然物理上无线控制器AC是旁挂，但就EAD接入来讲，其实是直连的，逻辑上EAD终端用户是直接挂在无线控制器AC下，通过认证后进入网络的。但是其扩展性仍然不受影响，和有线EAD的PORTAL网关旁挂扩展性类似。当用户量增加超过无线控制器AC的规格后，可以在网络相同的地方继续旁挂新的无线控制器，然后把新增AP注册到新的无线控制器上，达到扩容的目的。

一些公司随着业务的发展，除了总部，还会出现越来越多的分支机构。而分支机构在业务上也需要访问总部数据，为了保证总部网络的安全，对于分支机构接入企业总部时也需要对其身份合法性和终端PC的安全性进行检查。对于此类企业，可以选择在企业分支的出口路由器上部署PORTAL EAD，用户在访问总部前首先需要通过总部的策略服务器的身份合法性检查和终端PC的安全状况检查，以保障总部网络数据的安全。但如果分支出口路由器不支持PORTAL认证，那么可以在总部路由器广域网接口启动PORTAL认证，由总部的路由器统一对分支访问总部的用户进行认证。这两种部署方式各有优缺点，在各分支出口路由器部署PORTAL认证，PORTAL网关压力下，但其控制比较分散，不利于企业总部管理员的集中管理。如果部署到企业总部的接入路由器上，可便于企业管理员的集中控制，但如果分支节点过多，那么该接入路由器的性能压力较大，而且存在单点故障。实际部署时，可以根据分支用户量的大小及配备的分支路由器的情况灵活把握，在整个网络中，两种方式也可以混和使用。

3.1.3 L2TP方式

如果分支机构和总部相连的网络并不是企业私有网络，而是通过Internet连接，或者一些移动用户直接通过终端PC拨号上网，对于这两类用户，适合使用VPN EAD的接入方式。此时在企业总部部署接入认证网关，开启L2TP EAD功能，如果数据敏感可同时在该网关上开启IPSec功能，然后在分支终端或者移动用户的终端PC上安装H3C的iNode客户端，客户端部署L2TP或者L2TPoverIPSec，发起认证前，终端PC先拨号上网，保证可以访问Internet，然后使用iNode，直接向总部发起L2TP和IPSec连接的隧道连接请求，发起身份认证和安全认证。

3.2 安全模式

当用户通过了身份认证，但是在安全检查阶段不能符合预定的安全策略，EAD系统会针对该用户启动安全措施。默认的安全模式5种，分别是：隔离模式、监控模式、VIP模式（提醒模式）、下线模式、访客模式。管理员也可以根据自己的需求自定义最适合自己公司使用的模式。下面就5种默认的安全模式做一个简单的介绍。

3.2.1 隔离模式

隔离模式是最常用的一种安全模式，顾名思义，当使用隔离模式时，安全检查不通过的用户将被隔离在特定的区域，该区域内仅有用于修复终端PC的病毒、补丁服务器等资源。终端PC被隔离后，可在隔离区内自动或手动修复，然后重新进行安全认证，认证通过后，就可以访问被授权的安全区域。这种模式适合普通员工使用，可按照部门分配策略，给不同的部门授权访问不同的网络，员工即使通过了安全认证，也只能在授权的网络中进行访问，不能越权访问网络资源。而且此后的网络使用也可以被监控或者审计，终端PC只能安装和运行被允许的软件和进程，否则PC就会被要求下线，禁止访问网络。

3.2.2 监控模式

监控模式的管理较为宽松，当终端PC安全检查不通过时，终端PC得不到任何提示，仅网管上有记录，提示该终端PC存在的一些安全隐患。如果想保证网络的整体安全，此时需要人为干预。这种模式适合公司访问权限较大的访问者，但一旦出现处于"监控"状态的PC，管理员要进行人为干预。如果公司的管理策略较为宽松，也可以整个公司部署这种模式。监控模式中，也可以对用户进行授权，限制用户的网络访问权限，但这种模式在对用户行为进行监控或审计时，如果有不符合安全策略的行为，只能进行审计，不能要求用户下线或隔离。

3.2.3 VIP模式（提醒模式）

VIP模式在较早的iMC版本中被称为提醒模式，即当用户安全检查不通过时，不会被隔离，可以正常访问网络，但策略服务器会向终端用户发起提醒，提示该用户终端PC存在一些安全隐患。这种模式的使用，和监控模式的使用比较类似，管理较为宽松。

3.2.4 下线模式

下线模式对网络的管理是最严厉的，当终端PC安全认证不通过时，会被要求下线，不能访问网络。此模式的使用需要提前对隔离区域进行定义，使用户为通过身份认证前，就可以访问隔离区域，否则用户一旦存在网络安全隐患，被要求下线且无法访问隔离区域的话，就永远不能上线了。这种模式特别适合与PORTAL认证一起使用，可以使用PORTAL的free-rule对隔离区域进行定义，用户无线进行身份认证就可以访问隔离区域资源，进行自我修复。802.1X方式虽然也可以通过FREE-IP定义一个隔离区，允许用户在身份认证前可以访问资源，但这种方式比较浪费设备的ACL资源，不推荐使用。可能有的客户认为隔离区域的资源也需要被保护，如果用户不认证就能访问这些资源，那么这些服务器还是存在一定的安全隐患。对于这种需求，虽然定义安全策略，在要求用户下线前等待十几分钟，给用户修复PC留一点时间，对隔离区的资源进行了保护，但不得不说，不安全的终端PC提前进入安全区域，对安全区域也是一种隐患。建议使用下线模式时，使用FREE-RULE或FREE-IP的方式定义隔离区域，用户不安全时被要求立即下线。如果用户的网络不用授权，所有用户访问的资源相同，那么使用PORTAL的下线模式，可以最大化的起到节省ACL资源的目的。

3.2.5 访客模式

访客模式适合给来公司的访客人员使用，通常情况下，访客的终端PC都不会符合公司的安全策略，因此必然需要进行修复，基于这种考虑，访客模式下，如果终端PC不符合安全策略，则先会提示，要求进行修复，几分钟（可以设置）后，再次进行安全检查，如果仍然不符合要求，则要求用户下线。

3.3 认证细节

3.3.1 802.1X EAD认证细节

802.1X的认证细节前文已有详细描述，此处不再赘述，本小节重点讲述802.1X和EAD认证相关的细节。

图6 EAD 802.1X认证流程

802.1X认证过程如上图所示，和普通802.1X认证不同之处在于后续的EAD认证过程。如果在策略服务器上配置的是EAD的隔离模式，那么在用户身份认证通过后，策略服务器通过radius-access-accept报文告知接入认证NAS设备该用户认证通过，且携带一个filter-id属性，告知接入认证设备为该认证用户下发ACL，此ACL即为该用户的隔离ACL，此时用户被隔离，只能访问隔离区域，该报文中还会携带一个要求NAS设备透传的属性，该属性中包含了策略服务器地址等信息，接入认证NAS设备把该属性封装为eap报文后透传给客户端，客户端根据该报文中的策略服务器信息发起EAD认证。如图7：

图7 EAD 802.1X认证透传信息

iNode客户端收到透传的EAP报文后，解析出策略服务器的地址、端口等信息，开始发起EAD认证，EAD认证报文共2对。1、2、3、4号报文。1号报文是认证请求，包含主要内容如下：认证用户名、IP地址（可选）、客户端监听端口号、客户端版本号等。2号报文是服务器回应的安全检查报文，它需要通知客户端哪些安全项需要进行检查并且上报；通告客户端补丁服务器信息、补丁检查模式等补丁信息；通告客户端策略服务器对病毒软件版本要求、联动模式等；通告客户端一些软件黑白名单等信息。此外还携带了心跳相关信息、服务器版本等。如果有一些系统通知、广告URL等，也是通过2号报文携带的。EAD3号报文是用于向策略服务器反馈终端PC的一些安全检查结果的。客户端根据策略服务器的要求，对本终端安全检查结果进行搜集，然后通告EAD3号报文反馈给策略服务器。该报文携带内容包含用户名属性、黑、白软件名单、杀毒软件版本引擎等信息、补丁信息等。

最后策略服务器根据客户端3号报文的结果，给终端PC的一个最终反馈结果，如果安全检查通过，则直接向客户端发送EAD 4号报文。如果安全检查不通过，则向终端PC发送EAD 6号报文。在EAD6号报文中，有一个属性标识不符合安全检查策略的用户，可以正常使用网络的时间，默认情况下该属性值为0。管理员可以在策略服务器上进行设置，允许安全检查不通过的用户使用非受限网络的时长。

一次正常的上线过程，当策略服务器发现用户安全检查结果为通过时，向终端PC发送EAD4号报文。如果是隔离模式，那么策略服务器会同时向接入认证设备发送报文用于通告接入设备向该用户授权，使该用户可以正常访问其被授权的网络资源。如图8：

图8 EAD session-control报文

该报文是radius的session-control报文，通过filter-id向接入认证通告该用户应该被授权下发的ACL，通过ACL的约束来达到对用户授权的目的。接入认证设备下发ACL成功后，需要向策略服务器发送一个session-control应答报文，确认下发成功，策略服务器收到该报文后，将该用户的状态置为"安全"状态。

此后，在用户下线前，EAD终端PC和策略服务器会通过EAD 11号报文和12号报文来维持心跳保活。该报文内容比较简单，携带username属性、地址信息和序列号。

当用户主动请求下线时，向策略服务器发送EAD13号报文，策略服务器会回应EAD14号报文，其携带属性和EAD11号报文大致相同。

一个用户从进行EAD认证到该用户EAD下线，其发送的EAD报文中，都携带一个属性eventseqID，用于表示本次认证过程，其值是独一无二的。

3.3.2 PORTAL认证细节

PORTAL EAD的认证所使用的EAD报文相同，不过认证过程有所不同。本小节讲描述PORTAL EAD的认证过程。

PORTAL 认证分为PORTAL客户端、NAS服务器、PORTAL服务器、Radius服务器，其详细的交互过程及报文中所保护含义，在前面章节已有详细描述，本小节不再充分，仅讲述与EAD认证相关的部分。

PORTAL EAD认证上线过程如图9：

图9 EAD PORTAL认证流程

与802.1X相同，当用户身份认证通过后，如果用户安全策略的模式是隔离模式，那么radius服务器会通过access-accept报文中的filter-id属性下发隔离ACL。PORTAL服务器通过CODE-PP-LOGIN-RESPONS 报文通告终端PC的iNode安全策略服务器的IP地址、端口号等信息，如图10：

图10 EAD PORTA认证策略服务器信息

然后客户端发起EAD安全认证过程，此后过程和802.1X认证相同，此处不再赘述。EAD认证通过后，PORTAL认证也是通过session-control报文进行下发安全ACL，如图11：

图11 EAD PORTAL认证session-control报文

至此用户上线认证完成。

4. EAD方案现状

EAD解决方案分为802.1X认证方案，无线认证方案，PORTAL网关认证方案，VPN认证方案四种形式，而802.1X方案控制效果好，对网络的保护最大化，这种方案对交换机依赖较大。PORTAL方案对接入网络没有要求，尤其是PORTAL网关旁挂模式，对用户的网络改动非常小，而且可扩展性强。对于分公司分散全国各地，又要求访问总部进行认证的企业，广域网EAD可以很好的满足。PORTAL网关部署到总部，利于集中管理，而且对分支部门的接入设备降低了要求，因此降低了用户的网络成本。