Acceso
País / Región
Como solución de gestión de acceso seguro, H3C IMC End-user Intelligent Access (EIA) administra el acceso a la red de los puntos finales en las redes empresariales que están construidas con infraestructuras de red cableadas, inalámbricas y de VPN. EIA admite la definición de escenarios de acceso basados en el rol del usuario, tipo de dispositivo, tiempo de acceso, ubicación de acceso y otros criterios, y realiza un estricto control de acceso a la red para una gestión de privilegios granular. Cumple con los requisitos de operación y mantenimiento unificados de las redes empresariales para administrar varios métodos de acceso, abundantes tipos de puntos finales y diferentes roles de usuario, y garantiza la ejecución de políticas de seguridad.
Características EIA
Además del manejo centralizado de dispositivos de red, EIA mantiene información básica de usuario (incluyendo nombre de usuario, ID de identificación, dirección de contacto, número de teléfono, dirección de correo electrónico y grupo de usuarios) y información adicional de usuarios de manera centralizada. Personalice la información del usuario de acuerdo a las necesidades de operación de la red. Por ejemplo, personalice los ID de los estudiantes y las calificaciones para una red universitaria y los departamentos y puestos para una red empresarial. La gestión centralizada también puede asociar los nombres de usuario de los usuarios autenticados con múltiples dispositivos a múltiples direcciones IP, lo que permite a los usuarios el acceso a toda la red inalámbrica del campus. La gestión unificada del usuario también maneja los derechos de usuario, QoS, ancho de banda, aplicaciones y políticas de seguridad. EIA es capaz de integrar usuarios y dispositivos.
Gestiona los recursos
EIA soporta la agrupación de dispositivos y usuarios. El administrador asigna a los usuarios con el mismo atributo a un grupo y asigna los privilegios de gestión de grupo a los operadores a través de una matriz de políticas. Además, el administrador gestiona el acceso a la red de los usuarios en los grupos de usuarios mediante la asignación de servicios de acceso a los grupos de usuarios y asigna los grupos a diferentes subredes.
La integración de la administración de dispositivos y la administración de usuarios permite al administrador realizar operaciones de manera más eficiente. La lista de usuarios en línea proporciona una interfaz para ver información sobre los dispositivos de acceso de los usuarios en línea, como información básica del dispositivo, alarmas y estado del rendimiento. El administrador puede tomar acciones sobre los usuarios seleccionando sus dispositivos de acceso. Por ejemplo, el administrador puede seleccionar un dispositivo de acceso y hacer que todos los usuarios de acceso en el dispositivo se desconecten.
Varios métodos de acceso (como el acceso 802.1X y VPN) están disponibles para que los usuarios accedan a la red.
Métodos de autenticación (por ejemplo, PAP, CHAP, EAP-MD5, EAP-TLS y PEAP) cumplen los requisitos de seguridad en diferentes escenarios de aplicación.
Asegura las conexiones entre usuarios y direcciones IP de dispositivos, puertos de acceso, VLANs, direcciones IP de usuarios e información de hardware (direcciones MAC, por ejemplo) para aumentar la seguridad de autenticación y prevenir pérdida de cuentas y accesos inválidos.
Autenticación unificada con el controlador de dominio de Windows y sistemas de correo electrónico de terceros compatibles con LDAP evita la multi-autenticación.
Adopta el servidor de autenticación que separa el plano de control
Asegura la cooperación con la solución Endpoint Admission Defense (EAD) para que sólo los endpoints de usuario que cumplen con las políticas de seguridad puedan acceder a la red.
Autenticación de portal admite clientes H3C iNode DC y PC. Personaliza la página de autenticación del portal y la incrusta en la página de inicio de un sistema de terceros. La personalización del portal también proporciona plantillas de sistema como registro sin registro y registro de invitados en autoservicio. Las páginas de autenticación se pueden enviar según grupos de puertos, SSID y sistemas operativos de punto final.
Define los privilegios de acceso a la red para diferentes usuarios utilizando políticas de control de privilegios basadas en usuario.
Los ajustes de usuarios en línea concurrentes y prohibición del servicio proxy evitan eficazmente el uso excesivo de recursos de red por parte de usuarios específicos.
Soporta establecer el tiempo máximo de inactividad.
El control basado en ACL y VLAN evita que los usuarios accedan a sitios web ilegales externos y servidores internos con datos sensibles.
Asegura la seguridad y la unicidad de las direcciones IP del usuario.
Después de configurar el rango de tiempo y la ubicación de acceso a la red, los usuarios solo podrán acceder a la red según lo configurado.
Limita el uso de múltiples NIC y el método de acceso remoto para evitar la filtración de información interna.
Utilice clientes dedicados y actualice automáticamente los clientes para garantizar la seguridad.
Soporte en tiempo real a los usuarios en línea y obliga a los usuarios ilegales a desconectarse.
La función de lista negra añade usuarios que adivinan maliciosamente contraseñas a la lista negra y rastrea los origines de comportamientos ilegales por dirección MAC o dirección IP.
Asegura el acceso a los puntos finales denegando el acceso a la red de los puntos finales que utilizan direcciones MAC falsificadas de terminales desatendidos sin cliente y puntos finales inteligentes.
EIA soporta enviar notificaciones al administrador a los usuarios de acceso en eventos importantes. Por ejemplo, la notificación de desconexión de red antes de la actualización del sistema y la notificación de protección de contraseña cuando se detecta un ataque de contraseña malicioso.
Localiza los registros de fallos de autenticación para identificar las razones de los fallos de autenticación.
Gestión de clasificación de usuarios basada en servicios e integración de políticas de autenticación, políticas de seguridad y privilegios de acceso en los servicios simplifican las operaciones de mantenimiento y garantizan una gestión de red unificada.
EIA provee una interfaz web amigable para que los operadores realicen operaciones de gestión centralizada en los usuarios de acceso.
Los usuarios pueden solicitar cuentas, consultar y modificar información de usuario en el centro de autoservicio, lo cual mejora la eficiencia de acceso y reduce la carga de trabajo del administrador.
Basándote en los escenarios de aplicación, ofrece los siguientes métodos para crear invitados:
En lugares públicos, utiliza los números de teléfono para registrarte y obtener contraseñas a través de mensajes de texto para acceder rápidamente a la red. El proceso es el siguiente:
1) El administrador de invitados configura una política de acceso para invitados y los parámetros de la cuenta (incluido el período de validez) en el servidor EIA.
2) conectar al SSID de invitado.
3) El invitado ingresa el número de teléfono en la página de autenticación web y hace clic en Obtener Contraseña.
4) El servidor EIA crea automáticamente una cuenta de invitado para este número de teléfono y asigna la política de acceso de invitado y el período de validez de la cuenta a la cuenta.
5) El servidor EIA envía la cuenta y la contraseña al invitado en un mensaje SMS a través de la puerta de enlace de mensajes SMS.
6) El invitado ingresa la contraseña en la página de autenticación web después de recibir el mensaje SMS.
7) Después de pasar la autenticación, el invitado puede acceder a los recursos de red definidos por la política de acceso.
8) El servidor EIA elimina periódicamente las cuentas de invitados caducadas.
Este método se aplica cuando las cuentas de invitado son gestionadas por un recepcionista específico, como un guardia de seguridad, recepcionista de escritorio frontal o empleado. El flujo de trabajo es el siguiente:
1) Inicia sesión en el centro de autoservicio, crea una cuenta de invitado y asigna una política de acceso y un período de validez a la cuenta.
2) El servidor EIA envía la cuenta y contraseña al invitado por correo electrónico o mensaje de SMS.
3) Intenta conectarte a la red de invitados (SSID Guest).
4) El invitado ingresa la cuenta y contraseña en la página de autenticación web enviada.
5) Después de pasar la autenticación, el invitado puede acceder a los recursos de red definidos por la política de acceso.
6) El servidor EIA elimina periódicamente las cuentas de invitados caducadas.
Crear cuenta por parte de los recepcionistas
Los invitados usan este método para solicitar cuentas y el recepcionista de invitados aprueba la solicitud. El flujo de trabajo es el siguiente:
1) Intenté conectar al SSID de invitado.
2) El invitado hace clic en Pre registrar invitado en la página de autenticación web, e ingresa la información de la cuenta y selecciona un recepcionista de invitados en la página de pre registro.
3) El recepcionista de invitados inicia sesión en el centro de autoservicio y asigna una política de acceso y un período de validez al invitado.
4) Después de que la cuenta entre en vigor, EIA envía la cuenta al huésped por correo electrónico o mensaje SMS.
5) Intenta conectarte de nuevo a la red de invitados (Guest SSID) e ingresa tu cuenta y contraseña en la página de autenticación web que se muestra.
6) Después de pasar la autenticación, el invitado puede acceder a los recursos de red definidos por la política de acceso.
7) El servidor EIA elimina periódicamente las cuentas de invitados caducadas.
Crear cuenta como invitado
Un invitado puede usar un terminal inteligente para escanear un código QR específico para crear una cuenta rápida y acceder a la red. Los siguientes tipos de códigos QR están disponibles para la autenticación de invitados:
Autenticación código QR
1) Crea una cuenta de invitado en el centro de autoservicio y genera un código QR.
2) El invitado escanea el código QR para autenticarse.
Aprobación código QR
1) Cuando el invitado accede a un sitio web, el invitado es dirigido a la página de preinscripción automática. También se genera automáticamente un código QR en la página.
2) El gestor de invitados escanea el código QR para ingresar a la página de aprobación y aprueba la cuenta del invitado.
3) El huésped puede acceder a la red después de que se apruebe la cuenta.
EIA admite abundantes interfaces de SDK para comunicarse con las plataformas oficiales de WeChat de las empresas. Accede a la red inalámbrica de una empresa siguiendo la cuenta oficial de WeChat de la empresa.
Múltiples métodos de notificación de mensajes SMS
Los siguientes métodos están disponibles para enviar mensajes de SMS.
Pasarela de mensajes SMS.
Terceros, puertas de mensajes SMS con las que EIA se comunica a través de la interfaz web.
Plataformas de mensajes SMS del cliente con las cuales EIA se comunica a través de interfaces personalizadas.
EIA trabaja con la solución de gestor de ACL IMC para la configuración de ACL en dispositivos de acceso. Selecciona un dispositivo de acceso y configura una ACL para el dispositivo. La información de implementación de ACL de los dispositivos de acceso se muestra en la lista de dispositivos de acceso.
Proporciona enlaces para consultar los detalles del dispositivo de acceso, incluyendo información básica del dispositivo, alarmas y estado de rendimiento.
El administrador puede gestionar los dispositivos de acceso utilizando la función de gestión de topología. La topología muestra los dispositivos de acceso y permite al administrador ver información sobre estos dispositivos. El administrador también puede configurar los dispositivos de acceso como dispositivos no de acceso en la topología.
EIA asigna políticas de autorización basadas en escenarios. Un escenario es una combinación de ubicación del dispositivo, tipo de dispositivo y rango de tiempo de acceso. El administrador puede definir perfiles de shell y conjuntos de comandos para usuarios de dispositivos en diferentes escenarios.
Establece rangos de tiempo de acceso fijo o flexible para controlar el tiempo de acceso a la red de los usuarios del dispositivo.
Configura el perfil de shell para definir los atributos globales de los usuarios del dispositivo, por ejemplo, niveles de privilegio, ACL de acceso y duración de acceso.
Defina la configuración del conjunto de comandos que define los comandos disponibles para los usuarios del dispositivo.
Registros de autenticación registran la información de inicio de sesión de los usuarios de dispositivos, incluyendo nombre de usuario, resultado de inicio de sesión, motivo de fallo, tiempo de autenticación, dirección IP del dispositivo de inicio de sesión, dirección IP del usuario, nivel de privilegio, acción de inicio de sesión, tipo de autenticación y tipo de servicio.
Los registros de autorización supervisan eventos de autorización de inicio de sesión y autorización de comandos. Si la autorización de inicio de sesión está habilitada, el servidor de Autenticación TACACS+ (TAM) autoriza un nivel de inicio de sesión para un usuario que ha iniciado sesión correctamente y registra el evento en el registro de autorización. Si la autorización de comandos está habilitada, el servidor TAM determina si el usuario del dispositivo tiene el derecho de ejecución de un comando cuando se ejecuta dicho comando y mantiene registros de autorización de comandos.
El servidor TAM registra los inicios de sesión de usuarios de dispositivos, los dispositivos de inicio de sesión y los comportamientos de los usuarios de dispositivos. Los registros de auditoría registran la siguiente información: nombre de inicio de sesión, tipo de auditoría, hora de auditoría, IP del dispositivo, IP del usuario final y comandos.
Registro de auditoría
Trabaja con la plataforma IMC, EIA puede enviar anuncios a los usuarios según las identidades de los usuarios y las ubicaciones de acceso. Los usuarios de acceso pueden obtener información de manera más fácil y rápida. EIA también puede trabajar con plataformas de publicidad de terceros para satisfacer las necesidades de operación de la red.
Con un mecanismo de autenticación optimizado, procesamiento simplificado de paquetes y control eficiente de la memoria, EIA puede procesar solicitudes de autenticación de más de 10000 usuarios de forma simultánea por segundo en el momento pico de autenticación. Con la optimización del rendimiento de la base de datos y el control preciso del procesamiento del servicio, EIA puede realizar una recopilación eficiente de estadísticas y procesamiento de servicios entre datos de millones de usuarios.
Ítem | Especificaciones | |
Plataforma de hardware | Servidor PC | Xeon 2.4 G (mayor), tamaño de memoria ≥ 4 GB, tamaño de disco duro ≥ 80 GB, unidad óptica 48x, NIC 100 M, resolución 1024 × 768, tarjeta de sonido |
Cliente PC | Frecuencia base ≥ 1.8 GHz, tamaño de memoria ≥ 512 MB, tamaño de disco duro ≥ 20 GB, unidad óptica 48x, NIC de 100 M, resolución 1024 × 768, tarjeta de sonido | |
Sistema operativo | Windows | IMC EIA server: Windows Server 2012/2016 64-bit Database: SQL Server 2012 SP2/2014/2016 Enterprise 64-bit |
Linux | IMC EIA server: Red Hat Enterprise Linux Version 7.3/7.4 64-bit Database: Oracle 11g/12c 64-bit |
ID del producto | Descripción |
SWP-IMC7-EIA | H3C iMC, End-user Intelligent Access Component |
LIS-IMC7-EIAA-50 | H3C iMC, End-user Intelligent Access Component, 50 Licenses |
LIS-IMC7-EIAB-200 | H3C iMC, End-user Intelligent Access Component, 200 Licenses |
LIS-IMC7-EIAC-500 | H3C iMC, End-user Intelligent Access Component, 500 Licenses |
LIS-IMC7-EIAD-2000 | H3C iMC, End-user Intelligent Access Component, 2000 Licenses |
LIS-IMC7-EIAE-5000 | H3C iMC, End-user Intelligent Access Component, 5000 Licenses |