H3C iMC EIA
Интеллектуальная система управления доступом конечных пользователей iMC EIA от H3C, это решение по безопасности для управления доступом, обеспечивает контроль доступа оконечных устройств к корпоративным сетям, включающим в себя проводные сегменты, беспроводные сегменты и сетевые инфраструктуры на основе VPN. EIA поддерживает определение сценариев доступа в зависимости от роли пользователя, типа устройства, времени подключения, местоположения и других критериев, обеспечивая строгий контроль доступа к сети. Система отвечает потребностям в унифицированном решении для эксплуатации и обслуживания корпоративных сетей, позволяя управлять различными способами подключения и ролями пользователей, обеспечивает соблюдение политик безопасности.
Функции EIA
Централизованное управление устройствами и пользователями
Помимо централизованного управления сетевыми устройствами, EIA позволяет централизованно хранить базовую информацию о пользователях (включая имя пользователя, идентификационный номер, адрес, номер телефона, адрес электронной почты и пользовательскую группу) и дополнительную информацию. Нужная информация о пользователях настраивается администратором в соответствии с требованиями к эксплуатации сети. Например, администратор может настроить идентификационные номера студентов и курсы обучения для университетской сети, а также названия департаментов и должностей для корпоративной сети.
Управление ресурсами
Групповое управление устройствами и пользователями
EIA поддерживает группирование устройств и пользователей. Администратор может включить в одну группу пользователей с одинаковыми атрибутами и предоставлять операторам права на управление группой. Кроме того, администраторы имеют возможность управлять доступом пользователей к сети на уровне групп, указывая доступные для группы сервисы.
Интеграция управления пользователями и сетевыми устройствами
Интеграция управления устройствами и пользователями повышает эффективность работы администраторов. Список активных пользователей позволяет получить доступ к информации об устройствах доступа, включая базовую информацию об устройствах, сигналах тревоги и производительности. Администратор может выполнять действия с пользователями, выбирая устройства, через которые они осуществляют доступ. Например, администратор может выбрать устройство доступа и принудительно отключить от сети всех пользователей, подключенных через это устройство.
Различные способы доступа и аутентификации для различных сценариев применения
Подключение пользователей к сети возможно с использованием различных методов (таких как 802.1X или через VPN).
Поддерживаемые механизмы аутентификации (PAP, CHAP, EAP-MD5, EAP-TLS, PEAP и другие) отвечают требованиям к безопасности для различных сценариев применения.
Привязка пользователей к IP-адресам устройств, портам доступа, VLAN, IP-адресам пользователей и информации об оборудовании (например, MAC-адресам) позволяет обеспечить более высокий уровень безопасности для аутентификации и предотвратить утрату учетных записей и несанкционированный доступ.
Унифицированная аутентификация через контроллер домена Windows и сторонние почтовые системы с поддержкой LDAP позволяет избежать многократную аутентификации.
Взаимодействие с решением для контроля доступа конечных устройств Endpoint Admission Defense (EAD) позволяет гарантировать, что доступ к сети смогут получить только конечные устройства, отвечающие требованиям политик безопасности.
Для аутентификации через портал поддерживаются DC- и PC-клиенты H3C iNode. Страницу аутентификации портала можно персонализировать и внедрить в домашнюю страницу сторонней системы. Принудительный переход на различные страницы аутентификации может осуществляться в зависимости от группы портов, идентификатора SSID и операционной системы конечного устройства.
Строгий контроль привилегий и расширенные возможности управления доступом пользователей
Политики контроля привилегий на уровне пользователей позволяют определить права доступа к сети для различных пользователей.
Настройки числа одновременно активных пользователей и запрета сервиса прокси позволяют эффективно ограничить чрезмерное использование сетевых ресурсов определенными пользователями.
Поддерживается настройка максимального периода бездействия.
Механизмы контроля пользователей на уровне списков контроля доступа (ACL) и виртуальных локальных сетей (VLAN) позволяют предотвратить обращение пользователей к запрещенным внешним веб-сайтам и внутренним серверам с конфиденциальной информацией.
Политики назначения IP-адресов пользователям позволяют гарантировать безопасность и уникальность IP-адресов.
После настройки администратором периодов времени и местоположений для доступа к сети получить такой доступ пользователи смогут только согласно настройкам.
Система EIA ограничивает использование нескольких сетевых карт и подключения через модем для защиты от утечек информации.
С помощью EIA можно обязать пользователей использовать специальное клиентское ПО и принудительно обновлять клиентское ПО в автоматическом режиме, что гарантирует безопасность клиентов.
Мощные средства мониторинга и управления пользователями конечных устройств
Система EIA позволяет автоматически опрашивать активных пользователей в режиме реального времени и предоставляет администраторам возможность принудительного отключения посторонних пользователей.
Функция черного списка позволяет включать в черный список пользователей, занимающихся подбором паролей, а также отслеживать источники несанкционированных действий по MAC-адресам или IP-адресам.
EIA поддерживает отправку администраторам уведомлений пользователям о важных событиях. Например, можно направить уведомление об отключении сети до начала обновления системы или уведомление о парольной защите при обнаружении атаки, связанной с подбором паролей.
Журналы ошибок аутентификации помогают администраторам выяснять причины ошибок.
Упрощение служебных операций
Управление классификацией пользователей на основе сервисов и интеграция политик привязки аутентификации, политик безопасности и прав доступа с сервисами упрощает выполнение служебных операций и обеспечивает унификацию сетевого управления.
EIA предоставляет удобный веб-интерфейс, с помощью которого операторы могут централизованно осуществлять операции по управлению пользователями, получающими доступ к сети.
Пользователи, получающие доступ к сети, могут подавать заявки на получение учетных записей, а также запрашивать и изменять информацию о пользователе в центре самообслуживания, что повышает эффективность и снижает нагрузку на администратора.
Различные способы создания гостевых учетных записей
В зависимости от сценария применения механизмы управления гостевыми учетными записями в EIA предлагают следующие способы создания гостевых записей:
Аутентификация посредством SMS в общественных местах
В общественных местах гости могут регистрировать учетные записи по номеру телефона и получать пароли посредством SMS для быстрого подключения к сети. Процесс организуется следующим образом:
1) Администратор гостевых учетных записей настраивает на сервере EIA политику гостевого доступа и параметры учетных записей (включая срок действия).
2) Гость пытается подключиться к гостевой сети с соответствующим идентификатором SSID.
3) Гость перенаправляется на веб-страницу аутентификации, вводит номер телефона и нажимает на кнопку "Получить пароль".
4) Сервер EIA автоматически создает гостевую учетную запись для указанного номера телефона и назначает пользователю политику гостевого доступа и срок действия учетной записи.
5) Сервер EIA направляет гостю логин и пароль в SMS-сообщении через шлюз передачи SMS.
6) После получения SMS гость вводит пароль на веб-странице аутентификации.
7) После прохождения аутентификации гость может получить доступ к сетевым ресурсам, разрешённым политикой безопасности.
8) Сервер EIA периодически удаляет гостевые учетные записи с истекшим сроком действия.
Создание учетной записи сотрудниками по работе с клиентами
Данный способ применяется в тех случаях, когда управление гостевыми учетными записями осуществляет конкретный сотрудник по работе с клиентами, например, сотрудник охраны, секретарь в приемной или другой сотрудник. Процесс организуется следующим образом:
1) Сотрудник по работе с гостевыми пользователями входит в центр самообслуживания, создает учетную запись гостя и назначает пользователю гостевую политику доступа и срок действия учетной записи.
2) Сервер EIA направляет гостю логин и пароль по электронной почте или в SMS-сообщении.
3) Гость пытается подключиться к гостевой сети с соответствующим идентификатором SSID.
4) Гость перенаправляется на веб-страницу аутентификации и вводит логин и пароль.
5) После прохождения аутентификации гостевой пользователь может получить доступ к сетевым ресурсам, разрешённым политикой доступа.
6) Сервер EIA периодически удаляет гостевые учетные записи с истекшим сроком действия.
Создание учетной записи сотрудниками по работе с клиентами
Самостоятельное создание учетной записи гостями
Данный способ может применяться в сценарии, когда гости самостоятельно оформляют заявки на создание учетных записей, которые затем утверждаются сотрудником по работе с клиентами. Процесс организуется следующим образом:
1) Гость пытается подключиться к гостевой сети с соответствующим идентификатором SSID.
2) Пользователь перенаправляется на веб-страницу аутентификации, нажимает на кнопку "Предварительная регистрация гостевого пользователя", вводит информацию по учетной записи и выбирает сотрудника по работе с клиентами на странице предварительной регистрации.
3) Сотрудник по работе с гостевыми пользователями входит в центр самообслуживания и назначает пользователю политику доступа и срок действия учетной записи.
4) После активации учетной записи EIA направляет гостю логин и пароль по электронной почте или в SMS-сообщении.
5) Гость вновь пытается подключиться к гостевой сети с соответствующим идентификатором SSID, перенаправляется на веб-страницу аутентификации и вводит логин и пароль.
6) После прохождения аутентификации гостевой пользователь может получить доступ к сетевым ресурсам, разрешённым политикой доступа.
7) Сервер EIA периодически удаляет гостевые учетные записи с истекшим сроком действия.
Создание учетной записи гостевыми пользователями
Аутентификация по QR-коду
Гости могут использовать смартфоны для сканирования специального QR-кода, обеспечивающего быстрое создание учетной записи и получение доступа к сети. Для аутентификации гостевых пользователей предусмотрены следующие виды QR-кодов:
QR-код аутентификации
1) Менеджер по работе с клиентами создает учетную запись гостя в центре самообслуживания и генерирует QR-код.
2) Гость сканирует QR-код своим устройством для аутентификации.
QR-код подтверждения
1) При попытке обращения гостевого пользователя к веб-сайту он перенаправляется на страницу автоматической предварительной регистрации. На этой странице также автоматически генерируется QR-код.
2) Менеджер по работе с клиентами сканирует QR-код для перехода на страницу подтверждения и подтверждает учетную запись гостя.
3) После подтверждения учетной записи гость может получить доступ к сети.
Другие способы
EIA поддерживает широкий спектр интерфейсов SDK для взаимодействия с официальными платформами предприятий в WeChat. Гостевой пользователь может получить доступ к беспроводной сети предприятия, подписавшись на официальный аккаунт предприятия в WeChat.
Различные способы отправки уведомлений через SMS
Отправка SMS-сообщений может осуществляться следующими способами:
1) Шлюз передачи SMS.
2) Сторонние шлюзы передачи SMS-сообщений, с которыми EIA взаимодействует через веб-интерфейс.
3) Платформы передачи SMS-сообщений заказчика, с которыми EIA взаимодействует через настраиваемые интерфейсы.
Интегрированные функции управления устройствами доступа для упрощения эксплуатации и обслуживания
1) EIA может взаимодействовать с решением IMC ACL manager, обеспечивая настройку списков ACL на устройствах доступа. Администратор может выбрать устройство доступа и настроить список ACL для этого устройства. Информация об активации списков ACL на устройствах доступа отображается в списке устройств доступа.
2) В EIA предусмотрены ссылки для запроса информации об устройствах, включая базовую информацию об устройствах, сигналах тревоги и производительности.
3) Управление устройствами доступа осуществляется администратором при помощи функции управления топологией. В топологии для администратора отображаются устройства доступа и информация об этих устройствах. Непосредственно из топологии администратор может переводить устройства доступа в категорию устройств, доступ с которых запрещен.
Управление политикой авторизации для пользователей устройств на основе сценариев
1) В EIA предусмотрено назначение политик авторизации в зависимости от сценария. Сценарий представляет собой комбинацию местоположения устройства, типа устройства и диапазона времени подключения. При этом администратор может определить профили оболочки и наборы команд для пользователей устройств в различных сценариях.
2) EIA поддерживает указание фиксированных или гибких временных периодов для управления доступом пользователей устройств к сети.
3) При настройке профиля оболочки определяются глобальные атрибуты для пользователей устройств, например, уровни привилегий, списки контроля доступа ACL и продолжительность доступа.
4) При настройке набора команд указываются команды, доступные пользователям устройств.
Подробные журналы и аудит действий по управлению устройствами
1) В журналах аутентификации регистрируются сведения о входе в систему пользователей устройств, в том числе имя входа (логин), результат входа, причина ошибки, время аутентификации, IP-адрес устройства входа, IP-адрес пользователя, уровень привилегий, действия по входу, тип аутентификации и тип услуги.
2) В журналах авторизации отслеживаются события авторизации пользователей и авторизации команд. Если включена авторизация для входа в систему, то сервер менеджера аутентификации TACACS+ Authentication Manager (TAM) назначает уровень полномочий для успешно авторизованных пользователей и регистрирует событие в журнале авторизации. Если включена авторизация команд, то сервер TAM определяет, обладает ли пользователь устройства правом исполнения команды при ее поступлении на исполнение, а также ведет журнал авторизации для команд.
3) Сервер TAM регистрирует для пользователя устройства имя входа (логин), устройство входа и действия пользователя устройства. В журнале аудита сохраняется следующая информация: имя входа (логин), тип аудита, время аудита, IP-адрес устройства, IP-адрес конечного устройства пользователя и команды.
Журналы аудита
Интеллектуальная демонстрация рекламы при работе в сети
Взаимодействуя с платформой IMC, система EIA способна принудительно демонстрировать рекламу пользователям в зависимости от личности пользователя и местоположения, откуда осуществляется подключение. Это позволяет облегчить и ускорить получение информации пользователями. Кроме того, EIA может работать с рекламными платформами сторонних производителей в соответствии с требованиями сети
Высокопроизводительные процессы аутентификации и объемные базы данных
Благодаря оптимизированным механизмам аутентификации, упрощенной обработке пакетов и эффективному распределению памяти EIA может одновременно обрабатывать запросы на аутентификацию от более чем 10000 пользователей каждую секунду в периоды пиковой нагрузки. Оптимизация производительности базы данных и выверенный контроль за обработкой служб позволяют EIA осуществлять эффективный сбор статистики и обработку данных по миллионам пользователей.
Характеристика | Спецификации | |
Аппаратная платформа | Серверный компьютер | Процессор Xeon 2,4 ГГц (или выше), объем памяти ≥ 4 Гбайт, объем места на диске ≥ 80 Гбайт, оптический привод со скоростью 48x, сетевая карта на 100 Мбит/с, разрешение дисплея 1024 × 768, звуковая карта |
Клиентский компьютер | Базовая частота ≥ 1,8 ГГц, объем памяти ≥ 512 Мбайт, объем места на диске ≥ 20 Гбайт, оптический привод со скоростью 48x, сетевая карта на 100 Мбит/с, разрешение дисплея 1024 × 768, звуковая карта | |
Операционная система | Windows | Сервер IMC EIA: Windows Server 2012/2016 64-разрядная версия База данных: SQL Server 2012 SP2/2014/2016 Enterprise 64-разрядная версия |
Linux | Сервер IMC EIA: Red Hat Enterprise Linux версии 7.3/7.4 64-разрядная версия База данных: Oracle 11g/12c 64-разрядная версия |
Артикул | Описание |
SWP-IMC7-EIA | H3C iMC, компонент интеллектуальной системы управления доступом конечных пользователей |
LIS-IMC7-EIAA-50 | H3C iMC, компонент интеллектуальной системы управления доступом конечных пользователей, 50 лицензий |
LIS-IMC7-EIAB-200 | H3C iMC, компонент интеллектуальной системы управления доступом конечных пользователей, 200 лицензий |
LIS-IMC7-EIAC-500 | H3C iMC, компонент интеллектуальной системы управления доступом конечных пользователей, 500 лицензий |
LIS-IMC7-EIAD-2000 | H3C iMC, компонент интеллектуальной системы управления доступом конечных пользователей, 2000 лицензий |
LIS-IMC7-EIAE-5000 | H3C iMC, компонент интеллектуальной системы управления доступом конечных пользователей, 5000 лицензий |