Централизованное управление устройствами и пользователями

Помимо централизованного управления сетевыми устройствами, EIA позволяет централизованно хранить базовую информацию о пользователях (включая имя пользователя, идентификационный номер, адрес, номер телефона, адрес электронной почты и пользовательскую группу) и дополнительную информацию. Нужная информация о пользователях настраивается администратором в соответствии с требованиями к эксплуатации сети. Например, администратор может настроить идентификационные номера студентов и курсы обучения для университетской сети, а также названия департаментов и должностей для корпоративной сети.

Управление ресурсами

Групповое управление устройствами и пользователями

EIA поддерживает группирование устройств и пользователей. Администратор может включить в одну группу пользователей с одинаковыми атрибутами и предоставлять операторам права на управление группой. Кроме того, администраторы имеют возможность управлять доступом пользователей к сети на уровне групп, указывая доступные для группы сервисы.

Интеграция управления пользователями и сетевыми устройствами

Интеграция управления устройствами и пользователями повышает эффективность работы администраторов. Список активных пользователей позволяет получить доступ к информации об устройствах доступа, включая базовую информацию об устройствах, сигналах тревоги и производительности. Администратор может выполнять действия с пользователями, выбирая устройства, через которые они осуществляют доступ. Например, администратор может выбрать устройство доступа и принудительно отключить от сети всех пользователей, подключенных через это устройство.

Различные способы доступа и аутентификации для различных сценариев применения

Подключение пользователей к сети возможно с использованием различных методов (таких как 802.1X или через VPN).

Поддерживаемые механизмы аутентификации (PAP, CHAP, EAP-MD5, EAP-TLS, PEAP и другие) отвечают требованиям к безопасности для различных сценариев применения.

Привязка пользователей к IP-адресам устройств, портам доступа, VLAN, IP-адресам пользователей и информации об оборудовании (например, MAC-адресам) позволяет обеспечить более высокий уровень безопасности для аутентификации и предотвратить утрату учетных записей и несанкционированный доступ.

Унифицированная аутентификация через контроллер домена Windows и сторонние почтовые системы с поддержкой LDAP позволяет избежать многократную аутентификации.

Взаимодействие с решением для контроля доступа конечных устройств Endpoint Admission Defense (EAD) позволяет гарантировать, что доступ к сети смогут получить только конечные устройства, отвечающие требованиям политик безопасности.

Для аутентификации через портал поддерживаются DC- и PC-клиенты H3C iNode. Страницу аутентификации портала можно персонализировать и внедрить в домашнюю страницу сторонней системы. Принудительный переход на различные страницы аутентификации может осуществляться в зависимости от группы портов, идентификатора SSID и операционной системы конечного устройства.

Строгий контроль привилегий и расширенные возможности управления доступом пользователей

Политики контроля привилегий на уровне пользователей позволяют определить права доступа к сети для различных пользователей.

Настройки числа одновременно активных пользователей и запрета сервиса прокси позволяют эффективно ограничить чрезмерное использование сетевых ресурсов определенными пользователями.

Поддерживается настройка максимального периода бездействия.

Механизмы контроля пользователей на уровне списков контроля доступа (ACL) и виртуальных локальных сетей (VLAN) позволяют предотвратить обращение пользователей к запрещенным внешним веб-сайтам и внутренним серверам с конфиденциальной информацией.

Политики назначения IP-адресов пользователям позволяют гарантировать безопасность и уникальность IP-адресов.

После настройки администратором периодов времени и местоположений для доступа к сети получить такой доступ пользователи смогут только согласно настройкам.

Система EIA ограничивает использование нескольких сетевых карт и подключения через модем для защиты от утечек информации.

С помощью EIA можно обязать пользователей использовать специальное клиентское ПО и принудительно обновлять клиентское ПО в автоматическом режиме, что гарантирует безопасность клиентов.

Мощные средства мониторинга и управления пользователями конечных устройств

Система EIA позволяет автоматически опрашивать активных пользователей в режиме реального времени и предоставляет администраторам возможность принудительного отключения посторонних пользователей.

Функция черного списка позволяет включать в черный список пользователей, занимающихся подбором паролей, а также отслеживать источники несанкционированных действий по MAC-адресам или IP-адресам.

EIA поддерживает отправку администраторам уведомлений пользователям о важных событиях. Например, можно направить уведомление об отключении сети до начала обновления системы или уведомление о парольной защите при обнаружении атаки, связанной с подбором паролей.

Журналы ошибок аутентификации помогают администраторам выяснять причины ошибок.

Упрощение служебных операций

Управление классификацией пользователей на основе сервисов и интеграция политик привязки аутентификации, политик безопасности и прав доступа с сервисами упрощает выполнение служебных операций и обеспечивает унификацию сетевого управления.

EIA предоставляет удобный веб-интерфейс, с помощью которого операторы могут централизованно осуществлять операции по управлению пользователями, получающими доступ к сети.

Пользователи, получающие доступ к сети, могут подавать заявки на получение учетных записей, а также запрашивать и изменять информацию о пользователе в центре самообслуживания, что повышает эффективность и снижает нагрузку на администратора.

Различные способы создания гостевых учетных записей

В зависимости от сценария применения механизмы управления гостевыми учетными записями в EIA предлагают следующие способы создания гостевых записей:

Аутентификация посредством SMS в общественных местах

В общественных местах гости могут регистрировать учетные записи по номеру телефона и получать пароли посредством SMS для быстрого подключения к сети. Процесс организуется следующим образом:

1) Администратор гостевых учетных записей настраивает на сервере EIA политику гостевого доступа и параметры учетных записей (включая срок действия).

2) Гость пытается подключиться к гостевой сети с соответствующим идентификатором SSID.

3) Гость перенаправляется на веб-страницу аутентификации, вводит номер телефона и нажимает на кнопку "Получить пароль".

4) Сервер EIA автоматически создает гостевую учетную запись для указанного номера телефона и назначает пользователю политику гостевого доступа и срок действия учетной записи.

5) Сервер EIA направляет гостю логин и пароль в SMS-сообщении через шлюз передачи SMS.

6) После получения SMS гость вводит пароль на веб-странице аутентификации.

7) После прохождения аутентификации гость может получить доступ к сетевым ресурсам, разрешённым политикой безопасности.

8) Сервер EIA периодически удаляет гостевые учетные записи с истекшим сроком действия.

Создание учетной записи сотрудниками по работе с клиентами

Данный способ применяется в тех случаях, когда управление гостевыми учетными записями осуществляет конкретный сотрудник по работе с клиентами, например, сотрудник охраны, секретарь в приемной или другой сотрудник. Процесс организуется следующим образом:

1) Сотрудник по работе с гостевыми пользователями входит в центр самообслуживания, создает учетную запись гостя и назначает пользователю гостевую политику доступа и срок действия учетной записи.

2) Сервер EIA направляет гостю логин и пароль по электронной почте или в SMS-сообщении.

3) Гость пытается подключиться к гостевой сети с соответствующим идентификатором SSID.

4) Гость перенаправляется на веб-страницу аутентификации и вводит логин и пароль.

5) После прохождения аутентификации гостевой пользователь может получить доступ к сетевым ресурсам, разрешённым политикой доступа.

6) Сервер EIA периодически удаляет гостевые учетные записи с истекшим сроком действия.

Создание учетной записи сотрудниками по работе с клиентами

Самостоятельное создание учетной записи гостями

Данный способ может применяться в сценарии, когда гости самостоятельно оформляют заявки на создание учетных записей, которые затем утверждаются сотрудником по работе с клиентами. Процесс организуется следующим образом:

1) Гость пытается подключиться к гостевой сети с соответствующим идентификатором SSID.

2) Пользователь перенаправляется на веб-страницу аутентификации, нажимает на кнопку "Предварительная регистрация гостевого пользователя", вводит информацию по учетной записи и выбирает сотрудника по работе с клиентами на странице предварительной регистрации.

3) Сотрудник по работе с гостевыми пользователями входит в центр самообслуживания и назначает пользователю политику доступа и срок действия учетной записи.

4) После активации учетной записи EIA направляет гостю логин и пароль по электронной почте или в SMS-сообщении.

5) Гость вновь пытается подключиться к гостевой сети с соответствующим идентификатором SSID, перенаправляется на веб-страницу аутентификации и вводит логин и пароль.

6) После прохождения аутентификации гостевой пользователь может получить доступ к сетевым ресурсам, разрешённым политикой доступа.

7) Сервер EIA периодически удаляет гостевые учетные записи с истекшим сроком действия.

Создание учетной записи гостевыми пользователями

Аутентификация по QR-коду

Гости могут использовать смартфоны для сканирования специального QR-кода, обеспечивающего быстрое создание учетной записи и получение доступа к сети. Для аутентификации гостевых пользователей предусмотрены следующие виды QR-кодов:

QR-код аутентификации

1) Менеджер по работе с клиентами создает учетную запись гостя в центре самообслуживания и генерирует QR-код.

2) Гость сканирует QR-код своим устройством для аутентификации.

QR-код подтверждения

1) При попытке обращения гостевого пользователя к веб-сайту он перенаправляется на страницу автоматической предварительной регистрации. На этой странице также автоматически генерируется QR-код.

2) Менеджер по работе с клиентами сканирует QR-код для перехода на страницу подтверждения и подтверждает учетную запись гостя.

3) После подтверждения учетной записи гость может получить доступ к сети.

Другие способы

EIA поддерживает широкий спектр интерфейсов SDK для взаимодействия с официальными платформами предприятий в WeChat. Гостевой пользователь может получить доступ к беспроводной сети предприятия, подписавшись на официальный аккаунт предприятия в WeChat.

Различные способы отправки уведомлений через SMS

Отправка SMS-сообщений может осуществляться следующими способами:

1) Шлюз передачи SMS.

2) Сторонние шлюзы передачи SMS-сообщений, с которыми EIA взаимодействует через веб-интерфейс.

3) Платформы передачи SMS-сообщений заказчика, с которыми EIA взаимодействует через настраиваемые интерфейсы.

Интегрированные функции управления устройствами доступа для упрощения эксплуатации и обслуживания

1) EIA может взаимодействовать с решением IMC ACL manager, обеспечивая настройку списков ACL на устройствах доступа. Администратор может выбрать устройство доступа и настроить список ACL для этого устройства. Информация об активации списков ACL на устройствах доступа отображается в списке устройств доступа.

2) В EIA предусмотрены ссылки для запроса информации об устройствах, включая базовую информацию об устройствах, сигналах тревоги и производительности.

3) Управление устройствами доступа осуществляется администратором при помощи функции управления топологией. В топологии для администратора отображаются устройства доступа и информация об этих устройствах. Непосредственно из топологии администратор может переводить устройства доступа в категорию устройств, доступ с которых запрещен.

Управление политикой авторизации для пользователей устройств на основе сценариев

1) В EIA предусмотрено назначение политик авторизации в зависимости от сценария. Сценарий представляет собой комбинацию местоположения устройства, типа устройства и диапазона времени подключения. При этом администратор может определить профили оболочки и наборы команд для пользователей устройств в различных сценариях.

2) EIA поддерживает указание фиксированных или гибких временных периодов для управления доступом пользователей устройств к сети.

3) При настройке профиля оболочки определяются глобальные атрибуты для пользователей устройств, например, уровни привилегий, списки контроля доступа ACL и продолжительность доступа.

4) При настройке набора команд указываются команды, доступные пользователям устройств.

Подробные журналы и аудит действий по управлению устройствами

1) В журналах аутентификации регистрируются сведения о входе в систему пользователей устройств, в том числе имя входа (логин), результат входа, причина ошибки, время аутентификации, IP-адрес устройства входа, IP-адрес пользователя, уровень привилегий, действия по входу, тип аутентификации и тип услуги.

2) В журналах авторизации отслеживаются события авторизации пользователей и авторизации команд. Если включена авторизация для входа в систему, то сервер менеджера аутентификации TACACS+ Authentication Manager (TAM) назначает уровень полномочий для успешно авторизованных пользователей и регистрирует событие в журнале авторизации. Если включена авторизация команд, то сервер TAM определяет, обладает ли пользователь устройства правом исполнения команды при ее поступлении на исполнение, а также ведет журнал авторизации для команд.

3) Сервер TAM регистрирует для пользователя устройства имя входа (логин), устройство входа и действия пользователя устройства. В журнале аудита сохраняется следующая информация: имя входа (логин), тип аудита, время аудита, IP-адрес устройства, IP-адрес конечного устройства пользователя и команды.

Журналы аудита

Интеллектуальная демонстрация рекламы при работе в сети

Взаимодействуя с платформой IMC, система EIA способна принудительно демонстрировать рекламу пользователям в зависимости от личности пользователя и местоположения, откуда осуществляется подключение. Это позволяет облегчить и ускорить получение информации пользователями. Кроме того, EIA может работать с рекламными платформами сторонних производителей в соответствии с требованиями сети

Высокопроизводительные процессы аутентификации и объемные базы данных

Благодаря оптимизированным механизмам аутентификации, упрощенной обработке пакетов и эффективному распределению памяти EIA может одновременно обрабатывать запросы на аутентификацию от более чем 10000 пользователей каждую секунду в периоды пиковой нагрузки. Оптимизация производительности базы данных и выверенный контроль за обработкой служб позволяют EIA осуществлять эффективный сбор статистики и обработку данных по миллионам пользователей.