分类导航  
技术方案  (87)
成功案例  (3)
山东政府网络解决方案  (336)
山东金融网络解决方案  (60)
山东教育网络解决方案  (87)
山东电力网络解决方案  (33)
济南军区网络解决方案  (5)
山东能源网络解决方案  (90)
山东交通网络解决方案  (33)
山东媒体网络解决方案  (19)
山东医疗网络解决方案  (74)
山东酒店网络解决方案  (72)
山东网吧网络解决方案  (5)
山东物流网络解决方案  (16)
山东电信网络解决方案  (25)
山东联通网络解决方案  (7)
山东移动网络解决方案  (11)
山东广电网络解决方案  (23)
山东企业网络解决方案  (62)
山东机房装修解决方案  (2)
山东系统集成解决方案  (7)
山东制造业网络解决方案  (12)
山东业务管理网络方案  (12)
山东流通行业网络方案  (6)
山东建筑行业网络方案  (4)
  最新文章  
山东EAD内网控制解决方案
山东百谷信息技术有限公司   2009-09-09 00:02:08 作者:SystemMaster 来源: 文字大小:[][][]

EAD内网控制解决方案

您是否经常受到内网病毒泛滥的影响呢?是不是员工的PC私设代理服务器访问外部网络您却无可奈何?......您需要怎样改变这种救火队式的工作呢?

1.         用户PC管理的各种问题

在企业网络中,用户的终端计算机不及时升级系统补丁和病毒库、私设代理服务器、私自访问外部网络、滥用企业禁用软件的行为比比皆是,脆弱的用户终端一旦接入网络,就等于给潜在的安全威胁敞开了大门,使安全威胁在更大范围内快速扩散,进而导致网络使用行为的“失控”。保证用户终端的安全、阻止威胁入侵网络,对用户的网络访问行为进行有效的控制,是保证企业网络安全运行的前提,也是目前企业急需解决的问题。

2.         看似纷繁的问题却有一样的解决办法

网络安全从本质上讲是管理问题。H3C终端准入控制(EADEnd user Admission Domination)解决方案从控制用户终端安全接入网络的角度入手,整合网络接入控制与终端安全产品,通过智能客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,有效地加强了用户终端的主动防御能力,为企业网络管理人员提供了有效、易用的管理工具和手段。

对于要接入网络的用户,EAD解决方案首先要对其进行身份认证,通过身份认证的用户进行终端的安全认证,根据网络管理员定制的安全策略进行包括病毒库更新情况、系统补丁安装情况、软件的黑白名单等内容的安全检查,根据检查的结果,EAD对用户网络准入进行授权和控制。通过安全认证后,用户可以正常使用网络,与此同时,EAD可以对用户终端运行情况和网络使用情况进行审计和监控。EAD解决方案对用户网络准入的整体认证过程如下图所示:

组网模型如下图所示,EAD组网模型图中包括iNode智能客户端、安全联动设备、iMC安全策略服务器和第三方服务器。

iNode智能客户端:是指安装了H3C iNode智能客户端的用户接入终端,负责身份认证的发起和安全策略的检查。

网络联动设备:是指用户网络中的交换机、路由器、VPN网关等设备。EAD提供了灵活多样的组网方案,安全联动设备可以根据需要灵活部署在各层比如网络接入层和汇聚层。

iMCEAD)安全策略组件:它要求与安全联动设备路由可达。负责给客户端下发安全策略、接收客户端安全策略检查结果并进行审核,向安全联动设备发送网络访问的授权指令。

第三方服务器:是指补丁服务器、病毒服务器和安全代理服务器等,被部署在隔离区中。当用户通过身份认证但安全认证失败时,将被隔离到隔离区,此时用户能且仅能访问隔离区中的服务器,通过第三方服务器进行自身安全修复,直到满足安全策略要求。

3.         典型组网应用

3.1.        局域网安全准入防护

在企业网内部,接入终端一般是通过交换机接入企业网络,EAD通过与交换机的联动,强制检查用户终端的病毒库和系统补丁信息,降低病毒和蠕虫蔓延的风险,同时强制实施网络接入用户的安全策略,阻止来自企业内部的安全威胁。

3.2.        广域网安全准入防护

大型企业往往拥有分支机构或合作伙伴,其分支机构、合作伙伴也可以通过专线或WAN连接企业总部。这种组网方式在开放型的商业企业中比较普遍,受到的安全威胁也更严重。为了确保接入企业内部网的用户具有合法身份且符合企业安全标准,可以在分支机构路由器、总部路由器或网关中实施EAD准入控制,保证接入网络的用户终端不会对内部网络造成安全威胁。

3.3.        VPN安全准入防护

一些企业和机构允许移动办公员工或外部合作人员通过VPN方式接入企业内部网络。EAD方案可以通过VPN网关确保远程接入用户在进入企业内部网之前,检查用户终端的安全状态,并在用户认证通过后实施企业安全策略。对于没有安装智能客户端的远程用户,管理员可以选择拒绝其访问内部网络或限制其访问权限。

3.4.        WLAN无线安全准入防护

对于外来访客和企业内部的移动用户,使用WLAN无线网卡接入企业网络的情况越来越多,这带来了许多安全问题,EAD通过与FAT APAC无线控制器等无线设备的联动,强制用户在使用无线网络之前,必须先进行身份认证、安全状态检查,在享受便捷的无线网络同时,大大减少了来自空中的安全威胁。

3.5.        网关安全准入防护

通常企业在满足互联互通的要求后,会逐渐意识在内部网络安全控制的必要性,尤其是终端用户的安全问题,这时终端的安全准入控制就显得尤为重要。而企业网络通常为多厂商设备共存,很难单独使用一家厂商的设备实施网络的准入控制。这种情况下,视网络规模大小,我们推荐使用一台或多台网关设备作为强制认证控制器,使用基于Portal的认证协议,部署在核心层、数据中心、网络出口等位置,与iNode客户端、安全策略服务器配合完成EAD终端准入控制。

4.         组网设备配置

 

模式

描述

组网限制

交换机要求

监控模式

管理员能够监控终端用户的安全状态,但不进行技术手段的隔离等控制,可通过行政手段处罚用户(员工)

仅要求接入设备支持认证,不要求动态ACL隔离

支持802.1X的接入交换机均可

警告模式

管理员能够监控终端用户的安全状态,并且在用户上网的时候能够给予消息警告,但不进行技术手段的隔离等控制,可通过行政手段处罚用户(员工)

仅要求接入设备支持认证,不要求动态ACL隔离

隔离模式

管理员能够监控终端用户的安全状态,并且在用户上网的时候能够隔离

要求接入设备支持认证及动态ACL隔离下发

802.1X认证

H3C S3100EIS3600SI/EIS5100EIS3610S5510S5600S5500SIS5500EIS7500E)、

Portal认证

S5500EIS7500ES9500

最新评论
发表评论
标题
内容
表情
 

山东百谷信息技术有限公司立足济南面向山东致力于倾听客户需求,提供客户所信赖和注重的创新技术与服务。鲁ICP09058378Copyright © 2009-2012|H3C CISCO | HUAWEI HP IBM DELLJUNIPER |

@历下软件园创新型企业@ @山东省政府采购中心中标供货商@山东省第十一届全运会网络安全维护技术保障单位@

@山东专业网络信息技术服务商@专业网络设备分销商@系统集成服务商@网络方案设计及咨询@服务器及数据安全建设

@山东H3C核心代理商@星级认证服务中心@山东IBM服务器区域代理商@山东思科解决方案供应商山东思科技术支持中心

@山东HP服务器核心分销商@山东华为数据通信设备核心合作伙伴@山东JUNIPER精英代理商@山东华赛银牌代理@山东DELL服务器@

@了解百谷信息@组建和谐网络@立足济南服务山东@青岛烟台威海日照潍坊东营莱芜滨州德州聊城泰安菏泽日照济宁枣庄临沂@

地址:山东济南市花园路189-2号历下软件园 电子地图:http://edizhi.edushi.com/sdbaigu   邮箱:[email protected]

本商店顾客个人信息将不会被泄漏给其他任何机构和个人。本商店logo和图片都已经申请保护,不经授权不得使用 
山东百谷信息技术有限公司© 20012009 All rights reserved  有任何购物问题请联系我们在线客服 电话:13608928216