无线EAD解决方案

应用背景

目前各大中型企业都已经部署了无线局域网，无线上网方式已经成为企业中越来越重要的接入方式。由于无线接入的用户终端具有移动性，经常脱离企业网络管理员的监控，所以无线接入用户终端的安全问题也日益增多。

同时，在目前的网络环境中，新的安全威胁不断涌现，病毒和蠕虫日益肆虐，经常引起系统崩溃、网络瘫痪，使企业蒙受严重损失。在企业网络中，任何一台终端的安全状态，都将直接影响到整个网络的安全。不符合企业安全策略的终端容易遭受攻击、感染病毒。如果某台终端感染了病毒，它将不断在网络中试图寻找下一个受害者，并使其感染，在一个没有安全防护的网络中，最终的结果可能是全网瘫痪，所有终端都无法正常工作。

如何确保网络中的终端安全状态符合企业安全策略，是每一个网络管理员不得不面对的挑战。管理员查找、隔离、修复不符合安全策略的终端是一项费时费力的工作，往往造成企业安全策略与终端安全实施之间存在巨大的差距。

H3C 有线无线一体化EAD（Endpoint Admission Defense，端点准入控制）解决方案是H3C WLAN运营商一体化解决方案的组成部分。可以在无线局域网环境下，配合无线AP和无线控制器进行完整的联动方案，通过认证实现对无线接入用户的端点准入控制，强制实施企业安全策略，从而加强网络终端的主动防御能力，防止“危险”、“易感”终端接入网络，控制病毒、蠕虫的蔓延，有效的满足客户无线安全准入的需求。这种端到端的安全防护体系，可以在终端接入层面实施安全策略，大幅度提高网络的整体安全。

无线EAD解决方案

无线EAD方案中的iNode客户端支持统一认证，可以进行无线认证和安全认证的一次完成，从而方便部署和使用。在无线EAD方案中，拥有合法身份的用户除了被验证用户名、密码等信息外，还被检查是否满足安全策略的要求，包括病毒软件是否安装、病毒库是否升级、是否安装了必要的系统补丁等等。对于同时满足了身份检查和安全检查的用户，EAD会根据预定义的策略为其分配对应的网络访问权限，避免了非授权的网络访问现象，达到硬隔离的效果。

无线EAD解决方案接入组网图如下图所示：

无线EAD解决方案接入组网图

EAD的基本原理如下图所示，分为四个步骤完成：

EAD基本原理

步骤1，用户终端试图接入网络时，首先通过安全客户端进行用户身份认证，非法用户将被拒绝接入网络；

步骤2，合法用户将被要求进行安全状态认证，由安全策略服务器验证用户终端安全状态是否符合基于用户账号预定义的安全策略，包括补丁版本、病毒库版本是否合格，软件安装允许是否合格、是否使用代理服务器等信息，不合格用户将被安全联动设备隔离到隔离区；

步骤3，进入隔离区的用户可以进行补丁、病毒库的升级、卸载非法程序、取消代理设置等操作，直到安全状态合格；

步骤4，安全状态合格的用户将实施由安全策略服务器下发的安全设置，并由安全联动设备提供基于身份的网络服务。

从EAD的主要功能和基本原理可以看出，EAD将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。

无线EAD解决方案优势

l 基于无线的EAD

可通过无线EAD客户端、无线控制器和EAD策略服务器的配合实现无线EAD功能，适合于无线单独接入组网及有线无线混合组网等等。

l 完备的安全状态评估

EAD客户端能够对终端进行包括病毒库版本、补丁、安装的应用软件、代理、拨号配置等安全认证检查，并支持和微软SMS、LANDesk、BigFix等业界桌面安全产品的配合使用，支持和国内外主流病毒厂商联动。

l 基于角色的网络授权

EAD可基于终端用户的角色，向安全联动设备下发事先配置的接入控制策略，按照用户角色权限规范用户的网络使用行为。

l 扩展开放的解决方案

EAD解决方案为客户提供了一个扩展、开放的结构框架，最大限度的保护了用户已有的投资。

l 灵活方便的部署方式

EAD按照网络管理员配置的安全策略区别对待不同身份的用户，定制不同的安全检查和处理模式，包括监控模式、提醒模式、隔离模式和下线模式；此外，EAD还支持灵活的旧网改造方案和客户端静默安装等特性。