文档介绍:EAD解决方案介绍
ISSUE
日期:2009-4-28
杭州华三通信技术有限公司 版权所有,未经授权不得使用与传播
随着IT应用的不断发展,客户开始意识到对内网终端进行控制和管理的必要性,实施网络接入控制,确保企业网络安全,已是许多企业网客户的迫切需求。
随着EAD解决方案的不断发展,新特性新功能层出不穷。以不断提供易用性和实用性,不断提高客户满意度为出发点,EAD解决方案已经在不知不觉中发生了较大的变化。
引入
EAD解决方案概述
EAD解决方案特性
桌面资产管理
EAD解决方案的容灾方案
目录
EAD解决方案定义
EAD解决方案定义
终端准入控制( End User Admission Domination )解决方案从最终用户的安全控制入手,对接入网络的终端实施企业安全准入策略。EAD解决方案集成了网络准入、终端安全、桌面管理三大功能,帮助维护人员控制终端用户的网络使用行为,确保网络安全。
终端用户安全接入四步曲
安全检查不
合格进入隔
离区修复
隔离区
安全检查
合法用户
非法用户
拒绝入网
身份认证
接入请求
你是谁?
企业网络
动态授权
合格用户
不同用户享受不同的网络使用权限
你安全吗?
你可以做什么?
你在做什么?
实时监控
EAD解决方案的软件架构
所有业务组件均基于iMC平台安装,用于实现各种业务。
EAD组件基于UAM组件安装。
UAM组件包含有:RADIUS服务器、策略服务器以及策略***
EAD组件包含有:EAD前台配置页面、桌面资产管理服务器以及桌面资产管理代理
iMC智能管理平台
(网元、告警、性能、资源)
UAM组件
EAD组件
UBA组件
NTA组件
WSM组件
MVM组件
EAD基本认证流程
iNode客户端
iMC服务器
1. iNode客户端发起认证请求
5. iNode客户端执行安全策略并上报安全检查结果
6. 服务服务器下发检查结果、修复策略以及设置在线监控任务等
3. iNode客户端请求安全检查项
4. 服务器下发安全检查项
第三方服务器
用于修复终端安全隐患
Internet
安全联动设备
2. 身份认证成功,通知客户端进行安全检查
-PAP/CHAP
EAPoL-Start
EAP-Request/identity
EAP-Responset/identity
Access Request
EAP-Request/MD5-Challenge
EAP-Response/MD5-Password
Access Success(Radius Code=2,隔离ACL)
Accounting Request
Accounting Response
EAP-Success
安全检查请求
下发检查项
上报检查结果
监控/修复策略下发
iNode客户端
H3C设备
iMC EAD
安全策略服务器
EAP(code=10)
EAP(code=10)
Session Control (Radius code=20,安全ACL)
-EAP MD5
EAPoL-Start
EAP-Request/identity
EAP-Responset/identity
Access Request
Access Challenge(Proxy ip&port)
EAP-Request/MD5-Challenge
EAP-Response/MD5-Password
Access Request
Access Success
Accounting Request
Accounting Response
EAP-Success
安全检查请求
下发检查项
上报检查结果
监控/修复策略下发
iNode客户端
第三方设备
iMC EAD
安全策略服务器