3.终端准入控制功能及方案
华为网络准入控制及终端安全方案
华为网络准入控制及终端安全方案一、面临挑战企业网络从有线向无线转型的过程中,为保障网络安全,需实现有线无线一体化准入。
而单一的解决方案,不能满足复杂网络环境下的多样化准入控制需求:多用户角色:传统的网络环境下,主要应用对象为企业员工,但在移动办公场景下,应用对象可扩展至访客、领导、VIP会员等多种用户角色,需基于用户角色在访问权限上做区别;多分支异构:多分支机构中网络架构也会存在差异,如何做统一地接入管理,实现一体化认证,是一项重大的技术挑战;多终端接入:传统网络主要使用PC连接,随着移动终端的普及,终端的数量及类型也随之增多,用户的体验要求也越来越高,同时也带来了更多安全上的挑战。
二、解决方案1.华为网络准入控制及终端安全方案概述宁盾网络准入控制及终端安全方案基于对终端风险以及用户身份的真实性进行双重验证,判断是否准入网络以及获得访问权限,实现接入网络终端及用户身份的双重可信,提升网络安全。
其安全管理逻辑是先对接入内网终端进行合规性检查,并确认接入网络用户身份的真实性,根据终端风险以及用户角色动态赋予访问权限,并和第三方网络审计以及态势感知平台联动,实现内外网上网实名审计以及主动防御。
在此方案中,华为无线WLC开启portal认证,认证服务器指向宁盾认证服务平台,有线部分通过ND ACE结合AM做portal的统一准入,最终实现有线无线的一体化准入控制。
2.身份认证方式2.1员工场景①用户名密码认证,用户名密码可以创建,也可以与AD、LDAP同步帐号信息;②支持802.1X认证;③支持802.1x+portal认证;④支持802.1x+portal+动态码认证。
2.2访客场景①短信认证,可设定短信内容模版、短信验证码有效期及长度等;②微信认证,通过关注微信公众号进行认证连接上网;③支持二次无感知认证,可设定有效期,超过有效期的访客须通过其他认证方式登录;④支持协助扫码认证,快速授权上网,实现访客与被访人之间可追溯;⑤支持访客自助申请认证,由指定人员审批申请信息,加强内外网访问安全控制;⑥支持邮箱认证,访客可以通过邮箱认证接入网络。
准入控制实施方案
准入控制实施方案一、背景介绍随着市场竞争的加剧,企业面临着越来越多的挑战,其中包括如何有效控制产品和服务的质量,以满足客户需求。
准入控制作为一种重要的质量管理手段,对于确保产品和服务的质量具有重要意义。
因此,制定和实施准入控制方案对于企业来说至关重要。
二、准入控制的定义准入控制是指通过一定的流程和程序,对产品、服务或者供应商进行审核和评估,以确保其符合相关标准和要求,从而获得准入资格。
准入控制的目的在于预防不合格产品和服务进入市场,保障客户利益,维护企业品牌声誉。
三、准入控制的实施步骤1. 制定准入标准:首先,企业需要明确产品、服务或供应商需要满足的准入标准,这些标准可以包括质量、安全、环保、法律法规等方面的要求。
准入标准的制定需要充分考虑客户需求和市场环境,确保标准具有可操作性和有效性。
2. 审核评估流程:确定准入控制的审核评估流程,包括审核的内容、审核的程序、审核的频率等。
审核评估流程需要确保全面、客观、公正,同时要充分考虑效率和成本。
3. 确定审核评估人员:对于准入控制的审核评估人员,需要具备相关的专业知识和经验,能够独立、客观地进行审核评估工作。
同时,需要对审核评估人员进行培训,确保其了解准入标准和审核评估流程。
4. 实施审核评估:根据审核评估流程,对产品、服务或供应商进行审核评估。
在审核评估过程中,需要充分收集和分析相关信息,确保审核评估结果准确可靠。
5. 处理审核评估结果:根据审核评估结果,对不符合准入标准的产品、服务或供应商进行处理,可以是暂时停止供货、整改要求、甚至解除合作关系。
同时,对符合准入标准的产品、服务或供应商给予准入资格。
四、准入控制的意义准入控制的实施对企业具有重要意义。
首先,可以有效预防不合格产品和服务进入市场,保障客户利益,维护企业品牌声誉。
其次,可以促进供应链的稳定和可持续发展,提高供应链的整体质量水平。
最后,可以帮助企业建立质量导向的企业文化,提升企业的竞争力和可持续发展能力。
准入终端管理制度
准入终端管理制度一、概述为了规范企业内部终端设备的管理,有效保护信息安全,提高工作效率,制定准入终端管理制度。
本制度适用于公司内部所有终端设备的使用和管理,包括但不限于个人电脑、笔记本电脑、平板电脑、手机等各种终端设备。
二、管理范围凡在公司办公/生产用终端设备,均受本制度的约束。
三、责任主体1. 管理者应主动了解有关终端设备的技术性能和信息安全管理规定;2. 用户不得擅自使用公司终端设备;3. 管理部门应负责公司终端设备的年度设备清点工作。
四、准入条件1. 符合公司的办公、生产需要;2. 符合国家相关法律法规、政策和公司的信息安全管理规定;3. 经领导审批同意。
五、准入程序1. 用户填写《终端设备使用申请》;2. 由管理部门审核、审批;3. 管理部门核发使用许可证。
六、使用要求1. 使用终端设备的用户应当爱护公司的终端设备;2. 不得私自更改终端设备的设置、接口、配置和硬件结构;3. 不得私自安装软件;4. 不得利用终端设备干扰他人正常工作、生活等。
七、保管要求1. 终端设备的使用人员对所使用的终端设备应当妥善保管;2. 不得将公司的终端设备出借、转借或出售,不得擅自更换、升级终端设备。
八、监管措施1. 管理部门定期对公司内部终端设备进行巡检;2. 终端设备的使用单位应加强对设备使用人员的教育和管理;3. 如有违反终端设备管理制度情形,管理者应及时采取相应的措施予以制止和处理。
九、附则1. 实行严格的终端设备管理制度,加强对员工的教育和管理,严格执行企业内部终端设备的管理制度,确保企业信息系统的安全和稳定。
2. 管理者应不断完善和更新终端设备管理制度,及时修订适应发展需要。
3. 本制度由公司信息安全管理部门负责解释。
以上为准入终端管理制度,各相关部门及员工应严格遵守,如有违反,公司将依据相关规定进行处理。
终端准入实施方案范文
终端准入实施方案范文一、背景。
随着信息技术的迅猛发展,终端设备的种类和数量不断增加,企业网络面临着越来越复杂的管理和安全挑战。
为了保障企业网络的安全和稳定运行,制定一套科学的终端准入实施方案显得尤为重要。
二、目的。
本方案的目的在于规范和管理企业内终端设备的接入,保障网络安全,提高网络运行效率,保护企业核心数据的安全。
三、范围。
本方案适用于企业内部所有终端设备的接入管理,包括但不限于计算机、笔记本、移动设备等。
四、实施方案。
1. 制定准入标准。
根据企业实际情况,制定终端设备准入的标准,包括硬件要求、操作系统版本、安全防护软件等,明确规定符合标准的设备才能接入企业网络。
2. 接入认证。
对所有接入企业网络的终端设备进行认证,包括设备的合法性认证、用户身份认证等,确保接入设备的合法性和安全性。
3. 安全防护。
对接入设备进行安全防护设置,包括防火墙、杀毒软件、安全更新等,确保接入设备不会成为网络安全的漏洞。
4. 访问控制。
根据用户的权限和需求,对接入设备的访问进行控制,包括网络资源的访问控制、外部网络的访问控制等,保障企业核心数据的安全。
5. 监控与审计。
对接入设备进行实时监控和审计,发现异常情况及时处理,保障网络安全和稳定运行。
六、实施步骤。
1. 制定方案。
由企业网络管理部门制定终端准入实施方案,明确责任人和实施时间表。
2. 宣传培训。
对企业内部员工进行终端准入实施方案的宣传和培训,确保员工了解并遵守准入规定。
3. 实施方案。
按照制定的终端准入实施方案,对企业网络内的终端设备进行准入管理。
4. 监控运行。
对实施方案进行监控和运行,及时发现问题并进行调整和改进。
七、总结。
终端准入实施方案的制定和实施,对于保障企业网络安全和稳定运行具有重要意义。
通过严格的准入管理和安全防护,可以有效地保护企业核心数据,提高网络运行效率,降低网络安全风险。
企业应根据实际情况,制定符合自身需求的终端准入实施方案,并不断进行监控和改进,以确保企业网络的安全和稳定运行。
华为网络准入控制及终端安全方案4.doc
华为网络准入控制及终端安全方案4华为网络准入控制及终端安全方案一、面临挑战企业网络从有线向无线转型的过程中,为保障网络安全,需实现有线无线一体化准入。
而单一的解决方案,不能满足复杂网络环境下的多样化准入控制需求:多用户角色:传统的网络环境下,主要应用对象为企业员工,但在移动办公场景下,应用对象可扩展至访客、领导、VIP会员等多种用户角色,需基于用户角色在访问权限上做区别;多分支异构:多分支机构中网络架构也会存在差异,如何做统一地接入管理,实现一体化认证,是一项重大的技术挑战;多终端接入:传统网络主要使用PC连接,随着移动终端的普及,终端的数量及类型也随之增多,用户的体验要求也越来越高,同时也带来了更多安全上的挑战。
二、解决方案1.华为网络准入控制及终端安全方案概述宁盾网络准入控制及终端安全方案基于对终端风险以及用户身份的真实性进行双重验证,判断是否准入网络以及获得访问权限,实现接入网络终端及用户身份的双重可信,提升网络安全。
其安全管理逻辑是先对接入内网终端进行合规性检查,并确认接入网络用户身份的真实性,根据终端风险以及用户角色动态赋予访问权限,并和第三方网络审计以及态势感知平台联动,实现内外网上网实名审计以及主动防御。
在此方案中,华为无线WLC开启portal认证,认证服务器指向宁盾认证服务平台,有线部分通过ND ACE结合AM做portal的统一准入,最终实现有线无线的一体化准入控制。
2.身份认证方式2.1员工场景①用户名密码认证,用户名密码可以创建,也可以与AD、LDAP同步帐号信息;②支持802.1X认证;③支持802.1x+portal认证;④支持802.1x+portal+动态码认证。
2.2访客场景①短信认证,可设定短信内容模版、短信验证码有效期及长度等;②微信认证,通过关注微信公众号进行认证连接上网;③支持二次无感知认证,可设定有效期,超过有效期的访客须通过其他认证方式登录;④支持协助扫码认证,快速授权上网,实现访客与被访人之间可追溯;⑤支持访客自助申请认证,由指定人员审批申请信息,加强内外网访问安全控制;⑥支持邮箱认证,访客可以通过邮箱认证接入网络。
终端准入安全管理制度
第一章总则第一条为加强终端设备的安全管理,确保网络与信息安全,保障业务系统的正常运行,根据国家相关法律法规和行业标准,结合我单位实际情况,制定本制度。
第二条本制度适用于我单位所有终端设备的准入管理,包括但不限于计算机、手机、平板电脑等。
第三条终端准入安全管理制度遵循以下原则:1. 安全优先:确保终端设备安全可靠,防止恶意攻击和病毒入侵。
2. 统一管理:实现终端设备准入管理的统一规范,提高管理效率。
3. 动态监控:实时监控终端设备状态,及时发现并处理安全隐患。
4. 严格考核:对违反本制度的行为进行严肃处理。
第二章终端准入管理职责第四条终端准入管理由信息技术部门负责,具体职责如下:1. 制定和修订终端准入安全管理制度,并组织实施。
2. 负责终端设备的采购、配置、安装、维护和更新。
3. 对终端设备进行安全检查,确保设备符合安全标准。
4. 对终端设备进行安全培训,提高用户安全意识。
5. 负责终端设备的安全事件应急处理。
第五条各部门应积极配合信息技术部门开展终端准入管理工作,具体职责如下:1. 严格执行终端准入安全管理制度,确保终端设备符合安全标准。
2. 加强对终端设备的使用管理,防止非法接入网络。
3. 及时报告终端设备的安全事件,配合信息技术部门进行处置。
第三章终端准入管理流程第六条终端设备采购:1. 信息技术部门根据业务需求提出终端设备采购申请。
2. 采购部门按照相关规定进行采购,并确保终端设备符合安全标准。
3. 信息技术部门对采购的终端设备进行安全检查。
第七条终端设备安装与配置:1. 信息技术部门负责终端设备的安装与配置,确保设备符合安全标准。
2. 终端设备安装完成后,进行安全检查,合格后方可投入使用。
第八条终端设备使用与管理:1. 终端设备用户需遵守本制度,确保设备安全。
2. 信息技术部门定期对终端设备进行安全检查,发现问题及时处理。
3. 用户不得擅自更改终端设备的配置,如有需要,应报信息技术部门审批。
终端准入实施方案模板
终端准入实施方案模板一、背景和目的。
随着信息技术的不断发展,终端设备在企业办公和生产中扮演着越来越重要的角色。
然而,未经控制的终端设备接入企业网络可能会带来安全隐患,因此有必要建立终端准入实施方案,以确保企业网络的安全稳定运行。
二、实施范围。
本方案适用于企业内部网络,包括办公网络、生产网络等各类终端设备的准入管理。
三、实施目标。
1. 确保终端设备的合法准入,防范未经授权的设备接入企业网络;2. 提高网络安全性,防止病毒、木马等恶意软件通过终端设备侵入企业网络;3. 规范终端设备的使用行为,保障企业网络的正常运行。
四、实施原则。
1. 遵循最小权限原则,根据用户角色和权限设置终端设备的准入权限;2. 强化安全防护,采取有效措施防范终端设备可能的安全威胁;3. 合理平衡安全和便利,确保终端设备准入管理不影响正常的办公生产。
五、实施步骤。
1. 制定终端设备准入政策,明确准入标准和流程;2. 部署终端准入控制系统,对接入企业网络的终端设备进行识别和验证;3. 制定终端设备安全接入规范,包括网络配置、安全软件安装等要求;4. 实施终端设备准入认证,对接入网络的终端设备进行认证和授权;5. 监控和审计终端设备准入情况,及时发现和处理异常行为。
六、实施效果评估。
1. 定期对终端设备准入管理进行评估和检查,发现问题及时进行整改;2. 收集和分析终端设备准入数据,评估实施效果,不断优化和改进管理措施。
七、总结。
终端设备准入实施方案的制定和实施,对于企业网络安全和稳定运行具有重要意义。
通过建立规范的准入管理机制,可以有效防范各类安全威胁,提高网络安全性,保障企业信息资产的安全。
同时,也能规范终端设备的使用行为,提高企业网络的整体管理水平。
因此,建议各企业根据自身实际情况,制定并严格执行终端设备准入实施方案,以确保企业网络的安全稳定运行。
统一身份认证与终端准入解决方案
统一身份认证与终端准入解决方案目录一、内容综述 (2)1.1 背景介绍 (3)1.2 需求分析 (3)二、统一身份认证系统设计 (5)2.1 系统架构 (6)2.2 认证协议选择 (7)2.3 用户管理机制 (8)2.4 权限管理策略 (10)三、终端准入控制策略 (11)3.1 设备安全策略 (13)3.2 应用程序白名单 (14)3.3 用户行为审计 (15)3.4 端口和协议限制 (16)四、解决方案实施步骤 (17)4.1 项目启动与规划 (18)4.2 技术选型与配置 (19)4.3 系统集成与测试 (21)4.4 培训与推广 (22)五、方案优势与价值 (23)5.1 易用性 (24)5.2 安全性 (25)5.3 可扩展性 (27)六、案例分析 (28)七、技术支持与服务 (29)八、总结与展望 (30)一、内容综述随着信息技术的快速发展,网络安全问题日益突出,身份认证和终端准入成为网络安全领域的重要一环。
统一身份认证与终端准入解决方案旨在提供一种高效、安全的方式来管理用户身份和终端设备的访问权限,确保网络资源的合法使用,防止未经授权的访问和潜在的安全风险。
身份认证:提供强大的身份认证机制,包括用户名密码、动态令牌、多因素认证等方式,确保用户身份的真实性和合法性。
终端安全:对终端设备进行全面检测,包括操作系统、应用程序、安全状态等,确保终端设备符合安全标准,防止恶意软件、漏洞等带来的安全风险。
访问控制:根据用户身份和终端设备的安全状态,动态分配访问权限,控制对网络资源的访问,防止未经授权的访问和内部威胁。
风险管理:通过实时监测和数据分析,识别潜在的安全风险,及时采取应对措施,降低安全风险对网络和业务的影响。
兼容性支持:支持多种操作系统、设备和网络环境,确保解决方案的广泛适用性。
通过实施本解决方案,可以有效提高网络安全性,保护网络资源免受未经授权的访问和攻击,提升企业的业务效率和竞争力。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
EAD解决方案概述——维护网络正常秩序,助力企业核心价值H3C终端准入控制解决方案(EAD,End user Admission Domination)是全球首个推向市场的终端管理解决方案,也是国内应用最广、用户数最多的终端管理系列产品。
EAD方案为网络管理者、网络运营者和企业IT人员提供了一套系统、有效、易用的管理工具,帮助保护、管理和监控网络终端,使网络能够为企业的核心目标和核心业务服务,减少了日益复杂的网络问题和非法使用对网络用户的牵绊。
5 EAD终端准入控制解决方案EAD解决方案通过多种身份认证方式确认终端用户的合法性;通过与微软和众多防病毒厂商的配合联动,检查终端的安全漏洞、终端杀毒软件的安装和病毒库更新情况;通过黑白软件管理,约束终端安装和运行的软件;通过统一接入策略和安全策略管理,控制终端用户的网络访问权限;通过桌面资产管理,进行桌面资产注册和监控、外设管理和软件分发;通过iMC UBA用户行为审计组件,审计终端用户的网络行为;通过iMC智能管理框架基于资源、用户和业务的一体化管理,实现对整个网络的监控和智能联动。
从而形成对终端的事前规划、事中监控和事后审计的立体化管理。
EAD解决方案对终端用户的整体控制过程如下图所示:EAD解决方案组件:EAD解决方案组件包括智能客户端、联动设备、安全策略服务器和第三方服务器。
⏹智能客户端:是指安装了H3C iNode智能客户端的用户接入终端,负责身份认证的发起、安全策略的检查以及和安全策略服务器配合进行终端控制。
⏹联动设备:联动设备是网络中安全策略的实施点,起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。
根据应用场合的不同,联动设备可以是交换机、路由器、准入网关、VPN或无线设备,分别实现不同认证方式(如802.1X、VPN和Portal等)的终端准入控制。
针对多样化的网络,EAD提供了灵活多样的组网方案,联动设备可以根据需要进行灵活部署。
⏹安全策略服务器:EAD方案的核心是整合与联动,而安全策略服务器是EAD方案中的管理与控制中心,兼具终端用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。
⏹第三方服务器:是指补丁服务器、病毒服务器等,被部署在隔离区中。
当用户通过身份认证但安全认证失败时,将被隔离到隔离区,此时用户能且仅能访问隔离区中的服务器,通过第三方服务器进行自身安全修复,直到满足安全策略要求。
功能特点:•支持多种接入方式⏹支持:802.1X接入、Portal接入、L2TP/IPsec VPN接入方式;⏹适用于:局域网、广域网、无线网络接入、L2TP/IPsec VPN组网;⏹支持:接入时段限制、接入区域限制;⏹可以部署于由不同厂家设备构成的异构网络环境。
•丰富的身份认证⏹支持:用户名/密码认证、智能卡认证、数字证书认证、MAC地址认证;⏹支持绑定:MAC地址、IP地址、所在VLAN、接入设备IP、接入设备端口、无线SSID;⏹支持从LDAP服务器获取用户信息,可以只同步有认证行为的用户信息,从而节省用户的License费用。
•精确的终端设备识别功能⏹支持识别用户设备的类型。
该设备是传统的PC、笔记本还是智能手机、平板电脑等移动智能设备。
设备的操作系统、生产厂商、IMEI码等信息,也是识别设备类型时必须要确认的设备属性信息。
⏹支持识别用户设备的归属。
该设备是属于公司所有还是属于员工个人,直接影响企业对设备的管理。
对于个人设备,企业必须遵守相关法律法规,不去触碰设备上的员工私人信息。
•广泛的防病毒厂商配合能力⏹可配合病毒厂商:瑞星、江民、金山、卡巴斯基、Symantec、Nod32、McAfee、Trend Micro、安博士、KILL、趋势、趋势企业无忧安全版css5.0、Vrv、Forfront、Sophos、Avast、Antivirus Professional、Avira AntiVir Personal-Free Antivirus、ClamWin Free Antivirus、Comodo AntiVirus Beta、CA Anti-Virus、F-Secure Internet Security、FortiClient、F-PROT Antivirus for Windows、Virus Chaser、Norman Virus Control、SystemSuite 9 Professional、Vba32 Personal。
•丰富的系统安全状态评估能力⏹支持与微软SMS/WSUS配合进行补丁检查和安装;⏹支持黑白软件检查;⏹支持终端代理检查及非法外联控制;⏹支持多网卡检查;⏹支持注册表监控;⏹支持操作系统弱密码检查;⏹支持客户端流量检查。
•丰富的准入控制⏹支持基于用户角色、用户接入位置、接入终端类型的接入控制策略下发;⏹控制手段:向接入设备下发VLAN、ACL、QoS、限定用户的上下行速率、使用客户端ACL限制用户的访问权限(控制不受组网限制)、并可以禁止内网用户非法连接外网。
•灵活方便的执行模式⏹对待不同身份的用户,定制不同的安全检查和处理模式;⏹执行模式包括:监控模式、VIP模式、隔离模式、下线模式和访客模式;⏹用户可以根据自己的实际需要,为VIP客户、内部员工、外来访客等不同人群,定义不同的安全策略执行方式。
•全面攻击防御⏹EAD解决方案通过ARP网关地址自动下发、自动绑定的功能,使终端用户免受ARP欺骗攻击的影响;⏹提供ARP攻击报文过滤、ARP异常流量检测等控制措施,杜绝恶意用户的ARP攻击行为;⏹支持对非法DHCP请求报文的过滤,从而有效防止DHCP攻击。
•桌面资产管理⏹实现:终端资产注册、终端软硬件使用情况、变更情况进行监控;⏹支持软件的统一分发;⏹支持绿色节能策略;⏹支持远程协助、远程桌面;⏹可禁止内网外联或对内网外联行为进行审计。
•U盘审计及外设管理⏹支持:USB存储设备监控、外设违规使用审计、打印机操作监控;⏹支持禁用:USB存储设备、USB非存储设备、光驱、软驱、PCMCIA接口、串口、并口、红外、蓝牙、1394、Modem、3G上网卡;⏹通过融合TRM可信移动介质管理组件对USB移动存储介质(包括U盘、移动硬盘等)注册、授权、使用控制和监控功能,对USB存储介质实现“拿不走、进不来”的数据泄露防护。
•灵活的客户端部署⏹EAD解决方案提供了免安装的易用部署方式,用户事先不需要安装客户端,上网时EAD系统会自动载入客户端,对用户身份和终端安全状态进行检查,用户不需要改变上网习惯的同时,可以享受EAD带来的安全保障;⏹与H3C设备配合可以支持客户端快速部署功能。
用户在认证前也可以访问指定的网络资源,用户的Web访问会被重定向到指定服务器,供终端用户下载客户端软件,用户安装好客户端并通过认证后可以访问全部网络资源。
•多种层次的高可用性和扩展性⏹支持:双机冷备、双机热备、单机故障的逃生方案;⏹Portal网关支持网关双机备份,单台Portal网关失效后可以切换到备份Portal网关上,不影响用户上网;⏹支持分级、分布式部署。
•融合、扩展与开放的解决方案⏹基于H3C iMC(开放智能管理中枢)SOA架构,EAD解决方案为客户提供了一个扩展、开放的结构框架;⏹融合设备管理、用户管理和业务管理三大纬度;⏹广泛、深入的和国内外防病毒、操作系统、桌面安全等厂商展开合作,融合各家所长;⏹基于标准、开放的协议架构和规范,易于互联互通;⏹EAD服务器支持Windows与Linux操作系统,iNode客户端支持Windows、Mac OS、Linux、AppleiOS、Android等操作系统。
在无线局域网中的部署方案无线局域网(WLAN)以其安装便捷、使用灵活、经济节约、易于扩展等有线网络无法比拟的优点,得到越来越广泛的应用,但灵活方便的网络接入方式同时也为局域网带来了巨大的安全威胁。
无线局域网的安全问题主要体现在访问控制层面,非授权或者非安全的客户一旦接入网络后,将会直接面对核心服务器,威胁核心业务,因此能对无线接入用户进行身份识别、安全检查和网络授权的访问控制系统必不可少。
在无线网络中,结合使用EAD解决方案,可以有效的满足园区网的无线安全准入的需求。
H3C EAD解决方案可以在无线局域网环境下,有效的满足客户无线安全准入的需求,其组网图如下:如图所示,EAD可以配合无线AP和无线控制器,通过认证实现对无线接入用户的终端准入控制。
这种组网方案可以防止采用无线接入的人员访问内网时带来的安全隐患,同时也有效的解决了用户有线、无线接入方式的统一安全控制问题。
同时,无线网络存在信号覆盖不稳定、无线网卡类型众多、驱动厂商对802.11 a/b/g/n等无线技术标准支持不一致、丢包率较高等问题,而H3C基于Portal技术的无线用户准入控制方案则全面解决了这一问题。
其基本流程如下:用户连接到无线网络后,在访问网络的过程中会被强制要求进行身份认证和安全检查。
在整个过程中,拥有合法身份的用户除了被验证用户名、密码等信息外,还被检查是否满足安全策略的要求,包括病毒软件是否安装、病毒库是否升级、是否安装了必要的系统补丁等等。
对于同时满足了身份检查和安全检查的用户,EAD会根据预定义的策略为其分配对应的网络访问权限,避免了非授权的网络访问现象。
另外,EAD也支持无线方面的中国国家安全标准WAPI认证,使用户在中外无线网络中均可使用同一个用户帐号进行漫游。
同时,EAD还支持用户基于SSID的绑定认证,支持基于客户端操作系统类型、SSID、端口组等不同条件的页面推送,充分满足运营商、学校等行业用户的运营收费需求。