数控技术
企业网络终端准入控制解决方案
李
(中国铝业郑州研完院设备与自动化研究所河南郑州450041)
与皮
摘要：随着IT应用的不斯发展,大部分的企业及用户开始意识到对内网终端进行控制和管理的必要性,实施网络终端安全准入控制，确保企业网络安全，已是许多企业网客户的迫切需求。终端准入控制解决方案从控制用户终端安全接入网络的角度入手，整合网络接入控制与终端安全产品，加强了用户终端的主动防御能力，保障了企业网络的安全。
关键调：终端准入网络安全802.1xEAD
文献标识码：A
中图分类号：TP393.08 1引言
文章编号:1007-9416(2013)06-0014-02
内外有代表性的终端准人控制技术有以下几种：思科的网络准人控
在创新无处不在的IT世界里，从要求可用性到安全性再到高效率，只经历了短短的几年时间。如何对终端设备进行高效、安全，全方位控制一直都困扰着众多IT管理者，由于终端设备数量多，分布广、使用者素质及应用水平参差不齐，而且终端设备所接入的网络环境异构化程度很高，导致了终端成为鉴个IT管理环境中最容易出现间题的一环，对终端问题的响应业已成为IT管理者日常最主要的工作之一，它同样遵循着从可用性到安全性再到追求效率的发展规律。
终端作为网络的关键组成和服务对象，其安全性受到极大关注。终端准人控制技术是网络安全一个重要的研究方向，它通过身份认证和完整性检查，依据预先设定的安全策略，通过软硬件结合的方式控制终端的访间权限，能有效限制不可信，非安全终端对网络的访问，从而达到保护网络及终端安全的目的终端准人控制技术的研究与应用对于提高网络安全性，保障机构正常运转具有重要作用，对于机构解决信息化建设中存在的安全间题具有重要意义。目前，终端准人控制技术已经得到较大的发展和应用，在安全领域
起到越来越重要的作用。 2发展现状
为了解决网络安全问题，安全专家相继提出了新的理念，上世纪90年代以来，国内外提出了主动防御，可信计算等概念，认为安全应该回归终端，以终端安全为核心来解决信息系统的安全问题，
终端准人控制是目前一种新型的安全防御技术，它通过对终靠实施安全防护，可以有效地解决因不安全终接人网络而引起的安全威肋，将病毒、端虫等各类攻击拒绝于网络之外，从面真正保障网络的安全。目前，对终端准入控制还没有一个权威、统一的定义，国
EAD服务器
用户终竭没有 No户课
G
802.1x
模入支模霜
G2
制(NetworkAdmissionControl,NAC)，微软的网络接人保护(NetworkAccessProtection,NAP),Juniper的统一接人控制(UniformAccessControl，UAC)，可信计算组织TCG的可信网络连接(TrustedNetworkConnect，TNC)，H3C的终端准人控制(EAD,End user Admission Domination)等。
本文根据所在企业网络特点，选择H3CEAD产品进行部署并
作为研究探讨主体。 3终端准入联动模型
H3C终端准入控制解决方案(EAD,EnduserAdmission Domination)从控制用户终端安全接人网络的角度人手，整合网络接人控制与终端安全产品，通过智能客户端、安全策略服务器、联动设备以及第三方软件的联动，对接人网络的用户终端按需实施灵活的安全策略，并严格控制终端用户的网络使用行为，极大地加强了企业用户终端的主动防御能力，为企业IT管理人员提供了高效，易用的管理工具。
智能客户端是指安装了H3CiNode智能客户端的用户接人终端，负责身份认证的发起、安全策略的检查以及和安全策略服务器配合进行终端控制。联动设备是网络中安全策略的实施点，起到强制用户准人认证、隔离不合格终端、为合法用户提供网络服务的作用。根据应用场合的不同，联动设备可以是交换机路由器，VPN网关等设备，分别实现不同认证方式的整端准人控制。针对本企业网络特性，通过配合接人层交换机802.1x认证方式实现对接人用户的控制，安全策略服务器是方案中的管理与控制中心，兼具终筛用产管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审
外部服务器（HTTP）
nterne
汇聚层交换机
隔离区
补丁服务际（可造） DNE
DHCP服务督（可选）毒服务器(可选）
+EAE
携入最交族权 03
802.1x
EAD快速部客
图1终端准入组网模型
量定向Web服务器（总造）