引言

隨著企業(yè)網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大和業(yè)務(wù)應(yīng)用的日益復(fù)雜，網(wǎng)絡(luò)安全面臨的挑戰(zhàn)也愈發(fā)嚴(yán)峻。傳統(tǒng)的邊界防護(hù)已不足以應(yīng)對(duì)來自內(nèi)部的安全威脅，例如未經(jīng)授權(quán)的終端接入、不合規(guī)的終端狀態(tài)以及由終端引入的病毒、木馬等。為構(gòu)建主動(dòng)、智能、立體的網(wǎng)絡(luò)安全防護(hù)體系，H3C推出了基于SecPath防火墻的端點(diǎn)準(zhǔn)入防御（EAD，Endpoint Admission Defense）解決方案。本白皮書旨在闡述該解決方案的技術(shù)原理、核心組件、部署模式及典型應(yīng)用價(jià)值。

1. 解決方案概述

H3C SecPath防火墻支持的EAD解決方案是一種創(chuàng)新的網(wǎng)絡(luò)準(zhǔn)入控制（NAC）方案。它通過與H3C智能管理中心（iMC）及安全策略服務(wù)器聯(lián)動(dòng)，在終端試圖接入網(wǎng)絡(luò)時(shí)，強(qiáng)制對(duì)其進(jìn)行身份認(rèn)證、安全狀態(tài)檢查與評(píng)估。只有符合企業(yè)安全策略的“健康”終端才被允許接入網(wǎng)絡(luò)，并獲取相應(yīng)的網(wǎng)絡(luò)訪問權(quán)限；對(duì)于“不健康”或未知的終端，則進(jìn)行隔離、修復(fù)或限制訪問，從而將安全威脅抵御在網(wǎng)絡(luò)入口之外。

2. 核心組件與架構(gòu)

解決方案主要由以下組件構(gòu)成，協(xié)同工作：

1. 安全客戶端（iNode智能客戶端）：安裝在終端上，負(fù)責(zé)收集終端信息（如身份、補(bǔ)丁、防病毒軟件狀態(tài)等），并與策略服務(wù)器通信，執(zhí)行身份認(rèn)證和安全狀態(tài)評(píng)估。
2. 準(zhǔn)入控制設(shè)備（SecPath防火墻）：作為網(wǎng)絡(luò)接入控制點(diǎn)，根據(jù)iMC下發(fā)的策略，執(zhí)行允許、拒絕或隔離終端訪問的強(qiáng)制動(dòng)作。H3C SecPath系列防火墻憑借其高性能和深度安全防護(hù)能力，成為理想的策略執(zhí)行點(diǎn)（PEP）。
3. 策略服務(wù)器（iMC EAD組件）：作為方案的大腦，iMC EAD服務(wù)器負(fù)責(zé)制定、管理和下發(fā)安全策略，處理客戶端的認(rèn)證與狀態(tài)評(píng)估請(qǐng)求，并向防火墻等設(shè)備下發(fā)控制指令。
4. 第三方服務(wù)器：可與防病毒服務(wù)器、補(bǔ)丁服務(wù)器（如WSUS）等聯(lián)動(dòng)，為終端修復(fù)提供資源。

架構(gòu)上，采用經(jīng)典的“客戶端-服務(wù)器-控制點(diǎn)”三層模型，實(shí)現(xiàn)集中策略管理與分布式強(qiáng)制執(zhí)行的完美結(jié)合。

3. 關(guān)鍵技術(shù)特性

• 身份與終端綁定認(rèn)證：支持多種認(rèn)證方式（如802.1X、Portal、MAC等），并可實(shí)現(xiàn)用戶身份與IP、MAC、接入端口等終端信息的動(dòng)態(tài)綁定，提高身份可信度。
• 精細(xì)化安全狀態(tài)檢查：能夠檢查終端操作系統(tǒng)補(bǔ)丁、防病毒軟件病毒庫版本、特定進(jìn)程/服務(wù)、注冊(cè)表鍵值、軟件安裝情況等數(shù)十種安全要素。
• 動(dòng)態(tài)權(quán)限控制：根據(jù)終端的安全狀況，動(dòng)態(tài)分配不同的網(wǎng)絡(luò)訪問權(quán)限（VLAN、ACL等）。例如，健康終端可訪問全部業(yè)務(wù)，修補(bǔ)中的終端僅能訪問補(bǔ)丁服務(wù)器，中毒終端則被徹底隔離。
• 智能修復(fù)與提醒：對(duì)于不符合策略的終端，可自動(dòng)或引導(dǎo)用戶連接到修復(fù)服務(wù)器進(jìn)行補(bǔ)丁更新、病毒庫升級(jí)等操作，并給出清晰的修復(fù)提示。
• 與SecPath防火墻深度集成：利用防火墻強(qiáng)大的安全防護(hù)能力（如入侵防御、應(yīng)用識(shí)別、URL過濾），可為已接入的終端提供持續(xù)的、基于身份的網(wǎng)絡(luò)層至應(yīng)用層的深度安全防護(hù)，實(shí)現(xiàn)準(zhǔn)入控制與訪問控制的閉環(huán)。

4. 典型部署模式

H3C EAD解決方案支持靈活部署，適應(yīng)不同網(wǎng)絡(luò)環(huán)境：

• 網(wǎng)關(guān)模式：將SecPath防火墻部署在網(wǎng)絡(luò)出口或區(qū)域邊界作為網(wǎng)關(guān)。所有跨區(qū)域的訪問流量都必須經(jīng)過防火墻，由其統(tǒng)一執(zhí)行準(zhǔn)入控制和后續(xù)的安全策略。此模式適用于網(wǎng)絡(luò)結(jié)構(gòu)清晰、易于集中管控的場(chǎng)景。
• 旁路模式：將SecPath防火墻以旁路方式接入核心交換機(jī)。通過交換機(jī)端口鏡像或與iMC聯(lián)動(dòng)獲取流量信息，對(duì)非合規(guī)終端進(jìn)行監(jiān)控、告警或通過TCP Reset等方式進(jìn)行干預(yù)。此模式對(duì)現(xiàn)有網(wǎng)絡(luò)拓?fù)涓膭?dòng)小，部署靈活。
• 混合模式：結(jié)合上述兩種模式，針對(duì)不同網(wǎng)絡(luò)區(qū)域或用戶群體采用不同的控制方式，實(shí)現(xiàn)精細(xì)化管理。

5. 應(yīng)用價(jià)值

部署H3C SecPath防火墻支持的EAD解決方案，能為企業(yè)帶來顯著價(jià)值：

• 主動(dòng)防御，降低風(fēng)險(xiǎn)：將安全防線前移至終端接入點(diǎn)，主動(dòng)杜絕“帶病”終端入網(wǎng)，顯著降低病毒內(nèi)網(wǎng)傳播、信息泄露等安全事件的發(fā)生概率。
• 合規(guī)管理，提升效率：強(qiáng)制終端符合統(tǒng)一的安全基線，自動(dòng)化修復(fù)流程，大大減輕運(yùn)維人員對(duì)終端進(jìn)行逐一檢查、修復(fù)的工作負(fù)擔(dān)，提升IT管理效率與合規(guī)水平。
• 權(quán)限可視化，精準(zhǔn)管控：實(shí)現(xiàn)基于身份和終端狀態(tài)的精細(xì)化訪問授權(quán)，確保“正確的人，用健康的設(shè)備，訪問被授權(quán)的資源”，簡化網(wǎng)絡(luò)權(quán)限管理。
• 構(gòu)建立體防護(hù)體系：將端點(diǎn)準(zhǔn)入控制（EAD）與SecPath防火墻的實(shí)時(shí)威脅防護(hù)、應(yīng)用層控制能力相結(jié)合，構(gòu)建從終端到網(wǎng)絡(luò)、從接入到訪問的縱深防御體系。

###

H3C SecPath防火墻支持的EAD解決方案，有效整合了網(wǎng)絡(luò)準(zhǔn)入控制與下一代防火墻的深度安全能力，是應(yīng)對(duì)當(dāng)前混合辦公環(huán)境下日益復(fù)雜的終端安全威脅的理想選擇。它幫助企業(yè)從被動(dòng)響應(yīng)轉(zhuǎn)向主動(dòng)預(yù)防，實(shí)現(xiàn)了網(wǎng)絡(luò)訪問的事前控制、事中監(jiān)控和事后審計(jì)，為構(gòu)建安全、可靠、智能的網(wǎng)絡(luò)環(huán)境奠定了堅(jiān)實(shí)基礎(chǔ)。

（版本：V1.00）