引言

隨著企業(yè)網(wǎng)絡(luò)規(guī)模的不斷擴大和業(yè)務(wù)應(yīng)用的日益復(fù)雜，網(wǎng)絡(luò)安全面臨的挑戰(zhàn)也愈發(fā)嚴(yán)峻。傳統(tǒng)的邊界防護已不足以應(yīng)對來自內(nèi)部的安全威脅，例如未經(jīng)授權(quán)的終端接入、不合規(guī)的終端狀態(tài)以及由終端引入的病毒、木馬等。為構(gòu)建主動、智能、立體的網(wǎng)絡(luò)安全防護體系，H3C推出了基于SecPath防火墻的端點準(zhǔn)入防御（EAD，Endpoint Admission Defense）解決方案。本白皮書旨在闡述該解決方案的技術(shù)原理、核心組件、部署模式及典型應(yīng)用價值。

1. 解決方案概述

H3C SecPath防火墻支持的EAD解決方案是一種創(chuàng)新的網(wǎng)絡(luò)準(zhǔn)入控制（NAC）方案。它通過與H3C智能管理中心（iMC）及安全策略服務(wù)器聯(lián)動，在終端試圖接入網(wǎng)絡(luò)時，強制對其進(jìn)行身份認(rèn)證、安全狀態(tài)檢查與評估。只有符合企業(yè)安全策略的“健康”終端才被允許接入網(wǎng)絡(luò)，并獲取相應(yīng)的網(wǎng)絡(luò)訪問權(quán)限；對于“不健康”或未知的終端，則進(jìn)行隔離、修復(fù)或限制訪問，從而將安全威脅抵御在網(wǎng)絡(luò)入口之外。

2. 核心組件與架構(gòu)

解決方案主要由以下組件構(gòu)成，協(xié)同工作：

1. 安全客戶端（iNode智能客戶端）：安裝在終端上，負(fù)責(zé)收集終端信息（如身份、補丁、防病毒軟件狀態(tài)等），并與策略服務(wù)器通信，執(zhí)行身份認(rèn)證和安全狀態(tài)評估。
2. 準(zhǔn)入控制設(shè)備（SecPath防火墻）：作為網(wǎng)絡(luò)接入控制點，根據(jù)iMC下發(fā)的策略，執(zhí)行允許、拒絕或隔離終端訪問的強制動作。H3C SecPath系列防火墻憑借其高性能和深度安全防護能力，成為理想的策略執(zhí)行點（PEP）。
3. 策略服務(wù)器（iMC EAD組件）：作為方案的大腦，iMC EAD服務(wù)器負(fù)責(zé)制定、管理和下發(fā)安全策略，處理客戶端的認(rèn)證與狀態(tài)評估請求，并向防火墻等設(shè)備下發(fā)控制指令。
4. 第三方服務(wù)器：可與防病毒服務(wù)器、補丁服務(wù)器（如WSUS）等聯(lián)動，為終端修復(fù)提供資源。

架構(gòu)上，采用經(jīng)典的“客戶端-服務(wù)器-控制點”三層模型，實現(xiàn)集中策略管理與分布式強制執(zhí)行的完美結(jié)合。

3. 關(guān)鍵技術(shù)特性

• 身份與終端綁定認(rèn)證：支持多種認(rèn)證方式（如802.1X、Portal、MAC等），并可實現(xiàn)用戶身份與IP、MAC、接入端口等終端信息的動態(tài)綁定，提高身份可信度。
• 精細(xì)化安全狀態(tài)檢查：能夠檢查終端操作系統(tǒng)補丁、防病毒軟件病毒庫版本、特定進(jìn)程/服務(wù)、注冊表鍵值、軟件安裝情況等數(shù)十種安全要素。
• 動態(tài)權(quán)限控制：根據(jù)終端的安全狀況，動態(tài)分配不同的網(wǎng)絡(luò)訪問權(quán)限（VLAN、ACL等）。例如，健康終端可訪問全部業(yè)務(wù)，修補中的終端僅能訪問補丁服務(wù)器，中毒終端則被徹底隔離。
• 智能修復(fù)與提醒：對于不符合策略的終端，可自動或引導(dǎo)用戶連接到修復(fù)服務(wù)器進(jìn)行補丁更新、病毒庫升級等操作，并給出清晰的修復(fù)提示。
• 與SecPath防火墻深度集成：利用防火墻強大的安全防護能力（如入侵防御、應(yīng)用識別、URL過濾），可為已接入的終端提供持續(xù)的、基于身份的網(wǎng)絡(luò)層至應(yīng)用層的深度安全防護，實現(xiàn)準(zhǔn)入控制與訪問控制的閉環(huán)。

4. 典型部署模式

H3C EAD解決方案支持靈活部署，適應(yīng)不同網(wǎng)絡(luò)環(huán)境：

• 網(wǎng)關(guān)模式：將SecPath防火墻部署在網(wǎng)絡(luò)出口或區(qū)域邊界作為網(wǎng)關(guān)。所有跨區(qū)域的訪問流量都必須經(jīng)過防火墻，由其統(tǒng)一執(zhí)行準(zhǔn)入控制和后續(xù)的安全策略。此模式適用于網(wǎng)絡(luò)結(jié)構(gòu)清晰、易于集中管控的場景。
• 旁路模式：將SecPath防火墻以旁路方式接入核心交換機。通過交換機端口鏡像或與iMC聯(lián)動獲取流量信息，對非合規(guī)終端進(jìn)行監(jiān)控、告警或通過TCP Reset等方式進(jìn)行干預(yù)。此模式對現(xiàn)有網(wǎng)絡(luò)拓?fù)涓膭有。渴痨`活。
• 混合模式：結(jié)合上述兩種模式，針對不同網(wǎng)絡(luò)區(qū)域或用戶群體采用不同的控制方式，實現(xiàn)精細(xì)化管理。

5. 應(yīng)用價值

部署H3C SecPath防火墻支持的EAD解決方案，能為企業(yè)帶來顯著價值：

• 主動防御，降低風(fēng)險：將安全防線前移至終端接入點，主動杜絕“帶病”終端入網(wǎng)，顯著降低病毒內(nèi)網(wǎng)傳播、信息泄露等安全事件的發(fā)生概率。
• 合規(guī)管理，提升效率：強制終端符合統(tǒng)一的安全基線，自動化修復(fù)流程，大大減輕運維人員對終端進(jìn)行逐一檢查、修復(fù)的工作負(fù)擔(dān)，提升IT管理效率與合規(guī)水平。
• 權(quán)限可視化，精準(zhǔn)管控：實現(xiàn)基于身份和終端狀態(tài)的精細(xì)化訪問授權(quán)，確保“正確的人，用健康的設(shè)備，訪問被授權(quán)的資源”，簡化網(wǎng)絡(luò)權(quán)限管理。
• 構(gòu)建立體防護體系：將端點準(zhǔn)入控制（EAD）與SecPath防火墻的實時威脅防護、應(yīng)用層控制能力相結(jié)合，構(gòu)建從終端到網(wǎng)絡(luò)、從接入到訪問的縱深防御體系。

###

H3C SecPath防火墻支持的EAD解決方案，有效整合了網(wǎng)絡(luò)準(zhǔn)入控制與下一代防火墻的深度安全能力，是應(yīng)對當(dāng)前混合辦公環(huán)境下日益復(fù)雜的終端安全威脅的理想選擇。它幫助企業(yè)從被動響應(yīng)轉(zhuǎn)向主動預(yù)防，實現(xiàn)了網(wǎng)絡(luò)訪問的事前控制、事中監(jiān)控和事后審計，為構(gòu)建安全、可靠、智能的網(wǎng)絡(luò)環(huán)境奠定了堅實基礎(chǔ)。

（版本：V1.00）