1、概述

在互聯網技術的發展應用過程中，伴隨著網絡應用軟硬件技術的快速發展，網絡信息安全問題日益嚴重，新的安全威脅不斷涌現，網絡治理員不得不面對病毒泛濫、軟件漏洞、黑客攻擊等諸多網絡安全問題。當前，計算機病毒的感染率高達89.73%，種類繁多、傳播迅速；軟件系統中的漏洞也不斷被發現，成為病毒、黑客新的攻擊點；成為一名黑客也不再是一件困難的事情--世界上目前有20多萬個黑客網站，各種黑客工具隨時都可以找到，攻擊方法達幾千種之多。

網絡安全問題的解決，三分靠技術，七分靠治理，嚴格治理是企業、機構及用戶免受網絡安全問題威脅的重要措施。事實上，多數企業、機構都缺乏有效的制度和手段治理網絡安全。網絡用戶不及時升級系統補丁、升級病毒庫的現象普遍存在；私設代理服務器、私自訪問外部網絡、使用網絡治理員禁止使用的軟件等行為在企業網中也比比皆是。治理的欠缺不僅會直接影響用戶網絡的正常運行，還可能使企業蒙受巨大的商業損失。

如何有效治理企業網絡安全，確保企業網絡安全是每一個網絡治理員不得不面對的挑戰。但現有技術、產品對于網絡安全問題的解決，通常是被動防御，事后補救。

為了解決現有網絡安全治理中存在的不足，應對網絡安全威脅，華為3Com公司推出了端點準入防御（EAD）解決方案，該方案從網絡用戶終端準入控制入手，整合網絡接入控制與終端安全產品，通過安全客戶端、安全策略服務器、網絡設備以及第三方軟件的聯動，對接入網絡的用戶終端強制實施企業安全策略，嚴格控制終端用戶的網絡使用行為，加強網絡用戶終端的主動防御能力，保護網絡安全。

2、EAD簡介

2.1、原理

EAD解決方案提供企業網絡安全治理的平臺，通過整合孤立的單點防御系統，加強對用戶的集中治理，統一實施企業網絡安全策略，提高網絡終端的主動反抗能力。其基本原理圖如下：

EAD基本原理

EAD系統由四部分組成，具體包括安全策略服務器、安全客戶端平臺、安全聯動設備和第三方服務器。

安全策略服務器是EAD方案中的治理與控制中心，是EAD解決方案的核心組成部分，實現用戶治理、安全策略治理、安全狀態評估、安全聯動控制以及安全事件審計等功能。目前華為3Com公司的CAMS產品實現了安全策略服務器的功能，該系統在全面治理網絡用戶信息的基礎上，支持多種網絡認證方式，支持針對用戶的安全策略設置，以標準協議與網絡設備聯動，實現對用戶接入行為的控制，同時，該系統可具體記錄用戶上網信息和安全事件信息，審計用戶上網行為和安全事件。

安全客戶端平臺是安裝在用戶終端系統上的軟件，該平臺可集成各種安全廠商的安全產品插件，對用戶終端進行身份認證、安全狀態評估以及實施網絡安全策略 。

安全聯動設備是企業網絡中安全策略的實施點，起到強制用戶準入認證、隔離不合格終端、為合法用戶提供網絡服務的作用。CAMS綜合接入治理平臺作為安全策略服務器，提供標準的協議接口，支持同交換機、路由器等各類網絡設備的安全聯動。

第三方服務器為病毒服務器、補丁服務器等第三方網絡安全產品，通過安全策略的設置實施，第三方安全產品的功能集成至EAD解決方案種，實現安全產品功能的整合。

EAD原理圖示意了應用EAD系統實現終端安全準入的流程：

l         用戶終端試圖接入網絡時，首先通過安全客戶端上傳用戶信息至安全策略服務器進行用戶身份認證，非法用戶將被拒絕接入網絡

l         合法用戶將被要求進行安全狀態認證，由安全策略服務器驗證補丁版本、病毒庫版本等信息是否合格，不合格用戶將被安全聯動設備隔離到隔離區

l         進入隔離區的用戶可以根據企業網絡安全策略，通過第三方服務器進行安裝系統補丁、升級病毒庫、檢查終端系統信息等操作，直到接入終端符合企業網絡安全策略

l         安全狀態合格的用戶將實施由安全策略服務器下發的安全設置，并由安全聯動設備提供基于身份的網絡服務

2.2、功能特點

l         完備的安全狀態評估

用戶終端的安全狀態是指操作系統補丁、第三方軟件版本、病毒庫版本、是否感染病毒等反映終端防御能力的狀態信息。EAD通過對終端安全狀態進行評估，使得只有符合企業安全標準的終端才能正常訪問網絡

l         實時的“危險”用戶隔離

系統補丁、病毒庫版本不及時更新或已感染病毒的用戶終端，假如不符合治理員設定的企業安全策略，將被限制訪問權限，只能訪問病毒服務器、補丁服務器等用于系統修復的網絡資源。

l         基于角色的網絡服務

在用戶終端在通過病毒、補丁等安全信息檢查后，EAD可基于終端用戶的角色，向安全客戶端下發系統配置的安全策略，按照用戶角色權限規范用戶的網絡使用行為。終端用戶的ACL訪問策略、QoS策略、是否禁止使用代理、是否禁止使用雙網卡等安全措施設置均可由治理員統一治理，并實時應用實施。

l         可擴展的、開放的安全解決方案

EAD是一個可擴展的安全解決方案，對現有網絡設備和組網方式改造較小。在現有企業網中，只需對網絡設備和第三方軟件進行簡單升級，即可實現接入控制和防病毒的聯動，達到端點準入控制的目的，有效保護用戶的網絡投資。

EAD也是一個開放的解決方案。EAD系統中，安全策略服務器同設備的交互、同第三方服務器的交互都基于開放的、標準的協議實現。在防病毒方面，目前EAD系統已金山、瑞星、江民等多家主流防病毒廠商的產品實現聯動。

l         靈活、方便的部署與維護

EAD方案部署靈活，維護方便，可以按照網絡治理員的要求區別對待不同身份的用戶，定制不同的安全檢查和隔離級別。EAD可以部署為監控模式（只記錄不合格的用戶終端，不進行修復提醒）、提醒模式（只做修復提醒，不進行網絡隔離）和隔離模式，以適應用戶對安全準入控制的不同要求。

3、EAD應用場景

EAD是一種通用接入安全解決方案，具有很強的靈活性和適應性，可以配合交換機、路由器、VPN網關等網絡設備，實現對局域網接入、無線接入、VPN接入、要害區域訪問等多種組網方式的安全防護。可以為多種應用場合提供安全保護，具體包括：

l         局域網安全防護

在企業網內部，接入終端一般是通過交換機接入企業網絡，EAD通過與交換機的聯動，強制檢查用戶終端的病毒庫和系統補丁信息，降低病毒和蠕蟲蔓延的風險，同時強制實施網絡接入用戶的安全策略，阻止來自企業內部的安全威脅。

l         無線接入網絡的安全防護

WLAN接入的用戶終端具有漫游性，經常脫離企業網絡治理員的監控，輕易感染病毒和木馬或出現長期不更新系統補丁的現象，給網絡帶來安全隱患。與局域網接入防護類似，對于這種無線接入的用戶，EAD也可以在交換機配合下，通過實現用戶接入終端的安全控制，實現用戶網絡的安全保護。

l         VPN接入網絡的安全防護

一些企業和機構答應移動辦公員工或外部合作人員通過VPN方式接入企業內部網絡。EAD方案可以通過VPN網關確保遠程接入用戶在進入企業內部網之前，檢查用戶終端的安全狀態，并在用戶認證通過后實施企業安全策略。對于沒有安裝EAD安全客戶端的遠程用戶，治理員可以選擇拒絕其訪問內部網絡或限制其訪問權限。

l         企業要害數據保護

對于接入網絡的用戶終端，其訪問權限受EAD下發的安全策略控制，其對企業要害數據服務器的訪問也因此受控。同時由于可訪問該數據服務器的用戶均通過EAD的安全狀態檢查，避免數據遭受非法訪問和攻擊。

l         網絡入口安全防護

大型企業往往擁有分支機構或合作伙伴，其分支機構、合作伙伴也可以通過專線或WAN連接企業總部。這種組網方式在開放型的商業企業中比較普遍，受到的安全威脅也更嚴重。為了確保接入企業內部網的用戶具有合法身份且符合企業安全標準，可以在企業入口路由器中實施EAD準入認證。

4、結論

EAD提供了一個全新的安全防御體系，該系統作為網絡安全治理的平臺，將防病毒功能、自動升級系統補丁等第三方軟件提供的網絡安全功能、網絡設備接入控制功能、用戶接入行為治理功能相融合，加強了對用戶終端的集中治理，提高了網絡終端的主動反抗能力。在EAD平臺的基礎上，可輕松構建讓企業治理者、網絡用戶和網絡治理員均放心的安全網絡。通過對網絡接入終端的檢查、隔離、修復、治理和監控，有效治理網絡安全，使整個網絡變被動防御為主動防御、變單點防御為全面防御、變分散治理為集中策略治理，讓網絡擁有“自動免疫”的安全機能。