一、建設(shè)背景
　　目前，在企業(yè)網(wǎng)絡(luò)中，用戶的終端計(jì)算機(jī)不及時(shí)升級(jí)系統(tǒng)補(bǔ)丁和病毒庫(kù)、私設(shè)代理服務(wù)器、私自訪問(wèn)外部網(wǎng)絡(luò)、濫用企業(yè)禁用軟件的行為比比皆是，脆弱的用戶終端一旦接入網(wǎng)絡(luò)，就等于給潛在的安全威脅敞開(kāi)了大門(mén)，使安全威脅在更大范圍內(nèi)快速擴(kuò)散，進(jìn)而導(dǎo)致網(wǎng)絡(luò)使用行為的“失控”。保證用戶終端的安全、阻止威脅入侵網(wǎng)絡(luò)，對(duì)用戶的網(wǎng)絡(luò)訪問(wèn)行為進(jìn)行有效的控制，是保證企業(yè)網(wǎng)絡(luò)安全運(yùn)行的前提，也是目前企業(yè)急需解決的問(wèn)題。
　　二、中小企業(yè)辦公網(wǎng)終端安全需求
　　1.內(nèi)網(wǎng)終端接入的認(rèn)證，對(duì)不同部門(mén)的服務(wù)器資源的訪問(wèn)權(quán)限的設(shè)置
　　2.移動(dòng)終端VPN接入后，如何進(jìn)行安全認(rèn)證、訪問(wèn)權(quán)限設(shè)置？
　　3.如何及時(shí)對(duì)所有終端（移動(dòng)和非移動(dòng)）的系統(tǒng)補(bǔ)丁及病毒庫(kù)進(jìn)行更新？
　　三、新華三EAD終端安全準(zhǔn)入控制解決方案
　　H3C 終端準(zhǔn)入控制（EAD，End user Admission Domination）解決方案從控制用戶終端安全接入網(wǎng)絡(luò)的角度入手，整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品，通過(guò)安全客戶端、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備以及第三方軟件的聯(lián)動(dòng)，對(duì)接入網(wǎng)絡(luò)的用戶終端強(qiáng)制實(shí)施企業(yè)安全策略，嚴(yán)格控制終端用戶的網(wǎng)絡(luò)使用行為，有效地加強(qiáng)了用戶終端的主動(dòng)防御能力，為企業(yè)網(wǎng)絡(luò)管理人員提供了有效、易用的管理工具和手段。

　　新華三EAD方案包括下面4個(gè)組件：H3C安全客戶端，安全聯(lián)動(dòng)設(shè)備，H3C安全策略服務(wù)器，第三方病毒服務(wù)器和補(bǔ)丁服務(wù)器。

　　通過(guò)上面四個(gè)組件的聯(lián)動(dòng)，可以實(shí)現(xiàn)下面四個(gè)功能：

　　1．檢查：對(duì)接入網(wǎng)絡(luò)的用戶端點(diǎn)計(jì)算機(jī)進(jìn)行安全檢查，可以根據(jù)安全策略檢查端點(diǎn)用戶計(jì)算機(jī)的操作系統(tǒng)版本、補(bǔ)丁和防病毒軟件的版本。
　　2．隔離：對(duì)于不符合公司安全策略的計(jì)算機(jī)將強(qiáng)制隔離到一個(gè)安全免疫區(qū)里。
　　3．修復(fù)：在安全免疫區(qū)，端點(diǎn)計(jì)算機(jī)可以升級(jí)防病毒軟件、打操作系統(tǒng)補(bǔ)丁，只有修復(fù)后滿足公司安全策略的計(jì)算機(jī)才可以最終接入網(wǎng)絡(luò)
　　4．監(jiān)控：EAD安全客戶端還可以在用戶使用網(wǎng)絡(luò)的過(guò)程中對(duì)用戶的行為進(jìn)行監(jiān)控，一旦發(fā)現(xiàn)行為異常，將立即對(duì)端點(diǎn)進(jìn)行隔離。
　　上面過(guò)程可以在H3C安全策略服務(wù)器統(tǒng)一部署下自動(dòng)化完成，極大的提高了網(wǎng)絡(luò)的主動(dòng)防御能力。
　　四、新華三EAD終端安全準(zhǔn)入控制解決方案價(jià)值
　　通過(guò)部署EAD端點(diǎn)防御系統(tǒng)，可以很好地幫助企業(yè)的辦公網(wǎng)解決以下幾方面的安全問(wèn)題：
　　● 對(duì)內(nèi)網(wǎng)終端用戶：企業(yè)內(nèi)部員工接入網(wǎng)絡(luò)時(shí)進(jìn)行身份認(rèn)證和安全檢查，保障內(nèi)部網(wǎng)絡(luò)安全合規(guī)
　　● 對(duì)VPN接入終端：企業(yè)的員工出差或者移動(dòng)辦公時(shí)，當(dāng)通過(guò)VPN接入后，也需要進(jìn)行身份認(rèn)證和安全檢查。
　　● 安全權(quán)限下發(fā)(ACL策略和VLAN分配）：無(wú)論對(duì)內(nèi)網(wǎng)終端用戶還是VPN接入的終端用戶，在通過(guò)身份認(rèn)證和安全檢查后，都可以根據(jù)自己的賬號(hào)得到相應(yīng)的安全訪問(wèn)權(quán)限和VLAN分配，從而只能訪問(wèn)相應(yīng)的網(wǎng)絡(luò)資源。
　　● 建立良好的系統(tǒng)補(bǔ)丁及病毒升級(jí)庫(kù)更新流程，每個(gè)終端都能夠及時(shí)地更新病毒庫(kù)和升級(jí)系統(tǒng)補(bǔ)丁，很大程度上保護(hù)生產(chǎn)網(wǎng)受到來(lái)自病毒的威脅。
　　主要產(chǎn)品及相關(guān)組件：
　　0231A2JP      SWP-IMC7-IMP         H3C iMC-智能管理平臺(tái)標(biāo)準(zhǔn)版
　　3130A1A8      LIS-IMC7-IMPB-50     H3C iMC-智能管理平臺(tái)標(biāo)準(zhǔn)版授權(quán)（根據(jù)管理網(wǎng)絡(luò)設(shè)備數(shù)）
　　0231A2JH      SWP-IMC7-EAD         H3C iMC-EAD終端準(zhǔn)入控制組件
　　3130A1G0      LIS-IMC7-EADF-50     H3C iMC-EAD終端準(zhǔn)入控制組件授權(quán)（根據(jù)管理終端數(shù)）
　　8814A02Y      SV-PS-INST1-EAD      EAD-工程實(shí)施服務(wù)(必配)