网络建设项目方案建议书.doc

《网络建设项目方案建议书.doc》由会员分享，可在线阅读，更多相关《网络建设项目方案建议书.doc（57页珍藏版）》请在三一办公上搜索。

1、中国电子科技集团公司第二十七研究所A01科研楼H3C网络系统解决方案北京中电兴发科技有限公司TEL：010-68288383转1012 FAX：010-68158585目 录1.需求分析41.1.建设背景41.2.建设需求42.设计原则73.整体架构设计83.1.总体设计概述83.1.1.信息网信息点分布表83.1.2.安防网信息点分布表93.1.3.控制网信息点分布表103.2.信息网详细设计113.2.1基础网络平台设计113.2.2服务器区设计122.2.3网管控制区设计123.3.安防网详细设计123.4.控制网详细设计134.网络安全详细设计134.1.出口及安全接入134.2.服务

2、器区安全防护144.3.端点准入控制方案设计145.网络综合管理平台设计285.1.应用场景285.2.平台介绍285.3.NFM基础网络管理组件介绍295.4.APM应用管理组件介绍345.5.SOM应用管理组件介绍416.IRF2技术介绍497.系统设备清单及预算571.需求分析1.1. 建设背景中国电子科技集团公司第二十七研究所（以下简称“二七所”）是我国组建最早的无线电弹、星精密跟踪测量专业所。现有职工1450多人，其中技术人员900多人。主要从事国防科技、军工、民用电子工程及产品开发、生产、试验、安装、服务的综合系统工程研究。专业涉及测控与卫星应用、信息对抗、侦察探测、光电系统、工业

3、民用产品等。所内设有中电科技集团公司无人机系统研发中心、光电精确制导中心、十个军工专业部、民品总公司、四个加工工厂、国防二级计量站以及各管理服务职能部门，建有配套的科研、生产、生活条件和大型系统工程试验外场，并正在筹建现代化高科技研发、产业基地。所址占地1400余亩，自建所以来共取得科研成果500余项，省部级以上奖150余项。并于98年2月通过ISO9001质量体系认证。随着社会及集团的发展，各类高技术人才不断增加，原有的基础设施己不能适应办公的需要，新建20层高综合大楼一栋，并需要进行全面的信息建设。1.2. 建设需求二七所新综合大楼是一栋20层的办公楼宇，涉及办公、视频监控、视讯会议、互联

4、网接入、门禁控制、大屏幕及灯具控制等，根据详细的沟通及综合考虑，共划分为三张网络：信息网、安防网、控制网，共有信息点2018点左右，具体如下表所示：楼层信息网安防网控制网备注B19夹层10主楼F148253中心机房主楼F26811主楼F38811主楼F4112111主楼F51129主楼F6489主楼F74891主楼F8689主楼F96810主楼F10747主楼F11747主楼F12747主楼F137471主楼F14747主楼F15747主楼F16747主楼F17747主楼F18747主楼F19628主楼F20861北裙F110292北裙F2203北裙F3282北裙F4242南裙F126162南

5、裙F2427南裙F3607南裙F4567合计175425311为满足当前业务的发展，并保证在未来3-5年满足信息化的需要，经过与二七所管理者及信息化部门的沟通，本方案的设计将着重从以下5个方面考虑： 1.高性能承载网络的性能是网络良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种信息（数据、语音、图象）的高质量传输，力争实现高品质透明网络。2.高可靠使可靠性保障达到结构级和链路级：网络中所涉及的网络核心设备，应采用电信级的高可靠设计。设备提供商应有多年的电信级设备的开发制造技术积累，对可靠特性支持有独到之处。3.可扩展网络带宽的可扩展性：接入交换机产品应支持百兆、千兆、万兆端口的带

6、宽汇聚，在投资和光缆资源允许的情况下，本次建设的网络设备平台可以支持未来一定时期内网络扩容的需要。4.安全性建设过程严格遵循网络安全一体化的设计理念，在网络改造结构设计的初期就充分考虑安全性，将各种安全要素无缝融合入系统设计的各个环节，使网络系统满足国家针对能源企业在信息安全合规领域所提出的各项要求。 安全渗透网络：路由、交换设备中集成各种安全技术，配置专业的安全插卡及安全策略，包含路由器的认证，路由信息过滤，多种动态路由协议信息交换控制，网络安全隔离，入侵防御，流量分析，负载均衡等。在网络服务安全控制方面，实施标准访问控制列表(ACL)，扩展的访问控制列表(Extend ACL)，动态访问控

7、制列表(Refliex ACL)，网络资源访问用户认证/授权和记帐(lock & key)。 边界防护：在各个网络边界，把住“病从口入”关，实时、全面的抵御来自互联网的，不同安全域之间交叉传播的安全威胁，使任一安全域免遭“外界”的恶意侵犯。 业务系统（服务器）保护：实时防御针对网管区业务系统及服务器的各类异常攻击，包括：DDOS攻击、病毒（宏病毒、蠕虫病毒、文本病毒）、木马、后门、间谍软件、网络钓鱼、基于操作系统/应用系统漏洞的攻击、VoIP攻击、协议异常攻击等。 行为监管：对互联网的出入流量进行精细化的分析，基于用户、IP、网段、时间对不同应用的带宽进行细粒度的控制。通过全面的掌握网络、用户

8、的流量、流向趋势及事后的数据分析，为合理规划网络、制定流量管理策略提供依据。此外，对内部用户的上网行为进行全方位的监控和记录。包括：玩游戏、看网络电影/电视、网页访问、邮件收发、文件下载、论坛言论等各种行为。 终端准入控制：实现网络准入控制功能，从根本上解决网络中病毒泛滥、网络中断，非法接入等各种安全问题， 5.易管理维护改变传统的管理系统及制度仅关注局部管理，而将用户管理，接入控制，网络资源管理，业务管理，安全事件管理等割裂开来的局面，使用统一的管理中心对网络资源进行集中化管理，实现各层次管理的全面融合、联动和协同，即实现真正的智能化、快捷化、直观化。当任何新的用户，设备或业务接入到网络后都

9、能够无缝、即时的纳入到管理范畴。2. 设计原则基于对二七所综合新大楼网络建设项目需求的深入理解，结合自身产品和技术特点，H3C公司推出了了完善的网络解决方案，为其提供“高扩展、多业务、高安全”的精品网络。l 网络建设遵循以下基本原则：高带宽二七所综合新大楼网络是一个庞大而且复杂的网络，为了保障全网的高速转发，全网的组网设计的无瓶颈性，要求方案设计的阶段就要充分考虑到，同时要求核心设备具有高性能、高带宽的特点，提供无瓶颈的数据交换。可扩充性考虑到用户数量和业务种类发展的不确定性，要求对于核心设备具有强大的扩展功能，网络要建设成完整统一、组网灵活、易扩充的弹性网络平台，能够随着需求变化，充分留有扩

10、充余地。本次项目特别要求所有网络设备具有MPLS VPN功能，以便对未来各类业务的支持，达到投资用户保护的目的。开放性技术选择必须符合相关国际标准及国内标准，避免个别厂家的私有标准或内部协议，确保网络的开放性和互连互通，满足信息准确、安全、可靠、优良交换传送的需要；开放的接口，支持良好的维护、测量和管理手段，提供网络统一实时监控的遥测、遥控的信息处理功能，实现网络设备的统一管理。 安全可靠性设计应充分考虑整个网络的稳定性，支持网络节点的备份和线路保护，提供网络安全防范措施，技术路线选择严格保证先进、适用、合理、成熟。经济性充分利用现有资源，提高整体投资的性价比；遵循“统一规划、分步实施”的方针

11、，有计划、有步骤地进行信息化建设。3. 整体架构设计3.1. 总体设计概述在本次网络整体设计中，根据业务的不同共分为三张网，分别是信息网、安防网、控制网，采用分离建网、物理隔离的方式进行组网，采用层次化、模块化的网络设计结构，并严格定义各层功能模型，不同层次关注不同的特性配置，其中信息网设计为核心-汇聚-接入三层架构，安防网及控制网设计为核心-接入两层架构，根据信息点的分布情况，设计的交换机及数量如下表所示：3.1.1. 信息网信息点分布表楼层信息点24口交换机48口交换机汇聚交换机备注B1夹层主楼F14811中心机房主楼F2682汇聚楼层主楼F38812主楼F411212主楼F5112121

12、主楼F64811汇聚楼层主楼F74811主楼F86811主楼F968111主楼F10742汇聚楼层主楼F11742主楼F12742主楼F137421主楼F14742汇聚楼层主楼F15742主楼F16742主楼F177421主楼F18742汇聚楼层主楼F196211主楼F208 1北裙F1102111北裙F2201汇聚楼层北裙F3281北裙F4241南裙F12611南裙F2421汇聚楼层南裙F36011南裙F45611合计1754 133973.1.2. 安防网信息点分布表楼层楼层信息点总信息点24口交换机48口交换机备注B19772夹层10主楼F125中心机房主楼F211设备间楼层主楼F311

13、主楼F411主楼F59361主楼F69设备间楼层主楼F79主楼F89主楼F910311主楼F107设备间楼层主楼F117主楼F127主楼F137281主楼F147设备间楼层主楼F157主楼F167主楼F177281主楼F187设备间楼层主楼F198主楼F206北裙F19161北裙F23设备间楼层北裙F32北裙F42南裙F116371南裙F27设备间楼层南裙F37南裙F47合计253 253 173.1.3. 控制网信息点分布表楼层控制信息点8口交换机备注B1夹层主楼F131中心机房/设备间楼层主楼F2主楼F3主楼F411设备间楼层主楼F5主楼F6主楼F711设备间楼层主楼F8主楼F9主楼F10

14、主楼F11主楼F12主楼F1311设备间楼层主楼F14主楼F15主楼F16主楼F17主楼F18主楼F19主楼F2011设备间楼层北裙F121设备间楼层北裙F2北裙F3北裙F4南裙F121设备间楼层南裙F2南裙F3南裙F4合计11 7 3.2. 信息网详细设计针对新大楼的具体布线情况和业务信息点布局，新的网络架构可以采用扁平化解决方案建设，三层结构设计，即核心、汇聚、接入三层，在接入层直接接入用户的信息点，通过CAT5E/6类双绞线连接至汇聚交换机，然后汇聚交换机通过万兆光纤双归上连至双核心交换机（两台核心交换机采用最先进的虚拟化技术进行双机热备），从而大大提高各楼层网络通讯的效率和整体网络的数

15、据交换性能。具体设计将分以下几部分：3.2.1基础网络平台设计在核心层，配置双核心交换机，同时利用IRF2虚拟化技术，将2台核心交换机虚拟化为1台逻辑上的单一、独立的设备。虚拟化的智能架构与传统的网络设计相比，优点在于： 运营管理简化。虚拟化的交换机组被逻辑化为单管理点，包括配置文件和单一网关IP地址，无需VRRP，提高运营效率。 整体无环设计。跨设备的链路聚合创建了简单的无环路拓扑结构，不再依靠生成树协议（STP）。虚拟交换组内部经由多个万兆互联，在总体设计方面提供了灵活的部署能力。 进一步提高可靠性。通过优化不间断通信，在一个虚拟交换机成员链路故障时，不再需要进行L2/L3重收敛，能快速实

16、现确定性虚拟交换机的恢复。在汇聚层，配置千兆下连、万兆上连的汇聚交换机，通过计算每4层楼采用1台汇聚交换机，每台汇聚交换机通过双万兆光纤上连至双核心交换机，数据在两条链路上负载均衡并具有冗余备份的功能。在接入层：楼层各配线间部署系列千兆交换机，通过CAT5E/6类双绞线与汇聚交换机相连，并且提供全千兆线速到桌面的接入能力，所有接入层均实施终端准入控制解决方案。3.2.2服务器区设计服务器（业务系统）采用2台高性能的千兆交换机，采用与核心交换机相同的IRF2虚拟化技术实现服务器区的高带宽、高可靠性。在这种部署模式下，服务器同核心交换机之间的带宽高，从根本上提高服务器的访问效率和用户使用体验满意度

17、。在服务器区交换机上部署高性能IPS插卡，不仅可以过滤访问外部的流量，更可以清洗网内互访的流量（特别是内部用户访问服务器的流量），此外，在核心交换机上部署的防火墙插卡可实时抵御各由外自内的各种安全威胁。2.2.3网管控制区设计在管理区部署iMC智能管理中心对全网设备及安全事件进行监控和集中管理。3.3. 安防网详细设计采用核心-接入两层结构设计，即在接入层直接接入用户的信息点，通过万兆光纤连接至核心交换机，整体设计采用一台核心交换机、八台千兆接入交换机，网络建成后可达到万兆主干千兆到桌面的传输性能。3.4. 控制网详细设计采用核心-接入两层结构设计，即在接入层直接接入用户的信息点，通过千兆光纤

18、连接至核心交换机，整体设计采用一台核心交换机、七台千兆接入交换机，网络建成后可达到千兆主干百兆到桌面的传输性能。4. 网络安全详细设计根据中华人民共和国计算机信息系统安全保护条例的规定，各单位、各部门均需要开展信息安全等级保护工作，对于二七所也不例外，对于本次项目严格遵守国家等级保护“二级系统统一成域，三级系统独立成域”的原则进行安全架构规划，主要针对出口及安全接入、服务器区安全防护、端点准入控制方案等方面进行详细设计。4.1. 出口及安全接入核心交换机配置高性能防火墙插卡，作为2-4层的防御。服务器汇聚交换机上布署IPS插卡。上述部署之后，将把住“病从口入”关，实时、全面的抵御来自互联网的安

19、全威胁，使网络免遭“外界”的恶意侵犯。主要的防御效能如下：1.防御来自互联网的底层（2层链路层、3层物理层）攻击，包括：ARP欺骗、地址扫描、端口扫描及各种洪泛（UDP Flood 、SYN Flood、ICMP Flood）、DDOS攻击2.防火墙功能：包括ASPF基于状态的包检测、安全域/DMZ划分、基于时间段的安全策略、虚拟防火墙、黑白名单等。防火墙作为最主流也是最基础的安全产品，对整个网络进行区域分割，提供基于IP地址和TCP/IP服务端口等的访问控制；对常见的网络攻击，如拒绝服务攻击、端口扫描、IP欺骗、IP盗用等进行有效防护；并提供NAT地址转换、用户认证、IP与MAC绑定等安全增

20、强措施。本次配置的防火墙集成IPSec VPN功能，可以使在其它场所及合作伙伴方职员安全、可靠的接入内部网络，并在整个的接入及访问过程中，保证通信数据的不丢失、不被篡改、不被他人窃取。在进行IPSec接入的时候，需要终端PC上安装iNode客户端软件，利用iNode的VPN接入可以同EAD接入进行整合，最大程度的保障接入过程的安全性。3.由于核心交换机上部署了高性能防火墙插卡，这样不仅“内外互访”的流量受到了保护，内部网络不同网段之间的交互流量同样可以被过滤，进行2-4层防御，通过与服务器区汇聚交换机上嵌入的IPS插卡的配合，达到整网2-7层的防御。 4.2. 服务器区安全防护本次新建的服务器

21、区是二七所重要的数据中心，与其它区别相比安全防护需求等级最高的一个区域。随着服务器数量的逐渐增加，更多的应用系统及重要数据资源将纳入其中。目前的服务器大部分装载的操应用系统为Windows，Linux、Unix等操作系统，Oracle，SQL Server，Infomix，Sybase等数据库及IIS，Tomcat Web平台，这些系统中存在着很多系统漏洞，补丁的更新工作由于是人工进行，很难成功有效的实施。IPS是重要的保护措施，著名品牌的IPS产品都会最终业界最业界知名软件系统厂商的产品和技术更新，以最快的速度对网络上产生的针对应用系统漏洞的攻击做出反应，在攻击手段出现之前为系统打上虚拟的补

22、丁，免去各个服务器，主机打补丁的困扰。IPS提供的数字疫苗服务，可以使其得到最及时的更新而主动地防御最新的攻击（零时差攻击）。此外，防范令服务器最为头疼的DOS/DDOS（拒绝服务攻击/分布式拒绝服务攻击）及应用层（47层）威胁，包括：病毒（宏病毒、蠕虫病毒、文本病毒）、木马、后门、间谍软件、网络钓鱼、VoIP攻击、协议异常攻击等是IPS的看家本领。因此本次在2台运行IRF2虚拟化协议的服务器汇聚交换机上配置2块IPS插卡，以实现数据中心区4-7层的安全防御。4.3. 端点准入控制方案设计1.方案概述伴随着信息化建设的快速发展，网络系统已成为二七所网络正常运行的基本保障系统，整体的运转高度依赖

23、着信息系统的运行。网络作为二七所网络信息系统运行的基础平台，其安全性、稳定性是信息系统正常运行的前提。但是，随着二七所网络网络的日益复杂，网络信息安全问题也日益突出。病毒泛滥、系统漏洞、黑客攻击等诸多问题，已经直接影响网络的稳定运行、威胁业务的正常运行。如何应对网络安全威胁，确保信息系统的安全稳定运行，已经是必须关注的问题。l 根据我们在前面进行的安全需求分析，我们认为较为完备的网络系统端点安全解决方案应该满足以下要求：1. 实现基于用户身份的网络接入控制，保证网络安全。在网络层实现用户接入控制，只有授权的用户，才能接入网络，有效阻断非法接入网络的用户，保证网络用户身份的合法性。2. 统一实现

24、基于用户身份的应用服务器接入控制，保证应用服务器安全。具体来说，就是对访问网络系统的用户，由统一的访问控制管理系统来管理访问权限，而不仅仅依靠应用系统本身简单的密码控制来管理用户的使用权限。3. 实现服务器系统安全、用户主机系统安全的强制管理，提供有效的技术手段，解决应用服务器、用户主机补丁管理、病毒管理问题。对于未安装系统补丁，未安装防病毒软件或病毒库版本不合格的终端，严禁接入网络；实现系统补丁的自动安装、病毒库的自动升级，保证网络的清洁。4. 实现网络接入用户的动态隔离能力。在用户访问网络的过程中，一旦发现用户处于不安全的状态，可迅速隔离用户终端，保护整个网络不受安全威胁。H3C端点准入控

25、制（EAD，Endpoint Admission Control）解决方案从网络终端准入控制入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施安全策略，严格控制终端用户的网络使用行为，可以有效的满足用户接入安全控制的需求，保证网络系统的安全运行。在“iMC开放智能管理中枢”中布署EAD安全策略组件，即可实现网络准入控制功能，从根本上解决内网中病毒泛滥、网络中断，非法接入等各种安全问题，具体如下：1.用户在接入网络时接受“合法”及“合规”性检查。“合法”性检查通过验证用户名、密码、IP、MAC、端口号、VLAN、智能卡

26、、数字证书、Windows域等关键要素确认用户的身份。“合规”性检查将根据事先制定的安全策略对接入网络的PC终端进行安全状态评估，包括：硬件信息、操作系统信息（版本、补丁状态）、病毒软件信息（病毒库、版本、是否感染病毒）、应用软件信息（安装的软件、正在运行的进程、已启动的服务）、注册表信息、共享目录信息等等。对在“合法”和“合规”性检查中不符合要求的终端，进行隔离，限制其网络访问权限，同时帮助用户在一步步的引导下完成“安全修复”。针对华兰生物的实际网络情况，在汇聚层实施EAD准入控制，可使内网中各种安全威胁（不止是二层攻击，包括各种47层的威胁，如：应用层病毒）的危害范围缩小到特定的局部内（一

27、间办公室）。注：在“合法”性检查中，支持多元素绑定认证、Windows域统一认证、LDAP服务器统一认证、证书认证；在“合规”性检查中，EAD支持同微软SMS/WSUS、LANDesk、瑞星、江民、金山、Symantec、McAfee、Trend、Micro、卡巴斯基、安博士等主流桌面管理及防病毒产品联动，使合规性检查完善而彻底。2.在用户上网的整个过程中，对PC终端的安全状态变化情况进行实时监控。当终端状态从合规变为不合规时，可即刻做出准入策略变更的响应。3.基于角色的网络授权。针对接入用户的不同身份（总经理、财务经理、生产部员工等等），授予不同等级的网络访问权限，从技术手段上规范用户的网络

28、使用行为。如：财务部的服务器只授权公司的高层管理人员、财务经理、财务部员工及信息主管访问，其它人员无法进入。4.可在网络拓扑图上查询在线用户列表及相关信息。对在线用户数、不安全用户数进行统计，可对在线用户的数量、闲置时长、接入时段等控制信息进行设置，限制用户的多网卡、使用及私设代理服务器。可对在线用户下发即时消息或强制用户下线。5.全方位的桌面资产管理：对终端软硬件资产的信息、使用情况、变更情况进行监控，提供多元化的资产统计报表。事先对资产的配置和软件统一分发，简化IT维护工作。通过监控USB等外设的使用情况并记录日志，如：读写文件的时间、数量、文件信息等，使数据得到保护。相关图片如下： 图：

29、在线查看设备信息 图：iNode认证接入终端 图：终端信息检查和监控 图：终端安全评估报告 图：资产的变更 图：用户管理和网络管理融合图：用户安全状态趋势图1图：用户安全状态趋势图22.方案描述：目前，针对病毒、蠕虫的防御体系还是以孤立的单点防御为主，如在个人计算机上安装防病毒软件、防火墙软件等。当发现新的病毒或新的网络攻击时，一般是由网络管理员发布病毒告警或补丁升级公告，要求网络中的所有计算机安装相关防御软件。从企业病毒泛滥、损失严重的结果来看，当前的防御方式并不能有效应对病毒和蠕虫的威胁，存在严重不足：1.被动防御 缺乏主动抵抗能力。在多数情况下，当一个终端受到感染时，病毒已经散布于整个网

30、络。亡羊补牢的方法固然有效，但企业用户更多需要的是：在安全威胁尚未发生时就对网络进行监控和修补，使其能够自己抵御来自外部的侵害。而对网络管理员来说，目前的解决方式无法有效监控每一个终端安全状态，也没有隔离、修复不合格终端的手段，造成主动防御能力低下。2.单点防御，对病毒的重复、交叉感染缺乏控制。目前的解决方式，更多的是在单点防范，当网络中有某台或某几台机器始终没有解决病毒问题而又能够顺利上网时，网络就会始终处于被感染、被攻击状态。3.分散管理，安全策略不统一，缺乏全局防御能力。只有从用户的接入终端进行安全控制，才能够从源头上防御威胁，但是，分散管理的终端难以保证其安全状态符合企业安全策略，无法

31、有效地从网络接入点进行安全防范。在分散管理的安全体系中，新的补丁发布了却无人理会、新的病毒出现了却不及时升级病毒库的现象普遍存在。分散管理的安全体系无法彻底解决病毒和操作系统漏洞带来的网络安全威胁，只有集中管理、强制终端用户执行，才能够起到统一策略、全局防范的效果。 内网控制解决方案中EAD组件可以实现下述功能：1.检查检查用户终端的安全状态和防御能力。用户终端的安全状态是指操作系统补丁、防病毒软件版本、病毒库版本、是否感染病毒等反映终端防御能力的状态信息。系统补丁、病毒库版本不及时更新的终端，容易遭受外部攻击，属于“易感”终端；已感染病毒的终端，会对网络中的其他设施发起攻击，属于“危险”终端

32、。EAD通过对终端安全状态的检查，使得只有符合企业安全标准的终端才能正常访问网络，同时，配合不同方式的身份验证技术（802.1x、Portal等），可以确保接入终端的合法与安全。2.隔离隔离“危险”和“易感”终端。在EAD方案中，系统补丁、病毒库版本不及时更新或已感染病毒的用户终端，如果不符合管理员设定的企业安全策略，将被限制访问权限，只能访问病毒服务器、补丁服务器等用于系统修复的网络资源，这些受限的网络资源被称之为“隔离区”，可以通过ACL方式实现3.修复强制修复系统补丁、升级防病毒软件。EAD可以强制用户终端进行系统补丁和病毒库版本的升级。当不符合安全策略的用户终端被限制到“隔离区”以后，

33、EAD可以自动提醒用户进行缺失补丁或最新病毒库的升级，配合防病毒服务器或补丁服务器，帮助用户完成手工或自动升级操作，达到提升终端主动防御能力的目的。完成修复并达到安全策略的要求以后，用户终端将被取消隔离，可以正常访问网络。4.管理与监控集中、统一的安全策略管理和安全事件监控是内网控制方案的重要功能。企业安全策略的统一实施，需要有一个完善的安全策略管理平台来支撑。iMC提供了集接入策略、安全策略、服务策略、安全事件监控于一体的用户管理平台，可以帮助网络管理员定制基于用户身份的、个性化的网络安全策略。同时iMC可以通过安全策略服务器与安全客户端的配合，强制实施终端安全配置（如是否实时检查邮件、注册

34、表、是否限制代理、是否限制双网卡等），监控用户终端的安全事件（如查杀病毒、修改安全设置等）。 安全客户端、安全联动设备（如交换机、路由器）、安全策略服务器以及防病毒服务器、补丁服务器的联动的基本原理如下图： 图：联动基本原理1用户终端试图接入网络时，首先通过安全客户端进行用户身份认证，非法用户将被拒绝接入网络2合法用户将被要求进行安全状态认证，由安全策略服务器验证补丁版本、病毒库版本是否合格，不合格用户将被安全联动设备隔离到隔离区进入隔离区的用户可以进行补丁、病毒库的升级，直到安全状态合格，安全状态合格的用户将实施由安全策略服务器下发的安全设置，并由安全联动设备提供基于身份的网络服务从主要功能

35、和基本原理可以看出，端点准入控制解决方案将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系，通过对网络接入终端的检查、隔离、修复、管理和监控，使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理，提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。图：组成示意图3.iMC EAD基本组件端点准入控制方案是一个整合方案，其基本部件包括安全客户端、安全联动设备、安全策略服务器，安全管理中心以及防病毒服务器、补丁服务器等第三方服务器。方案中的各部件各司其职，由安全策略中心协调与整合各功能部件，共同完成对网络接入终端的安全状

36、态评估、隔离与修复，提升网络的整体防御能力。 iNode安全客户端安全客户端是安装在用户终端系统上的软件，是对用户终端进行身份认证、安全状态评估以及安全策略实施的主体，其主要功能包括：提供802.1x、portal等多种认证方式，可以与交换机、路由器配合实现接入层、汇聚层的端点准入控制。检查用户终端的安全状态，包括操作系统版本、系统补丁等信息；同时提供与防病毒客户端联动的接口，实现与第三方防病毒客户端的联动，检查用户终端的防病毒软件版本、病毒库版本、以及病毒查杀信息。这些信息将被传递到安全策略服务器，执行端点准入的判断与控制。安全策略实施，接收安全策略服务器下发的安全策略并强制用户终端执行，包

37、括设置安全策略（是否监控邮件、注册表）、系统修复通知与实施（自动或手工升级补丁和病毒库）等功能。不按要求实施安全策略的用户终端将被限制在隔离区。实时监控系统安全状态，包括是否更改安全设置、是否发现新病毒等，并将安全事件定时上报到安全策略服务器，用于事后进行安全审计。 iMC安全策略服务器EAD方案的核心是整合与联动，而安全策略服务器是EAD方案中的管理与控制中心，兼具用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。安全策略管理。安全策略服务器定义了对用户终端进行准入控制的一系列策略，包括用户终端安全状态评估配置、补丁检查项配置、安全策略配置、终端修复配置以及对终端用户

38、的隔离方式配置等。用户管理。企业网中，不同的用户、不同类型的接入终端可能要求不同级别的安全检查和控制。安全策略服务器可以为不同用户提供基于身份的个性化安全配置和网络服务等级，方便管理员对网络用户制定差异化的安全策略。安全联动控制。安全策略服务器负责评估安全客户端上报的安全状态，控制安全联动设备对用户的隔离与开放，下发用户终端的修复方式与安全策略。通过安全策略服务器的控制，安全客户端、安全联动设备与防病毒服务器才可以协同工作，配合完成端到端的安全准入控制。日志审计。安全策略服务器收集由安全客户端上报的安全事件，并形成安全日志，可以为管理员追踪和监控网络的整个网络的安全状态 提供依据。 安全联动设

39、备安全联动设备是企业网络中安全策略的实施点，起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。根据应用场合的不同，安全联动设备可以是交换机、路由器或防火墙安全网关，分别实现不同认证方式（如802.1x、Portal等）的端点准入控制。不论是哪种接入设备或采用哪种认证方式，安全联动设备均具有以下功能： 强制网络接入终端进行身份认证和安全状态评估。 隔离不符合安全策略的用户终端。联动设备接收到安全策略服务器下发的隔离指令后，可以通过ACL方式限制用户的访问权限；同样，收到解除用户隔离的指令后也可以在线解除对用户终端的隔离。 提供基于身份的网络服务。安全联动设备可以根据安全策略服务

40、器下发的策略，为用户提供个性化的网络服务，如提供不同的ACL、VLAN等。 第三方系统（桌面防病毒系统，防病毒服务器）在EAD方案中，第三方系统是指桌面防病毒系统及处于隔离区中，用于终端进行自我修复的防病毒服务器或补丁服务器。网络版的防病毒服务器提供病毒库升级服务，允许防病毒客户端进行在线升级；补丁服务器则提供系统补丁升级服务，当用户终端的系统补丁不能满足安全要求时，可以通过补丁服务器进行补丁下载和升级。 安全管理中心SecCenter采集网络设备、安全设备和服务器的安全日志，结合H3C EAD客户端上报的用户上网过程、安全状态、病毒查杀事件，进行统一分析，实时输出审计报告。当发生安全事故后，

41、可以根据记录的信息对用户既往行为进行分析和追根朔源。同时，安全管理员可以按照法律法规（如SOX法案）和标准中的规定，定制相应的审计报告。4.方案特色作为一种成熟的安全防御体系，内网控制从端点准入控制入手，整合防病毒软件等单点安全产品，可以大幅度提高网络对病毒、蠕虫等新兴安全威胁的整体防御能力。 病毒、蠕虫的主动防御，大幅提高安全性安全管理平台通过H3C EAD（端点准入防御）终端软件对接入用户进行认证时，同时检查终端补丁、病毒库升级状态，确保只有身份合法并且符合企业的防病毒标准和系统补丁安装策略的用户接入，从而保证每一个接入端点的安全，预防内网病毒、蠕虫的泛滥。不符合安全策略的用户终端将被隔离

42、到“隔离区”，只能访问网络管理员指定的资源，在提醒下完成修复和升级。 基于深度检测的安全联动，全面隔离“危险”终端安全防御设备包含防火墙、SecBlade和IPS。融合了包过滤、状态检测、入侵防御和防病毒等多种技术，可以发现和阻断蠕虫、病毒以及恶意入侵行为，同时将安全事件上报安全管理平台。SecCenter进行智能分析后联动iMC，对造成威胁的内网用户采取在线提醒、强制下线、关闭交换机端口、加入黑名单等控制手段，从源头上制止威胁的发生。 专业的桌面行为审计SecCenter采集网络设备、安全设备和服务器的安全日志，结合H3C EAD客户端上报的用户上网过程、安全状态、病毒查杀事件，进行统一分析

43、，实时输出审计报告。当发生安全事故后，可以根据记录的信息对用户既往行为进行分析和追根朔源。同时，安全管理员可以按照法律法规（如SOX法案）和标准中的规定，定制相应的审计报告。 灵活、方便的部署与维护方案部署灵活，维护方便，可以按照网络管理员的要求区别对待不同身份的用户，定制不同的安全检查和隔离级别。其中EAD可以部署为监控模式（只记录不合格的用户终端，不进行修复提醒）、提醒模式（只做修复提醒，不进行网络隔离）和隔离模式，以适应用户对安全准入控制的不同要求。 专业第三方厂商的合作内网控制是一个整合方案，目前支持方案的厂商包括市场上主流的防病毒软件厂商及桌面终端管理厂商，包括但不限于Microsoft，Bigfix，LANDdesk，瑞星，金山，江民，北信源，趋势，Synmantec等等。通过EAD的联动，各软件系统的价值得到提升，从单点防御转化为整体防御。 具有策略实施功能，方便企业实施