1 EAD解決方案技術(shù)原理介紹

1.1 技術(shù)背景

網(wǎng)絡(luò )安全問(wèn)題的解決，三分靠技術(shù)，七分靠管理，嚴格管理是企業(yè)、機構及用戶(hù)免受網(wǎng)絡(luò )安全問(wèn)題威脅的重要措施。事實(shí)上，多數企業(yè)、機構都缺乏有效的制度和手段管理網(wǎng)絡(luò )安全。網(wǎng)絡(luò )用戶(hù)不及時(shí)升級系統補丁、升級病毒庫的現象普遍存在；隨意接入網(wǎng)絡(luò )、私設代理服務(wù)器、私自訪(fǎng)問(wèn)保密資源、非法拷貝機密文件、利用非法軟件獲取利益等行為在企業(yè)網(wǎng)中也比比皆是。管理的欠缺不僅會(huì )直接影響用戶(hù)網(wǎng)絡(luò )的正常運行，還可能使企業(yè)蒙受巨大的商業(yè)損失。

為了解決現有網(wǎng)絡(luò )安全管理中存在的不足，應對網(wǎng)絡(luò )安全威脅，H3C推出了終端準入控制（EAD，End user Admission Domination）解決方案。該方案從用戶(hù)終端準入控制入手，整合網(wǎng)絡(luò )接入控制與終端安全產(chǎn)品，通過(guò)安全客戶(hù)端、安全策略服務(wù)器、網(wǎng)絡(luò )設備以及防病毒軟件產(chǎn)品、系統補丁管理產(chǎn)品、桌面管理產(chǎn)品的聯(lián)動(dòng)，對接入網(wǎng)絡(luò )的用戶(hù)終端強制實(shí)施企業(yè)安全策略，嚴格控制終端用戶(hù)的網(wǎng)絡(luò )使用行為，可以加強用戶(hù)終端的主動(dòng)防御能力，大幅度提高網(wǎng)絡(luò )安全。

EAD在用戶(hù)接入網(wǎng)絡(luò )前，通過(guò)統一管理的安全策略強制檢查用戶(hù)終端的安全狀態(tài)，并根據對用戶(hù)終端安全狀態(tài)的檢查結果實(shí)施接入控制策略，對不符合企業(yè)安全標準的用戶(hù)進(jìn)行“隔離”并強制用戶(hù)進(jìn)行病毒庫升級、系統補丁升級等操作；在保證用戶(hù)終端具備自防御能力并安全接入的前提下，可以通過(guò)動(dòng)態(tài)分配ACL、VLAN等合理控制用戶(hù)的網(wǎng)絡(luò )權限，從而提升網(wǎng)絡(luò )的整體安全防御能力。

EAD還引入了資產(chǎn)管理、軟件分發(fā)、USB監控等功能，提供了企業(yè)內網(wǎng)PC集中管理運維的方案，以高效率的管理手段和措施，協(xié)助企業(yè)IT部門(mén)及時(shí)盤(pán)點(diǎn)內網(wǎng)資產(chǎn)、掌控內網(wǎng)資產(chǎn)變更情況。

1.2 EAD方案介紹

EAD終端準入控制方案包括兩個(gè)重要功能：安全防護和安全監控。安全防護主要是對終端接入網(wǎng)絡(luò )進(jìn)行認證，保證只有安全的終端才能接入網(wǎng)絡(luò )，對達不到安全要求的終端可以進(jìn)行修復，保障終端和網(wǎng)絡(luò )的安全；安全監控是指在上網(wǎng)過(guò)程中，系統實(shí)時(shí)監控用戶(hù)終端的安全狀態(tài)，并針對用戶(hù)終端的安全事件采取相應的應對措施，實(shí)時(shí)保障網(wǎng)絡(luò )安全。

目前EAD還引入的資產(chǎn)管理、軟件分發(fā)、USB監控等功能，與之前的準入防御功能并沒(méi)有交叉，下面分別介紹EAD解決方案的端點(diǎn)準入防御，資產(chǎn)管理，軟件分發(fā)等功能。

1.2.1 EAD端點(diǎn)準入防御方案介紹

圖1 EAD解決方案端點(diǎn)準入防御應用模型圖

• 身份驗證：用戶(hù)終端接入網(wǎng)絡(luò )時(shí)，首先進(jìn)行用戶(hù)身份認證，非法用戶(hù)將被拒絕接入網(wǎng)絡(luò )。目前EAD解決方案支持802.1x，Portal認證。
• 安全檢查：身份認證通過(guò)后進(jìn)行終端安全檢查，由EAD安全策略服務(wù)器驗證用戶(hù)終端的安全狀態(tài)（包括補丁版本、病毒庫版本、軟件安裝、系統服務(wù)、注冊表、是否登錄密碼為弱密碼等）是否合格。
• 安全隔離：不合格的終端將被安全聯(lián)動(dòng)設備通過(guò)ACL策略限制在隔離區進(jìn)行安全修復。
• 安全修復：進(jìn)入隔離區的用戶(hù)可以進(jìn)行補丁、病毒庫的升級、卸載非法軟件和停止非法服務(wù)等操作，直到安全狀態(tài)合格。
• 動(dòng)態(tài)授權：如果用戶(hù)身份驗證、安全檢查都通過(guò)，則EAD安全策略服務(wù)器將預先配置的該用戶(hù)的權限信息（包括網(wǎng)絡(luò )訪(fǎng)問(wèn)權限等）下發(fā)給安全聯(lián)動(dòng)設備，由安全聯(lián)動(dòng)設備實(shí)現按用戶(hù)身份的權限控制。
• 實(shí)時(shí)監控：在用戶(hù)網(wǎng)絡(luò )使用過(guò)程中，安全客戶(hù)端根據安全策略服務(wù)器下發(fā)的監控策略，實(shí)時(shí)監控用戶(hù)終端的安全狀態(tài)，一旦發(fā)現用戶(hù)終端安全狀態(tài)不符合企業(yè)安全策略，則向EAD安全策略服務(wù)器上報安全事件，由EAD安全策略服務(wù)器按照預定義的安全策略，采取相應的控制措施，比如通知安全聯(lián)動(dòng)設備隔離用戶(hù)。

圖2 EAD安全準入流程圖

1.2.2 EAD端點(diǎn)準入防御方案特點(diǎn)

安全狀態(tài)評估

• 終端補丁檢測：評估客戶(hù)端的補丁安裝是否合格，可以檢測的補丁包括：操作系統(Windows 2000/XP/2003等，不包括Windows 98)等符合微軟補丁規范的熱補丁。
• 安全客戶(hù)端版本檢測：可以檢測安全客戶(hù)端iNode Client的版本，防止使用不具備安全檢測能力的客戶(hù)端接入網(wǎng)絡(luò )，同時(shí)支持客戶(hù)端自動(dòng)升級。
• 安全狀態(tài)定時(shí)評估：安全客戶(hù)端可以定時(shí)檢測用戶(hù)安全狀態(tài)，防止用戶(hù)上網(wǎng)過(guò)程中因安全狀態(tài)發(fā)生變化而造成的與安全策略的不一致。
• 自動(dòng)補丁管理：提供與微軟WSUS/SMS（全稱(chēng)：Windows Server Update Services/System Management Server）協(xié)同的自動(dòng)補丁管理，當用戶(hù)補丁不合格時(shí)，自動(dòng)安裝補丁。
• 終端運行狀態(tài)實(shí)時(shí)檢測：可以對上線(xiàn)用戶(hù)終端的系統信息進(jìn)行實(shí)時(shí)檢測，包括已安裝程序列表、已安裝補丁列表、已運行進(jìn)程列表、共享目錄信息、分區表、屏保設置和已啟動(dòng)服務(wù)列表等。
• 防病毒聯(lián)動(dòng)：主要包含兩個(gè)方面，一是端點(diǎn)用戶(hù)接入網(wǎng)絡(luò )時(shí)，檢查其計算機上防病毒軟件的安裝運行情況以及病毒庫和掃描引擎版本是否符合安全要求等，不符合安全要求可以根據策略阻止用戶(hù)接入網(wǎng)絡(luò )或將其訪(fǎng)問(wèn)限制在隔離區；二是端點(diǎn)用戶(hù)接入網(wǎng)絡(luò )后，EAD定期檢查防病毒軟件的運行狀態(tài)，如果發(fā)現不符合安全要求可以根據策略強制讓用戶(hù)下線(xiàn)或將其訪(fǎng)問(wèn)限制在隔離區。
• 聯(lián)動(dòng)方式目前包括強聯(lián)動(dòng)和弱聯(lián)動(dòng)，強聯(lián)動(dòng)需要防病毒軟件廠(chǎng)商提供聯(lián)動(dòng)插件，iNode客戶(hù)端通過(guò)該聯(lián)動(dòng)插件完成對防病毒軟件的運行狀態(tài)檢查以及行為控制。弱聯(lián)動(dòng)不需要防病毒廠(chǎng)商提供聯(lián)動(dòng)插件，iNode客戶(hù)端通過(guò)其他方式實(shí)現對防病毒軟件的運行狀態(tài)檢查以及行為控制。當前支持的強AV聯(lián)動(dòng)支持的防病毒軟件有：瑞星、金山和江民。當前支持的弱AV聯(lián)動(dòng)支持的防病毒軟件有：諾頓、趨勢、McAfee 、安博士、CA安全甲胄、VRV、卡巴斯基等。
• ARP防火墻：iNode客戶(hù)端將截獲用戶(hù)的ARP報文，并且根據如下原則判斷是否是非法ARP報文：
• 發(fā)出的ARP報文必須滿(mǎn)足：

       ①以太網(wǎng)源地址＝發(fā)送端以太網(wǎng)地址＝本機發(fā)包網(wǎng)卡的MAC地址

       ②發(fā)送端IP地址＝本機發(fā)包網(wǎng)卡的IP地址

       ③在滿(mǎn)足上面兩條的前提下判斷是否是ARP請求報文，如果是請求報文必須滿(mǎn)足是廣播報文。

• 接收的ARP報文必須滿(mǎn)足：

       ①以太網(wǎng)源地址＝發(fā)送端以太網(wǎng)地址。

如果iNode發(fā)現報文為非法ARP報文，那么將會(huì )對報文做丟棄處理。

用戶(hù)權限管理

• 強身份認證：在用戶(hù)身份認證時(shí)，可綁定用戶(hù)接入IP、MAC、接入設備IP、端口和VLAN等信息，進(jìn)行強身份認證，防止帳號盜用、限定帳號所使用的終端，確保接入用戶(hù)的身份安全。
• “危險”用戶(hù)隔離：對于安全狀態(tài)評估不合格的用戶(hù)，可以限制其訪(fǎng)問(wèn)權限（通過(guò)ACL隔離），使其只能訪(fǎng)問(wèn)防病毒服務(wù)器、補丁服務(wù)器等用于系統修復的網(wǎng)絡(luò )資源。
• “危險”用戶(hù)在線(xiàn)隔離：用戶(hù)上網(wǎng)過(guò)程中安全狀態(tài)發(fā)生變化造成與安全策略不一致時(shí)（如感染不能殺除的病毒），EAD可以在線(xiàn)隔離并通知用戶(hù)。
• 軟件安裝和運行檢測：檢測終端軟件的安裝和運行狀態(tài)�？梢韵拗平尤刖W(wǎng)絡(luò )的用戶(hù)必須安裝、運行或禁止安裝、運行其中某些軟件。對于不符合安全策略的用戶(hù)可以記錄日志、提醒或隔離。
• 支持匿名認證：iNode客戶(hù)端與EAD安全策略服務(wù)器配合提供用戶(hù)匿名認證功能，用戶(hù)不需要輸入用戶(hù)名、密碼即可完成身份認證和安全認證。
• 接入時(shí)間、區域控制：可以限制用戶(hù)只能在允許的時(shí)間和地點(diǎn)（接入設備和端口）上網(wǎng)。
• 限制終端用戶(hù)使用多網(wǎng)卡和撥號網(wǎng)絡(luò )：防止用戶(hù)終端成為內外網(wǎng)互訪(fǎng)的橋梁，避免因此可能造成的信息安全問(wèn)題。
• 代理限制：可以限制用戶(hù)使用和設置代理服務(wù)器。

用戶(hù)行為監控

• 終端強制或提醒修復：強制或提醒不符合安全策略的終端用戶(hù)主機進(jìn)行防病毒軟件升級，病毒庫升級，補丁安裝；目前只支持手工方式（金山的客戶(hù)端可以與系統中心做自動(dòng)升級）。
• 安全狀態(tài)監控：定時(shí)監控終端用戶(hù)的安全狀態(tài)，發(fā)現感染病毒后根據安全策略可將其限制到隔離區。
• 安全日志審計：定時(shí)收集客戶(hù)端的實(shí)時(shí)安全狀態(tài)并記錄日志；查詢(xún)用戶(hù)的安全狀態(tài)日志、安全事件日志以及在線(xiàn)用戶(hù)的安全狀態(tài)。
• 強制用戶(hù)下線(xiàn)：管理員可以強制行為“可疑”的用戶(hù)下線(xiàn)。

1.2.3 桌面資產(chǎn)管理方案介紹

EAD解決方案不僅能夠對用戶(hù)的端點(diǎn)準入安全進(jìn)行管理，而且能夠對用戶(hù)網(wǎng)絡(luò )中的資產(chǎn)進(jìn)行管理和控制，其基本的功能包括：資產(chǎn)管理、軟件分發(fā)。

桌面資產(chǎn)管理應用模型如下：

圖3 桌面資產(chǎn)管理應用模型

桌面資產(chǎn)管理的應用流程如下圖所示：

圖4 桌面資產(chǎn)管理工作流程

身份驗證及安全認證：EAD的桌面資產(chǎn)管理功能是與EAD的端點(diǎn)準入功能緊密結合的：在安全認證成功之后，服務(wù)器將DAM服務(wù)器的地址和端口下發(fā)給DAM客戶(hù)端。作為另外一種選擇，DAM服務(wù)器的地址和端口，也可以采用iNode客戶(hù)端管理中心定制指定。

資產(chǎn)上線(xiàn)：資產(chǎn)上線(xiàn)分成幾種情況：

1、已管理資產(chǎn)的上線(xiàn)：服務(wù)器根據客戶(hù)端上傳的資產(chǎn)編號找到資產(chǎn)記錄即回應確認信息，客戶(hù)端之后請求資產(chǎn)策略，服務(wù)器回應資產(chǎn)策略給客戶(hù)端。

2、客戶(hù)端注冊方式的新資產(chǎn)（該資產(chǎn)由管理員增加）上線(xiàn)：服務(wù)端要求客戶(hù)端輸入資產(chǎn)編號，客戶(hù)端提交后，服務(wù)端根據資產(chǎn)編號找到資產(chǎn)信息，發(fā)給客戶(hù)端確認，確認后服務(wù)端將該資產(chǎn)置為已管理狀態(tài)，回應確認信息，客戶(hù)端之后請求資產(chǎn)策略，服務(wù)器回應資產(chǎn)策略給客戶(hù)端。

3、服務(wù)器自動(dòng)生成新資產(chǎn)方式的上線(xiàn)：服務(wù)端根據客戶(hù)端上傳的資產(chǎn)指紋信息生成新資產(chǎn)編號；客戶(hù)端彈出資產(chǎn)信息錄入界面并由用戶(hù)錄入，之后上傳給服務(wù)端，服務(wù)端回應確認信息，客戶(hù)端之后請求資產(chǎn)策略，服務(wù)器回應資產(chǎn)策略給客戶(hù)端。

4、重裝操作系統之后的客戶(hù)端上線(xiàn)：服務(wù)端根據客戶(hù)端傳遞過(guò)來(lái)的指紋信息找到已有的資產(chǎn)記錄，之后回應資產(chǎn)信息給客戶(hù)端；客戶(hù)端用戶(hù)確認服務(wù)器返回的資產(chǎn)信息與自己的資產(chǎn)相匹配，之后，客戶(hù)端發(fā)送確認報文給服務(wù)端；服務(wù)端確認后將正在上線(xiàn)的資產(chǎn)與自身已有記錄關(guān)聯(lián)起來(lái)；服務(wù)端回應確認信息，客戶(hù)端之后請求資產(chǎn)策略，服務(wù)器回應資產(chǎn)策略給客戶(hù)端。

5、安裝了多操作系統的資產(chǎn)上線(xiàn)：用戶(hù)啟動(dòng)一個(gè)操作系統并上線(xiàn)成功后，在另一個(gè)操作系統下又發(fā)起上線(xiàn)請求；服務(wù)端發(fā)現多操作系統情況，將只允許最后安裝的操作系統的客戶(hù)端可以上線(xiàn)；服務(wù)端回應確認信息，客戶(hù)端之后請求資產(chǎn)策略，服務(wù)器回應資產(chǎn)策略給客戶(hù)端。

資產(chǎn)信息上報：客戶(hù)端獲取本地資產(chǎn)信息，保存到本地，并上報給服務(wù)端；客戶(hù)端定期會(huì )掃描本地資產(chǎn)信息，如發(fā)現有變更，更新本地保存的資產(chǎn)文件，同時(shí)將資產(chǎn)變更信息上報給服務(wù)端。

USB使用信息上報：客戶(hù)端實(shí)時(shí)監測USB插入情況，如果有USB插入、向USB中寫(xiě)入文件、或者拔出USB，都會(huì )寫(xiě)入文件，客戶(hù)端定期上報USB使用信息給服務(wù)端。

軟件分發(fā)：服務(wù)端為資產(chǎn)創(chuàng )建分發(fā)任務(wù)，客戶(hù)端向服務(wù)端請求資產(chǎn)策略，服務(wù)端回應同時(shí)，將分發(fā)任務(wù)下達給客戶(hù)端，客戶(hù)端連接到分發(fā)服務(wù)器進(jìn)行軟件下載，下載到本地之后可由用戶(hù)自行安裝，也可以自動(dòng)安裝。

1.2.4 桌面資產(chǎn)管理功能特點(diǎn)

終端資產(chǎn)管理

• 基于用戶(hù)的資產(chǎn)管理：資產(chǎn)與認證用戶(hù)相結合，支持直接查詢(xún)某個(gè)用戶(hù)資產(chǎn)狀況，也可以基于資產(chǎn)信息找到對應的用戶(hù)，方便管理員的管理。
• 資產(chǎn)編號處理：可自動(dòng)/手工生成資產(chǎn)編號，為資產(chǎn)分配責任人或自動(dòng)關(guān)聯(lián)責任人�？蓪�資產(chǎn)信息進(jìn)行查詢(xún)和手工掃描。對資產(chǎn)信息上報的策略可以進(jìn)行自定義。
• 支持資產(chǎn)信息的增刪改：管理員可以增加、刪除、修改資產(chǎn)信息。
• 支持資產(chǎn)分組管理：對資產(chǎn)通過(guò)分組統一管理，默認放置于缺省分組中。分組支持嵌套，支持分組間的資產(chǎn)轉移，方便管理。
• 資產(chǎn)信息審計：可對軟硬件資產(chǎn)進(jìn)行查詢(xún)，支持按CPU、制造商、型號、操作系統等統計資產(chǎn)，便于管理員分類(lèi)進(jìn)行企業(yè)資產(chǎn)盤(pán)點(diǎn)。
• 資產(chǎn)變更審計：可針對資產(chǎn)變更信息進(jìn)行審計，審計內容包含資產(chǎn)名、編號、變更類(lèi)型、變更內容、資產(chǎn)責任人、變更時(shí)間等，便于管理員及時(shí)掌握企業(yè)資產(chǎn)變動(dòng)情況。
• 支持USB使用審計：支持USB插拔及使用的審計，審計內容包括插拔時(shí)間、資產(chǎn)名、文件名、文件大小、操作時(shí)間等，便于企業(yè)安全審計。
• 支持USB等外設使用控制：支持對USB、軟驅、光驅、Modem、串口、并口、1394、紅外、藍牙等外設使用的控制。

軟件分發(fā)

• 分發(fā)任務(wù)管理：支持軟件分發(fā)任務(wù)的增加，修改，查詢(xún)和刪除以及關(guān)閉功能；可以按資產(chǎn)分組、選中單個(gè)或者多個(gè)資產(chǎn)進(jìn)行資產(chǎn)批量分發(fā)，可以自定義分發(fā)操作的時(shí)間，支持HTTP，FTP和文件共享三種方式的分發(fā)服務(wù)器的參數配置功能。
• 軟件分發(fā)查詢(xún)：支持按照資產(chǎn)查詢(xún)軟件分發(fā)歷史，支持按照分發(fā)任務(wù)查詢(xún)每個(gè)資產(chǎn)的軟件分發(fā)狀態(tài)。
• 軟件分發(fā)：支持HTTP、FTP和文件共享等三種協(xié)議的軟件分發(fā)，軟件分發(fā)給終端之后，安裝的方式可以根據管理員指定好的策略進(jìn)行靜默安裝或者普通安裝。也可支持按資產(chǎn)分組、資產(chǎn)進(jìn)行批量方式的軟件分發(fā)。

2 無(wú)線(xiàn)EAD解決方案介紹

無(wú)線(xiàn)局域網(wǎng)的安全問(wèn)題主要體現在訪(fǎng)問(wèn)控制和數據傳輸兩個(gè)層面。在訪(fǎng)問(wèn)控制層面上，非授權或者非安全的客戶(hù)一旦接入網(wǎng)絡(luò )后，將會(huì )直接面對企業(yè)的核心服務(wù)器，威脅企業(yè)的核心業(yè)務(wù)，因此能對無(wú)線(xiàn)接入用戶(hù)進(jìn)行身份識別、安全檢查和網(wǎng)絡(luò )授權的訪(fǎng)問(wèn)控制系統必不可少。 在無(wú)線(xiàn)網(wǎng)絡(luò )中，結合使用EAD解決方案，可以有效的滿(mǎn)足園區網(wǎng)的無(wú)線(xiàn)安全準入的需求。

2.1 無(wú)線(xiàn)EAD解決方案典型組網(wǎng)-Portal認證方式

圖5 無(wú)線(xiàn)EAD典型組網(wǎng)-Portal方式(使用獨立無(wú)線(xiàn)控制器)

圖6 無(wú)線(xiàn)EAD解決方案典型組網(wǎng)-Portal方式(使用無(wú)線(xiàn)控制器插卡)

2.1.1 組網(wǎng)特點(diǎn)介紹

1． FIT AP與無(wú)線(xiàn)控制器之間的連接可以使用二層連接，也可以使用三層連接。

2． 用戶(hù)接入時(shí)需要使用Windows客戶(hù)端接入無(wú)線(xiàn)網(wǎng)絡(luò )，然后使用iNode進(jìn)行Portal接入。

3． Portal接入控制方式使用二層Portal(匯聚交換機作為客戶(hù)端網(wǎng)關(guān))。

4． 在組網(wǎng)中，用戶(hù)IP地址不發(fā)生變化的情況下，可以在A(yíng)P之間漫游。

5． 基于用戶(hù)身份的控制信息在A(yíng)C上下發(fā)。

2.1.2 無(wú)線(xiàn)用戶(hù)認證流程

圖7 無(wú)線(xiàn)用戶(hù)認證流程-Portal認證方式

1． 無(wú)線(xiàn)用戶(hù)接入企業(yè)網(wǎng)絡(luò )，根據實(shí)際需要對無(wú)線(xiàn)鏈路的保護可以使用WPA-PSK，WPA2-PSK等多種方式。

2． 在客戶(hù)端的報文發(fā)送到無(wú)線(xiàn)控制器后，解開(kāi)LWAPP封裝，并對客戶(hù)端進(jìn)行HTTP重定向。

3． 在無(wú)線(xiàn)控制器與iMC之間交互RADIUS報文，對接入用戶(hù)進(jìn)行身份認證。

4． 當Portal認證完成后，iMC向AC下發(fā)用戶(hù)權限控制策略。此時(shí)用戶(hù)被隔離在隔離區，等待安全認證。

5． iMC通知客戶(hù)端身份認證成功，進(jìn)行安全認證。

6． 客戶(hù)端進(jìn)行安全認證。

7． 通過(guò)安全認證后，對用戶(hù)下發(fā)基于用戶(hù)身份的安全控制策略。

2.1.3 無(wú)線(xiàn)EAD典型組網(wǎng)實(shí)施效果

1．在無(wú)線(xiàn)控制器上進(jìn)行Portal認證，在無(wú)線(xiàn)用戶(hù)通過(guò)身份認證之前，只能訪(fǎng)問(wèn)無(wú)線(xiàn)控制上指定的資源。

2．合法用戶(hù)接入網(wǎng)絡(luò )后，其訪(fǎng)問(wèn)權限受在無(wú)線(xiàn)控制器上下發(fā)的基于用戶(hù)的ACL控制。特定的服務(wù)器只能由被授權的用戶(hù)訪(fǎng)問(wèn)。

3．用戶(hù)正常接入網(wǎng)絡(luò )前，必須通過(guò)安全客戶(hù)端的安全檢查，確保沒(méi)有感染病毒且病毒庫版本和補丁得到及時(shí)升級。降低了病毒和遠程攻擊對企業(yè)網(wǎng)帶來(lái)的安全風(fēng)險。

4．通過(guò)使用iNode客戶(hù)端，可對用戶(hù)的終端使用行為進(jìn)行嚴格管理，比如禁止設置代理服務(wù)器、禁用雙網(wǎng)卡等。

5．如果在相同AC的AP間漫游時(shí)用戶(hù)IP未發(fā)生變化，則無(wú)需再次進(jìn)行用戶(hù)身份認證。

2.1.4 無(wú)線(xiàn)EAD典型組網(wǎng)中涉及的設備

在網(wǎng)絡(luò )中部署無(wú)線(xiàn)EAD的典型組網(wǎng)，需要配置如下設備：

無(wú)線(xiàn)控制器：

H3C WX3024

H3C WX5002

H3C WX6103，H3C LSQM1WCMB0，H3C LSBM1WCM2A0

AP：

H3C WA2110-AG

H3C WA2210-AG

H3C WA2220-AG

H3C WA1208E

策略服務(wù)器：

H3C iMC/CAMS

認證客戶(hù)端：

H3C iNode