EAD典型配置案例.PDF

CAMS 典型配置案例--EAD 配置案例 EAD典型配置案例 1 概述 1.1 功能描述 华为3Com EAD （Endpoint Admission Defense，端点准入防御）安全产品是一套融合 网络设备、用户终端和第三方安全产品的全网安全体系框架，其目的是整合孤立的单点安全 部件，形成完整的网络安全体系，最终为用户提供端到端的安全防护。华为3Com EAD安全 产品由四个功能组件组成：安全客户端及客户端插件接口、客户端管理代理、安全策略服务 器和CAMS安全组件。CAMS安全组件的主要功能是对终端用户的安全策略进行配置；安全 策略服务器则用于对用户终端的染毒状况、杀毒策略、系统补丁、软件使用情况进行集中管 理、强制配置（如强制病毒客户端升级、强制打补丁），确保全网安全策略的统一。同时， 它们通过客户端管理代理与安全客户端相配合，记录用户的安全日志，并提供查询及监控功 能，为网络管理员提供网络安全状态的详细信息。 通过这种防病毒软件、安全客户端、接入设备、CAMS的整合，华为3Com EAD安全产 品能够防止已感染病毒或存在系统漏洞的用户终端对网络中的其他用户产生危害，保护缺乏 防御能力的用户因暴露在非安全的网络中而受到威胁，避免来自网络内部的入侵；再配合传 统的防火墙或IDS设备，华为3Com EAD安全产品可以构建分布式的、内外结合的网络安全 架构，最大限度的防止非法入侵。在EAD解决方案的框架下，用户的认证过程可以分为两 个步骤：用户身份认证和安全认证。 用户身份认证在CAMS平台上进行，通过用户名和密码来确定用户是否合法。身份认证 通过后，用户处在上图中的隔离区，与此同时发起安全认证。如果安全认证通过，则用户的 隔离状态被解除，可以正常访问网络资源；如果安全认证不通过，则继续隔离用户，直到用 户完成相关修复操作后通过安全认证为止。 1.2 使用限制 A) 必须使用支持802.1X协议扩展透传Access-Accept报文以及支持ACL动态下发功 能（采用Session-Control报文交互机制）的以太网交换机，下表为我司目前支持 第 1 页, 共 20 页 CAMS 典型配置案例--EAD 配置案例 该功能的设备版本： 设备类型 S5024G-24/20TP S3528P S3050C S3026E S3026C S3526C 软件版本 0019 0016 0030 0029 0029 0034 备注 基于MAC 认证需要 配置流模 版/可基于 端口下发 ACL 表1 支持 EAD 功能的我司交换机设备版本 B) H3C 认证客户端的版本：V2.30-0221及以上版本 C) CAMS的版本：V1.20-0388及以上版本（Windows版本），需要安装和购买EAD 组件 D) 第三方病毒客户端软件： 瑞星： 金山： 江民： Symantec： Norton Antivirus 企业版 7.60 ，个人版等(EAD部分特性支持) E) 客户端操作系统版本： Microsoft Windows 2000、XP 、Server2003等 第 2 页, 共 20 页 CAMS 典型配置案例--EAD 配置案例 2 典型组网及配置 2.1 组网图 CAMSCAMS安全策略服务器安全策略服务器