引言

隨著企業網絡規模的不斷擴大和業務應用的日益復雜，網絡安全面臨的挑戰也愈發嚴峻。傳統的邊界防護已不足以應對來自內部的安全威脅，例如未經授權的終端接入、不合規的終端狀態以及由終端引入的病毒、木馬等。為構建主動、智能、立體的網絡安全防護體系，H3C推出了基于SecPath防火墻的端點準入防御（EAD，Endpoint Admission Defense）解決方案。本白皮書旨在闡述該解決方案的技術原理、核心組件、部署模式及典型應用價值。

1. 解決方案概述

H3C SecPath防火墻支持的EAD解決方案是一種創新的網絡準入控制（NAC）方案。它通過與H3C智能管理中心（iMC）及安全策略服務器聯動，在終端試圖接入網絡時，強制對其進行身份認證、安全狀態檢查與評估。只有符合企業安全策略的“健康”終端才被允許接入網絡，并獲取相應的網絡訪問權限；對于“不健康”或未知的終端，則進行隔離、修復或限制訪問，從而將安全威脅抵御在網絡入口之外。

2. 核心組件與架構

解決方案主要由以下組件構成，協同工作：

1. 安全客戶端（iNode智能客戶端）：安裝在終端上，負責收集終端信息（如身份、補丁、防病毒軟件狀態等），并與策略服務器通信，執行身份認證和安全狀態評估。
2. 準入控制設備（SecPath防火墻）：作為網絡接入控制點，根據iMC下發的策略，執行允許、拒絕或隔離終端訪問的強制動作。H3C SecPath系列防火墻憑借其高性能和深度安全防護能力，成為理想的策略執行點（PEP）。
3. 策略服務器（iMC EAD組件）：作為方案的大腦，iMC EAD服務器負責制定、管理和下發安全策略，處理客戶端的認證與狀態評估請求，并向防火墻等設備下發控制指令。
4. 第三方服務器：可與防病毒服務器、補丁服務器（如WSUS）等聯動，為終端修復提供資源。

架構上，采用經典的“客戶端-服務器-控制點”三層模型，實現集中策略管理與分布式強制執行的完美結合。

3. 關鍵技術特性

• 身份與終端綁定認證：支持多種認證方式（如802.1X、Portal、MAC等），并可實現用戶身份與IP、MAC、接入端口等終端信息的動態綁定，提高身份可信度。
• 精細化安全狀態檢查：能夠檢查終端操作系統補丁、防病毒軟件病毒庫版本、特定進程/服務、注冊表鍵值、軟件安裝情況等數十種安全要素。
• 動態權限控制：根據終端的安全狀況，動態分配不同的網絡訪問權限（VLAN、ACL等）。例如，健康終端可訪問全部業務，修補中的終端僅能訪問補丁服務器，中毒終端則被徹底隔離。
• 智能修復與提醒：對于不符合策略的終端，可自動或引導用戶連接到修復服務器進行補丁更新、病毒庫升級等操作，并給出清晰的修復提示。
• 與SecPath防火墻深度集成：利用防火墻強大的安全防護能力（如入侵防御、應用識別、URL過濾），可為已接入的終端提供持續的、基于身份的網絡層至應用層的深度安全防護，實現準入控制與訪問控制的閉環。

4. 典型部署模式

H3C EAD解決方案支持靈活部署，適應不同網絡環境：

• 網關模式：將SecPath防火墻部署在網絡出口或區域邊界作為網關。所有跨區域的訪問流量都必須經過防火墻，由其統一執行準入控制和后續的安全策略。此模式適用于網絡結構清晰、易于集中管控的場景。
• 旁路模式：將SecPath防火墻以旁路方式接入核心交換機。通過交換機端口鏡像或與iMC聯動獲取流量信息，對非合規終端進行監控、告警或通過TCP Reset等方式進行干預。此模式對現有網絡拓撲改動小，部署靈活。
• 混合模式：結合上述兩種模式，針對不同網絡區域或用戶群體采用不同的控制方式，實現精細化管理。

5. 應用價值

部署H3C SecPath防火墻支持的EAD解決方案，能為企業帶來顯著價值：

• 主動防御，降低風險：將安全防線前移至終端接入點，主動杜絕“帶病”終端入網，顯著降低病毒內網傳播、信息泄露等安全事件的發生概率。
• 合規管理，提升效率：強制終端符合統一的安全基線，自動化修復流程，大大減輕運維人員對終端進行逐一檢查、修復的工作負擔，提升IT管理效率與合規水平。
• 權限可視化，精準管控：實現基于身份和終端狀態的精細化訪問授權，確保“正確的人，用健康的設備，訪問被授權的資源”，簡化網絡權限管理。
• 構建立體防護體系：將端點準入控制（EAD）與SecPath防火墻的實時威脅防護、應用層控制能力相結合，構建從終端到網絡、從接入到訪問的縱深防御體系。

###

H3C SecPath防火墻支持的EAD解決方案，有效整合了網絡準入控制與下一代防火墻的深度安全能力，是應對當前混合辦公環境下日益復雜的終端安全威脅的理想選擇。它幫助企業從被動響應轉向主動預防，實現了網絡訪問的事前控制、事中監控和事后審計，為構建安全、可靠、智能的網絡環境奠定了堅實基礎。

（版本：V1.00）