引言

随着企业网络规模的不断扩大和业务应用的日益复杂，网络安全面临的挑战也愈发严峻。传统的边界防护已不足以应对来自内部的安全威胁，例如未经授权的终端接入、不合规的终端状态以及由终端引入的病毒、木马等。为构建主动、智能、立体的网络安全防护体系，H3C推出了基于SecPath防火墙的端点准入防御（EAD，Endpoint Admission Defense）解决方案。本白皮书旨在阐述该解决方案的技术原理、核心组件、部署模式及典型应用价值。

1. 解决方案概述

H3C SecPath防火墙支持的EAD解决方案是一种创新的网络准入控制（NAC）方案。它通过与H3C智能管理中心（iMC）及安全策略服务器联动，在终端试图接入网络时，强制对其进行身份认证、安全状态检查与评估。只有符合企业安全策略的“健康”终端才被允许接入网络，并获取相应的网络访问权限；对于“不健康”或未知的终端，则进行隔离、修复或限制访问，从而将安全威胁抵御在网络入口之外。

2. 核心组件与架构

解决方案主要由以下组件构成，协同工作：

1. 安全客户端（iNode智能客户端）：安装在终端上，负责收集终端信息（如身份、补丁、防病毒软件状态等），并与策略服务器通信，执行身份认证和安全状态评估。
2. 准入控制设备（SecPath防火墙）：作为网络接入控制点，根据iMC下发的策略，执行允许、拒绝或隔离终端访问的强制动作。H3C SecPath系列防火墙凭借其高性能和深度安全防护能力，成为理想的策略执行点（PEP）。
3. 策略服务器（iMC EAD组件）：作为方案的大脑，iMC EAD服务器负责制定、管理和下发安全策略，处理客户端的认证与状态评估请求，并向防火墙等设备下发控制指令。
4. 第三方服务器：可与防病毒服务器、补丁服务器（如WSUS）等联动，为终端修复提供资源。

架构上，采用经典的“客户端-服务器-控制点”三层模型，实现集中策略管理与分布式强制执行的完美结合。

3. 关键技术特性

• 身份与终端绑定认证：支持多种认证方式（如802.1X、Portal、MAC等），并可实现用户身份与IP、MAC、接入端口等终端信息的动态绑定，提高身份可信度。
• 精细化安全状态检查：能够检查终端操作系统补丁、防病毒软件病毒库版本、特定进程/服务、注册表键值、软件安装情况等数十种安全要素。
• 动态权限控制：根据终端的安全状况，动态分配不同的网络访问权限（VLAN、ACL等）。例如，健康终端可访问全部业务，修补中的终端仅能访问补丁服务器，中毒终端则被彻底隔离。
• 智能修复与提醒：对于不符合策略的终端，可自动或引导用户连接到修复服务器进行补丁更新、病毒库升级等操作，并给出清晰的修复提示。
• 与SecPath防火墙深度集成：利用防火墙强大的安全防护能力（如入侵防御、应用识别、URL过滤），可为已接入的终端提供持续的、基于身份的网络层至应用层的深度安全防护，实现准入控制与访问控制的闭环。

4. 典型部署模式

H3C EAD解决方案支持灵活部署，适应不同网络环境：

• 网关模式：将SecPath防火墙部署在网络出口或区域边界作为网关。所有跨区域的访问流量都必须经过防火墙，由其统一执行准入控制和后续的安全策略。此模式适用于网络结构清晰、易于集中管控的场景。
• 旁路模式：将SecPath防火墙以旁路方式接入核心交换机。通过交换机端口镜像或与iMC联动获取流量信息，对非合规终端进行监控、告警或通过TCP Reset等方式进行干预。此模式对现有网络拓扑改动小，部署灵活。
• 混合模式：结合上述两种模式，针对不同网络区域或用户群体采用不同的控制方式，实现精细化管理。

5. 应用价值

部署H3C SecPath防火墙支持的EAD解决方案，能为企业带来显著价值：

• 主动防御，降低风险：将安全防线前移至终端接入点，主动杜绝“带病”终端入网，显著降低病毒内网传播、信息泄露等安全事件的发生概率。
• 合规管理，提升效率：强制终端符合统一的安全基线，自动化修复流程，大大减轻运维人员对终端进行逐一检查、修复的工作负担，提升IT管理效率与合规水平。
• 权限可视化，精准管控：实现基于身份和终端状态的精细化访问授权，确保“正确的人，用健康的设备，访问被授权的资源”，简化网络权限管理。
• 构建立体防护体系：将端点准入控制（EAD）与SecPath防火墙的实时威胁防护、应用层控制能力相结合，构建从终端到网络、从接入到访问的纵深防御体系。

###

H3C SecPath防火墙支持的EAD解决方案，有效整合了网络准入控制与下一代防火墙的深度安全能力，是应对当前混合办公环境下日益复杂的终端安全威胁的理想选择。它帮助企业从被动响应转向主动预防，实现了网络访问的事前控制、事中监控和事后审计，为构建安全、可靠、智能的网络环境奠定了坚实基础。

（版本：V1.00）