華三EAD系統(tǒng)成功應(yīng)用于電信上海研究院全院網(wǎng)絡(luò)

　　中國(guó)電信股份有限公司上海研究院是中國(guó)電信集團(tuán)公司產(chǎn)品開(kāi)發(fā)和業(yè)務(wù)研究的主要科研機(jī)構(gòu)，是中國(guó)電信集團(tuán)研發(fā)和創(chuàng)新體系的重要組成部分，是中國(guó)電信股份有限公司上海公司的主要科研基地。

　　研究院擁有雄厚的科研基礎(chǔ)設(shè)施，強(qiáng)大的科研開(kāi)發(fā)團(tuán)隊(duì)和高水平的研發(fā)成果，院內(nèi)目前擁有產(chǎn)品開(kāi)發(fā)、業(yè)務(wù)研究、技術(shù)支撐等各類專業(yè)人員300余名。研究院一直致力于中國(guó)電信產(chǎn)品創(chuàng)新，不斷為公司開(kāi)發(fā)出可贏利的產(chǎn)品，成為“創(chuàng)新能力強(qiáng)、價(jià)值貢獻(xiàn)大”的行業(yè)一流研發(fā)機(jī)構(gòu)。

　　在07到08年兩年時(shí)間內(nèi)，電信上海研究院考察、測(cè)試了多家廠商的桌面安全系統(tǒng)，并最終選擇H3C作為終端準(zhǔn)入控制解決方案的供應(yīng)商，并成功應(yīng)用于全院網(wǎng)絡(luò)。

　　網(wǎng)絡(luò)現(xiàn)狀

　　研究院終端分為有線接入網(wǎng)絡(luò)和無(wú)線接入網(wǎng)絡(luò)兩種，其中，不同的終端分布于不同的部門，因此對(duì)于不同終端的訪問(wèn)權(quán)限，需要進(jìn)行嚴(yán)格的控制。

　　網(wǎng)絡(luò)中還存在一些HUB設(shè)備，研究院希望在保留HUB應(yīng)用的同時(shí)，可以對(duì)HUB下的終端也同樣可以實(shí)施管理策略。

　　由于來(lái)研究院交流的外來(lái)用戶很多，導(dǎo)致網(wǎng)絡(luò)中會(huì)存在大量的病毒，而終端上部署的Norton殺毒軟件往往不能及時(shí)更新病毒庫(kù)，因此給研究院內(nèi)網(wǎng)正常運(yùn)轉(zhuǎn)帶來(lái)很大的困擾，隨病毒泛濫的還有ARP攻擊報(bào)文。

　　研究院盡管在先前部署了微軟的WSUS補(bǔ)丁服務(wù)器，但仍然存在大量終端未及時(shí)更新補(bǔ)丁導(dǎo)致系統(tǒng)崩潰的問(wèn)題。

　　上述問(wèn)題的存在，給研究院終端管理帶來(lái)了很大工作量，研究院考察和測(cè)試了多家廠商的解決方案，經(jīng)過(guò)充分的交流和論證，最終選擇了H3C的EAD終端準(zhǔn)入控制解決方案。

　　EAD解決方案實(shí)施

　　H3C針對(duì)研究院網(wǎng)絡(luò)部署的特點(diǎn)，提出了綜合的解決措施，其網(wǎng)絡(luò)拓?fù)涫疽鈭D所示：
 

　　研究院網(wǎng)絡(luò)接入分成三個(gè)部分，包括通過(guò)思科設(shè)備有線接入、華為設(shè)備有線接入以及寬迅設(shè)備無(wú)線接入。對(duì)于支持標(biāo)準(zhǔn)802.1X認(rèn)證的思科設(shè)備和華為設(shè)備，EAD直接與其配合進(jìn)行終端準(zhǔn)入控制；對(duì)于寬訊設(shè)備，EAD通過(guò)在線部署EAD網(wǎng)關(guān)S5500-28C-EI的方式對(duì)無(wú)線接入用戶進(jìn)行終端準(zhǔn)入控制。同時(shí)，EAD可以與Norton病毒服務(wù)器和WSUS補(bǔ)丁服務(wù)器進(jìn)行了配合聯(lián)動(dòng)。

　　EAD應(yīng)用效果

• 依賴于標(biāo)準(zhǔn)協(xié)議的設(shè)備配合

　　在整個(gè)實(shí)施方案中，EAD系統(tǒng)使用標(biāo)準(zhǔn)802.1X協(xié)議以及Portal協(xié)議與設(shè)備交互，能夠與設(shè)備無(wú)縫配合來(lái)控制用戶終端，且不會(huì)造成設(shè)備的性能問(wèn)題。EAD系統(tǒng)支持終端用戶通過(guò)有線或無(wú)線聯(lián)入網(wǎng)絡(luò)，兩種接入方式對(duì)于管理員和使用者而言都沒(méi)有操作上的區(qū)別，屏蔽了操作差異化的同時(shí)還支持對(duì)HUB下掛接入用戶的支持，保證了系統(tǒng)的安全。

• 統(tǒng)一直觀的終端管理

　　EAD系統(tǒng)可以對(duì)全網(wǎng)設(shè)備和接入用戶終端進(jìn)行統(tǒng)一管理，對(duì)于設(shè)備狀態(tài)、端口狀態(tài)、用戶上線/下線狀態(tài)、終端安全狀態(tài)、終端資產(chǎn)狀態(tài)一目了然，十分方便于管理員進(jìn)行報(bào)表生成、匯總等。

• 靈活而人性化的準(zhǔn)入控制

　　EAD系統(tǒng)支持對(duì)“非法”接入用戶進(jìn)行多種處理模式，除了傳統(tǒng)的下線、隔離“硬處理“模式外，還支持提醒、記錄等”軟處理“模式（而不影響用戶正常上網(wǎng)），這樣靈活的處理方式十分適合于管理員初次部署EAD系統(tǒng)，也十分適合于一些高層領(lǐng)導(dǎo)以及一些對(duì)IT操作不是十分熟練的老專家使用。

　　同時(shí)，系統(tǒng)支持將不同部門終端用戶進(jìn)行網(wǎng)絡(luò)層面的區(qū)分，保證用戶可訪問(wèn)網(wǎng)絡(luò)權(quán)限的安全性。

• 功能豐富的終端控制功能

　　EAD系統(tǒng)支持客戶端快速部署、遠(yuǎn)程軟件分發(fā)等功能，管理員不需要趕赴最終用戶現(xiàn)場(chǎng)就可以幫助最終用戶解決從安裝到調(diào)試的多種問(wèn)題。同時(shí)，EAD系統(tǒng)支持補(bǔ)丁的及時(shí)快速下發(fā)，并能夠?yàn)樽罱K用戶進(jìn)行病毒庫(kù)的升級(jí)，保證用戶終端是一個(gè)安全的系統(tǒng)。

• 嚴(yán)格的用戶行為審計(jì)

　　EAD系統(tǒng)可以嚴(yán)格配合網(wǎng)絡(luò)/設(shè)備來(lái)對(duì)用戶進(jìn)行控制，同時(shí)可以監(jiān)視終端用戶的上網(wǎng)行為以及U盤使用情況，十分符合企業(yè)內(nèi)部安全法規(guī)和條例，滿足SOX法案對(duì)中國(guó)電信這樣上市公司的強(qiáng)制要求。