在歷時18個月、五個階段的測試選型、局部部署試用后，EAD終端準入控制解決方案在上海出入境檢驗檢疫局成功上線應用，為內部業務的信息安全奠定了堅實的基礎。現在信息技術與管理部門只要能夠按照EAD端點準入控制解決方案進行終端管理與相關程序處理即可安享信息安全，而不再每天貧于應付各種網絡信息安全故障。本文重點闡述EAD解決方案在上海出入境檢驗檢疫局的成功上線過程，并且對解決方案上線后的容災備份方案進行了詳細論述。

隨著上海出入境檢驗檢疫局（以下簡稱上海局）網絡規模的不斷擴大以及業務的不斷擴展，網絡安全問題變得越來越重要。我們發現在實際工作中，很多的網絡安全事件都是由脆弱的用戶終端和"失控"的局域網使用行為引起。在局域網中，用戶終端不及時升級系統補丁和病毒庫的現象普遍存在；私設代理服務器、私自訪問外部網絡、濫用禁用軟件等行為也比比皆是。這些"失控"的用戶終端一旦接入網絡，就相當危險地繞過了IPS、防火墻這些"馬其諾防線"，直接面對網絡核心業務。信息化管理處通過各種辦法加強終端用戶，例如通過加密、加權限、稽查網絡代理、不斷輔助終端及時升級等等，但是結果顯示依然是貧于應付。因此努力建設一個強大的終端管理系統，以保證用戶終端的安全，對用戶的局域網訪問行為進行有效的控制，成為安全管理的當務之急。

一、終端準入控制選型

我們決定在上海局內網部署終端準入控制系統，經過對內部應用和需求的梳理，要求該系統應滿足以下功能需求：

對接入內網的終端實現用戶身份認證。對于認證失敗的用戶，斷開其網絡連接；認證成功但安全性檢查不通過的終端，放入隔離區自動引導其完成主機完整性修復；對于認證和安全性檢查全部通過的主機，按照策略設定完成相應網絡設置和終端安全客戶端設置，滿足終端相應權限的訪問；

能檢測終端的代理功能設置。對私設代理服務器、IE代理設置的終端，必須能及時限制其訪問；

能對接入的終端進行安全狀態檢查，包括：防病毒軟件安全檢查、補丁狀態安全檢查、安裝軟件應用檢查等；

具備防ARP攻擊的特性；

該系統能支持冗余配置，具備高可靠性。

目前各主流網絡廠商都提供終端準入控制的產品或解決方案，通過對各解決方案功能的詳細了解和反復測試，上海局最終選用了H3C EAD（End user Admission Domination,以下簡稱EAD）解決方案。

二、EAD終端準入控制設計原理

1.終端準入控制的實現過程

EAD解決方案對終端用戶的整體控制過程如圖1所示。

圖1  EAD解決方案對終端用戶的整體控制過程

2.終端準入控制的原理

EAD的基本原理是通過智能客戶端（iNode客戶端）、安全聯動設備（如交換機、VPN網關、路由器）、安全策略服務器以及防病毒服務器、補丁服務器的聯動實現的，其基本原理如圖2所示：

圖2   EAD實現原理圖

用戶終端試圖接入網絡時，首先通過智能客戶端進行用戶身份認證，非法用戶將被拒絕接入網絡；

合法用戶將被要求進行安全狀態認證，由安全策略服務器驗證用戶終端安全狀態是否符合基于用戶賬號預定義的安全策略，包括補丁版本、病毒庫版本是否合格，軟件安裝允許是否合格、是否使用代理服務器等信息，不合格用戶將被安全聯動設備隔離到隔離區；

進入隔離區的用戶可以進行補丁、病毒庫的升級、卸載非法程序、取消代理設置等操作，直到安全狀態合格；

安全狀態合格的用戶將實施由安全策略服務器下發的安全設置，并由安全聯動設備提供基于身份的網絡服務。

3.終端準入控制的特點

從EAD的控制過程和基本原理可以看出，EAD將終端病毒防護、補丁修復等終端安全措施與網絡接入控制、訪問權限控制等網絡安全措施整合為一個聯動的安全體系，通過對網絡接入終端的檢查、隔離、修復、管理和監控，使整個網絡變被動防御為主動防御；變單點防御為全面防御；變分散管理為集中策略管理，提升了網絡對病毒、蠕蟲等新興安全威脅的整體防御能力。

三、終端準入控制在上海局的應用

1.選型測試

為了確保應用成功，信息化管理處自2009年開始進行產品選型工作，2010年3月份正式開始EAD解決方案的測試，測試涉及方案中的多個產品： iMC智能管理平臺（Intelligent Management Center）、iMC EAD安全策略組件（End user Admission Domination）、iMC UAM（User Access Manager）用戶接入管理組件、iNode PC客戶端、iNode DC可溶解客戶端，同時測試了iMC雙機熱備功能。

EAD解決方案的選型測試和局部部署歷時18個月，主要包括五個階段：

第一階段：2010年3月-2010年5月，在信息化管理處網絡科內部初步測試，測試內容為iNode DC客戶端+Portal EAD功能測試；

第二階段：2010年6月-2010年10月，在信息化管理處全部門進行測試，測試內容為iNode DC客戶端+Portal EAD功能和iNode PC客戶端+Portal EAD功能測試；

第三階段：2010年11月-2011年2月，在信息化管理處全部門進行測試，測試內容為iNode PC客戶端+Cisco 802.1x EAD功能測試；

第四階段：2011年3月-2011年4月，在崇明出入境檢驗檢疫局進行測試，測試內容為iNode PC客戶端EAD功能在分支區縣局的實際應用情況；

第五階段：2011年5月-2011年9月，在上海局和金山、奉賢、南匯等多個區縣局實施測試；為了保證iMC服務器的穩定性，在上海局信息化管理處機房實施并測試了iMC 雙機熱備功能。

2.遇到的問題和解決方案

在實踐過程中，我們遇到了如下一些問題，最終從技術和管理體制流程兩個層面進行了規范和解決：

EAD系統支持802.1x認證和Portal認證等；客戶端采用iNode PC客戶端、iNode DC可溶解客戶端不同方式，何種方式最符合我們的功能需求和現網環境？

通過測試，我們發現網絡中的原思科公司交換機產品不能配合EAD系統實現Portal認證。而如果在網絡匯聚層或核心層增加配置Portal網關設備，則對接入終端的控制點位置太高，不利于進行嚴格控制。同時iNode DC可溶解客戶端由于技術限制，功能不如iNode PC客戶端豐富，因此我們最終決定采用iNode PC客戶端配合接入交換機802.1x認證的認證方式。

iNode PC智能客戶端與支持標準802.1x協議的交換機能配合使用，但部分區縣局點存在思科公司的C2950、C3550等老款接入交換機，這些交換機對802.1x的功能支持不完善，如只支持single-host模式，同一接入端口不允許下掛多臺PC終端，而由于布線系統限制，網絡中恰恰有這種需求，如何解決？

對于部分老款接入交換機網絡設備802.1x技術支持不完善的問題，通過將部分同一接入端口下確實需要連接多臺終端的接入交換機網絡設備進行更換，來確保EAD解決方案的成功實施。

對于部分PC終端，同時安裝了360安全衛士軟件與趨勢殺毒軟件。在安裝iNode PC智能客戶端時，趨勢殺毒軟件能夠正常識別軟件行為，認可iNode PC智能客戶端；但是360安全衛士軟件誤報EAD客戶端不安全，客戶端能否正確運行？

對于360安全衛士軟件誤報EAD客戶端不安全的問題；從技術上，在iNode PC客戶端的安裝包中，添加了暫時關閉360安全衛士軟件的相關提示，待軟件安裝完全后，360安全衛士軟件可以與iNode PC客戶端正常共存；從管理上，信息化管理處將要求上海局內終端計算機全部安裝趨勢殺毒軟件，作為終端計算機入網的要求形成文件下發。

對于網絡打印機等不支持802.1x認證的設備，如何實現網絡接入并保證接入交換機端口的安全性？

為了接入網絡打印機等不支持802.1x認證的設備，可以關閉接入交換機上連接該類設備的端口的802.1x認證功能，但這會造成安全漏洞。在該端口上配置MAC地址綁定或MAC認證功能，可以避免非法設備通過該交換機端口接入網絡。

3.實施效果

經過一年多的測試，EAD解決方案能滿足上海局對終端準入控制的功能需求，而且也提供了部分桌面管理和資產管理功能（如圖3所示）。

通過交換機的配合，強制用戶在接入網絡前通過802.1x等方式進行身份認證和安全狀態評估，確保只有符合安全標準的用戶接入網絡，實現了：

沒有在EAD終端準入控制系統內注冊的PC終端，即使正確配置了IP地址，也無法連入內網；

對于連入內網的PC終端進行合法性、安全性檢查；合法性主要檢查IP和用戶對應關系；安全性檢查如檢查防病毒軟件安裝、操作系統補丁的安裝等；

杜絕了內網中私設代理服務器的現象。

圖3  EAD解決方案組網圖

四、EAD服務器的容災備份

在實踐了EAD解決方案之后， EAD服務器的備份就顯得尤其重要了。如果沒有EAD服務器的備份方案，就可能會存在一個導致全網中斷的單點故障。

在充分衡量了各種容災備份方案的基礎上，上海局最終采用了最為穩妥的Windows群集雙機熱備加離線逃生工具的備份方案。

如圖4所示，EAD雙機熱備是采用兩臺服務器利用群集軟件實現服務器備份冗余的方案。iMC雙機熱備組網中，SQL Server數據庫和EAD策略服務器軟件都安裝在存儲設備上，同一時間只會有一臺服務器使用共享磁盤陣列上的資源；兩臺服務器作為一個整體，對外提供一個虛IP作為服務器的IP地址；通過Windows的群集管理器軟件保持兩臺服務器之間的心跳，實時檢測EAD相關的進程運行是否正常，當發生故障時自動將業務切換到另一臺服務器上。

圖4 iMC雙機熱備組網示意圖

雙機熱備組網的優點是能夠解決服務器本身的硬件故障。但是由于只有一套程序文件及數據存在，所以不能解決程序文件本身以及數據庫本身的軟件故障。為了解決這個問題，在部署EAD解決方案的同時，我們還部署了用戶接入逃生工具。

用戶接入逃生工具（以下簡稱為"逃生工具"）是iMC EAD解決方案中UAM（User Access Manager）組件的后臺的替身。如果iMC UAM出現諸如進程宕機、數據庫異常、性能下降等故障無法處理認證請求時，逃生工具將暫時替代iMC UAM處理請求報文以保障用戶的業務不中斷。逃生工具不驗證用戶信息與用戶口令，不做綁定、授權處理，也不啟用安全認證，對于請求報文都直接回應成功（如圖5所示）。

圖5  iMCEAD逃生示意圖

有了雙機熱備容災備份方案和逃生工具容災備份方案的雙保險，可以應對單臺服務器故障、存儲系統故障、iMC程序本身的故障以及數據庫程序的故障，最大程度地保證系統運行過程中的穩定性，確保上海局業務工作正常開展。

五、結束語

上海出入境檢驗檢疫局成功應用EAD端點準入控制解決方案，為內部業務的信息安全奠定了堅實的基礎。上海局通過試點運用等途徑，反復虛擬實驗與驗證，結果顯示EAD終端準入控制系統具有很強的實用價值與運用前景，各單位各部門反映良好。特別是對于信息技術與管理部門，只要能夠按照EAD端點準入控制解決方案進行終端管理與相關程序處理即可安享信息安全，不再每天貧于應付各種網絡信息安全故障。

此外，通過深入挖掘EAD系統的安全管理功能，實現對終端的安裝軟件、流量、外設接口應用的深度安全管理，可以將內部業務網逐步打造成為更可靠、更安全、更智能的網絡系統。安全可靠的網絡系統不僅能夠確保上海局的日常業務的運作，長遠來看，對信息資源最大化利用、提升行政效率，增強公共服務能力等都大有裨益。