EAD:无线接入用户终端安全问题如何保障

　　【IT168 专稿】目前各大中型企业都已经部署了无线局域网，无线上网方式已经成为企业中越来越重要的接入方式。由于无线接入的用户终端具有移动性，经常脱离企业网络管理员的监控，所以无线接入用户终端的安全问题也日益增多。

　　同时，在目前的网络环境中，新的安全威胁不断涌现，病毒和蠕虫日益肆虐，经常引起系统崩溃、网络瘫痪，使企业蒙受严重损失。在企业网络中，任何一台终端的安全状态，都将直接影响到整个网络的安全。不符合企业安全策略的终端容易遭受攻击、感染病毒。如果某台终端感染了病毒，它将不断在网络中试图寻找下一个受害者，并使其感染，在一个没有安全防护的网络中，最终的结果可能是全网瘫痪，所有终端都无法正常工作。

　　如何确保网络中的终端安全状态符合企业安全策略，是每一个网络管理员不得不面对的挑战。管理员查找、隔离、修复不符合安全策略的终端是一项费时费力的工作，往往造成企业安全策略与终端安全实施之间存在巨大的差距。

　　H3C 有线无线一体化EAD（Endpoint Admission Defense，端点准入防御）解决方案是UMN一体化移动网解决方案的组成部分。可以在无线局域网环境下，配合无线AP和无线控制器进行完整的联动方案，通过认证实现对无线接入用户的端点准入控制，强制实施企业安全策略，从而加强网络终端的主动防御能力，防止“危险”、“易感”终端接入网络，控制病毒、蠕虫的蔓延，有效的满足客户无线安全准入的需求。这种端到端的安全防护体系，可以在终端接入层面帮助管理员统一实施企业安全策略，大幅度提高网络的整体安全。

无线EAD解决方案

　　无线EAD方案中的iNode客户端支持统一认证，可以进行无线认证和安全认证的一次完成，从而方便部署和使用。在无线EAD方案中，拥有合法身份的用户除了被验证用户名、密码等信息外，还被检查是否满足安全策略的要求，包括病毒软件是否安装、病毒库是否升级、是否安装了必要的系统补丁等等。对于同时满足了身份检查和安全检查的用户，EAD会根据预定义的策略为其分配对应的网络访问权限，避免了非授权的网络访问现象，达到硬隔离的效果。

无线EAD解决方案接入组网图如下图所示：

　　
　　wireless switch改为普通交换机
　　　　　　　　　　　　　　无线EAD解决方案接入组网图

　　EAD的基本原理如下图所示，分为四个步骤完成：