终端准入太平治理

 金融“多样化”终端准入太平治理 H3C解决提案

1.1 金融终端"多样化"
目前，在金融线上中，会员的终端计算机不及时升级部门补丁和病毒库、私设招商加盟惠普服务器、私自采访外部线上、滥用我们禁用IT软件参数的行为比比皆是，脆弱的会员终端一旦连结线上，就等于给潜在的太平威胁敞开了大门，使太平威胁在更大实力内快捷扩散，进而导致线上选用行为的"失控"。
保护会员终端的太平、阻止威胁入侵线上，对会员的线上采访行为进行有效的把控，是保护金融线上太平运作的前提，也是目前金融行业会员急需解决的问题。
另外金融会员目前选用的终端多种多样，如:PC、转移终端（pad、手机等）、线上打印机、线上验钞机、IP业务电话、ATM机等，线上的连结品目也多种多样，如：有线、WLAN、3G\4G等，如果在不同的线上连结背景下达成对不同品目终端的太平治理，是金融行业面临的太平需求。
1.2 理念PC类终端准入把控

理念PC类终端，是指使用常见办事部门（如：windows、linux等）的PC类终端（如：戴尔台式机、笔记本电脑批发等），通过与不同线上连结，EAD解决提案可在多种使用场景中达成会员终端太平准入把控，满足不同线上背景下，终端太平准入把控的提供。
1.2.1 有线终端准入把控
有线终端准入以常见的802.1x考证为例（也优异使用Portal考证），将连结层步骤（或会合层步骤）作为太平准入把控点，对试图连结线上的会员终端进行太平检测，强制会员终端进行防病毒、办事部门补丁等我们定义的太平规范检测，防止非法会员和不符合我们太平规范的终端连结线上，释减病毒、蠕虫等太平威胁在我们扩散的风险。
EAD优异与鼓励802.1x的H3C交换机（二层、三层均可）达成精美配合。会员的ACL优异在考证通过后由IMC EAD下发给连结步骤，由步骤动向把控会员的采访权限；也优异在会员考证通过后由IMC EAD将所属的VLAN优异在下发给连结步骤，由连结步骤动向设置会员所属的VLAN。通过与线上步骤的配合优异达成基于会员的采访权限动向把控，限制会员对内部敏感惠普服务器和外部非法网站的采访。
1.2.2 无线终端准入把控
无线终端准入把控以常见的portla考证为例（也优异使用802.1x考证），推荐选用一台或多台网关步骤作为强制考证把控器，选用基于Portal的考证制订，与iNode消费者端、太平规范惠普服务器配合竣工EAD终端准入把控。
Portal考证是一种Web手段的考证，Web考证同802.1x考证相比，具有使用简单的特点。但在EAD解决提案中，提供选用iNode消费者端来进行终端的太平状态实测和把控，因此在Web考证的基础上，扩展了Portal制订，使之不仅能够管理HTTP制订，还优异把控其他制订的数据流，使EAD解决提案也鼓励Portal考证手段下的终端准入把控。
无线局域网的太平问题着重体现在采访把控和数据传输两个层面。在采访把控层面上，非授权或者非太平的消费者一旦连结线上后，将会直接面对我们的专区惠普服务器，威胁我们的专区职业，因此能对无线连结会员进行身份识别、太平检测和线上授权的采访把控部门必不可少。 在无线线上中，结合选用EAD解决提案，优异有效的满足园区网的无线太平准入的需求。
1.3 转移终端准入把控
转移终端是指使用苹果IOS、安卓等转移办事部门的平板电脑或手机，随着转移终端及无线WLAN、3G、\4G才具的连连进步，金融行业也开始选用转移终端进行职业办理，如：金融转移职业拓展、营业网点"厅堂"AI营销、员工转移办公使用等

转移终端如果使用内网WIFI连结手段，建议使用802.1x考证或Portal考证手段；如使用内网3G\4G (如：VPDN)连结手段，建议使用PPP CHAP考证；如外网WIFI、3G\4G手段连结，为保护数据及身份太平建议使用SSL VPN考证。