終端智能接入

方案簡介

H3C iMC EIA終端智能接入組件是一款全面的企業終端網絡接入策略管理解決方案。它提供企業統一的網絡接入策略,實現企業網絡(有線、無線和VPN網絡)的統一接入管理,并提供對員工、訪客、設備管理員基于角色、設備類型、接入時間、接入地點的網絡訪問控制,滿足企業多種網絡接入、多種終端接入的統一運維管理需求,確保終端安全策略在整個網絡無縫地執行。

方案特點

集中化的設備資源和用戶資源管理


除對網絡設備的統一管理外,iMC也對用戶基本信息進行集中維護,包括用戶姓名、證件號碼、通訊地址、電話、電子郵件、用戶分組;并提供用戶附加信息管理功能,管理員可根據網絡運營的習慣進行用戶信息定制,如學校可以定制學號、年級等信息,企業可以定制部門、職務等信息。

設備和用戶的統一分組管理

支持設備和用戶分組功能,通過對設備資源和用戶進行分組管理,系統管理員方便的分配其他管理員的管理權限,便于職責分離。

接入業務服務和用戶分組可靈活對應,使得特定分組用戶才能配置對應的特定服務,便于管理員進行接入業務管理。

用戶管理與網絡設備管理相融合,用戶管理操作更簡單

接入設備列表中可以直接看到用戶相關信息,提高了操作員日常維護的效率。

設備選定后可直接對其進行用戶操作,比如,針對某個接入設備,將其所掛的用戶全部下線處理等。

在線用戶列表中提供接入設備查看入口,可查看當前在線用戶所對應的接入設備的詳細信息,比如,對應的基本信息、告警、性能狀況等。

網絡設備管理和用戶管理的全面融和,使得操作更友好,全面提升操作員操作體驗。

支持多種接入及認證方式,適合多種接入組網場景及應用場景

支持802.1x、VPN接入等多種認證接入方式。

支持PAP、CHAP、EAP-MD5、EAP-TLS、PEAP等多種身份驗證方式,適應不同安全要求的應用場景。

支持用戶與設備IP地址、接入端口、VLAN、用戶IP地址和MAC地址等硬件信息的綁定認證,增強用戶認證的安全性,防止帳號盜用和非法接入。

支持與Windows域管理器、第三方郵件系統(必須支持LDAP協議)的統一認證,避免用戶記憶多個用戶名和密碼。

支持終端準入控制(EAD)解決方案,確保所有接入網絡的用戶終端符合企業的安全策略

嚴格的權限控制手段,強化用戶接入控制管理

基于用戶的權限控制策略,可以為不同用戶定制不同網絡訪問權限。

可以控制用戶的上網帶寬(QoS;802.1x認證支持)、限制用戶同時在線數、禁止用戶設置和使用代理服務器,有效防止個別用戶對網絡資源的過度占用。

支持最大閑置時長限制。

可以實現對用戶ACL、VLAN的控制,限制用戶對內部敏感服務器和外部非法網站的訪問(802.1x認證支持)。

可以限制用戶IP地址分配策略,防止IP地址盜用和沖突。

可以限制用戶的接入時段和接入區域,用戶只能在允許的時間和地點上網。

可以限制終端用戶使用多網卡和撥號網絡,防止內部信息泄露。

可以限制用戶必須使用專用安全客戶端,并強制自動升級,確保認證客戶端的安全性。

詳盡的用戶監控,強化對終端用戶的監視控制

iMC用戶管理組件提供強大的“黑名單”管理,可以將惡意猜測密碼的用戶加入黑名單,并可按MAC、IP地址跟蹤非法行為的來源。

管理員可以實時監控在線用戶,強制非法用戶下線。

支持消息下發,管理員可以向上網用戶發布通知消息,如“系統升級,網絡將在10分中后切斷”、“您的密碼遭惡意試探,請注意保護密碼安全”等。

iMC用戶管理組件記錄認證失敗日志,便于方便定位用戶無法認證通過的原因。

集中方便的接入業務用戶管理,簡化管理員維護操作

基于服務的用戶分類管理,用戶的認證綁定策略、安全策略、訪問權限均封裝于服務中,簡化管理員的操作,保證網絡管理模式的統一。

接入用戶相關的管理動作集中化,界面對操作員來說更友好、更美觀易用。

接入用戶可使用自助服務,帳號申請、查詢、修改都通過自助服務頁面完成,既提高效率,又減輕管理員的工作量。

靈活的訪客賬號創建流程

根據不同的應用場景,EIA訪客管理提供不同的訪客賬號創建模式:

1、 公共領域訪客短信認證模式

在公共領域(如商場、酒店、連鎖、展館、景區、營業廳、交通候客廳等),訪客需要能通過手機號碼注冊賬號并通過短信獲取賬號密碼信息,快速接入公眾無線網絡,具體流程如下:

1) 訪客管理員在iMC EIA服務器上配置訪客接入控制策略、賬號失效天數等參數;

2) 訪客連接 “訪客SSID”;

3) 訪客在推送的Web認證頁面中輸入個人手機號碼,點擊“獲取密碼”按鈕;

4) iMC EIA服務器為該手機號自動注冊訪客賬號并分配已配置的訪客接入控制策略及賬號有效時間;

5) iMC EIA服務器通過短信貓或短信網關將帳號及密碼信息通過短信方式發送給訪客;

6) 訪客手機接收短信,在Web認證頁面中輸入獲取到的密碼;

7) 訪客身份驗證成功后,根據訪客接入控制策略控制訪問Internet及特定網絡資源;

8) EIA服務器定期自動刪除失效訪客賬號;

2、 企業訪客接待員開戶模式

企業訪客賬號需專人(保安、前臺或員工)管理的情況下,訪客接待員可以通過登錄自助系統為來訪人員直接創建賬號并分配接入策略,開戶成功后通過郵件,具體流程如下:

1) 訪客接待登錄iMC EIA服務器自助平臺,創建訪客帳號并分配訪客接入控制策略及有效時長;

2) iMC EIA服務器通過Email、短信方式將帳號及密碼信息發送給訪客;

3) 訪客連接“訪客SSID”;

4) 訪客在推送的Web認證頁面中輸入其訪客賬號和密碼;

5) 訪客身份驗證成功后,根據訪客接入控制策略控制訪問Internet及特定網絡資源;;

6) EIA服務器定期自動刪除失效訪客賬號

3、 企業訪客自助開戶模式

企業訪客自助模式是指賬號由訪客自行申請,但需要企業訪客接待員統一審批的管理模式,具體流程如下:

1) 訪客連接“訪客SSID”;

2) 訪客在推送的Web認證頁面中點擊“訪客預注冊”,在預注冊頁面中輸入賬號申請信息并選擇訪客接待員;

3) 訪客接待員登錄iMC EIA服務器自助平臺,為已預注冊的訪客分配網絡接入策略及有效時長;

4) 訪客帳號生效后,可通過Email或者短信方式發送給該訪客;

5) 訪客重新連接“訪客SSID”,并在推送的Web認證頁面中輸入其訪客賬號和密碼;

6) 訪客身份驗證成功后,根據訪客接入控制策略控制訪問Internet及特定網絡資源;;

7) EIA服務器定期自動刪除失效訪客賬號

4、 其它訪客開戶模式

訪客可以通過智能終端掃描二維碼方便快捷地實現開戶、接入,節省傳統訪客賬號審批流程。通過EIA 豐富的SDK接口可與企業微信公眾平臺對接,實現訪客通過關注企業微信公眾號,一鍵快捷接入企業無線網絡。

支持通過多種短信環境發送訪客賬號信息

* 支持通過主流短信貓接口發送短信通知,如WaveCom、萬象、金笛等。

* 支持通過Web接口訪問第三方短信網關,快速、高效地發送賬號信息短信。

* 封裝統一短信通知接口,支持與客戶自有短信平臺通過定制開發對接。

融合的接入設備管理,操作簡單、管理方便

接入設備配置與iMC ACL Manager解決方案的協同,選定接入設備后,可直接為此設備進行ACL配置;同時,在接入設備列表中,可查看其對應的ACL部署信息,便于快速部署及開通業務接入業務。

為接入設備提供查詢設備明細信息的鏈接,可通過簡單的鼠標點擊看到接入設備的詳細信息,比如對應的基本信息、告警、性能狀況等。

接入設備管理與拓撲管理的融合,拓撲中可以清晰的顯示出接入設備,查看接入設備相關信息,并可通過鼠標點擊方式,將此接入設備設置為非接入設備。

基于場景的授權策略,強化設備管理用戶授權管理

支持按場景分配授權策略,場景是設備位置區域、設備類型和接入時段的組合,可定義在不同場景下設備管理用戶所使用的Shell Profile和操作命令集。

支持按固定時段、年/月/周/日為周期的接入時段配置,控制設備管理用戶的登錄設備各時間段的權限。

支持Shell Profile精細化配置,定義設備管理用戶登錄設備時的全局屬性,包括權限級別、接入ACL、限制時長等。

支持命令集精細化配置,定義設備管理用戶登錄設備時的可執行的命令集合。

詳盡的日志審計,詳細記錄設備管理用戶行為

提供認證日志監控,記錄設備管理用戶登錄設備成功或失敗信息,包括登錄名、登錄結果(失敗原因)、認證時間、登錄設備IP、終端用戶IP、權限級別、登錄動作、認證類型、服務類型等。

提供授權日志監控。授權行為包括登錄授權和命令行授權:若設備啟用登錄授權,TAM服務器會對登錄成功的用戶進行登錄級別授權,并記錄登錄授權日志;若設備啟用命令行授權,TAM服務器會在設備管理用戶執行每一條命令時判斷該用戶是否擁有執行命令的權限,并記錄命令行授權日志。

提供設備管理用戶行為審計日志監控。TAM服務器記錄用戶登錄、登出設備以及各種行為日志,審計日志內容包括:登錄名、審計類型、審計時間、設備IP、終端用戶IP、命令行等。

智能的廣告推送,適應不同網絡運營方需求

iMC EIA組件可以配合iMC管理平臺,針對不同用戶身份/接入位置進行不同的廣告推送業務,協助接入用戶最快獲取最需要的信息,從而可與第三方廣告平臺配合,適應不同網絡運營方需求,達成廣告平臺、網絡運營方以及接入用戶的三贏。

運行環境

屬性

參數

硬件平臺

服務器端:PC服務器:Xeon 2.4 G(及以上)、內存4G(及以上)、硬盤80G(及以上)、48倍速光驅、100M網卡?%

吉林十一选五走势图表