在企业网络中，用户的终端计算机不及时升级系统补丁和病毒库、私设代理服务器、私自访问外部网络、滥用企业禁用软件的行为比比皆是，脆弱的用户终端一旦接入网络，就等于给潜在的安全威胁敞开了大门，使安全威胁在更大范围内快速扩散，进而导致网络使用行为的“失控”。保证用户终端的安全、阻止威胁入侵网络，对用户的网络访问行为进行有效的控制，是保证企业网络安全运行的前提，也是目前企业急需解决的问题。

2. 看似纷繁的问题却有一样的解决办法

网络安全从本质上讲是管理问题。H3C终端准入控制（EAD，End user Admission Domination）解决方案从控制用户终端安全接入网络的角度入手，整合网络接入控制与终端安全产品，通过智能客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，有效地加强了用户终端的主动防御能力，为企业网络管理人员提供了有效、易用的管理工具和手段。

对于要接入网络的用户，EAD解决方案首先要对其进行身份认证，通过身份认证的用户进行终端的安全认证，根据网络管理员定制的安全策略进行包括病毒库更新情况、系统补丁安装情况、软件的黑白名单等内容的安全检查，根据检查的结果，EAD对用户网络准入进行授权和控制。通过安全认证后，用户可以正常使用网络，与此同时，EAD可以对用户终端运行情况和网络使用情况进行审计和监控。EAD解决方案对用户网络准入的整体认证过程如下图所示：

组网模型如下图所示，EAD组网模型图中包括iNode智能客户端、安全联动设备、iMC安全策略服务器和第三方服务器。

iNode智能客户端：是指安装了H3C iNode智能客户端的用户接入终端，负责身份认证的发起和安全策略的检查。

网络联动设备：是指用户网络中的交换机、路由器、VPN网关等设备。EAD提供了灵活多样的组网方案，安全联动设备可以根据需要灵活部署在各层比如网络接入层和汇聚层。

iMC（EAD）安全策略组件：它要求与安全联动设备路由可达。负责给客户端下发安全策略、接收客户端安全策略检查结果并进行审核，向安全联动设备发送网络访问的授权指令。