目前，在企業網絡中，用戶的終端計算機不及時升級系統補丁和病毒庫、私設代理服務器、私自訪問外部網絡、濫用企業禁用軟件的行為比比皆是，脆弱的用戶終端一旦接入網絡，就等于給潛在的安全威脅敞開了大門，使安全威脅在更大范圍內快速擴散，進而導致網絡使用行為的“失控”。保證用戶終端的安全、阻止威脅入侵網絡，對用戶的網絡訪問行為進行有效的控制，是保證企業網絡安全運行的前提，也是目前企業急需解決的問題。

網絡安全從本質上講是管理問題 。 UNIS終端準入控制（EAD，End user Admission Domination）解決方案從控制用戶終端安全接入網絡的角度入手，整合網絡接入控制與終端安全產品，通過安全客戶端、安全策略服務器、網絡設備以及第三方軟件的聯動，對接入網絡的用戶終端強制實施企業安全策略，嚴格控制終端用戶的網絡使用行為，有效地加強了用戶終端的主動防御能力，為企業網絡管理人員提供了有效、易用的管理工具和手段。

對于要接入安全網絡的用戶，EAD解決方案首先要對其進行身份認證，通過身份認證的用戶進行終端的安全認證，根據網絡管理員定制的安全策略進行包括病毒庫更新情況、系統補丁安裝情況、軟件的黑白名單、U盤外設使用情況、軟硬件資產信息等內容的安全檢查，根據檢查的結果，EAD對用戶網絡準入進行和控制。通過安全認證后，用戶可以正常使用網絡，與此同時，EAD可以對用戶終端運行情況和網絡使用情況進行審計和監控。EAD解決方案對用戶網絡準入的整體認證過程如下圖所示：

準入控制

EAD解決方案提供完善的接入控制，可以支持局域網、廣域網、VPN、無線各種接入方式，支持包括HUB在內的各種復雜網絡、思科等異構網絡環境下的部署，保證從任何地點、任何方式下的接入安全。

嚴格的身份認證

除基于用戶名和密碼的身份認證外，EAD還支持身份與接入終端的MAC地址、IP地址、所在VLAN、接入設備IP、接入設備端口號等信息進行綁定，支持智能卡、數字證書認證，增強身份認證的安全性。

完備的安全狀態評估

根據管理員配置的安全策略，用戶可以進行的安全認證檢查包括終端病毒庫版本檢查、終端補丁檢查、終端安裝的應用軟件檢查、是否有代理、撥號配置、U盤審計、外設管理、桌面資產管理等；EAD客戶端支持和瑞星、江民、金山、Symantec、MacAfee、Trend Micro、安博士、卡巴斯基等國內外主流病毒廠商聯動，同時為了更好的滿足客戶的需求，也支持與微軟SMS、LANDesk、BigFix等業界的桌面安全產品的配合使用。例如已經購買微軟的桌面管理工具SMS的用戶，EAD可以與SMS配合，由EAD實現終端用戶的準入控制，由SMS實現各種Windows環境下用戶的桌面管理需求：資產管理、補丁管理、軟件分發和安裝等。

精細化的權限控制

在用戶終端通過病毒、補丁等安全信息檢查后，EAD可基于終端用戶的角色，向安全聯動設備下發事先配置的接入控制策略，按照用戶角色權限規范用戶的網絡使用行為。終端用戶的所屬VLAN、ACL訪問策略、是否禁止使用代理、是否禁止使用雙網卡等安全措施均可由管理員統一配置實施。

靈活方便的執行方式

EAD按照網絡管理員配置的安全策略區別對待不同身份的用戶，定制不同的安全檢查和處理模式，包括監控模式、提醒模式、隔離模式和下線模式。用戶可以根據自己的實際需要，為VIP客戶、內部員工、外來訪客等不同人群，定義不同的安全策略執行方式。

桌面資產及外設管理

EAD解決方案提供了對終端資產的監控和管理的功能，可以對終端軟硬件使用情況、變更情況進行監控，同時還支持終端資產的配置管理和軟件的統一分發、遠程桌面控制，實現對桌面資產的有效管理。EAD解決方案還提供了對U盤和其他外設的管理功能，可以對終端用戶的各種外設進行控制，有效防止重要信息的，同時提供U盤文件的監控功能，可以查看重要文件通過U盤拷貝時，有無存在不當使用行為。

易于部署的無客戶端

EAD解決方案提供了免安裝的易用部署方式，用戶事先不需要安裝客戶端，上網時EAD系統會自動載入客戶端，對用戶身份和終端安全狀態進行檢查，用戶不需要改變上網習慣的同時，可以享受EAD帶來的安全保障。

多種層次的高可用性

EAD解決方案提供了雙機冷備和雙機熱備功能，可以避免單臺EAD服務器當機引起的認證中斷，同時還支持單機故障的逃生方案，臨時允許客戶端不用認證就可以使用網絡，保證了經濟敏感用戶的利益。

擴展開放的解決方案

EAD解決方案為客戶提供了一個擴展、開放的結構框架，限度的保護了用戶已有的投資。EAD廣泛、深入的和國內外防病毒、操作系統、桌面安全等廠商展開合作，融合各家所長；EAD與第三方認證服務器、安全聯動設備等之間的交互基于標準、開放的協議架構和規范，易于互聯互通。

如下圖所示，EAD組網模型圖中包括安全客戶端、安全聯動設備、EAD安全策略服務器和第三方服務器。

安全客戶端：是指安裝了UNIS iNode智能客戶端的用戶接入終端，負責身份認證的發起和安全策略的檢查。

安全聯動設備：是指用戶網絡中的交換機、路由器、VPN網關等設備。EAD提供了靈活多樣的組網方案，安全聯動設備可以根據需要靈活部署在各層比如網絡接入層和匯聚層。

EAD安全策略服務器：它要求和安全聯動設備路由可達。負責給客戶端下發安全策略、接收客戶端安全策略檢查結果并進行審核，向安全聯動設備發送網絡訪問的指令。

第三方服務器：是指補丁服務器、病毒服務器和安全代理服務器等，被部署在隔離區中。當用戶通過身份認證但安全認證失敗時，將被隔離到隔離區，此時用戶能且僅能訪問隔離區中的服務器，通過第三方服務器進行自身安全修復，直到滿足安全策略要求。