大勢至網(wǎng)絡(luò)準入控制系統(tǒng)、局域網(wǎng)接入認證系統(tǒng)、網(wǎng)絡(luò)接入管理系統(tǒng)白皮書

發(fā)布時間：2017-01-11 12:35:27 作者：佚名

大勢至網(wǎng)絡(luò)準入控制系統(tǒng)是當(dāng)前國內(nèi)首款基于B/S架構(gòu)的局域網(wǎng)安全管理系統(tǒng)，本文主要給大家介紹下大勢至網(wǎng)絡(luò)準入控制系統(tǒng)、局域網(wǎng)接入認證系統(tǒng)、網(wǎng)絡(luò)接入管理系統(tǒng)，需要的朋友們可以參考下

大勢至網(wǎng)絡(luò)準入控制系統(tǒng)是當(dāng)前國內(nèi)首款基于B/S架構(gòu)的局域網(wǎng)安全管理系統(tǒng)，本文主要給大家介紹下大勢至網(wǎng)絡(luò)準入控制系統(tǒng)、局域網(wǎng)接入認證系統(tǒng)、網(wǎng)絡(luò)接入管理系統(tǒng)，感興趣的朋友們可以過來看看！

大勢至網(wǎng)絡(luò)準入控制系統(tǒng)

（技術(shù)白皮書）

大勢至（北京）軟件工程有限公司

一、為什么需要網(wǎng)絡(luò)準入控制系統(tǒng)

隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展與廣泛應(yīng)用，如何保障網(wǎng)絡(luò)信息安全，如何最大限度地減少或避免因網(wǎng)絡(luò)內(nèi)部接入客戶端因素造成的信息泄漏和破壞，成為擺在我們面前一項刻不容緩的重要課題。主要體現(xiàn)在以下幾方面：

1、外來終端隨意接入單位局域網(wǎng)，訪問單位局域網(wǎng)共享文件等單位重要無形資產(chǎn)；

2、外來終端的接入上網(wǎng)會大量占用局域網(wǎng)網(wǎng)絡(luò)帶寬資源，造成網(wǎng)速下降、網(wǎng)絡(luò)堵塞；

3、局域網(wǎng)內(nèi)部用戶主動與與外來移動終端非法通訊（如自行攜帶的電腦或外來人員帶入的終端設(shè)備）；

4、局域網(wǎng)內(nèi)部用戶隨意修改IP地址或MAC地址，造成網(wǎng)絡(luò)沖突、獲取非法訪問權(quán)限；

5、局域網(wǎng)內(nèi)部用戶私自安裝無線路由器、隨身wifi等移動上網(wǎng)設(shè)備，非法擴展網(wǎng)絡(luò)；

6、局域網(wǎng)內(nèi)部用戶非法進行網(wǎng)絡(luò)抓包、網(wǎng)絡(luò)嗅探，造成用戶機密信息的泄露；

7、局域網(wǎng)用戶有可能運行黑客軟件、ARP攻擊軟件等行為，造成局域網(wǎng)斷網(wǎng)掉線。

二、當(dāng)前網(wǎng)絡(luò)準入控制系統(tǒng)的不足和缺陷

隨著一些內(nèi)網(wǎng)安全管理產(chǎn)品在市場上的熱銷，各種理念的產(chǎn)品層出不窮，但產(chǎn)品同質(zhì)化趨勢明顯，產(chǎn)品架構(gòu)和部署方式也大致相同，一些網(wǎng)絡(luò)準入控制功能也大同小異。但從用戶的實際使用來看，主要有以下一些不足和缺陷：

1、普遍需要安裝客戶端軟件，一旦客戶端被移除則無法實現(xiàn)網(wǎng)絡(luò)準入控制功能；

2、主流網(wǎng)絡(luò)準入控制系統(tǒng)部署復(fù)雜，運維成本高，用戶體驗差；

3、與單位內(nèi)部現(xiàn)有的信息系統(tǒng)兼容性較差，無法發(fā)揮協(xié)同效應(yīng)；

4、終端準入安全存在漏洞，容易被一些懂技術(shù)的人員繞過；

5、無法實現(xiàn)基于圖形界面的可視化管理，無法適應(yīng)各層次人員使用；

6、無法發(fā)現(xiàn)發(fā)生在內(nèi)網(wǎng)內(nèi)部的安全違規(guī)行為。

三、大勢至網(wǎng)絡(luò)準入控制系統(tǒng)優(yōu)勢特點

大勢至網(wǎng)絡(luò)準入控制系統(tǒng)(下載地址:http://www.grabsun.com/wailaidiannaokongzhi.html)是當(dāng)前國內(nèi)首款基于B/S架構(gòu)的局域網(wǎng)安全管理系統(tǒng)，無需安裝客戶端軟件，而是通過集成的端口重定向技術(shù)、網(wǎng)絡(luò)基礎(chǔ)通訊協(xié)議的深度解析技術(shù)以及與路由器、交換機等網(wǎng)絡(luò)設(shè)備的聯(lián)動控制技術(shù)，可以實現(xiàn)最為便捷同時極為精準的局域網(wǎng)準入控制功能，實現(xiàn)全面的外來移動終端管控與局域網(wǎng)內(nèi)部終端的規(guī)范使用，實現(xiàn)最大限度的局域網(wǎng)安全管理，實現(xiàn)單位局域網(wǎng)無形資產(chǎn)、網(wǎng)絡(luò)帶寬資源的安全可控。

圖：大勢至網(wǎng)絡(luò)準入控制系統(tǒng)截圖

1、獨創(chuàng)的基于B/S架構(gòu)的部署方式，無需在客戶端安裝軟件就可以實現(xiàn)網(wǎng)絡(luò)準入控制；

2、獨創(chuàng)的基于“創(chuàng)新直連”部署方式，最便捷實現(xiàn)跨網(wǎng)段的網(wǎng)絡(luò)準入控制功能；

3、基于實時的IP和MAC地址綁定檢測，完全杜絕修改IP地址、IP沖突或越權(quán)上網(wǎng)；

4、全面應(yīng)對ARP攻擊、網(wǎng)絡(luò)嗅探、網(wǎng)絡(luò)抓包和局域網(wǎng)代理等非法網(wǎng)絡(luò)行為；

5、精準檢測局域網(wǎng)無線路由器和無線AP等設(shè)備接入，防止網(wǎng)絡(luò)不適當(dāng)擴展；

6、提供詳細的網(wǎng)絡(luò)安全事件記錄功能，為網(wǎng)絡(luò)管理員提供詳細的事前防范與事后審計；

7、特殊情況下可以配合大勢至公司推出的客戶端軟件，進一步增強網(wǎng)絡(luò)準入控制功能；

8、本系統(tǒng)也可以與大勢至公司其他網(wǎng)絡(luò)管理系統(tǒng)形成協(xié)同聯(lián)動，幫助企事業(yè)單位實現(xiàn)全面的局域網(wǎng)安全管控。

《信息安全技術(shù)信息系統(tǒng)安全等級保護技術(shù)要求》（GB/T22239-2008）

《涉及國家秘密的信息系統(tǒng)分級保護技術(shù)要求》（BMB17-2006）

《信息安全技術(shù)終端計算機系統(tǒng)安全等級技術(shù)要求》（GA/T671-2006）

《信息技術(shù)安全技術(shù)信息安全管理體系要求》（GB/T22080-2008）

《信息技術(shù)安全技術(shù)信息安全管理實用規(guī)則》（GB/T22081-2008）

五、大勢至網(wǎng)絡(luò)準入管理系統(tǒng)功能

控制功能

1）禁止外部電腦(如筆記本)或移動設(shè)備(如平板電腦或手機)接入單位局域網(wǎng)訪問因特網(wǎng)；

2）禁止外部電腦訪問局域網(wǎng)內(nèi)部共享資源、禁止外部電腦和單位內(nèi)部電腦通訊；

3）禁止單位內(nèi)部電腦修改IP地址或MAC地址，防止越權(quán)上網(wǎng)或逃避網(wǎng)絡(luò)監(jiān)控；

4）不僅可以隔離外部電腦，還可以禁止內(nèi)部電腦主動訪問外部設(shè)備，實現(xiàn)雙向隔離；

5）突破一切防火墻隔離內(nèi)部電腦或外部電腦上網(wǎng)或訪問內(nèi)部局域網(wǎng)的行為；

6）檢測局域網(wǎng)內(nèi)處于混雜模式的網(wǎng)卡，防止局域網(wǎng)電腦運行黑客軟件、嗅探軟件等；

7）防御局域網(wǎng)ARP攻擊、抵御ARP欺騙、防止ARP病毒攻擊、防止ARP劫持攻擊等；

8）可以實時掃描局域網(wǎng)無線路由器、禁止內(nèi)網(wǎng)無線路由器或其他移動上網(wǎng)設(shè)備。

功能

支持將服務(wù)器IP添加至保護服務(wù)器管理，該服務(wù)器即刻被保護，未被許可訪問的客戶端將無法訪問此服務(wù)器。一旦被管理員許可訪問，則即刻就可以訪問服務(wù)器。

支持將終端IP添加至例外終端管理，該終端將不受準入策略限制，無論是否在白名單均可以訪問所有白名單電腦或黑名單電腦。

支持識別自定義http協(xié)議端口。

支持終端分發(fā)地址配置。

支持服務(wù)器管理地址配置。

支持本地LDAP連接。

支持第三方LDAP連接。

支持WindowsAD域連接。

加入準入系統(tǒng)白名單后的入網(wǎng)方式。

支持注冊、LDAP賬號認證、WindowsAD域賬號認證后入網(wǎng)方式。

支持注冊、LDAP賬號認證、WindowsAD域賬號認證并加入白名單后入網(wǎng)方式。

支持將網(wǎng)絡(luò)劃分為三個區(qū)域（白名單、黑名單、免監(jiān)控）靈活的限制區(qū)域間的數(shù)據(jù)的流動。

支持ARP引導(dǎo)方式實現(xiàn)網(wǎng)絡(luò)準入。

支持網(wǎng)絡(luò)終端掃描功能。

支持展示交換機的基本狀態(tài)信息，如接口列表、端口狀態(tài)、端口類型、端口所屬VLAN、端口dot1x狀態(tài)。

功能

支持本地LDAP用戶的添加刪除修改。

支持第三方LDAP用戶數(shù)據(jù)的查看。

支持手動確認用戶注冊。

支持自動確認用戶注冊。

支持取消用戶注冊。

支持在線用戶名、用戶IP、用戶MAC地址與用戶最近檢測時間查看。

支持跨路由器掃描在線PC。

支持針對PC終端的遠程桌面、文件共享、特定軟件、特定進程等功能的狀態(tài)（啟用或禁用）進行準入控制。

支持密碼修改。

支持系統(tǒng)時間查看修改。

支持接口IP、MAC、類型、啟用狀態(tài)、連接狀態(tài)查看。

支持接口IP地址修改。

支持接口狀態(tài)、類型修改。

支持路由信息的添加與刪除。

支持系統(tǒng)服務(wù)器的停止、啟動與重啟。

支持頁面操作方式升級本系統(tǒng)。

6、系統(tǒng)日志

系統(tǒng)日志包括違規(guī)訪問日志、心跳日志、認證日志三大類。

支持違規(guī)訪問的四元組信息、訪問時間的查看、查詢與刪除。

支持心跳日志記錄查詢與刪除

支持本地LDAP、第三方LDAP、WindowsAD域認證記錄查詢與刪除。

支持802.1x成功或失敗認證記錄的查詢與刪除。

1、基于B/S架構(gòu)，無需安裝客戶端軟件，部署快捷簡單；

2、支持旁路、網(wǎng)橋或網(wǎng)關(guān)三種方式部署，適應(yīng)性強；

3、基于獨家的“創(chuàng)新直連”部署方式，獨家實現(xiàn)跨網(wǎng)段網(wǎng)絡(luò)準入控制；

4、基于虛擬網(wǎng)關(guān)和ARP重定向技術(shù)，實現(xiàn)實時隔離；

5、同時隔離內(nèi)網(wǎng)電腦之間的訪問和訪問外網(wǎng)，全面管控；

6、豐富、精細的網(wǎng)絡(luò)準入控制功能，實現(xiàn)細致入微的網(wǎng)絡(luò)管控；

7、基于開發(fā)編程接口構(gòu)建，方便二次開發(fā)定制。

工作原理

大勢至網(wǎng)絡(luò)準入控制系統(tǒng)可以適應(yīng)各種網(wǎng)絡(luò)結(jié)構(gòu)，不僅可以有效控制無線局域網(wǎng)，而且還可以對無線和有線局域網(wǎng)進行同時管控。同時，系統(tǒng)還可以極為便捷地實現(xiàn)三層交換機多網(wǎng)段環(huán)境的網(wǎng)絡(luò)準入控制，是當(dāng)前國內(nèi)適應(yīng)性最強的網(wǎng)絡(luò)準入控制系統(tǒng)。