一、為什么需要網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)

隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展與廣泛應(yīng)用，如何保障網(wǎng)絡(luò)信息安全，如何最大限度地減少或避免因網(wǎng)絡(luò)內(nèi)部接入客戶端因素造成的信息泄漏和破壞，成為擺在我們面前一項(xiàng)刻不容緩的重要課題。主要體現(xiàn)在以下幾方面：

1、外來終端隨意接入單位局域網(wǎng)，訪問單位局域網(wǎng)共享文件等單位重要無形資產(chǎn)；

2、外來終端的接入上網(wǎng)會(huì)大量占用局域網(wǎng)網(wǎng)絡(luò)帶寬資源，造成網(wǎng)速下降、網(wǎng)絡(luò)堵塞；

3、局域網(wǎng)內(nèi)部用戶主動(dòng)與與外來移動(dòng)終端非法通訊（如自行攜帶的電腦或外來人員帶入的終端設(shè)備）；

4、局域網(wǎng)內(nèi)部用戶隨意修改IP地址或MAC地址，造成網(wǎng)絡(luò)沖突、獲取非法訪問權(quán)限；

5、局域網(wǎng)內(nèi)部用戶私自安裝無線路由器、隨身wifi等移動(dòng)上網(wǎng)設(shè)備，非法擴(kuò)展網(wǎng)絡(luò)；

6、局域網(wǎng)內(nèi)部用戶非法進(jìn)行網(wǎng)絡(luò)抓包、網(wǎng)絡(luò)嗅探，造成用戶機(jī)密信息的泄露；

7、局域網(wǎng)用戶有可能運(yùn)行黑客軟件、ARP攻擊軟件等行為，造成局域網(wǎng)斷網(wǎng)掉線。

二、當(dāng)前網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的不足和缺陷

隨著一些內(nèi)網(wǎng)安全管理產(chǎn)品在市場(chǎng)上的熱銷，各種理念的產(chǎn)品層出不窮，但產(chǎn)品同質(zhì)化趨勢(shì)明顯，產(chǎn)品架構(gòu)和部署方式也大致相同，一些網(wǎng)絡(luò)準(zhǔn)入控制功能也大同小異。但從用戶的實(shí)際使用來看，主要有以下一些不足和缺陷：

1、普遍需要安裝客戶端軟件，一旦客戶端被移除則無法實(shí)現(xiàn)網(wǎng)絡(luò)準(zhǔn)入控制功能；

2、主流網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng) 部署復(fù)雜，運(yùn)維成本高，用戶體驗(yàn)差；

3、與單位內(nèi)部現(xiàn)有的信息系統(tǒng)兼容性較差，無法發(fā)揮協(xié)同效應(yīng)；

4、終端準(zhǔn)入安全存在漏洞，容易被一些懂技術(shù)的人員繞過；

5、無法實(shí)現(xiàn)基于圖形界面的可視化管理，無法適應(yīng)各層次人員使用；

6、無法發(fā)現(xiàn)發(fā)生在內(nèi)網(wǎng)內(nèi)部的安全違規(guī)行為。

三、大勢(shì)至網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)優(yōu)勢(shì)特點(diǎn)

大勢(shì)至網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)(下載地址 http://www.grabsun.com/wailaidiannaokongzhi.html)是當(dāng)前國(guó)內(nèi)首款基于p/S架構(gòu)的局域網(wǎng)安全管理系統(tǒng)，無需安裝客戶端軟件，而是通過集成的端口重定向技術(shù)、網(wǎng)絡(luò)基礎(chǔ)通訊協(xié)議的深度解析技術(shù)以及與路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備的聯(lián)動(dòng)控制技術(shù)，可以實(shí)現(xiàn)最為便捷同時(shí)極為精準(zhǔn)的局域網(wǎng)準(zhǔn)入控制功能，實(shí)現(xiàn)全面的外來移動(dòng)終端管控與局域網(wǎng)內(nèi)部終端的規(guī)范使用，實(shí)現(xiàn)最大限度的局域網(wǎng)安全管理，實(shí)現(xiàn)單位局域網(wǎng)無形資產(chǎn)、網(wǎng)絡(luò)帶寬資源的安全可控。

圖：大勢(shì)至網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)截圖

1、獨(dú)創(chuàng)的基于p/S架構(gòu)的部署方式，無需在客戶端安裝軟件就可以實(shí)現(xiàn)網(wǎng)絡(luò)準(zhǔn)入控制；

2、獨(dú)創(chuàng)的基于“創(chuàng)新直連”部署方式，最便捷實(shí)現(xiàn)跨網(wǎng)段的網(wǎng)絡(luò)準(zhǔn)入控制功能；

3、基于實(shí)時(shí)的IP和MAC地址綁定檢測(cè)，完全杜絕修改IP地址、IP沖突或越權(quán)上網(wǎng)；

4、全面應(yīng)對(duì)ARP攻擊、網(wǎng)絡(luò)嗅探、網(wǎng)絡(luò)抓包和局域網(wǎng)代理等非法網(wǎng)絡(luò)行為；

5、精準(zhǔn)檢測(cè)局域網(wǎng)無線路由器和無線AP等設(shè)備接入，防止網(wǎng)絡(luò)不適當(dāng)擴(kuò)展；

6、提供詳細(xì)的網(wǎng)絡(luò)安全事件記錄功能，為網(wǎng)絡(luò)管理員提供詳細(xì)的事前防范與事后審計(jì)；

7、特殊情況下可以配合大勢(shì)至公司推出的客戶端軟件，進(jìn)一步增強(qiáng)網(wǎng)絡(luò)準(zhǔn)入控制功能；

8、本系統(tǒng)也可以與大勢(shì)至公司其他網(wǎng)絡(luò)管理系統(tǒng)形成協(xié)同聯(lián)動(dòng)，幫助企事業(yè)單位實(shí)現(xiàn)全面的局域網(wǎng)安全管控。

四、大勢(shì)至網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)設(shè)計(jì)依據(jù)

《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)技術(shù)要求》（Gp/T 22239-2008）

《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》（pMp 17-2006）

《信息安全技術(shù) 終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求》（GA/T 671-2006）

《信息技術(shù) 安全技術(shù) 信息安全管理體系要求》（Gp/T 22080-2008）

《信息技術(shù) 安全技術(shù) 信息安全管理實(shí)用規(guī)則》（Gp/T 22081-2008）

五、大勢(shì)至網(wǎng)絡(luò)準(zhǔn)入管理系統(tǒng)功能

1、網(wǎng)絡(luò)準(zhǔn)入控制功能

1）禁止外部電腦(如筆記本)或移動(dòng)設(shè)備(如平板電腦或手機(jī))接入單位局域網(wǎng)訪問因特網(wǎng)；

2）禁止外部電腦訪問局域網(wǎng)內(nèi)部共享資源、禁止外部電腦和單位內(nèi)部電腦通訊；

3）禁止單位內(nèi)部電腦修改IP地址或MAC地址，防止越權(quán)上網(wǎng)或逃避網(wǎng)絡(luò)監(jiān)控；

4）不僅可以隔離外部電腦，還可以禁止內(nèi)部電腦主動(dòng)訪問外部設(shè)備，實(shí)現(xiàn)雙向隔離；

5）突破一切防火墻隔離內(nèi)部電腦或外部電腦上網(wǎng)或訪問內(nèi)部局域網(wǎng)的行為；

6）檢測(cè)局域網(wǎng)內(nèi)處于混雜模式的網(wǎng)卡，防止局域網(wǎng)電腦運(yùn)行黑客軟件、嗅探軟件等；

7）防御局域網(wǎng)ARP攻擊、抵御ARP欺騙、防止ARP病毒攻擊、防止ARP劫持攻擊等；

8）可以實(shí)時(shí)掃描局域網(wǎng)無線路由器、禁止內(nèi)網(wǎng)無線路由器或其他移動(dòng)上網(wǎng)設(shè)備。

2、認(rèn)證管理功能

1）保護(hù)服務(wù)器管理

支持將服務(wù)器IP添加至保護(hù)服務(wù)器管理，該服務(wù)器即刻被保護(hù)，未被許可訪問的客戶端將無法訪問此服務(wù)器。一旦被管理員許可訪問，則即刻就可以訪問服務(wù)器。

2）例外終端管理

支持將終端IP添加至例外終端管理，該終端將不受準(zhǔn)入策略限制，無論是否在白名單均可以訪問所有白名單電腦或黑名單電腦。

3）重定向設(shè)置

支持識(shí)別自定義http協(xié)議端口。

支持終端分發(fā)地址配置。

支持服務(wù)器管理地址配置。

4）認(rèn)證服務(wù)器配置

支持本地LDAP連接。

支持第三方LDAP連接。

支持Windows AD域連接。

5）入網(wǎng)流程管理

加入準(zhǔn)入系統(tǒng)白名單后的入網(wǎng)方式。

支持注冊(cè)、LDAP賬號(hào)認(rèn)證、WindowsAD域賬號(hào)認(rèn)證后入網(wǎng)方式。

支持注冊(cè)、LDAP賬號(hào)認(rèn)證、WindowsAD域賬號(hào)認(rèn)證并加入白名單后入網(wǎng)方式。

6）訪問控制列表

支持將網(wǎng)絡(luò)劃分為三個(gè)區(qū)域（白名單、黑名單、免監(jiān)控）靈活的限制區(qū)域間的數(shù)據(jù)的流動(dòng)。

7）ARP準(zhǔn)入

支持ARP引導(dǎo)方式實(shí)現(xiàn)網(wǎng)絡(luò)準(zhǔn)入。

支持網(wǎng)絡(luò)終端掃描功能。

8）設(shè)備管理

支持展示交換機(jī)的基本狀態(tài)信息，如接口列表、端口狀態(tài)、端口類型、端口所屬VLAN、端口dot1x狀態(tài)。

最新評(píng)論