當(dāng)前，在局域網(wǎng)網(wǎng)絡(luò)安全管理中，有一項(xiàng)比較重要的功能就是禁止外來電腦、移動(dòng)設(shè)備接入單位局域網(wǎng)，也就是實(shí)現(xiàn)網(wǎng)絡(luò)準(zhǔn)入控制，尤其是無線局域網(wǎng)接入控制是當(dāng)前很多單位急需的網(wǎng)絡(luò)安全管理功能。如何實(shí)現(xiàn)呢？  

一、局域網(wǎng)網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)方案背景   

目前，同類網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)主要基于以下技術(shù)實(shí)現(xiàn)：          

1、 在路由器或交換機(jī)等網(wǎng)絡(luò)設(shè)備上面啟用IP和MAC地址綁定來防止外來設(shè)備接入，雖然可以起到一定的作用，但是如果外來設(shè)備將其IP和MAC地址同時(shí)修改成和綁定電腦一樣的IP和MAC地址信息，就可以接入內(nèi)網(wǎng)而繞過系統(tǒng)監(jiān)控。   

2、 針對(duì)無線局域網(wǎng)來說，通常情況下無線設(shè)備由于功能的局限而通常無法進(jìn)行IP和MAC地址綁定，同時(shí)單位內(nèi)部也有各種移動(dòng)設(shè)備和無線設(shè)備，一旦綁定也會(huì)影響此類設(shè)備的使用。  

3、同類網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)，常常是基于C/S架構(gòu)，在局域網(wǎng)內(nèi)分別安裝管理端和客戶端來實(shí)現(xiàn)網(wǎng)絡(luò)準(zhǔn)入控制，同時(shí)管理端也必須依賴客戶端才能實(shí)現(xiàn)網(wǎng)絡(luò)準(zhǔn)入控制，一旦客戶端被強(qiáng)行卸載或破壞，將會(huì)導(dǎo)致網(wǎng)絡(luò)準(zhǔn)入控制功能失效。   

4、一些網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)還對(duì)網(wǎng)絡(luò)設(shè)備有要求，需要網(wǎng)絡(luò)管理員配合設(shè)置相關(guān)網(wǎng)絡(luò)設(shè)備方可實(shí)現(xiàn)，從而無形中增加了用戶部署網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的成本和工作量，也不適合一般單位需要。  

當(dāng)然，上述網(wǎng)絡(luò)準(zhǔn)入控制方式都可以起到一定的作用，但是由于存在各種局限，使得用戶始終無法實(shí)現(xiàn)更為快捷、靈活和精準(zhǔn)的網(wǎng)絡(luò)準(zhǔn)入控制功能。并且，由于當(dāng)前國內(nèi)企事業(yè)單位越來越通過無線wifi上網(wǎng)，單位內(nèi)部的無線設(shè)備和移動(dòng)設(shè)備也越來越多，如何有效防止外來設(shè)備接入，保護(hù)單位局域網(wǎng)共享文件安全和網(wǎng)絡(luò)安全，就成為企業(yè)網(wǎng)絡(luò)管理的重要工作。   

二、大勢(shì)至網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)方案 

大勢(shì)至網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)（下載地址：http://www.grabsun.com/wailaidiannaokongzhi.html）是一種基于網(wǎng)絡(luò)報(bào)文重定向和過濾驅(qū)動(dòng)雙重技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)準(zhǔn)入控制的內(nèi)網(wǎng)接入控制系統(tǒng)。具體實(shí)現(xiàn)方式為：本系統(tǒng)基于C/S架構(gòu)實(shí)現(xiàn)，分為管理端和客戶端，管理端安裝在局域網(wǎng)一臺(tái)電腦或服務(wù)器上，客戶端安裝在用戶計(jì)算機(jī)上并自動(dòng)在網(wǎng)卡上安裝過濾驅(qū)動(dòng)，并自動(dòng)連接到管理端，管理端基于ARP廣播報(bào)文來獲取接入局域網(wǎng)的所有設(shè)備，一旦發(fā)現(xiàn)非內(nèi)網(wǎng)電腦、移動(dòng)設(shè)備接入內(nèi)網(wǎng)之后，將通過網(wǎng)絡(luò)報(bào)文重定向，使得外來電腦無法找到內(nèi)網(wǎng)其他電腦，同時(shí)對(duì)內(nèi)網(wǎng)電腦也進(jìn)行網(wǎng)絡(luò)報(bào)文重定向，使其無法主動(dòng)與外來電腦進(jìn)行通信，從而實(shí)現(xiàn)阻止外來電腦接入內(nèi)網(wǎng)的目的。同時(shí)，基于內(nèi)網(wǎng)電腦安裝的客戶端軟件，通過網(wǎng)卡駐留的網(wǎng)絡(luò)報(bào)文過濾驅(qū)動(dòng)，可以實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)電腦主動(dòng)訪問外部MAC地址的控制，以及阻止外來電腦訪問本機(jī)，從而進(jìn)一步加強(qiáng)了網(wǎng)絡(luò)準(zhǔn)入控制，實(shí)現(xiàn)了雙重的網(wǎng)絡(luò)準(zhǔn)入控制，最大限度保護(hù)網(wǎng)絡(luò)安全。

圖：大勢(shì)至無線局域網(wǎng)接入控制器截圖  

三、大勢(shì)至局域網(wǎng)接入控制系統(tǒng)創(chuàng)新優(yōu)勢(shì)   

大勢(shì)至網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)，具有如下領(lǐng)先優(yōu)勢(shì)：   

1、具有靈活的網(wǎng)絡(luò)準(zhǔn)入控制功能。傳統(tǒng)的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)通常是基于C/S架構(gòu)，需要在電腦安裝管理端和客戶端方可實(shí)現(xiàn)網(wǎng)絡(luò)準(zhǔn)入控制。而本系統(tǒng)雖然支持基于C/S架構(gòu)的控制，但也可以不用安裝客戶端軟件，實(shí)現(xiàn)了基于B/S架構(gòu)的網(wǎng)絡(luò)準(zhǔn)入控制功能，適應(yīng)性更強(qiáng)、更為靈活，在簡(jiǎn)化用戶部署本系統(tǒng)同時(shí)也可以實(shí)現(xiàn)網(wǎng)絡(luò)準(zhǔn)入控制功能。        

2、本系統(tǒng)獨(dú)家基于ARP雙向欺騙構(gòu)建。同類網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)通?；趩蜗駻RP欺騙來實(shí)現(xiàn)。也即通過向被隔離的電腦發(fā)送網(wǎng)關(guān)的IP地址+網(wǎng)關(guān)偽造的MAC地址的方式隔離電腦訪問外網(wǎng)；通過向被隔離電腦發(fā)送白名單電腦的IP地址+白名單電腦偽造的MAC地址來實(shí)現(xiàn)禁止黑名單電腦訪問白名單電腦。但是，一旦白名單電腦主動(dòng)訪問黑名單電腦，則此種隔離方式就無法實(shí)現(xiàn)禁止。而通過本系統(tǒng)的ARP雙向欺騙技術(shù)，不但實(shí)現(xiàn)了禁止黑名單電腦訪問網(wǎng)關(guān)或白名單電腦，而且還可以實(shí)現(xiàn)禁止白名單電腦主動(dòng)訪問黑名單電腦，實(shí)現(xiàn)了雙向隔離，有效避免了白名單電腦主動(dòng)訪問黑名單電腦的情況，實(shí)現(xiàn)了更為嚴(yán)密的網(wǎng)絡(luò)準(zhǔn)入控制。       

3、傳統(tǒng)的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)雖然也安裝客戶端，但主要用來接收和執(zhí)行管理端的指令，并沒有與管理端進(jìn)行實(shí)時(shí)交互驗(yàn)證，這樣一旦客戶端電腦自行安裝了客戶端，同時(shí)也修改自己的IP地址和MAC地址與白名單電腦的IP地址和MAC地址相同的情況下，將會(huì)繞過系統(tǒng)監(jiān)控，獲得合法訪問內(nèi)網(wǎng)白名單或服務(wù)器的目的，從而不利于實(shí)現(xiàn)嚴(yán)密的網(wǎng)絡(luò)準(zhǔn)入控制。此外，同類網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的客戶端，雖然可以阻止黑名單電腦訪問內(nèi)網(wǎng)白名單，但是無法阻止白名單電腦主動(dòng)訪問黑名單，這樣使得一旦內(nèi)部電腦主動(dòng)訪問外部黑名單電腦，將會(huì)使得網(wǎng)絡(luò)準(zhǔn)入控制功能失效的情況，不利于實(shí)現(xiàn)網(wǎng)絡(luò)安全管理，也沒有實(shí)現(xiàn)真正實(shí)時(shí)的網(wǎng)絡(luò)準(zhǔn)入控制功能。   

4、傳統(tǒng)的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)缺乏對(duì)客戶端電腦以及局域網(wǎng)網(wǎng)絡(luò)安全環(huán)境的管控，從而無法對(duì)用戶各種不規(guī)范甚至非法網(wǎng)絡(luò)行為的管控。而本系統(tǒng)的管理端集成了禁止局域網(wǎng)代理、檢測(cè)局域網(wǎng)混雜模式網(wǎng)卡、檢測(cè)局域網(wǎng)ARP攻擊源主機(jī)，防止網(wǎng)絡(luò)嗅探和網(wǎng)絡(luò)抓包的功能，進(jìn)一步強(qiáng)化了網(wǎng)絡(luò)安全管控，防止了網(wǎng)絡(luò)次生災(zāi)害的發(fā)生，實(shí)現(xiàn)了電腦使用層面的網(wǎng)絡(luò)準(zhǔn)入控制功能。而通過客戶端軟件集成的禁止客戶端電腦修改IP地址和MAC地址的行為，以及記錄客戶端電腦使用行為日志，則進(jìn)一步強(qiáng)化了管理員對(duì)客戶端電腦管控，便于采取各種預(yù)防性的網(wǎng)絡(luò)準(zhǔn)入控制功能，實(shí)現(xiàn)了事前、事中和事后的網(wǎng)絡(luò)準(zhǔn)入控制。   

即刻下載體驗(yàn)：http://www.grabsun.com/wailaidiannaokongzhi.html

最新評(píng)論