當(dāng)前，在局域網(wǎng)網(wǎng)絡(luò)安全管理中，有一項比較重要的功能就是禁止外來電腦、移動設(shè)備接入單位局域網(wǎng)，也就是實現(xiàn)網(wǎng)絡(luò)準(zhǔn)入控制，尤其是無線局域網(wǎng)接入控制是當(dāng)前很多單位急需的網(wǎng)絡(luò)安全管理功能。如何實現(xiàn)呢？  

一、局域網(wǎng)網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)方案背景   

目前，同類網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)主要基于以下技術(shù)實現(xiàn)：          

1、 在路由器或交換機等網(wǎng)絡(luò)設(shè)備上面啟用IP和MAC地址綁定來防止外來設(shè)備接入，雖然可以起到一定的作用，但是如果外來設(shè)備將其IP和MAC地址同時修改成和綁定電腦一樣的IP和MAC地址信息，就可以接入內(nèi)網(wǎng)而繞過系統(tǒng)監(jiān)控。   

2、 針對無線局域網(wǎng)來說，通常情況下無線設(shè)備由于功能的局限而通常無法進行IP和MAC地址綁定，同時單位內(nèi)部也有各種移動設(shè)備和無線設(shè)備，一旦綁定也會影響此類設(shè)備的使用。  

3、同類網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)，常常是基于C/S架構(gòu)，在局域網(wǎng)內(nèi)分別安裝管理端和客戶端來實現(xiàn)網(wǎng)絡(luò)準(zhǔn)入控制，同時管理端也必須依賴客戶端才能實現(xiàn)網(wǎng)絡(luò)準(zhǔn)入控制，一旦客戶端被強行卸載或破壞，將會導(dǎo)致網(wǎng)絡(luò)準(zhǔn)入控制功能失效。   

4、一些網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)還對網(wǎng)絡(luò)設(shè)備有要求，需要網(wǎng)絡(luò)管理員配合設(shè)置相關(guān)網(wǎng)絡(luò)設(shè)備方可實現(xiàn)，從而無形中增加了用戶部署網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的成本和工作量，也不適合一般單位需要。  

當(dāng)然，上述網(wǎng)絡(luò)準(zhǔn)入控制方式都可以起到一定的作用，但是由于存在各種局限，使得用戶始終無法實現(xiàn)更為快捷、靈活和精準(zhǔn)的網(wǎng)絡(luò)準(zhǔn)入控制功能。并且，由于當(dāng)前國內(nèi)企事業(yè)單位越來越通過無線wifi上網(wǎng)，單位內(nèi)部的無線設(shè)備和移動設(shè)備也越來越多，如何有效防止外來設(shè)備接入，保護單位局域網(wǎng)共享文件安全和網(wǎng)絡(luò)安全，就成為企業(yè)網(wǎng)絡(luò)管理的重要工作。   

二、大勢至網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)方案 

大勢至網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)（下載地址：http://www.grabsun.com/wailaidiannaokongzhi.html）是一種基于網(wǎng)絡(luò)報文重定向和過濾驅(qū)動雙重技術(shù)實現(xiàn)網(wǎng)絡(luò)準(zhǔn)入控制的內(nèi)網(wǎng)接入控制系統(tǒng)。具體實現(xiàn)方式為：本系統(tǒng)基于C/S架構(gòu)實現(xiàn)，分為管理端和客戶端，管理端安裝在局域網(wǎng)一臺電腦或服務(wù)器上，客戶端安裝在用戶計算機上并自動在網(wǎng)卡上安裝過濾驅(qū)動，并自動連接到管理端，管理端基于ARP廣播報文來獲取接入局域網(wǎng)的所有設(shè)備，一旦發(fā)現(xiàn)非內(nèi)網(wǎng)電腦、移動設(shè)備接入內(nèi)網(wǎng)之后，將通過網(wǎng)絡(luò)報文重定向，使得外來電腦無法找到內(nèi)網(wǎng)其他電腦，同時對內(nèi)網(wǎng)電腦也進行網(wǎng)絡(luò)報文重定向，使其無法主動與外來電腦進行通信，從而實現(xiàn)阻止外來電腦接入內(nèi)網(wǎng)的目的。同時，基于內(nèi)網(wǎng)電腦安裝的客戶端軟件，通過網(wǎng)卡駐留的網(wǎng)絡(luò)報文過濾驅(qū)動，可以實現(xiàn)對內(nèi)網(wǎng)電腦主動訪問外部MAC地址的控制，以及阻止外來電腦訪問本機，從而進一步加強了網(wǎng)絡(luò)準(zhǔn)入控制，實現(xiàn)了雙重的網(wǎng)絡(luò)準(zhǔn)入控制，最大限度保護網(wǎng)絡(luò)安全。

圖：大勢至無線局域網(wǎng)接入控制器截圖  

三、大勢至局域網(wǎng)接入控制系統(tǒng)創(chuàng)新優(yōu)勢   

大勢至網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)，具有如下領(lǐng)先優(yōu)勢：   

1、具有靈活的網(wǎng)絡(luò)準(zhǔn)入控制功能。傳統(tǒng)的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)通常是基于C/S架構(gòu)，需要在電腦安裝管理端和客戶端方可實現(xiàn)網(wǎng)絡(luò)準(zhǔn)入控制。而本系統(tǒng)雖然支持基于C/S架構(gòu)的控制，但也可以不用安裝客戶端軟件，實現(xiàn)了基于B/S架構(gòu)的網(wǎng)絡(luò)準(zhǔn)入控制功能，適應(yīng)性更強、更為靈活，在簡化用戶部署本系統(tǒng)同時也可以實現(xiàn)網(wǎng)絡(luò)準(zhǔn)入控制功能。        

2、本系統(tǒng)獨家基于ARP雙向欺騙構(gòu)建。同類網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)通常基于單向ARP欺騙來實現(xiàn)。也即通過向被隔離的電腦發(fā)送網(wǎng)關(guān)的IP地址+網(wǎng)關(guān)偽造的MAC地址的方式隔離電腦訪問外網(wǎng)；通過向被隔離電腦發(fā)送白名單電腦的IP地址+白名單電腦偽造的MAC地址來實現(xiàn)禁止黑名單電腦訪問白名單電腦。但是，一旦白名單電腦主動訪問黑名單電腦，則此種隔離方式就無法實現(xiàn)禁止。而通過本系統(tǒng)的ARP雙向欺騙技術(shù)，不但實現(xiàn)了禁止黑名單電腦訪問網(wǎng)關(guān)或白名單電腦，而且還可以實現(xiàn)禁止白名單電腦主動訪問黑名單電腦，實現(xiàn)了雙向隔離，有效避免了白名單電腦主動訪問黑名單電腦的情況，實現(xiàn)了更為嚴密的網(wǎng)絡(luò)準(zhǔn)入控制。       

3、傳統(tǒng)的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)雖然也安裝客戶端，但主要用來接收和執(zhí)行管理端的指令，并沒有與管理端進行實時交互驗證，這樣一旦客戶端電腦自行安裝了客戶端，同時也修改自己的IP地址和MAC地址與白名單電腦的IP地址和MAC地址相同的情況下，將會繞過系統(tǒng)監(jiān)控，獲得合法訪問內(nèi)網(wǎng)白名單或服務(wù)器的目的，從而不利于實現(xiàn)嚴密的網(wǎng)絡(luò)準(zhǔn)入控制。此外，同類網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的客戶端，雖然可以阻止黑名單電腦訪問內(nèi)網(wǎng)白名單，但是無法阻止白名單電腦主動訪問黑名單，這樣使得一旦內(nèi)部電腦主動訪問外部黑名單電腦，將會使得網(wǎng)絡(luò)準(zhǔn)入控制功能失效的情況，不利于實現(xiàn)網(wǎng)絡(luò)安全管理，也沒有實現(xiàn)真正實時的網(wǎng)絡(luò)準(zhǔn)入控制功能。   

4、傳統(tǒng)的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)缺乏對客戶端電腦以及局域網(wǎng)網(wǎng)絡(luò)安全環(huán)境的管控，從而無法對用戶各種不規(guī)范甚至非法網(wǎng)絡(luò)行為的管控。而本系統(tǒng)的管理端集成了禁止局域網(wǎng)代理、檢測局域網(wǎng)混雜模式網(wǎng)卡、檢測局域網(wǎng)ARP攻擊源主機，防止網(wǎng)絡(luò)嗅探和網(wǎng)絡(luò)抓包的功能，進一步強化了網(wǎng)絡(luò)安全管控，防止了網(wǎng)絡(luò)次生災(zāi)害的發(fā)生，實現(xiàn)了電腦使用層面的網(wǎng)絡(luò)準(zhǔn)入控制功能。而通過客戶端軟件集成的禁止客戶端電腦修改IP地址和MAC地址的行為，以及記錄客戶端電腦使用行為日志，則進一步強化了管理員對客戶端電腦管控，便于采取各種預(yù)防性的網(wǎng)絡(luò)準(zhǔn)入控制功能，實現(xiàn)了事前、事中和事后的網(wǎng)絡(luò)準(zhǔn)入控制。   

即刻下載體驗：http://www.grabsun.com/wailaidiannaokongzhi.html

最新評論