終端準(zhǔn)入控制系統(tǒng)、網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)、內(nèi)網(wǎng)準(zhǔn)入控制系統(tǒng)白皮書

發(fā)布時(shí)間：2017-03-10 16:32:59 作者：佚名

本文主要介紹了終端準(zhǔn)入控制系統(tǒng)、網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)、內(nèi)網(wǎng)準(zhǔn)入控制系統(tǒng)，需要的朋友們可以參考下

一、為什么需要網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)

隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展與廣泛應(yīng)用，如何保障網(wǎng)絡(luò)信息安全，如何最大限度地減少或避免因網(wǎng)絡(luò)內(nèi)部接入客戶端因素造成的信息泄漏和破壞，成為擺在我們面前一項(xiàng)刻不容緩的重要課題。主要體現(xiàn)在以下幾方面：

1、外來終端隨意接入單位局域網(wǎng)，訪問單位局域網(wǎng)共享文件等單位重要無形資產(chǎn)；

2、外來終端的接入上網(wǎng)會(huì)大量占用局域網(wǎng)網(wǎng)絡(luò)帶寬資源，造成網(wǎng)速下降、網(wǎng)絡(luò)堵塞；

3、局域網(wǎng)內(nèi)部用戶主動(dòng)與與外來移動(dòng)終端非法通訊（如自行攜帶的電腦或外來人員帶入的終端設(shè)備）；

4、局域網(wǎng)內(nèi)部用戶隨意修改IP地址或MAC地址，造成網(wǎng)絡(luò)沖突、獲取非法訪問權(quán)限；

5、局域網(wǎng)內(nèi)部用戶私自安裝無線路由器、隨身wifi等移動(dòng)上網(wǎng)設(shè)備，非法擴(kuò)展網(wǎng)絡(luò)；

6、局域網(wǎng)內(nèi)部用戶非法進(jìn)行網(wǎng)絡(luò)抓包、網(wǎng)絡(luò)嗅探，造成用戶機(jī)密信息的泄露；

7、局域網(wǎng)用戶有可能運(yùn)行黑客軟件、ARP攻擊軟件等行為，造成局域網(wǎng)斷網(wǎng)掉線。

二、當(dāng)前網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的不足和缺陷

隨著一些內(nèi)網(wǎng)安全管理產(chǎn)品在市場(chǎng)上的熱銷，各種理念的產(chǎn)品層出不窮，但產(chǎn)品同質(zhì)化趨勢(shì)明顯，產(chǎn)品架構(gòu)和部署方式也大致相同，一些網(wǎng)絡(luò)準(zhǔn)入控制功能也大同小異。但從用戶的實(shí)際使用來看，主要有以下一些不足和缺陷：

1、普遍需要安裝客戶端軟件，一旦客戶端被移除則無法實(shí)現(xiàn)網(wǎng)絡(luò)準(zhǔn)入控制功能；

2、主流網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng) 部署復(fù)雜，運(yùn)維成本高，用戶體驗(yàn)差；

3、與單位內(nèi)部現(xiàn)有的信息系統(tǒng)兼容性較差，無法發(fā)揮協(xié)同效應(yīng)；

4、終端準(zhǔn)入安全存在漏洞，容易被一些懂技術(shù)的人員繞過；

5、無法實(shí)現(xiàn)基于圖形界面的可視化管理，無法適應(yīng)各層次人員使用；

6、無法發(fā)現(xiàn)發(fā)生在內(nèi)網(wǎng)內(nèi)部的安全違規(guī)行為。

三、大勢(shì)至網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)優(yōu)勢(shì)特點(diǎn)

大勢(shì)至網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)(下載地址 http://www.grabsun.com/wailaidiannaokongzhi.html)是當(dāng)前國(guó)內(nèi)首款基于p/S架構(gòu)的局域網(wǎng)安全管理系統(tǒng)，無需安裝客戶端軟件，而是通過集成的端口重定向技術(shù)、網(wǎng)絡(luò)基礎(chǔ)通訊協(xié)議的深度解析技術(shù)以及與路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備的聯(lián)動(dòng)控制技術(shù)，可以實(shí)現(xiàn)最為便捷同時(shí)極為精準(zhǔn)的局域網(wǎng)準(zhǔn)入控制功能，實(shí)現(xiàn)全面的外來移動(dòng)終端管控與局域網(wǎng)內(nèi)部終端的規(guī)范使用，實(shí)現(xiàn)最大限度的局域網(wǎng)安全管理，實(shí)現(xiàn)單位局域網(wǎng)無形資產(chǎn)、網(wǎng)絡(luò)帶寬資源的安全可控。

圖：大勢(shì)至網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)截圖

1、獨(dú)創(chuàng)的基于p/S架構(gòu)的部署方式，無需在客戶端安裝軟件就可以實(shí)現(xiàn)網(wǎng)絡(luò)準(zhǔn)入控制；

2、獨(dú)創(chuàng)的基于“創(chuàng)新直連”部署方式，最便捷實(shí)現(xiàn)跨網(wǎng)段的網(wǎng)絡(luò)準(zhǔn)入控制功能；

3、基于實(shí)時(shí)的IP和MAC地址綁定檢測(cè)，完全杜絕修改IP地址、IP沖突或越權(quán)上網(wǎng)；

4、全面應(yīng)對(duì)ARP攻擊、網(wǎng)絡(luò)嗅探、網(wǎng)絡(luò)抓包和局域網(wǎng)代理等非法網(wǎng)絡(luò)行為；

5、精準(zhǔn)檢測(cè)局域網(wǎng)無線路由器和無線AP等設(shè)備接入，防止網(wǎng)絡(luò)不適當(dāng)擴(kuò)展；

6、提供詳細(xì)的網(wǎng)絡(luò)安全事件記錄功能，為網(wǎng)絡(luò)管理員提供詳細(xì)的事前防范與事后審計(jì)；

7、特殊情況下可以配合大勢(shì)至公司推出的客戶端軟件，進(jìn)一步增強(qiáng)網(wǎng)絡(luò)準(zhǔn)入控制功能；

8、本系統(tǒng)也可以與大勢(shì)至公司其他網(wǎng)絡(luò)管理系統(tǒng)形成協(xié)同聯(lián)動(dòng)，幫助企事業(yè)單位實(shí)現(xiàn)全面的局域網(wǎng)安全管控。

四、大勢(shì)至網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)設(shè)計(jì)依據(jù)

《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)技術(shù)要求》（Gp/T 22239-2008）

《涉及國(guó)家秘密的信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求》（pMp 17-2006）

《信息安全技術(shù) 終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求》（GA/T 671-2006）

《信息技術(shù) 安全技術(shù) 信息安全管理體系要求》（Gp/T 22080-2008）

《信息技術(shù) 安全技術(shù) 信息安全管理實(shí)用規(guī)則》（Gp/T 22081-2008）

五、大勢(shì)至網(wǎng)絡(luò)準(zhǔn)入管理系統(tǒng)功能

1、網(wǎng)絡(luò)準(zhǔn)入控制功能

1）禁止外部電腦(如筆記本)或移動(dòng)設(shè)備(如平板電腦或手機(jī))接入單位局域網(wǎng)訪問因特網(wǎng)；

2）禁止外部電腦訪問局域網(wǎng)內(nèi)部共享資源、禁止外部電腦和單位內(nèi)部電腦通訊；

3）禁止單位內(nèi)部電腦修改IP地址或MAC地址，防止越權(quán)上網(wǎng)或逃避網(wǎng)絡(luò)監(jiān)控；

4）不僅可以隔離外部電腦，還可以禁止內(nèi)部電腦主動(dòng)訪問外部設(shè)備，實(shí)現(xiàn)雙向隔離；

5）突破一切防火墻隔離內(nèi)部電腦或外部電腦上網(wǎng)或訪問內(nèi)部局域網(wǎng)的行為；

6）檢測(cè)局域網(wǎng)內(nèi)處于混雜模式的網(wǎng)卡，防止局域網(wǎng)電腦運(yùn)行黑客軟件、嗅探軟件等；

7）防御局域網(wǎng)ARP攻擊、抵御ARP欺騙、防止ARP病毒攻擊、防止ARP劫持攻擊等；

8）可以實(shí)時(shí)掃描局域網(wǎng)無線路由器、禁止內(nèi)網(wǎng)無線路由器或其他移動(dòng)上網(wǎng)設(shè)備。

2、認(rèn)證管理功能

1）保護(hù)服務(wù)器管理

支持將服務(wù)器IP添加至保護(hù)服務(wù)器管理，該服務(wù)器即刻被保護(hù)，未被許可訪問的客戶端將無法訪問此服務(wù)器。一旦被管理員許可訪問，則即刻就可以訪問服務(wù)器。

2）例外終端管理

支持將終端IP添加至例外終端管理，該終端將不受準(zhǔn)入策略限制，無論是否在白名單均可以訪問所有白名單電腦或黑名單電腦。

3）重定向設(shè)置

支持識(shí)別自定義http協(xié)議端口。

支持終端分發(fā)地址配置。

支持服務(wù)器管理地址配置。

4）認(rèn)證服務(wù)器配置

支持本地LDAP連接。

支持第三方LDAP連接。

支持Windows AD域連接。

5）入網(wǎng)流程管理

加入準(zhǔn)入系統(tǒng)白名單后的入網(wǎng)方式。

支持注冊(cè)、LDAP賬號(hào)認(rèn)證、WindowsAD域賬號(hào)認(rèn)證后入網(wǎng)方式。

支持注冊(cè)、LDAP賬號(hào)認(rèn)證、WindowsAD域賬號(hào)認(rèn)證并加入白名單后入網(wǎng)方式。

6）訪問控制列表

支持將網(wǎng)絡(luò)劃分為三個(gè)區(qū)域（白名單、黑名單、免監(jiān)控）靈活的限制區(qū)域間的數(shù)據(jù)的流動(dòng)。

7）ARP準(zhǔn)入

支持ARP引導(dǎo)方式實(shí)現(xiàn)網(wǎng)絡(luò)準(zhǔn)入。

支持網(wǎng)絡(luò)終端掃描功能。

8）設(shè)備管理

支持展示交換機(jī)的基本狀態(tài)信息，如接口列表、端口狀態(tài)、端口類型、端口所屬VLAN、端口dot1x狀態(tài)。

3、用戶管理功能

1）認(rèn)證用戶管理

支持本地LDAP用戶的添加刪除修改。

支持第三方LDAP用戶數(shù)據(jù)的查看。

2）注冊(cè)用戶管理

支持手動(dòng)確認(rèn)用戶注冊(cè)。

支持自動(dòng)確認(rèn)用戶注冊(cè)。

支持取消用戶注冊(cè)。

3）在線用戶管理

支持在線用戶名、用戶IP、用戶MAC地址與用戶最近檢測(cè)時(shí)間查看。

4）用戶終端掃描

支持跨路由器掃描在線PC。

4、策略管理

支持針對(duì)PC終端的遠(yuǎn)程桌面、文件共享、特定軟件、特定進(jìn)程等功能的狀態(tài)（啟用或禁用）進(jìn)行準(zhǔn)入控制。

5、系統(tǒng)管理

1）系統(tǒng)配置

支持密碼修改。

支持系統(tǒng)時(shí)間查看修改。

2）接口管理

支持接口IP、MAC、類型、啟用狀態(tài)、連接狀態(tài)查看。

支持接口IP地址修改。

支持接口狀態(tài)、類型修改。

3）路由管理

支持路由信息的添加與刪除。

4）服務(wù)管理

支持系統(tǒng)服務(wù)器的停止、啟動(dòng)與重啟。

5）軟件升級(jí)

支持頁面操作方式升級(jí)本系統(tǒng)。

6、系統(tǒng)日志

系統(tǒng)日志包括違規(guī)訪問日志、心跳日志、認(rèn)證日志三大類。

1）違規(guī)訪問

支持違規(guī)訪問的四元組信息、訪問時(shí)間的查看、查詢與刪除。

2）心跳日志

支持心跳日志記錄查詢與刪除

3）認(rèn)證日志

支持本地LDAP、第三方LDAP、Windows AD域認(rèn)證記錄查詢與刪除。

4）802.1x認(rèn)證日志

支持802.1x成功或失敗認(rèn)證記錄的查詢與刪除。

六、產(chǎn)品優(yōu)勢(shì)與特點(diǎn)

1、基于p/S架構(gòu)，無需安裝客戶端軟件，部署快捷簡(jiǎn)單；

2、支持旁路、網(wǎng)橋或網(wǎng)關(guān)三種方式部署，適應(yīng)性強(qiáng)；

3、基于獨(dú)家的“創(chuàng)新直連”部署方式，獨(dú)家實(shí)現(xiàn)跨網(wǎng)段網(wǎng)絡(luò)準(zhǔn)入控制；

4、基于虛擬網(wǎng)關(guān)和ARP重定向技術(shù)，實(shí)現(xiàn)實(shí)時(shí)隔離；

5、同時(shí)隔離內(nèi)網(wǎng)電腦之間的訪問和訪問外網(wǎng)，全面管控；

6、豐富、精細(xì)的網(wǎng)絡(luò)準(zhǔn)入控制功能，實(shí)現(xiàn)細(xì)致入微的網(wǎng)絡(luò)管控；

7、基于開發(fā)編程接口構(gòu)建，方便二次開發(fā)定制。

七、產(chǎn)品工作原理

大勢(shì)至網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)可以適應(yīng)各種網(wǎng)絡(luò)結(jié)構(gòu)，不僅可以有效控制無線局域網(wǎng)，而且還可以對(duì)無線和有線局域網(wǎng)進(jìn)行同時(shí)管控。同時(shí)，系統(tǒng)還可以極為便捷地實(shí)現(xiàn)三層交換機(jī)多網(wǎng)段環(huán)境的網(wǎng)絡(luò)準(zhǔn)入控制，是當(dāng)前國(guó)內(nèi)適應(yīng)性最強(qiáng)的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)。

1、產(chǎn)品工作原理