作者:大势至 日期:2016.8.17
当前,企业局域网网络安全已经成为网络管理的重要方面,而网络准入控制技术是企业实现终端安全管理的重要途径之一,有助于弥补防火墙、入侵检测等网络安全系统的不足,极大地增强局域网网络安全。
伴随着企业对网络准入管理的需求,目前国内市场出现了很多网络准入控制产品,集成了一系列网络准入控制功能,不过大体而言,当前国内网络准入主要有以下两种架构方式:
架构一、基于C/S架构的网络准入控制系统、网络接入认证系统。
基于C/S架构的网络准入控制系统是早期网络准入控制系统的基本架构方式,主要是通过在管理员电脑安装管理端,局域网其他电脑安装客户端,然后客户端和管理端保持一种实时通信认证的方式来识别客户端,可以准许接入、拒绝接入和网络隔离等控制方式,而对于没有安装客户端而接入的电脑,通过管理端直接向路由器、交换机或防火墙发送指令的方式使得这些网络设备对接入的终端进行直接隔离的方式来达到网络准入控制的目的。
虽然这种网络准入控制的方式也比较有效,但是实践中有以下一些特点:
1、每一台电脑需要逐个安装客户端软件
需要网络管理员帮助每一个用户实施安装,其实施困难比较大,另外存在用户意外卸载客户端或者ActiveX控件的情况。
2、存在Bugs或安全漏洞
客户端可能存在Bugs或者安全漏洞,容易引起终端异常或被攻击利用,导致安全隐患进而影响整个网络稳定性和安全性。
3、占用系统资源
客户端控件需要运行在终端系统上,会占用系统资源(CPU,内存,硬盘,网络带宽等),从而导致系统变慢影响正常工作。
架构二、采用基于B/S架构的局域网接入控制系统、网络准入接入系统。
这种基于B/S架构的网络准入控制技术,核心原理是与局域网的路由器、防火墙和交换机等网络设备进行实时的通讯报文交互,通过向这些网络设备发送相应的控制指令和策略的方式,并通过和局域网电脑发送重定向报文、网络隔离报文的方式来阻止终端接入、实现对终端电脑的接入控制。主要有以下几个特点:
1、不需要安装客户端,只需要安装主控端即可。
由于不需要安装客户端,从而极大地便利了部署网络准入系统,同时也不存在被卸载客户端的风险。
2、不会占用客户端资源。
由于不需要安装客户端,从而还不会占用客户端电脑资源,避免拖慢客户端电脑运行速度的风险。
目前国内采用B/S架构的网络准入控制系统还不是很多,使用比较广泛的如“大势至网络准入控制系统”(下载地址:
http://www.grablan.com/wailaidiannaokongzhi.html)就是当前一款比较简便易用、功能较为全面的局域网准入控制系统,除了可以防止外部电脑接入局域网,访问内网服务器共享文件或与内部电脑通讯,而且还可以阻止内部电脑之间相互通讯,以及禁止内部电脑主动与外部电脑通讯的行为,从而保护了内网网络安全。此外,系统还可以禁止电脑访问外网、绑定IP和MAC地址、禁止电脑代理上网、禁止网络嗅探以及防止局域网ARP攻击行为等,实现了局域网网络安全的进一步管理。
总之,企业局域网网络准入控制系统的选择,应该根据企业网络管理的需要进行选型,C/S架构和B/S架构的网络准入控制系统都可以实现相应的网络准入控制功能,不过实践来看,采用B/S架构的网络准入控制系统性价比更高,安装部署、操作使用和后续升级维护也更为简单。
