一、为什么需要网络准入控制系统

随着网络技术的快速发展与广泛应用，如何保障网络信息安全，如何最大限度地减少或避免因网络内部接入客户端因素造成的信息泄漏和破坏，成为摆在我们面前一项刻不容缓的重要课题。主要体现在以下几方面：

1、外来终端随意接入单位局域网，访问单位局域网共享文件等单位重要无形资产；

2、外来终端的接入上网会大量占用局域网网络带宽资源，造成网速下降、网络堵塞；

3、局域网内部用户主动与与外来移动终端非法通讯（如自行携带的电脑或外来人员带入的终端设备）；

4、局域网内部用户随意修改IP地址或MAC地址，造成网络冲突、获取非法访问权限；

5、局域网内部用户私自安装无线路由器、随身wifi等移动上网设备，非法扩展网络；

6、局域网内部用户非法进行网络抓包、网络嗅探，造成用户机密信息的泄露；

7、局域网用户有可能运行黑客软件、ARP攻击软件等行为，造成局域网断网掉线。

二、当前网络准入控制系统的不足和缺陷

随着一些内网安全管理产品在市场上的热销，各种理念的产品层出不穷，但产品同质化趋势明显，产品架构和部署方式也大致相同，一些网络准入控制功能也大同小异。但从用户的实际使用来看，主要有以下一些不足和缺陷：

1、普遍需要安装客户端软件，一旦客户端被移除则无法实现网络准入控制功能；

2、主流网络准入控制系统 部署复杂，运维成本高，用户体验差；

3、与单位内部现有的信息系统兼容性较差，无法发挥协同效应；

4、终端准入安全存在漏洞，容易被一些懂技术的人员绕过；

5、无法实现基于图形界面的可视化管理，无法适应各层次人员使用；

6、无法发现发生在内网内部的安全违规行为。

三、大势至网络准入控制系统优势特点

大势至网络准入控制系统(下载地址 http://www.grabsun.com/wailaidiannaokongzhi.html)是当前国内首款基于p/S架构的局域网安全管理系统，无需安装客户端软件，而是通过集成的端口重定向技术、网络基础通讯协议的深度解析技术以及与路由器、交换机等网络设备的联动控制技术，可以实现最为便捷同时极为精准的局域网准入控制功能，实现全面的外来移动终端管控与局域网内部终端的规范使用，实现最大限度的局域网安全管理，实现单位局域网无形资产、网络带宽资源的安全可控。

图：大势至网络准入控制系统截图

1、独创的基于p/S架构的部署方式，无需在客户端安装软件就可以实现网络准入控制；

2、独创的基于“创新直连”部署方式，最便捷实现跨网段的网络准入控制功能；

3、基于实时的IP和MAC地址绑定检测，完全杜绝修改IP地址、IP冲突或越权上网；

4、全面应对ARP攻击、网络嗅探、网络抓包和局域网代理等非法网络行为；

5、精准检测局域网无线路由器和无线AP等设备接入，防止网络不适当扩展；

6、提供详细的网络安全事件记录功能，为网络管理员提供详细的事前防范与事后审计；

7、特殊情况下可以配合大势至公司推出的客户端软件，进一步增强网络准入控制功能；

8、本系统也可以与大势至公司其他网络管理系统形成协同联动，帮助企事业单位实现全面的局域网安全管控。

四、大势至网络准入控制系统设计依据

《信息安全技术 信息系统安全等级保护技术要求》（Gp/T 22239-2008）

《涉及国家秘密的信息系统分级保护技术要求》（pMp 17-2006）

《信息安全技术 终端计算机系统安全等级技术要求》（GA/T 671-2006）

《信息技术 安全技术 信息安全管理体系要求》（Gp/T 22080-2008）

《信息技术 安全技术 信息安全管理实用规则》（Gp/T 22081-2008）

五、大势至网络准入管理系统功能

1、网络准入控制功能

1）禁止外部电脑(如笔记本)或移动设备(如平板电脑或手机)接入单位局域网访问因特网；

2）禁止外部电脑访问局域网内部共享资源、禁止外部电脑和单位内部电脑通讯；

3）禁止单位内部电脑修改IP地址或MAC地址，防止越权上网或逃避网络监控；

4）不仅可以隔离外部电脑，还可以禁止内部电脑主动访问外部设备，实现双向隔离；

5）突破一切防火墙隔离内部电脑或外部电脑上网或访问内部局域网的行为；

6）检测局域网内处于混杂模式的网卡，防止局域网电脑运行黑客软件、嗅探软件等；

7）防御局域网ARP攻击、抵御ARP欺骗、防止ARP病毒攻击、防止ARP劫持攻击等；

8）可以实时扫描局域网无线路由器、禁止内网无线路由器或其他移动上网设备。

2、认证管理功能

1）保护服务器管理

支持将服务器IP添加至保护服务器管理，该服务器即刻被保护，未被许可访问的客户端将无法访问此服务器。一旦被管理员许可访问，则即刻就可以访问服务器。

2）例外终端管理

支持将终端IP添加至例外终端管理，该终端将不受准入策略限制，无论是否在白名单均可以访问所有白名单电脑或黑名单电脑。

3）重定向设置

支持识别自定义http协议端口。

支持终端分发地址配置。

支持服务器管理地址配置。

4）认证服务器配置

支持本地LDAP连接。

支持第三方LDAP连接。

支持Windows AD域连接。

5）入网流程管理

加入准入系统白名单后的入网方式。

支持注册、LDAP账号认证、WindowsAD域账号认证后入网方式。

支持注册、LDAP账号认证、WindowsAD域账号认证并加入白名单后入网方式。

6）访问控制列表

支持将网络划分为三个区域（白名单、黑名单、免监控）灵活的限制区域间的数据的流动。

7）ARP准入

支持ARP引导方式实现网络准入。

支持网络终端扫描功能。

8）设备管理

支持展示交换机的基本状态信息，如接口列表、端口状态、端口类型、端口所属VLAN、端口dot1x状态。