大势至 络准入控制软件、 络准入系统客户端认证系统介绍

一、应用背景

当前，企业信息安全已经成为企业 络管理的重要方面，如何防止外来电脑、移动设备接入局域 ，是保护局域 络安全的重要举措。

当前 络安全问题主要体现在以下几方面：

1、外来终端随意接入单位局域 ，访问单位局域 共享文件等单位重要无形资产；

2、外来终端的接入上 会大量占用局域 络带宽资源，造成 速下降、 络堵塞；

3、局域 内部用户主动与与外来移动终端非法通讯（如自行携带的电脑或外来人员带入的终端设备）；

4、局域 内部用户随意修改IP地址或MAC地址，造成 络冲突、获取非法访问权限；

5、局域 内部用户私自安装无线路由器、随身wifi等移动上 设备，非法扩展 络；

6、局域 内部用户非法进行 络抓包、 络嗅探，造成用户机密信息的泄露；

7、局域 用户有可能运行黑客软件、ARP攻击软件等行为，造成局域 断 掉线。

因此， 管人员必须对外来电脑和公司内部电脑进行全面、实时、有效的安全管理和监控，保护企业商业机密的安全，保证企业内部 的稳定和畅通。

二、通过路由器、交换机或防火墙进行 络准入控制面临着诸多问题。

当前，企事业单位局域 络准入控制主要通过路由器、防火墙或者交换机来对外来电脑进行控制。

这使得 络准入控制面临着以下几个问题：

1、需要在路由器、防火墙或者交换机上做IP和MAC地址绑定，只有加入到绑定表内的电脑才可以上 。

2、虽然可以阻止外来电脑访问外 ，但无法阻止其访问公 ，无法阻止电脑访问局域 其他电脑或服务器。

3、需要开启路由器等设备的DHCP服务功能，从而可以更加便利了外来电脑接入到内 。

4、很多单位是采用无线局域 上 ，外来笔记本可以轻松获取IP地址进行上 。

5、有效防御ARP攻击还必须在员工电脑做绑定，也即双向绑定，由于这个工作量较大而常常使得 管望而却步。

三、当前 络准入控制系统面临着那些不足和缺陷

具体而言，当前国内主流的 络准入控制系统主要有以下一些不足和缺陷：

1、普遍需要安装客户端软件，一旦客户端被移除则无法实现 络准入控制功能；

2、主流 络准入控制系统部署复杂，运维成本高，用户体验差；

3、与单位内部现有的信息系统兼容性较差，无法发挥协同效应；

4、终端准入安全存在漏洞，容易被一些懂技术的人员绕过；

5、无法实现基于图形界面的可视化管理，无法适应各层次人员使用；

6、无法发现发生在内 内部的安全违规行为。

四、大势至 络准入控制系统的介绍

1）系统简介

大势至 络准入控制系统（下载地址：
http://www.grabsun.com/wailaidiannaokongzhi.html）是大势至(北京)软件工程有限公司推出的一款专业的局域 安全防护系统，以有效防止外来电脑接入公司局域 、有效隔离局域 电脑（禁止电脑上 或禁止电脑访问局域 服务器共享文件，或者禁止电脑与局域 其他电脑通讯；同时也可以禁止员工自带笔记本电脑、iPad、智能手机等通过有线或无线wifi的方式接入公司局域 ）、禁止电脑修改IP和MAC地址、检测局域 混杂模式 卡、防御局域 ARP攻击、检测局域 代理软件、禁止电脑代理上 等为核心功能，可以为企事业单位局域 络安全、规范 络管理和商业机密保护提供有效的解决方案。

图：大势至 络准入控制系统

2）核心功能

大势至 络准入控制系统集成了全面的局域 安全防护功能，可以有效阻止外来电脑、无线路由器、手机、随身wifi等移动设备接入，全面保护局域 络安全。

具体功能如下：

1、禁止外部电脑(如笔记本)或移动设备(如平板电脑或手机)接入单位局域 访问因特 ；

2、禁止外部电脑访问局域 内部电脑资源或服务器共享文件、禁止外部电脑和单位内部电脑通讯；

3、禁止单位内部电脑修改IP地址或MAC地址，防止IP地址盗用、防止IP冲突攻击、防止越权上 或逃避 络监控；

4、禁止单位局域 电脑主动访问外部设备，外部设备也无法访问内部设备，实现双向隔离；

5、实时探测局域 内部电脑或外来电脑的在线与不在线情况；

6、突破一切防火墙隔离内部电脑或外部电脑上 或访问内部局域 的行为；

7、检测局域 内处于混杂模式的 卡，防止局域 电脑运行黑客软件、嗅探软件、抓包软件等；

8、防御局域 ARP攻击、抵御ARP欺骗、防止ARP病毒攻击、防止ARP劫持攻击等；

9、可以实时扫描局域 无线路由器、禁止内 无线路由器、限制安装无线路由器或禁止通过无线路由器上 。

10、基于 络过滤驱动禁止外来设备访问内部电脑或内部电脑主动访问外来设备。

11、检测客户端电脑的软硬件配置，远程重启客户端、关闭客户端等。

3）领先优势

具体而言，大势至 络准入控制系统主要有以下领先优势：

1、独创的基于B/S架构的部署方式，无需在客户端安装软件就可以实现 络准入控制；

2、独创的基于“创新直连”部署方式，最便捷实现跨 段的 络准入控制功能；

3、基于实时的IP和MAC地址绑定检测，完全杜绝修改IP地址、IP冲突或越权上 ；

4、全面应对ARP攻击、 络嗅探、 络抓包和局域 代理等非法 络行为；

5、精准检测局域 无线路由器和无线AP等设备接入，防止 络不适当扩展；

6、提供详细的 络安全事件记录功能，为 络管理员提供详细的事前防范与事后审计；

7、特殊情况下可以配合大势至公司推出的客户端软件，进一步增强 络准入控制功能；

8、本系统也可以与大势至公司其他 络管理系统形成协同联动，帮助企事业单位实现全面的局域 安全管控。

4）核心技术

大势至 络准入控制系统集成了多项业内领先技术，均由大势至独创研发，这些领先技术让企业服务器信息安全管理变得更为精准高效，快捷简单！

核心技术如下：

1、整合简单 管协议（SNMP）和地址解析技术，全面、实时、精准监测外来设备接入；

2、基于数据 文深度解析与MAC地址库全息匹配技术，精准识别无线路由器和手机接入；

3、基于动态、增强的IP和MAC地址绑定技术，可以有效防止ARP攻击行为和防御ARP病毒；

4、基于独创的“创新直连”架构，独家实现了三层交换机全 段IP和MAC绑定功能；

5、基于ICP 文重定向和交换机缓存替代技术，可以实现交换机联动准入控制技术。

5）工作原理

大势至 络准入控制系统可以适应各种 络结构，不仅可以有效控制无线局域 ，而且还可以对无线和有线局域 进行同时管控。同时，系统还可以极为便捷地实现三层交换机多 段环境的 络准入控制，是当前国内适应性最强的 络准入控制系统。

1、 络准入控制原理

图：大势至 络准入控制系统功能实现图

2、阻止外部设备访问内部数据

图：阻止外部设备访问局域 内部数据资源

五、应用场景

大势至 络准入控制系统可以适用于各个行业的 络准入控制。

1、公司企业。禁止外来手机、笔记本电脑等私自接入公司 络，以免占用 络资源，禁止局域 私接无线路由，防止ARP病毒。

2、政府机关。禁止外部设备私自接入内部局域 ，禁止其访问内 共享文件和其他电脑信息，防止ARP病毒、ARP攻击等。

3、金融行业。禁止外部设备私自接入内 ，禁止访问内 和连接外 ，禁止私自使用局域 共享资源和拷贝内 资料等。

4、教育行业。禁止学生用的手机、平板、笔记本等设备接入学校局域 ，防止占用 络资源，以免造成 速过慢或感染木马病毒等。