您当前位置:首页 > 解决方案 > 技术解决方案 > 网络准入控制解决方案

 


企业网络准入控制解决方案
 



一、应用背景
 

当前,企业信息安全已经成为企业网络管理的重要方面,如何防止外来电脑、移动设备接入局域网,是保护局域网网络安全的重要举措。
 


当前网络安全问题主要体现在以下几方面:
 
1、外来终端随意接入单位局域网,访问单位局域网共享文件等单位重要无形资产;
 
2、外来终端的接入上网会大量占用局域网网络带宽资源,造成网速下降、网络堵塞;
 
3、局域网内部用户主动与与外来移动终端非法通讯(如自行携带的电脑或外来人员带入的终端设备);
 
4、局域网内部用户随意修改IP地址或MAC地址,造成网络冲突、获取非法访问权限;
 
5、局域网内部用户私自安装无线路由器、随身wifi等移动上网设备,非法扩展网络;
 
6、局域网内部用户非法进行网络抓包、网络嗅探,造成用户机密信息的泄露;
 
7、局域网用户有可能运行黑客软件、ARP攻击软件等行为,造成局域网断网掉线。


因此,网管人员必须对外来电脑和公司内部电脑进行全面、实时、有效的安全管理和监控,保护企业商业机密的安全,保证企业内部网的稳定和畅通。


二、通过路由器、交换机或防火墙进行网络准入控制面临着诸多问题。


当前,企事业单位局域网网络准入控制主要通过路由器、防火墙或者交换机来对外来电脑进行控制。

 


这使得网络准入控制面临着以下几个问题:
 

1、需要在路由器、防火墙或者交换机上做IP和MAC地址绑定,只有加入到绑定表内的电脑才可以上网。

2、虽然可以阻止外来电脑访问外网,但无法阻止其访问公网,无法阻止电脑访问局域网其他电脑或服务器。

3、需要开启路由器等设备的DHCP服务功能,从而可以更加便利了外来电脑接入到内网。

4、很多单位是采用无线局域网上网,外来笔记本可以轻松获取IP地址进行上网。

5、有效防御ARP攻击还必须在员工电脑做绑定,也即双向绑定,由于这个工作量较大而常常使得网管望而却步。



三、当前网络准入控制系统面临着那些不足和缺陷

 

具体而言,当前国内主流的网络准入控制系统主要有以下一些不足和缺陷:
 
1、普遍需要安装客户端软件,一旦客户端被移除则无法实现网络准入控制功能;
 
2、主流网络准入控制系统部署复杂,运维成本高,用户体验差;
 
3、与单位内部现有的信息系统兼容性较差,无法发挥协同效应;
 
4、终端准入安全存在漏洞,容易被一些懂技术的人员绕过;
 
5、无法实现基于图形界面的可视化管理,无法适应各层次人员使用;
 
6、无法发现发生在内网内部的安全违规行为。



四、大势至网络准入控制系统的介绍


1)系统简介


大势至网络准入控制系统是大势至(北京)软件工程有限公司推出的一款专业的局域网安全防护系统,以有效防止外来电脑接入公司局域网、有效隔离局域网电脑(禁止电脑上网或禁止电脑访问局域网服务器共享文件,或者禁止电脑与局域网其他电脑通讯;同时也可以禁止员工自带笔记本电脑、iPad、智能手机等通过有线或无线wifi的方式接入公司局域网)、禁止电脑修改IP和MAC地址、检测局域网混杂模式网卡、防御局域网ARP攻击、检测局域网代理软件、禁止电脑代理上网等为核心功能,可以为企事业单位局域网网络安全、规范网络管理和商业机密保护提供有效的解决方案。

 


图:大势至网络准入控制系统


2)核心功能
 

大势至网络准入控制系统集成了全面的局域网安全防护功能,可以有效阻止外来电脑、无线路由器、手机、随身wifi等移动设备接入,全面保护局域网网络安全。
 

具体功能如下:

1、禁止外部电脑(如笔记本)或移动设备(如平板电脑或手机)接入单位局域网访问因特网;

2、禁止外部电脑访问局域网内部电脑资源或服务器共享文件、禁止外部电脑和单位内部电脑通讯;

3、禁止单位内部电脑修改IP地址或MAC地址,防止IP地址盗用、防止IP冲突攻击、防止越权上网或逃避网络监控;

4、禁止单位局域网电脑主动访问外部设备,外部设备也无法访问内部设备,实现双向隔离;

5、实时探测局域网内部电脑或外来电脑的在线与不在线情况;

6、突破一切防火墙隔离内部电脑或外部电脑上网或访问内部局域网的行为;

7、检测局域网内处于混杂模式的网卡,防止局域网电脑运行黑客软件、嗅探软件、抓包软件等;

8、防御局域网ARP攻击、抵御ARP欺骗、防止ARP病毒攻击、防止ARP劫持攻击等;

9、可以实时扫描局域网无线路由器、禁止内网无线路由器、限制安装无线路由器或禁止通过无线路由器上网。


10、基于网络过滤驱动禁止外来设备访问内部电脑或内部电脑主动访问外来设备。

11、检测客户端电脑的软硬件配置,远程重启客户端、关闭客户端等。

 


3)优势

具体而言,大势至网络准入控制系统主要有以下优势:

 

1、的基于B/S架构的部署方式,无需在客户端安装软件就可以实现网络准入控制;
 
2、的基于“创新直连”部署方式,较便捷实现跨网段的网络准入控制功能;
 
3、基于实时的IP和MAC地址绑定检测,完全杜绝修改IP地址、IP冲突或越权上网;
 
4、全面应对ARP攻击、网络嗅探、网络抓包和局域网代理等非法网络行为;
 
5、精准检测局域网无线路由器和无线AP等设备接入,防止网络不适当扩展;
 
6、提供详细的网络安全事件记录功能,为网络管理员提供详细的事前防范与事后审计;
 
7、特殊情况下可以配合大势至公司推出的客户端软件,进一步增强网络准入控制功能;
 
8、本系统也可以与大势至公司其他网络管理系统形成协同联动,帮助企事业单位实现全面的局域网安全管控。


4)核心技术


大势至网络准入控制系统集成了多项业内技术,均由大势至研发,这些技术让企业服务器信息安全管理变得更为精准高效,快捷简单!

 

核心技术如下:

1、整合简单网管协议(SNMP)和地址解析技术,全面、实时、精准监测外来设备接入;

2、基于数据报文深度解析与MAC地址库全息匹配技术,精准识别无线路由器和手机接入;

3、基于动态、增强的IP和MAC地址绑定技术,可以有效防止ARP攻击行为和防御ARP病毒;

4、基于的“创新直连”架构,实现了三层交换机全网段IP和MAC绑定功能;

5、基于ICP报文重定向和交换机缓存替代技术,可以实现交换机联动准入控制技术。



 
5)工作原理
 

大势至网络准入控制系统可以适应各种网络结构,不仅可以有效控制无线局域网,而且还可以对无线和有线局域网进行同时管控。同时,系统还可以极为便捷地实现三层交换机多网段环境的网络准入控制,是当前国内适应性较强的网络准入控制系统。

1、网络准入控制原理
 

图:大势至网络准入控制系统功能实现图


2、阻止外部设备访问内部数据
 

图:阻止外部设备访问局域网内部数据资源

 
 
五、应用场景


大势至网络准入控制系统可以适用于各个行业的网络准入控制。
 


1、公司企业。禁止外来手机、笔记本电脑等私自接入公司网络,以免占用网络资源,禁止局域网私接无线路由,防止ARP病毒。
 

2、政府机关。禁止外部设备私自接入内部局域网,禁止其访问内网共享文件和其他电脑信息,防止ARP病毒、ARP攻击等。
 

3、金融行业。禁止外部设备私自接入内网,禁止访问内网和连接外网,禁止私自使用局域网共享资源和拷贝内网资料等。
 

4、教育行业。禁止学生用的手机、平板、笔记本等设备接入学校局域网,防止占用网络资源,以免造成网速过慢或感染木马病毒等。

 

公司简介:大势至公司是国内较早的企业网管软件提供商,可以为企事业单位提供整体的企业网络管理方案和企业网络管理平台,通过全系列的公司监控员工电脑软件教你如何控制员工上网、如何控制局域网内电脑上网以及如何保护电脑文件安全等。公司核心产品“聚生网管系统”是一款专门的公司网管必备软件、查看网络流量软件、网络流量监控软件和办公室电脑监控软件;“网络特警”则是一款专门的网络流量监控设备、上网行为管理服务器、网络行为管理设备,可以实现更为强大的局域网网络行为管理;大势至USB接口禁用软件则是一款专门的数据防泄密产品、屏蔽U盘软件、电脑USB端口禁用软件,可以严防通过一切途径泄露电脑文件,保护单位无形资产和商业机密安全;大势至共享文件夹管理软件则是一款专门的共享文件权限设置软件和共享文件设置密码软件,全面保护共享文件安全;大势至共享文件审计系统则是一款专门的服务器共享文件夹设置软件、服务器共享文件访问日志记录软件,可以详细记录局域网用户访问共享文件的行为,更好地管理共享文件的安全;大势至局域网网络准入控制系统则是一款专门防止未经授权的电脑接入公司局域网的行为,防止外来电脑访问局域网共享文件、防止蹭网以及绑定IP和MAC地址,保护网络安全;大势至FTP服务器日志记录软件则是一款专门记录局域网用户访问FTP服务器日志的软件,可以有效保护FTP服务器文件安全。
联系我们