企业网络准入控制解决方案
一、应用背景
因此,网管人员必须对外来电脑和公司内部电脑进行全面、实时、有效的安全管理和监控,保护企业商业机密的安全,保证企业内部网的稳定和畅通。
二、通过路由器、交换机或防火墙进行网络准入控制面临着诸多问题。
当前,企事业单位局域网网络准入控制主要通过路由器、防火墙或者交换机来对外来电脑进行控制。
这使得网络准入控制面临着以下几个问题:
1、需要在路由器、防火墙或者交换机上做IP和MAC地址绑定,只有加入到绑定表内的电脑才可以上网。
2、虽然可以阻止外来电脑访问外网,但无法阻止其访问公网,无法阻止电脑访问局域网其他电脑或服务器。
3、需要开启路由器等设备的DHCP服务功能,从而可以更加便利了外来电脑接入到内网。
4、很多单位是采用无线局域网上网,外来笔记本可以轻松获取IP地址进行上网。
5、有效防御ARP攻击还必须在员工电脑做绑定,也即双向绑定,由于这个工作量较大而常常使得网管望而却步。
三、当前网络准入控制系统面临着那些不足和缺陷
四、大势至网络准入控制系统的介绍
1)系统简介
大势至网络准入控制系统是大势至(北京)软件工程有限公司推出的一款专业的局域网安全防护系统,以有效防止外来电脑接入公司局域网、有效隔离局域网电脑(禁止电脑上网或禁止电脑访问局域网服务器共享文件,或者禁止电脑与局域网其他电脑通讯;同时也可以禁止员工自带笔记本电脑、iPad、智能手机等通过有线或无线wifi的方式接入公司局域网)、禁止电脑修改IP和MAC地址、检测局域网混杂模式网卡、防御局域网ARP攻击、检测局域网代理软件、禁止电脑代理上网等为核心功能,可以为企事业单位局域网网络安全、规范网络管理和商业机密保护提供有效的解决方案。
图:大势至网络准入控制系统
2)核心功能
大势至网络准入控制系统集成了全面的局域网安全防护功能,可以有效阻止外来电脑、无线路由器、手机、随身wifi等移动设备接入,全面保护局域网网络安全。
具体功能如下:
1、禁止外部电脑(如笔记本)或移动设备(如平板电脑或手机)接入单位局域网访问因特网;
2、禁止外部电脑访问局域网内部电脑资源或服务器共享文件、禁止外部电脑和单位内部电脑通讯;
3、禁止单位内部电脑修改IP地址或MAC地址,防止IP地址盗用、防止IP冲突攻击、防止越权上网或逃避网络监控;
4、禁止单位局域网电脑主动访问外部设备,外部设备也无法访问内部设备,实现双向隔离;
5、实时探测局域网内部电脑或外来电脑的在线与不在线情况;
6、突破一切防火墙隔离内部电脑或外部电脑上网或访问内部局域网的行为;
7、检测局域网内处于混杂模式的网卡,防止局域网电脑运行黑客软件、嗅探软件、抓包软件等;
8、防御局域网ARP攻击、抵御ARP欺骗、防止ARP病毒攻击、防止ARP劫持攻击等;
9、可以实时扫描局域网无线路由器、禁止内网无线路由器、限制安装无线路由器或禁止通过无线路由器上网。
10、基于网络过滤驱动禁止外来设备访问内部电脑或内部电脑主动访问外来设备。
11、检测客户端电脑的软硬件配置,远程重启客户端、关闭客户端等。
3)优势
具体而言,大势至网络准入控制系统主要有以下优势:
大势至网络准入控制系统可以适应各种网络结构,不仅可以有效控制无线局域网,而且还可以对无线和有线局域网进行同时管控。同时,系统还可以极为便捷地实现三层交换机多网段环境的网络准入控制,是当前国内适应性较强的网络准入控制系统。
1、网络准入控制原理
图:大势至网络准入控制系统功能实现图
2、阻止外部设备访问内部数据
图:阻止外部设备访问局域网内部数据资源
五、应用场景
大势至网络准入控制系统可以适用于各个行业的网络准入控制。
1、公司企业。禁止外来手机、笔记本电脑等私自接入公司网络,以免占用网络资源,禁止局域网私接无线路由,防止ARP病毒。
3、金融行业。禁止外部设备私自接入内网,禁止访问内网和连接外网,禁止私自使用局域网共享资源和拷贝内网资料等。
4、教育行业。禁止学生用的手机、平板、笔记本等设备接入学校局域网,防止占用网络资源,以免造成网速过慢或感染木马病毒等。