准入控制是网络终端安全管理中的基石

来源：泡泡网　作者：秩名　责任编辑：admin　发表时间:2011-03-07 23:05　

核心提示：近几年来，随着终端应用种类及数量的不断增多，终端管理得到企事业单位越来越多的重视，不少单位已经购买和部署了各种各样的终端管理产品。有的使用国产品牌的产品，有的则购买了国外品牌的产品，但总体来说使用效果并不是那么尽如人意。

近几年来，随着终端应用种类及数量的不断增多，终端管理得到企事业单位越来越多的重视，不少单位已经购买和部署了各种各样的终端管理产品。有的使用国产品牌的产品，有的则购买了国外品牌的产品，但总体来说使用效果并不是那么尽如人意。

首要的问题就是，终端管理产品客户端软件的部署率太低，使得终端难以实现被管理。而如果不能很好地解决这个问题，终端管理也就成了空谈。

终端为何难管理

一般来讲，终端分散在企事业单位的不同办公区域。但也有不同，比如分散在全国各地。

在这种情况下，如果想让最终用户自行安装客户端软件，显然难度非常大。先不说用户的意愿，就是以用户参差不齐的计算机水平而言，要用户自行安装客户端软件已经是非常有难度的事了。而如果让管理员逐台手工完成安装，这又是巨大的工作量，特别是对于有成千上万终端的机构来说，这简直就是不可能完成的任务。更有甚者，好不容易给终端安装了客户端软件，却又被用户给卸载了;或者终端重装了操作系统，客户端软件又需要重新部署;或者新购了电脑，这些新终端又可能成为终端管理的漏网之鱼……

此外，还有很重要的一点，就是对于合作伙伴、客户以及供应商等外来人员带入的笔记本电脑，能让其随意接入吗?该如何管理这些电脑?

如上种种，正在成为困扰终端管理者的问题所在。因为只有部署成功了客户端，使终端接受了管理，后续的各种管理手段才能发挥作用。那么从技术和产品的角度是否可以解决上述难题呢?

利用准入控制技术攻克终端管理难题

其实，现在非常热门的准入控制技术，就可以非常好地解决客户端部署的问题。

可以说，准入控制是终端管理的基础，只有打好了这个基础，终端管理产品才不至于花了钱成为摆设，终端产品也才能真正为单位内网合规管理、桌面自动化运维、以及保证网络和终端的可用性发挥巨大的作用，进而在提高政府部门和企业的工作效率，保证业务始终可用，保护核心数据资产安全方面提供可靠的技术支撑。

那么准入控制是如何保障终端得以被管理的呢?

准入控制是在终端访问网络的必经之处设置检查点，检查发起网络访问的终端是否安装了客户端软件、其安全状态是否合格——如果没有安装客户端软件，将引导用户进行安装;如果安全状态不合格，将引导用户进行修复。

根据准入控制点的不同，一般可分为3个层面的准入控制，即网络层准入控制、应用层准入控制、终端层准入控制，每一层又可以选择多种准入控制技术或手段。图1是3层准入控制示意图。

网络层准入控制

是利用终端和网络设备的联动，由网络设备检查终端是否安装了客户端软件以及终端的安全状态是否合格，从而达到准入控制的效果。在网络的接入层，接入交换机采用标准的802.1X协议与终端进行联动。在网络的汇聚层，汇聚层交换机可以使用思科的私有EoU协议与终端联动，不同的网络厂商的交换机和路由器可以有自己的私有协议，利用这些私有协议与终端管理软件进行联动，达到准入控制的效果。在网络的边界，边界网关设备与终端进行联动，边界网关设备一般包括防火墙、UTM、VPN等设备，而联动协议一般也是私有协议。802.1X准入因为是在接入层进行控制，离终端最近，控制最为严格，可以直接将终端隔离出网络，但部署相对困难。汇聚层及边界层设备离终端稍远，控制力度稍弱，但部署相对容易一些。对于外来电脑，通过网络层准入控制，要么强制其安装客户端接受完整的管理，要么通过特殊的VLAN或ACL，限制其网络访问。

应用层准入控制

其原理是在不同的应用服务器上安装准入控制软件，当终端访问这些应用服务器时，服务器上的准入控制软件检查终端是否接受了管理，安全状态是否合格。一般可以在DNS服务器、代理服务器、Web服务器、ERP系统服务器，或者任意的应用服务器上安装准入控制软件。这些服务器是单位内部员工最常访问的服务器，因此覆盖面较广。实际部署时，一般只需在一到两个服务器上部署控制点即可做到对全局的控制。因应用层离终端稍远，所以控制力度也稍弱。

终端层准入

一般是指客户端准入和ARP准入。客户端准入在终端访问网络时检查自身是否符合安全策略，如果不符合，则阻断自身应用程序的网络访问;在终端接受访问时，必须确认对端是否是接受管理的终端，否则拒绝对方的访问，接受访问时也检查自身是否符合安全策略。ARP准入是有客户端的终端对未装客户端的终端进行ARP欺骗，阻扰其正常的网络访问，直到该终端正确安装了客户端软件。ARP准入因有较大的网络副作用，比如广播风暴，而且效果不理想，用户对它的使用也越来越少了。此外，客户端准入如果配合网络层准入或应用层准入一起使用，可使准入控制更加灵活和强大。

通过上述的各种准入控制中的一种或多种手段，终端将被强制性地接受管理，终端管理将不再有盲点，终端管理产品将真正发挥作用，为政府部门和企业创造价值。

试想如果没有准入控制，终端管理将没有了确定性的手段，确保终端能够接受管理。即使某种终端管理软件的功能再强，如果不能部署在客户端上，也丝毫不能发挥作用。可以说准入控制是终端管理的基石，要部署终端管理产品，必须首先考虑准入控制。

(责任编辑：admin)

“扫一扫”关注融合网微信号

免责声明：我方仅为合法的第三方企业注册用户所发布的内容提供存储空间，融合网不对其发布的内容提供任何形式的保证：不保证内容满足您的要求，不保证融合网的服务不会中断。因网络状况、通讯线路、第三方网站或管理部门的要求等任何原因而导致您不能正常使用融合网，融合网不承担任何法律责任。

第三方企业注册用户在融合网发布的内容（包含但不限于融合网目前各产品功能里的内容）仅表明其第三方企业注册用户的立场和观点，并不代表融合网的立场或观点。相关各方及作者发布此信息的目的在于传播、分享更多信息，并不代表本网站的观点和立场，更与本站立场无关。相关各方及作者在我方平台上发表、发布的所有资料、言论等仅代表其作者个人观点，与本网站立场无关，不对您构成任何投资、交易等方面的建议。用户应基于自己的独立判断，自行决定并承担相应风险。

根据相关协议内容，第三方企业注册用户已知悉自身作为内容的发布者，需自行对所发表内容（如，字体、图片、文章内容等）负责，因所发表内容（如，字体、图片、文章内容等）等所引发的一切纠纷均由该内容的发布者（即，第三方企业注册用户）承担全部法律及连带责任。融合网不承担任何法律及连带责任。

第三方企业注册用户在融合网相关栏目上所发布的涉嫌侵犯他人知识产权或其他合法权益的内容（如，字体、图片、文章内容等），经相关版权方、权利方等提供初步证据，融合网有权先行予以删除，并保留移交司法机关查处的权利。参照相应司法机关的查处结果，融合网对于第三方企业用户所发布内容的处置具有最终决定权。

个人或单位如认为第三方企业注册用户在融合网上发布的内容（如，字体、图片、文章内容等）存在侵犯自身合法权益的，应准备好具有法律效应的证明材料，及时与融合网取得联系，以便融合网及时协调第三方企业注册用户并迅速做出相应处理工作。

融合网联系方式：（一）、电话：（010）57722280；（二）、电子邮箱：2029555353@qq.com dwrh@dwrh.net

对免责声明的解释、修改及更新权均属于融合网所有。