网络准入控制系统对比分析

中国银行总行网络准入控制系统2009年12月25日文/伍娟娟近年来，中国银行坚持把强化网络安全控制建设作为固本强基，保证银行经营活动健康运行的一项基础性工作来做，大力构建安全控制体系，以有效防范和化解金融风险，消除安全隐患。

2008年上半年，中国银行安全控制三道防线体系组织建设已落实到位，并进一步完善了安全检查、安全整改和安全考核等相关工作流程和机制，同时进一步完善了《中国银行操作风险管理政策框架》。

应用背景作为内控体系的关键一环，中国银行网络部门非常重视终端用户准入控制和安全合规方面的建设。

原有的桌面管理软件只能提供资产管理功能，无法解决网络现有问题。

因此希望通过部署网络准入控制系统，与原有的cisco设备和新增的H3C设备配合，对客户终端认证做集中统一控制，应用一致的用户安全策略，保证用户终端的健壮性，阻止病毒等威胁入侵网络。

以加强网络接入管理，严格控制非授权用户和不合规用户任意接入网络，确保网络安全。

建设目标中国银行认为应该从内部管理问题、黑客入侵、病毒攻击等方面来解决安全问题。

对IT管理提出了六大要求：1.用户接入控制需限制非授权用户对局域网特定资源的访问；2.系统支持统一的基于用户ID的认证和授权控制策略，同时支持用户名密码、证书等多种用户身份校验方式；3.支持用户分组机制，针对不同的用户组可实现不同的控制策略；4.能够对客户端上网行为进行事后审计，可查询用户的非法网络行为；5.可对客户端异常流量进行监控；6.系统满足双机冗余备份机制。

解决方案为保证最高安全性，中国银行采用了接入层802.1x的部署方案，与Cisco2950、H3C S3600等系列交换机配合，提供准入控制，有效防病毒、补丁自动升级等，保证高安全。

同时，网络中心部署一套iMC网管平台、iMC UBA用户行为审计系统、iMC NTA 网流流量分析系统，通过原C6509交换机提供的NetFlow流量数据，对网络设备进行统一管理，对非法用户的上网行为进行审计，对异常流量进行实时的流量分析。

网络与安全计算机网络终端的准入控制技术的运用分析孙波 合肥信息技术职业学院摘要：数字技术与网络通信技术近年来的发展速度越来越快，计算机的相关功能和系统性能的级别越来高，为人们的生活、工作、学习等方面提供极大的便利，让人们的生活效率进一步提高。

而计算机网络也应用在社会各个层面、各个领域中，深入到企业、行业帮助人们实现更加具有效率的工作模式和管理形式，从而加快了社会的生产力和产业链的发展，推动了社会的进步。

而随着人们对计算机技术的掌握和广泛应用，很多不法分子也能够通过计算机网络窃取资源、盗取机密，因此人们在使用计算机同时，也要加强对计算机网络安全的工作，保护好自身的信息数据和财产安全。

关键词：计算机网络终端 准入控制技术 运管用分析前言为了能够帮助人们更加方便更加高效地进行计算机网络安全的维护，防止不法分子对计算机进行远程操控或者入侵，相关领域的技术人员研发出的计算机网络终端准入控制技术能够有效地为计算机系统设置安全准入程序，尽可能防止外来不法分子的入侵，保护好计算机内部的相关信息和数据，让人们更加安心地使用计算机进行相关工作和学习，尽可能发挥计算机系统快捷、方便、高效的作用。

计算机网络终端的准入控制技术通过对终端进入进行控制和管理，能够从根源上加强计算机网络的安全性能，保证计算机网络工作的安全、稳定运行，因此，本文也将深入分析准入控制技术的相关原理和工作应用等，阐述其重要性。

一、准入控制技术的基本原理(一）准入控制技术相关理念分析计算机终端准入控制技术就是通过相关的计算机软件和系统设定程序，通过网络接入和终端接入两种方式来双重控制计算机终端与其他系统和网络终端的接入，最大程度保护计算机网络的安全性和稳定性，消除潜在的终端接入危险。

网络可信接入控制是注重网络的安全性，通过对网络接入进行身份认证和确认，阻止一些危险网络的连接；而终端接入则是针对终端本身的安全性来判定这个终端是否可以进行连接。

准入控制技术的研发原因是因为很多人在使用计算机网络时，由于操作不规范和本身对不安全网络终端的识别能力差而容易与一些带有病毒或者不法分子入侵程序的网络进行连接，从而在不知情的情况下将自己的计算机暴露在别人的不法控制中，导致信息数据被窃取、篡改或者其他问题。

随着安全思想不断深入，和安全形势的不断变化，内网安全成为市场讨论的热点，而作为能有效解决内网安全的桌面准入技术，自然成为安全厂商竞相投入大批人力物力的方向，因而现有桌面准入市场的产品层出不穷，如何挑选合适的桌面准入产品成为信息管理人员的一个难题，撰写本文的目的，就是以本人的角度，谈谈我对桌面准入产品的理解，希望对大家有所帮助，欢迎大家讨论。

安全准入的思想首先有cisco提出，而后得到全球范围内IT厂商的一致相应，进而各大厂商也竞相推出自己的安全准入产品，具体分类如下：1网络设备厂商：CISCO NAC H3C EAD HUAWEI SECOSPACE JUNIPER2信息提供商：microsoft NAP synamtic SEP3桌面管理提供商landesk北信源联软宝信盈高本文讨论的范畴亦在上述产品中。

其他产品不在本文讨论访问内下面先给出实现安全准入的常见手段：1 802.1x技术（内嵌agent）----在支持802.1x认证的网络设备上，使用EAP OVER LAN协议，对client的身份做验证，来确保进入授信网络的主机可信性。

此种实现方式，准入强度最高，但是对接入层设备要求有对802.1x支持能力，同时对不支持802.1x条件下的设备，用户控制力度较弱。

同时传统的802.1x技术，无法对终端做安全状况的检查。

只是实现对用户身份验证。

2 AGENT+802.1x技术-----在支持802.1x认证的网络设备上，使用EAP OVER LAN协议，传递数据到radius，对终端的身份做验证，用户身份得到验证同时，通过agent传送终端的安全状况的信息到posture终端安全管理中心，检查终端安全状况是否符合要求，只允许同时符合身份验证和安全可信的终端接入到授信网络中。

此种实现方式：准入强度最高，同时结合终端安全信息检查的功能，是现有技术最成熟的实现方式，3 cisco NAC技术--------cisco NAC技术准确的来说是技术集合，从现有的情况来看，包括传统的NAC技术---NAC framework和新兴的NAC技术----NAC applianceNAC framework技术----A 802.1x技术-----特指支持802.1x的cisco所有设备使用cisco CTA agent+802.1x可实现第2点的所用功能。

网络准入准入控制系统解决方案网络准入准入控制系统是一种用于管理网络访问的解决方案。

通过该系统，网络管理员可以对网络中的用户、设备和应用进行权限控制和访问控制，以确保网络环境的安全和稳定。

下面将详细介绍网络准入准入控制系统的解决方案。

首先，网络准入准入控制系统需要建立一个全面的用户身份认证系统，以确保只有经过身份认证的用户才能接入网络。

在该系统中，用户需要输入正确的用户名和密码来登录网络，从而获得网络访问权限。

此外，系统还可以实现多种身份认证方式，如使用指纹、虹膜识别等，来提高网络访问的安全性。

其次，网络准入准入控制系统还需要对接入网络的设备进行身份认证和访问控制。

这些设备包括电脑、手机、平板等终端设备。

通过在网络准入准入控制系统中注册设备的唯一标识符，如MAC地址或IMEI号码，可以对设备进行身份认证，并针对不同的设备类型设置不同的访问策略。

例如，可以禁止一些不受信任的设备访问网络，或限制一些设备只能访问特定的应用程序。

另外，网络准入准入控制系统还可以实现对网络中流量的监控和分析。

通过对流量进行实时分析，可以检测和阻止一些网络攻击，如DDoS攻击、入侵和恶意软件传播等。

同时，系统还可以记录网络中的访问日志，用于追踪和调查安全事件。

此外，网络准入准入控制系统还可以与其他安全系统集成，如防火墙、入侵检测系统等。

通过与这些系统的集成，可以实现多层次的安全保护，并提高整个网络的安全性。

最后，网络准入准入控制系统需要提供一个统一的管理平台，用于配置和管理系统的各项功能。

网络管理员可以通过该平台对用户、设备和应用的访问权限进行灵活的设置和调整。

同时，该管理平台还需要提供实时的监控和报警功能，以便网络管理员能够及时发现和应对安全事件。

综上所述，网络准入准入控制系统可以通过建立全面的用户身份认证系统、设备身份认证和访问控制、流量监控和分析、与其他安全系统的集成以及提供统一的管理平台等方式来解决网络访问控制的问题。

捍卫者内网准入控制系统内网安全的一个理念就是，要建立一个可信、可控的内部安全网络。

内网的终端构成了内网90%以上的组成,当之无愧的成为内网安全的重中之重.因此内网安全的重点就在于终端的管理.管理终端，建立一个可控的内网,至少需要完成以下基本问题的处理：一、非法接入内网问题公司内网连接着众多的服务器和终端,运行着OA、财务、ERP 等众多系统和数据库，未通过认证的终端如果随意接入内网，将使这些服务器、系统和重要数据面临被攻击和窃取的危险.二、非法外联问题通常情况下，内网和外网之间有防火墙、防病毒墙等安全设备保障内网的安全性，对于保密网络，甚至是要求与外网物理隔绝的。

但如果内部人员使用拨号、宽带、GPRS、CMDA等方式接入外网，使内网与外网间开出新的连接通道，外部的黑客攻击或者病毒就能够绕过原本连接在内、外网之间的防护屏障,顺利侵入非法外联的计算机，盗窃内网的敏感信息和机密数据，造成泄密事件，甚至利用该机作为跳板，攻击、传染内网的重要服务器,导致整个内网工作瘫痪.而内部人员也可利用不受监管的非法外联发送或泄漏公司的商业秘密。

三、使用者上网行为问题很多公司员工经常使用QQ、MSN之类的进行聊天，使用迅雷之类的软件P2P下载，或上网观看视频，会造成工作效率低下、公司带宽被占用的情况。

还有员工登录论坛留言发帖，可能发表非法或恶意信息,使公司受到相关部门的处罚或名誉受损等.➢基于安全准入技术的入网规范管理产品➢基于非法外联接入的入网规范管理系统➢基于可信域认证的内网管理系统➢计算机终端接入内外网的身份认证系统➢软件及硬件单独或相互联动的多重管理方式产品功能●可信域终端接入管理●未通过认证终端接入访问受限●支持USB KEY作为可信凭据●完整的准入审计记录●可与AD域服务器或LDAP服务器相结合认证●黑白名单两种方式进行终端访问管理●支持级联模式部署。

网络准入控制系统（ASM入网规范管理系统）特点概述ASM（Admission Standard Management入网规范管理系统），是盈高科技自主知识产权的集成化终端安全管理平台，是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统。

秉承了“不改变网络、灵活客户端、终端安全集成化”的特性。

改变了业界传统的将准入控制系统作为一个单独功能产品的做法，率先提出准入平台的概念。

ASM入网规范的功能特点主要有以下几点：1、清晰的边界划分ASM6000能够兼容各种混合网络环境和数十种网络设备，提供了从桥接、PBR(Policy-Based-Routing)、MVG的各种实现方案。

系统能够支持内置身份认证，外部Email、Radius、LDAP、AD域、短信、指纹、CA系统、USB- KEY等多种认证方式。

在认证的基础上提供完善的角色、安全域、来宾权限管理。

使用户从设备和人员两方面进行网络边界的划定。

2、广泛的网络适应ASM6000全面兼容各种终端和网络设备，广泛适应异构系统、BYOD、BYON的应用。

采用先进的设备特征采集技术，能够自动识别多种设备，有效的对设备进行标示和固定。

自动识别的设备包括：各种交换机、路由器、PC、IPHONE、IPAD、安卓系统等。

3、安检策略丰富完善ASM6000具备丰富的核心规范库，提供了数十种基础安全规范。

根据盈高科技多年来在入网规范领域的经验总结，系统还提供了符合行业特征的安全规范，包括：电子政务外网、电子政务内网、军队、军工制造、能源电力、电信、移动、医疗卫生、生产制造企业等。

这就使用户能够快速进行安全规范应用。

4、安全定位灵活多样ASM6000提供了一个全网安全管理和展示的平台，能够对全网拓扑和设备状态进行展示。

可以进一步向下细化定位，直至每台终端设备。

也可以通过终端设备向上检索，找到其连接的网络设备。

终端管理不再是孤立的被看待，而是作为网络的一个部分，整体的进行管理。

网络安全准入系统网络安全准入系统是指在网络入口处设置的安全检测系统，用于检测和防止恶意攻击和非法入侵，确保网络系统的安全运行。

网络安全准入系统起到了重要的防护作用，有效地保护了网络系统的安全性和稳定性。

本文将从网络安全准入系统的作用、原理以及应用等方面进行阐述。

网络安全准入系统的作用主要有以下几个方面。

首先，网络安全准入系统可以对进入网络的数据进行实时检测，及时发现和阻止潜在的安全威胁。

它可以扫描数据包，检测其中是否含有病毒、木马、僵尸网络等恶意代码，避免这些威胁程序进入网络系统，从而保护系统的安全。

其次，网络安全准入系统可以对网络流量进行管控和调度。

通过设置规则和策略，可以限制网络带宽的使用，控制访问速度，提高网络的稳定性和响应速度。

同时，还可以对不符合规则的流量进行拦截和过滤，防止非法访问和攻击。

再次，网络安全准入系统可以进行用户身份验证和权限管理。

通过对用户进行认证，验证其身份和权限，可以控制用户对系统的访问和操作权限，从而保护敏感信息和数据的安全。

最后，网络安全准入系统可以对网络设备和系统进行漏洞扫描和修复。

通过定期扫描网络设备和系统中的漏洞，发现并及时修补这些漏洞，防止黑客利用漏洞进行入侵和攻击。

同时，还可以对系统进行安全配置，加强系统的防护能力。

网络安全准入系统的工作原理主要包括以下几个方面。

首先，网络安全准入系统通过数据包过滤、流量检测等技术手段对进入网络的数据进行实时监测和分析。

它可以对数据包的源地址、目的地址、协议类型等进行检测和分析，判断数据包是否合法和安全。

其次，网络安全准入系统通过规则和策略的设置来控制和管理网络流量。

它可以根据需要设置白名单和黑名单，对不符合规则的流量进行拦截和过滤，确保网络流量的安全。

再次，网络安全准入系统通过用户验证和授权来管理用户的访问权限。

它可以对用户进行身份认证，验证用户的身份和权限信息，只有通过认证的用户才能访问系统，同时还可以根据不同用户的权限设置不同的访问控制策略。

产品概述：联软网络准入控制系统,是属于联软IT安全运维管理套件下的一套领先业界的第三代网络准入控制系统(NAC System，Network Admission Control System)，也是国内第一款IPV6准入控制系统,所有组件和模块由联软自主研发，拥有完全自主知识产权;为您解决网络准入控制的合规性要求，实现网络实名制管理、网络安全边界防护、建立内网安全基准线。

具备从发现、接入、认证、安检、修复、授权、访问控制、加固“一站式”流程的全部功能，目前已经成功帮助数千家行业巨头通过ISO 27001、等级保护、边界安全防护管理等认证或审计，成为证券金融行业第一品牌，具有高效、精准、智能的准入控制防护特色。

产品功能：1、防止“黑户”电脑私自进入内部网络。

2、防止“威胁性”终端设备私自进入内部网络,窃取机密。

3、建立实名制内网，弥补现实与网络虚拟世界之间的鸿沟。

4、为企业建立有效的内网安全边界防护系统，全面保障内网安全。

5、助企业建立内网安全基线，构建资源访问控制管理体系。

6、让企业拥有“统一接入、统一授权、统一访问、统一管理”平台。

7、安全管理，助您“发现、追踪、回溯、取证”。

8、助您通过ISO 27001、等级保护、网络行为等认证或审计产品优势：1、实时、动态掌握网络整体安全状况，建立实时安全评估体系，掌握内部各种接入设备（包括网络设备、安全设备、服务器、桌面电脑）的安全运行状况，为领导决策、部署安全工作任务提供支持，为安全维护工程师的提供管理维护便利；2、实现对网络内部所有的计算机接入网络进行准入控制，防止外来电脑或者不符合规定的电脑接入网络中；3、建立桌面电脑的集中式快速安全管理体系，对数量众多，最难以管理、监控的桌面电脑建立完善的安全评估、安全加固、集中维护体系，以提高桌面电脑的安全性及降低桌面电脑的日常维护工作量；4、建立IT服务设备的安全运行状况监控系统，对包括网络设备、网络安全设备、服务器在内的安全运行状况监控系统；5、建立安全资产的分级管理体系，实现对不同安全级别的信息资产采取不同的安全管理；6、建立安全事件的流程化处理机制，确保安全事件、安全问题得到有效的跟踪、处理和解决。

终端安全之准入控制保障“内网合规”随着网络应用的日趋复杂，计算机终端已不再是传统意义上我们所理解的“终端”，它不仅是内网中网线所连接的PC机，更是网络中大部分事物的起点和源头——是用户登录并访问网络的起点、是用户透过内网访问Internet的起点、是应用系统访问和数据产生的起点;更是病毒攻击的源头、从内部发起的恶意攻击的源头和内部保密数据盗用或失窃的源头。

因此，也只有通过完善的终端安全管理才能够真正从源头上控制各种事件的源头、遏制由内网发起的攻击和破坏。

在内网安全管理中，准入控制是所有终端管理功能实现的基础所在，采用准入控制技术能够主动监控桌面电脑的安全状态和管理状态，将不安全的电脑隔离、进行修复。

准入控制技术与传统的网络安全技术如防火墙、防病毒技术结合，将被动防御变为主动防御，能够有效促进内网合规建设，减少网络事故。

目前的准入控制技术主要分为两大类：基于网络的准入控制和基于主机的准入控制。

基于网络的准入控制主要有EAPOL(Extensible Authentication Protocol Over LAN)技术、EAPOU(Extensible Authentication Protocol Over UDP)技术;基于主机的准入控制主要有应用准入控制、客户端准入控制。

1.基于网络的准入控制EAPOLEAP是Extensible Authentication Protocol的缩写，EAP最初作为PPP的扩展认证协议，使PPP的认证更具安全性。

无线局域网兴起后，人们在无线局域网接入领域引入了EAP 认证，同时设计了专门封装和传送EAP认证数据的IEEE 802.1x协议格式。

802.1x协议除了支持WLAN外，也支持传统的其他局域网类型，比如以太网、FDDI、Token Ring。

EAP 与802.1x的结合就是EAPOL(EAP Over LAN)，或者称为EAP over 802.1x。