寶界終端准入控制解決方案

解決方案

無錫寶界科技****

2023年9月24日

目錄一、概述 - 3 -

二、內網急需安全准入控制 - 3 -

2.1 內網管理混亂的問題 - 4 -

2.2 保證內、外網隔離的問題 - 4 -

2.3 防止私改**，ip **無法可控的問題 - 4 -

2.4 核心系統安全保障的問題 - 5 -

2.5 內網無法實名制的問題 - 5 -

2.6 保證終端裝置合規性和安全性的問題 - 5 -

2.7 無法支援移動辦公的問題 - 5 -

三、各種安全准入解決方案存在的問題 - 6 -

3.1 802.1x 協議與老舊裝置不相容的問題 - 6 -

3.2 無法強制安裝客戶端軟體的問題 - 7 -

3.3 需要改變網路結構 - 8 -

3.4 不同廠家裝置相容問題 - 8 -

3.5 影響高管人員上網問題 - 9 -

3.6 各種裝置統一控制問題 - 9 -

3.7 網路變動和移動辦公的問題 - 9 -

3.8 埠mac 繫結存在以下問題 - 9 -

3.9 安裝客戶端軟體存在以下問題 - 9 -

四、寶界內網終端准入控制解決方案 - 10 -

4.1 網路准入控制部署與拓樸結構 - 11 -

4.2 終端入網准入流程 - 12 -

4.3 寶界內網終端准入控制主要功能 - 13 -

4.3.1、內網裝置資源管理功能 - 13 -

4.3.2、強有力的阻止功能 - 14 -

4.3.3、對網路裝置及服務埠管理功能 - 15 -

五、寶界內網終端准入控制解決方案的優勢 - 19 -

5.1 寶界802.1x 准入控制的優勢 - 19 -

5.2 寶界dhcp 准入控制的優勢 - 19 -

5.3 寶界閘道器型准入控制的優勢 - 19 -

5.4 寶界snmp 准入控制的優勢 - 19 -

5.5 寶界arp 准入控制的優勢 - 20 -

5.6 相容不同廠家、不同年代的網路接入裝置 - 20 -

5.7 相容不同的作業系統 - 21 -

5.8 利用ip 中心下發技術，建立網路隔離區 - 21 -

5.9 配合接入裝置，防止私改ip ** - 21 -

5.10 對老舊網路進行arp 檢測 - 22 -

六、總結 - 22 -

七、產品型號 - 23 -

隨著我國資訊系統建設的普及和成熟，企業的資訊系統和網路變得越來越複雜。企業常常無法控制和了解內部網路的情況，無法知道有什麼人、什麼終端、從什麼地方接入到內部網路中，更無法對接入內部網路的人、終端進行訪問控制的規範管理。

美國著名調研機構gartner 研究表明，鑑於終端的非法使用和病毒氾濫，美國80%的受訪企業想要採用網路准入控制（nac）。

對於內部網路缺乏規範管理，各個廠家都沒有提出系統的解決方案。各個廠家經常會以網路准入控制解決部分內網管理的問題。

當今世界上的網路准入方案大致來自於兩類廠家。一：內網管理廠家；二：

交換機廠家；內網管理廠家需要先安裝客戶端軟體，再實現准入控制。對於不安裝軟體的終端，只能新增閘道器裝置，對出外網的訪問進行檢查。而對於內部網路的接入，只能依賴於交換機進行准入控制。

但由於低端交換機和老舊交換機不支援准入控制，因此企業靠這兩種解決方案無法實現全網的准入控制。

寶界科技提出一種新的、不同於以上兩種的網路准入控制（nac）方案。這種新方案將常見的兩種准入控制技術融入進來，並進行創新，解決了無法保證網路邊界完整和與企業老舊裝置和系統相容的問題。使得企業在不用更新網路裝置、不用改變網路結構、不用安裝客戶端的情況下，實現網路實名制准入控制。

寶界科技在實名准入控制的基礎上，提出一套完整的內網規範管理的系統，實現了對內部網路的人、終端、ip、裝置的統一規範管理，實現了我國資訊系統等級保護中對網路邊界保護、訪問控制、身份認證等的要求。同時，也有效地解決了目前各大企事業單位普遍存在的非法外聯、無法保證網路邊界完整、無法做到網路出口唯

一、無法做到ip 位址中心下發、統一管控、無法做到內部網路實名制等一系列的問題。

下面我們對目前幾種常見的網路准入技術方案進行了詳細介紹。對各種方案形成的深層原因進行了分析。並列舉出了幾家有代表性的廠家，對他們的產品進行分析和比較。

我們將目前存在的網路層安全問題歸納如下：

1、內網管理混亂的問題

2、非法外聯的問題

3、保證內、外網隔離的問題

4、保證網路邊界完整的問題

5、防止私改**，ip **無法可控的問題

6、核心系統安全保障的問題

7、內網無法實名制的問題

8、保證終端裝置合規性和安全性的問題

9、細粒度網路訪問控制許可權可實現的問題

10、無法支援移動辦公的問題

由於缺乏「內網規範管理」的系統，企業內部網路常常處於管理混亂的狀態。企業不知道目前有什麼人、有多少人、有多少終端正在使用企業內部網路；不知道終端是否安裝了要求的終端軟體、是否使用了外來的終端裝置進入內部網路；不知道內部網路中有多少ip，每個ip 的使用人；不知道是否有外部的網路裝置（如：私帶的路由器、無線ap、等）正在本單位的內部網路執行。

目前，大多數重要企業都進行了物理隔離。但這種物理隔離僅限於網路的基礎結構的物理隔離。對接入內網和外網的終端並沒有進行很好的管控。

如何保證內網與外網不發生互聯，如何保證內、外網終端和筆記本不發生誤接和混接，是各大企業急需解決的問題。

我國企業，尤其是保密或涉密單位，目前多採用ip 網路統一規劃，終端單獨設定ip 位址的方法來管理網路。這種管法的優點在於，可以通過ip 和人關聯，實現對使用者的網路行為進行管理和審計。但是，隨著網絡卡管理技術的普及，越來越多的人知道如何重新設定網絡卡的ip 位址和mac 位址。

由於，企業授權每個使用者可以自己設定ip 位址，因此常常發生使用者將自己的ip位址設為他人的ip 位址，造成網路管理和安全問題。同時，允許私設和私改ip/mac 位址，就無法**arp 病毒。

要解決私設和私改ip/mac 位址的問題，要徹底**arp 病毒，就必須從根本上改變允許終端使用者自己設定ip 的問題。而採取ip **中心下發，統一管理的新技術和新的管理方法。

隨著我國各大企業業務大集中的發展，各單位將重要的應用都集中在集團的資訊中心，從而達到應用共享，提高工作效率的目的。系統的大集中對系統的安全提出了更高的要求。企業需要保證能夠對系統進行訪問的人和終端必須是經過授權的、安全的人和終端。

由於各大企業管理是分級授權管理，因此許多企業集團無法直接管理到各個下級單位的網路管理和使用。

如何保證從進入集團的網路訪問是來自於被授權的下級單位，來自於被授權的終端和員工，並且使用終端是符合應用系統要求的，就是企業急需解決的問題。同時，集中的核心系統安全存在這短板效應，一旦有乙個下級單位的乙個終端發生問題，就會使整個系統面臨威脅。

這個問題解決不好，就會影響到整個集團的內網資訊保安。

企業管理ip **的方法，通常有dhcp 和靜態ip 兩種管理方法。但兩種方法都無法保證ip 位址實名管理和審計的問題。

在dhcp 環境下，由於ip 位址動態分配，無法保證指定終端永遠獲得同乙個ip 位址。就更無法確定ip 位址使用者的身份。

在靜態ip 的環境下，由於無法很好地解決私改、私設ip 位址的問題，因此也無法確定ip 使用者的唯一性。

大多數企業沒有很好的技術手段，配合相應政策，保證所有終端在接入辦公內網前，安裝和執行了規定的桌面軟體、殺病毒軟體和必須的控制軟體。

另外，企業也很難保證終端進行了必要的補丁更新。也無法保證所有進入網路的終端進行了必要的補丁更新。

隨著計算機的普及，隨著膝上型電腦的越來越多，企業有移動辦公的需求。由於，企業常常採用的是ip 埠繫結的方法，就無法支援員工進行移動辦公。

寶界終端准入控制解決方案

寧盾物聯網終端准入之防私接解決方案

天融信網路安全准入解決方案

智歌車載互聯終端解決方案

寶界終端准入控制解決方案

寧盾物聯網終端准入之防私接解決方案

天融信網路安全准入解決方案

智歌車載互聯終端解決方案

相關推薦