一、產(chǎn)品概述
    如今，為應對來自內(nèi)外部的網(wǎng)絡(luò)與數(shù)據(jù)安全威脅，數(shù)據(jù)防泄密、補丁管理、終端安全、接入認證、基線管理、資產(chǎn)管理等各種安全管理系統(tǒng)在大型機構(gòu)內(nèi)部網(wǎng)絡(luò)中不斷部署，這些分散的、不斷增多的安全系統(tǒng)加重了管理負擔，且因缺乏統(tǒng)一的架構(gòu)，數(shù)據(jù)難以集中，系統(tǒng)間缺乏協(xié)同，使得安全效果有限。聯(lián)軟科技認為將網(wǎng)絡(luò)、終端、應用、信息割裂開來的分別予以治理的方式存在很大局限性。解決信息安全管理問題，必須從頂層設(shè)計入手，將終端、應用、信息，乃至包括人員的管理都納入解決方案中，才能有效的解決問題。
二、網(wǎng)絡(luò)準入管理系統(tǒng)
2.1.準入控制系統(tǒng)簡介

    LeagView網(wǎng)絡(luò)準入控制是LeagView終端安全管理系統(tǒng)的一個管理組件。借助LeagView網(wǎng)絡(luò)準入控制技術(shù)，可以對接入網(wǎng)絡(luò)的客戶機設(shè)備進行控制，只有合法身份和滿足安全要求的客戶機才允許接入網(wǎng)絡(luò)。    
    LeagView網(wǎng)絡(luò)準入控制可以幫助用戶很好地解決如下問題：

        l  防止非法的外來電腦接入網(wǎng)絡(luò)，影響內(nèi)部網(wǎng)絡(luò)的安全；

        l  防止感染病毒、木馬的桌面電腦和筆記本電腦直接接入內(nèi)部網(wǎng)絡(luò)，影響網(wǎng)絡(luò)的正常運行；

        l  確保接入網(wǎng)絡(luò)的客戶機符合安全管理要求。

        l  幫助安全管理員解決內(nèi)部用戶私自接HUB、無線AP等不安全行為。

    LeagView網(wǎng)絡(luò)準入控制杜絕非法外來電腦接入內(nèi)部網(wǎng)絡(luò)；同時將有問題的客戶機隔離或限制其訪問，直到這些有問題的客戶機修復為止，這樣，一方面可以防止這些客戶機成為蠕蟲和病毒攻擊的目標，還可以防止這些主機成為傳播病毒的源頭。
2.2.網(wǎng)絡(luò)準入控制技術(shù)

    在聯(lián)軟網(wǎng)絡(luò)準入控制解決方案中，管理員可以將網(wǎng)絡(luò)資源劃分為不同的區(qū)域以便不同的終端訪問不同區(qū)域的網(wǎng)絡(luò)資源：訪客區(qū)、修復區(qū)和正常工作區(qū)。劃分方式是基于IP/MAC的訪問控制列表或VLAN。

網(wǎng)絡(luò)準入控制原理

    一般來說，訪客區(qū)的網(wǎng)絡(luò)資源是可以被任何用戶的終端訪問的，如Internet資源。一般外來用戶的終端設(shè)備被限制只能訪問訪客區(qū)的網(wǎng)絡(luò)資源。修復區(qū)網(wǎng)絡(luò)資源是用來修復安全漏洞的，如補丁服務(wù)器、防病毒服務(wù)器、軟件安裝包服務(wù)器等，不符合組織安全策略要求的終端被限制在修復區(qū)中，強制它們進行安全修復。

當終端設(shè)備被接入網(wǎng)絡(luò)時，會被要求進行身份認證和安全策略檢查。如果是來自外部的PC機試圖接入網(wǎng)絡(luò)，LeagView將采取如下措施：

        1. 拒絕外部終端設(shè)備接入網(wǎng)絡(luò)；

        2. 將外部終端設(shè)備設(shè)置到訪客區(qū)中；

    如果是來自內(nèi)部合法終端設(shè)備接入網(wǎng)絡(luò)，LeagView將采取如下控制措施：

        1. 檢查用戶輸入的用戶名和口令是否合法；檢查終端是否滿足安全策略要求。

        2. 只有合法身份的用戶以及滿足組織安全規(guī)范的終端設(shè)備才能接入到網(wǎng)絡(luò)中，否則系統(tǒng)會將此終端設(shè)備自動切換到修復區(qū)中，終端設(shè)備在此修復區(qū)中訪問修復安全漏洞必須的網(wǎng)絡(luò)資源；

        3.合法身份的用戶以及滿足組織安全規(guī)范的終端設(shè)備接入到網(wǎng)絡(luò)時，系統(tǒng)會根據(jù)用戶身份自動將終端設(shè)備切換到屬于該用戶的工作區(qū)中，從而實現(xiàn)不同權(quán)限的人可以訪問不同的網(wǎng)絡(luò)資源。

    LeagView可以將用戶和終端設(shè)備進行綁定，即某個用戶只能通過某臺終端設(shè)備接入到網(wǎng)絡(luò)中，這樣可以禁止內(nèi)部員工私自將家里終端計算機接入到網(wǎng)絡(luò)中。

    LeagView網(wǎng)絡(luò)準入控制架構(gòu)支持高可靠性，避免因為LeagView服務(wù)宕機或者網(wǎng)絡(luò)通訊故障導致終端設(shè)備不能接入網(wǎng)絡(luò)的情況。
2.3.網(wǎng)絡(luò)準入控制的動態(tài)授權(quán)

    LeagView 網(wǎng)絡(luò)準入控制架構(gòu)可以對接入的終端進行動態(tài)的授權(quán)，主要包括以下幾個部分：

        1. 基于用戶或用戶所在的部門自動分發(fā)VLAN進行控制；

        2. 用戶VLAN的動態(tài)下發(fā)，根據(jù)接入的身份或部門信息、設(shè)備組、用戶組等自動劃分到指定的VLAN；

        3. 用戶權(quán)限的實時控制，對接入的終端進行實時的控制；

        4. IP地址獲取策略限制，可以禁用終端對IP地址的修改；

        5. 防止私接路由器、私接HUB、仿冒合法IP/MAC的違規(guī)入網(wǎng)行為；

        6. 接入時段限制；

        7. 接入?yún)^(qū)域限制；

        8. 多網(wǎng)卡和撥號網(wǎng)絡(luò)限制；

        9. 代理服務(wù)器限制；

        10. MAC地址修改限制；

根據(jù)設(shè)備組進行策略下發(fā)

2.4.準入控制系統(tǒng)終端接入管理體系
    部署準入控制系統(tǒng)后，改變了電腦終端接入網(wǎng)絡(luò)的行為模式。一般來說，電腦終端接入網(wǎng)絡(luò)需要：

        1) 注冊登記

        內(nèi)部終端要訪問網(wǎng)絡(luò)資源之前，需要在網(wǎng)絡(luò)上注冊登記（用戶賬戶登記、終端ID注冊等），取得接入網(wǎng)絡(luò)的權(quán)限。

        2) 接入檢查

        終端在接入網(wǎng)絡(luò)時，準入控制系統(tǒng)會檢查其用戶賬戶、安全設(shè)置狀態(tài)、終端硬件合法性等。

        3) 安全隔離

        如果在接入檢查時，發(fā)現(xiàn)終端不符合安全規(guī)定，需要對終端進行隔離或拒絕其訪問網(wǎng)絡(luò)資源，例如：發(fā)現(xiàn)是外來終端則拒絕接入或進入“訪客區(qū)”網(wǎng)段，或者是內(nèi)部不符合安全規(guī)定的終端，則讓其進入“修復區(qū)”。

        4) 安全通知

        對被隔離的終端進行通知，告知其被隔離的原因。

        5) 安全修復

        自動引導被隔離的終端，讓其修復安全設(shè)置或者進行注冊登記，使得其可以正常訪問網(wǎng)絡(luò)資源。

    一個完整的網(wǎng)絡(luò)準入控制系統(tǒng)，應該包括以上五個方面的內(nèi)容，缺少其中一個或者兩個方面的內(nèi)容，就不是完善的解決方案，會給準入控制系統(tǒng)的部署和推廣帶來問題。

    聯(lián)軟科技的LeagView網(wǎng)絡(luò)準入控制解決方案是一個完整的準入控制方案，可以提供以上五個方面的所有內(nèi)容。
2.5.準入控制系統(tǒng)管理方案設(shè)計
    （1）設(shè)備通過交換機直接接入

    企業(yè)內(nèi)部傳統(tǒng)通過交換機直連的設(shè)備使用802.1X方式實現(xiàn)管控。內(nèi)網(wǎng)辦公環(huán)境使用交換機啟用802.1x準入方式，同時，配合guest vlan的端口鏡像準入，提供訪客申請、流量審計、在網(wǎng)安全檢查及智能準入等功能，在保障安全的基礎(chǔ)上使一線辦公員入網(wǎng)更加便捷。
   （2）通過Hub集線器接入

    如企業(yè)內(nèi)部含有部分職場提供/私接的Hub集線器設(shè)備，導致對集線器下多臺設(shè)備對外提供同一個MAC地址，給安全管理提供不便性和安全隱患。

    聯(lián)軟科技的準入網(wǎng)關(guān)通過一下方式對Hub集線器下終端的嚴格管控：

       a. 準入網(wǎng)關(guān)上線后，首先通過網(wǎng)絡(luò)設(shè)備發(fā)現(xiàn)的方式對企業(yè)內(nèi)部所有Hub集線器進行自動收集，展示出企業(yè)現(xiàn)有Hub集線器數(shù)量及位置。

       b. 在內(nèi)外網(wǎng)環(huán)境下下，上聯(lián)交換機使用802.1x方式進行管理，依據(jù)終端設(shè)備的MAC地址逐個認證。

       c. 聯(lián)軟準入網(wǎng)關(guān)上的設(shè)備mac地址信息依據(jù)終端設(shè)備上已安裝的客戶端上傳的mac地址信息標記設(shè)備并展示，避免僅通過網(wǎng)絡(luò)掃描收集造成的數(shù)據(jù)不準確情況。
（3）設(shè)備通過無線接入

    通過無線接入的設(shè)備主要有手機和筆記本，兩者均是通過AP設(shè)備發(fā)布的無線SSID接入，為方便運維人員管理，聯(lián)軟科技通過同一SSID實現(xiàn)不同設(shè)備的不同權(quán)限控制。

    用戶使用手機端接入時，通過WLAN的802.1x認證的方式，自動為手機彈出AD/LDAP認證頁面，用戶通過使用正確的用戶信息進行認證。認證通過后，無線AC自動區(qū)分出手機設(shè)備，并對其應用僅有互聯(lián)網(wǎng)權(quán)限的VLAN，使手機接入網(wǎng)絡(luò)后僅能訪問互聯(lián)網(wǎng)。
2.7.方案特點

    LV7000的網(wǎng)絡(luò)接入管理系統(tǒng)，專為防止設(shè)備被病毒感染和網(wǎng)絡(luò)被隨意接入而設(shè)計，具有以下特點：

        l  組網(wǎng)靈活、兼容性高：具有業(yè)界最靈活的組網(wǎng)方式，業(yè)界最完善的接入認證技術(shù)、業(yè)界最廣泛的網(wǎng)絡(luò)設(shè)備兼容性；

        l  最嚴密的安全接入控制手段：直接與網(wǎng)絡(luò)設(shè)備聯(lián)動，自動下發(fā)VLAN和ACL，安全控制粒度最細，與安全助手結(jié)合可感知應用類別，實現(xiàn)資源訪問控制；

        l  真正的最小授權(quán)：最嚴格的、最全面的準入策略，最大程度上確保了企業(yè)安全；

        l  可靠性設(shè)計優(yōu)異：系統(tǒng)結(jié)構(gòu)簡單，無單點故障，提供緊急逃生模式。在Radius服務(wù)器全面連接不上時，無需人工干預，自動撤防，不降低網(wǎng)絡(luò)可靠性；

        l  故障診斷便捷：一方面，終端用戶不需要做任何網(wǎng)絡(luò)屬性設(shè)置；另一方面，接入故障診斷一目了然，一個界面分析出所有問題（端口、認證、策略、綁定）；

        l  部署和維護簡單：系統(tǒng)提供Agent自助式部署工具、接入故障和系統(tǒng)故障診斷分析工具，策略設(shè)置簡單易懂；

        l  獨立第三方軟件解決方案，不依賴于網(wǎng)絡(luò)設(shè)備廠商，用戶在設(shè)備采購時有更多決策自由權(quán)；

        l  安全性和穩(wěn)定性經(jīng)過上千家金融、電信、政府等行業(yè)用戶長期運行檢驗。