圖 3層準入控制示意
·網絡層準入控制
是利用終端和網絡設備的聯(lián)動���,由網絡設備檢查終端是否安裝了客戶端軟件以及終端的安全狀態(tài)是否合格,從而達到準入控制的效果�����。在網絡的接入層�,接入交換機采用標準的802.1X協(xié)議與終端進行聯(lián)動。在網絡的匯聚層��,匯聚層交換機可以使用思科的私有EoU協(xié)議與終端聯(lián)動���,不同的網絡廠商的交換機和路由器可以有自己的私有協(xié)議�����,利用這些私有協(xié)議與終端管理軟件進行聯(lián)動�����,達到準入控制的效果����。在網絡的邊界,邊界網關設備與終端進行聯(lián)動��,邊界網關設備一般包括防火墻�����、UTM����、VPN等設備,而聯(lián)動協(xié)議一般也是私有協(xié)議��。802.1X準入因為是在接入層進行控制��,離終端最近���,控制最為嚴格,可以直接將終端隔離出網絡��,但部署相對困難。匯聚層及邊界層設備離終端稍遠����,控制力度稍弱,但部署相對容易一些���。對于外來電腦��,通過網絡層準入控制���,要么強制其安裝客戶端接受完整的管理,要么通過特殊的VLAN或ACL��,限制其網絡訪問����。
·應用層準入控制
其原理是在不同的應用服務器上安裝準入控制軟件,當終端訪問這些應用服務器時����,服務器上的準入控制軟件檢查終端是否接受了管理,安全狀態(tài)是否合格��。一般可以在DNS服務器���、代理服務器��、Web服務器����、ERP系統(tǒng)服務器,或者任意的應用服務器上安裝準入控制軟件���。這些服務器是單位內部員工最常訪問的服務器���,因此覆蓋面較廣。實際部署時��,一般只需在一到兩個服務器上部署控制點即可做到對全局的控制。因應用層離終端稍遠,所以控制力度也稍弱�。
·終端層準入
一般是指客戶端準入和ARP準入���。客戶端準入在終端訪問網絡時檢查自身是否符合安全策略�����,如果不符合,則阻斷自身應用程序的網絡訪問��;在終端接受訪問時,必須確認對端是否是接受管理的終端����,否則拒絕對方的訪問��,接受訪問時也檢查自身是否符合安全策略�。ARP準入是有客戶端的終端對未裝客戶端的終端進行ARP欺騙����,阻擾其正常的網絡訪問����,直到該終端正確安裝了客戶端軟件���。ARP準入因有較大的網絡副作用�����,比如廣播風暴,而且效果不理想�����,用戶對它的使用也越來越少了。此外�,客戶端準入如果配合網絡層準入或應用層準入一起使用,可使準入控制更加靈活和強大��。
通過上述的各種準入控制中的一種或多種手段,終端將被強制性地接受管理��,終端管理將不再有盲點�,終端管理產品將真正發(fā)揮作用,為政府部門和企業(yè)創(chuàng)造價值����。
試想如果沒有準入控制����,終端管理將沒有了確定性的手段,確保終端能夠接受管理�����。即使某種終端管理軟件的功能再強,如果不能部署在客戶端上��,也絲毫不能發(fā)揮作用��?�?梢哉f準入控制是終端管理的基石�����,要部署終端管理產品��,必須首先考慮準入控制。
