圖 3層準入控制示意
·網(wǎng)絡(luò)層準入控制
是利用終端和網(wǎng)絡(luò)設(shè)備的聯(lián)動�����,由網(wǎng)絡(luò)設(shè)備檢查終端是否安裝了客戶端軟件以及終端的安全狀態(tài)是否合格����,從而達到準入控制的效果��。在網(wǎng)絡(luò)的接入層�����,接入交換機采用標準的802.1X協(xié)議與終端進行聯(lián)動��。在網(wǎng)絡(luò)的匯聚層����,匯聚層交換機可以使用思科的私有EoU協(xié)議與終端聯(lián)動,不同的網(wǎng)絡(luò)廠商的交換機和路由器可以有自己的私有協(xié)議�,利用這些私有協(xié)議與終端管理軟件進行聯(lián)動,達到準入控制的效果�����。在網(wǎng)絡(luò)的邊界����,邊界網(wǎng)關(guān)設(shè)備與終端進行聯(lián)動,邊界網(wǎng)關(guān)設(shè)備一般包括防火墻��、UTM、VPN等設(shè)備����,而聯(lián)動協(xié)議一般也是私有協(xié)議。802.1X準入因為是在接入層進行控制��,離終端最近��,控制最為嚴格���,可以直接將終端隔離出網(wǎng)絡(luò)���,但部署相對困難。匯聚層及邊界層設(shè)備離終端稍遠����,控制力度稍弱,但部署相對容易一些���。對于外來電腦,通過網(wǎng)絡(luò)層準入控制�,要么強制其安裝客戶端接受完整的管理,要么通過特殊的VLAN或ACL���,限制其網(wǎng)絡(luò)訪問�����。
·應(yīng)用層準入控制
其原理是在不同的應(yīng)用服務(wù)器上安裝準入控制軟件�����,當終端訪問這些應(yīng)用服務(wù)器時��,服務(wù)器上的準入控制軟件檢查終端是否接受了管理���,安全狀態(tài)是否合格��。一般可以在DNS服務(wù)器�����、代理服務(wù)器���、Web服務(wù)器、ERP系統(tǒng)服務(wù)器�����,或者任意的應(yīng)用服務(wù)器上安裝準入控制軟件。這些服務(wù)器是單位內(nèi)部員工最常訪問的服務(wù)器����,因此覆蓋面較廣。實際部署時�,一般只需在一到兩個服務(wù)器上部署控制點即可做到對全局的控制。因應(yīng)用層離終端稍遠���,所以控制力度也稍弱��。
·終端層準入
一般是指客戶端準入和ARP準入�??蛻舳藴嗜朐诮K端訪問網(wǎng)絡(luò)時檢查自身是否符合安全策略,如果不符合�����,則阻斷自身應(yīng)用程序的網(wǎng)絡(luò)訪問���;在終端接受訪問時�����,必須確認對端是否是接受管理的終端,否則拒絕對方的訪問,接受訪問時也檢查自身是否符合安全策略���。ARP準入是有客戶端的終端對未裝客戶端的終端進行ARP欺騙��,阻擾其正常的網(wǎng)絡(luò)訪問�����,直到該終端正確安裝了客戶端軟件���。ARP準入因有較大的網(wǎng)絡(luò)副作用,比如廣播風暴���,而且效果不理想����,用戶對它的使用也越來越少了���。此外�,客戶端準入如果配合網(wǎng)絡(luò)層準入或應(yīng)用層準入一起使用��,可使準入控制更加靈活和強大�����。
通過上述的各種準入控制中的一種或多種手段,終端將被強制性地接受管理�,終端管理將不再有盲點,終端管理產(chǎn)品將真正發(fā)揮作用���,為政府部門和企業(yè)創(chuàng)造價值�。
試想如果沒有準入控制�,終端管理將沒有了確定性的手段,確保終端能夠接受管理���。即使某種終端管理軟件的功能再強����,如果不能部署在客戶端上���,也絲毫不能發(fā)揮作用���。可以說準入控制是終端管理的基石���,要部署終端管理產(chǎn)品���,必須首先考慮準入控制��。
