当前，企业局域网网络安全事件层出不穷，最近出现的勒索软件“想哭”病毒在短短几天内感染了全球100多个国家的数十万台电脑，给各行业企事业单位带来了重大损失。而勒索软件猖獗的原因，一方面是来自于互联网的黑客主动的攻击行为；而另一方面，则是企业局域网的网络滥用、非法接入、非法访问等行为。

当前局域网涉及内网非法接入的行为主要有以下几种：

　　1. 移动设备(笔记本电脑等)和新增设备未经过安全过滤和检查违规接入内部网络。未经允许擅自接入电脑设备会给网络带来病毒传播、黑客入侵等不安全因素;

2. 内部网络用户通过调制解调器、双网卡、无线网卡等网络设备进行在线违规拨号上网、违规离线上网等行为;

3. 大规模病毒(安全)事件发生后，网管无法确定病毒黑客事件源头、无法找到网络中的薄弱环节，无法做到事后分析、加强安全预警;

4. 静态IP地址的网络由于用户原因造成使用管理混乱、网管人员无法知道IP地址的使用、IP同MAC地址的绑定情况以及网络中IP分配情况;

5. 网络中计算机设备硬件设备繁多，不能做到精确统计。

由于对这些非法接入行为缺乏管理，由此引发的网络安全事件层出不穷，尤其是网络攻击行为、行业机密泄密等事件，给企业带来了重大损失。

那么，企事业单位如何防止网络非法接入、防止移动终端接入局域网呢？总结起来，企事业单位主要通过以下两种举措：

方法1、通过引入网关型的安全设备，包括防火墙、IPS、UTM等加强局域网网络安全管理。

目前，国内有很多网关型的网络安全设备，通常是将其部署在局域网网关出口处，通过内置的过滤规则，对进出互联网的报文进行实时的过滤，对于病毒、木马或者恶意代码、蠕虫病毒、勒索软件病毒程序进行一定的过滤，从而减少或杜绝此种危害。

此外，这些网络安全设备还具有一定的上网行为管理功能，可以一定程度上约束局域网用户随意上网的行为。如下图所示：

图：UTM设备

方法2、通过一些针对性的网络准入控制系统、局域网接入控制软件来实现。

虽然通过防火墙、UTM网关设备或者互联网网关设备，可以实现对一些病毒木马的隔离功能，但这种防护更主要是针对外网、来自外部的安全过滤和攻击防范，尤其是黑客的攻击行为。而对于内部局域网，比如移动设备接入、终端接入设备的控制，则功能就有些捉襟见肘了。这种情况下，可以借助于一些专门的网络准入控制软件来实现。

目前，国内有很多网络准入控制产品，有需要安装客户端的C/S架构的，也有基于B/S架构无需安装客户端的。C/S架构的网络安全管理软件虽然功能更为全面，但部署较为复杂，存在被卸载或破坏的风险；B/S架构的网络安全控制软件，可以实现企业局域网所需要的大部分网络安全管理功能，同时部署也更为快捷简单，只需要一台电脑就可以了。

例如有一款“大势至网络准入控制系统”（http://www.grablan.com/wailaidiannaokongzhi.html），只需要在局域网一台电脑安装部署，就可以实时扫描到局域网所有的接入设备，可以精准识别内网电脑还是外来终端设备，可以实行白名单和黑名单的管理机制，对于外来移动终端设备实时隔离，阻止其上网或访问局域网共享文件。同时，还可以对内网电脑进行IP和MAC地址绑定，禁止随意修改IP地址、防止ARP攻击行为等。此外，还可以禁止无线路由器接入局域网，防止网络随意扩展。如下图所示：

图：大势至局域网接入控制软件

此外，本系统还可以实时为主机增加备注，实时输出网络安全事件（比如修改IP地址、ARP攻击行为、外来设备接入行为、无线路由器接入、手机连接wifi以及代理服务器等），从而便于网管员实时掌握网络安全状况，精准定位局域网设备，并提前采取有效的防范举措。

总之，企业网络安全管理软件、企业网络安全方案的实现，一方面可以充分利用现有的网络硬件设备或专门的互联网网关设备，另一方面也可以借助于一些针对性更强、更精准的网络准入控制系统，具体采用哪种举措，企事业单位可以根据自己的需要进行抉择。