当前,在局域网网络安全管理中,有一项比较重要的功能就是禁止外来电脑、移动设备接入单位局域网,也就是实现网络准入控制,尤其是无线局域网接入控制是当前很多单位急需的网络安全管理功能。如何实现呢?
一、局域网网络准入控制系统方案背景
目前,同类网络准入控制系统主要基于以下技术实现:
1、 在路由器或交换机等网络设备上面启用IP和MAC地址绑定来防止外来设备接入,虽然可以起到一定的作用,但是如果外来设备将其IP和MAC地址同时修改成和绑定电脑一样的IP和MAC地址信息,就可以接入内网而绕过系统监控。
2、 针对无线局域网来说,通常情况下无线设备由于功能的局限而通常无法进行IP和MAC地址绑定,同时单位内部也有各种移动设备和无线设备,一旦绑定也会影响此类设备的使用。
3、同类网络准入控制系统,常常是基于C/S架构,在局域网内分别安装管理端和客户端来实现网络准入控制,同时管理端也必须依赖客户端才能实现网络准入控制,一旦客户端被强行卸载或破坏,将会导致网络准入控制功能失效。
4、一些网络准入控制系统还对网络设备有要求,需要网络管理员配合设置相关网络设备方可实现,从而无形中增加了用户部署网络准入控制系统的成本和工作量,也不适合一般单位需要。
当然,上述网络准入控制方式都可以起到一定的作用,但是由于存在各种局限,使得用户始终无法实现更为快捷、灵活和精准的网络准入控制功能。并且,由于当前国内企事业单位越来越通过无线wifi上网,单位内部的无线设备和移动设备也越来越多,如何有效防止外来设备接入,保护单位局域网共享文件安全和网络安全,就成为企业网络管理的重要工作。
二、大势至网络准入控制技术方案
大势至网络准入控制系统(下载地址:http://www.grabsun.com/wailaidiannaokongzhi.html)是一种基于网络报文重定向和过滤驱动双重技术实现网络准入控制的内网接入控制系统。具体实现方式为:本系统基于C/S架构实现,分为管理端和客户端,管理端安装在局域网一台电脑或服务器上,客户端安装在用户计算机上并自动在网卡上安装过滤驱动,并自动连接到管理端,管理端基于ARP广播报文来获取接入局域网的所有设备,一旦发现非内网电脑、移动设备接入内网之后,将通过网络报文重定向,使得外来电脑无法找到内网其他电脑,同时对内网电脑也进行网络报文重定向,使其无法主动与外来电脑进行通信,从而实现阻止外来电脑接入内网的目的。同时,基于内网电脑安装的客户端软件,通过网卡驻留的网络报文过滤驱动,可以实现对内网电脑主动访问外部MAC地址的控制,以及阻止外来电脑访问本机,从而进一步加强了网络准入控制,实现了双重的网络准入控制,最大限度保护网络安全。
图:大势至无线局域网接入控制器截图
三、大势至局域网接入控制系统创新优势
大势至网络准入控制系统,具有如下领先优势:
1、具有灵活的网络准入控制功能。传统的网络准入控制系统通常是基于C/S架构,需要在电脑安装管理端和客户端方可实现网络准入控制。而本系统虽然支持基于C/S架构的控制,但也可以不用安装客户端软件,实现了基于B/S架构的网络准入控制功能,适应性更强、更为灵活,在简化用户部署本系统同时也可以实现网络准入控制功能。
2、本系统独家基于ARP双向欺骗构建。同类网络准入控制系统通常基于单向ARP欺骗来实现。也即通过向被隔离的电脑发送网关的IP地址+网关伪造的MAC地址的方式隔离电脑访问外网;通过向被隔离电脑发送白名单电脑的IP地址+白名单电脑伪造的MAC地址来实现禁止黑名单电脑访问白名单电脑。但是,一旦白名单电脑主动访问黑名单电脑,则此种隔离方式就无法实现禁止。而通过本系统的ARP双向欺骗技术,不但实现了禁止黑名单电脑访问网关或白名单电脑,而且还可以实现禁止白名单电脑主动访问黑名单电脑,实现了双向隔离,有效避免了白名单电脑主动访问黑名单电脑的情况,实现了更为严密的网络准入控制。
3、传统的网络准入控制系统虽然也安装客户端,但主要用来接收和执行管理端的指令,并没有与管理端进行实时交互验证,这样一旦客户端电脑自行安装了客户端,同时也修改自己的IP地址和MAC地址与白名单电脑的IP地址和MAC地址相同的情况下,将会绕过系统监控,获得合法访问内网白名单或服务器的目的,从而不利于实现严密的网络准入控制。此外,同类网络准入控制系统的客户端,虽然可以阻止黑名单电脑访问内网白名单,但是无法阻止白名单电脑主动访问黑名单,这样使得一旦内部电脑主动访问外部黑名单电脑,将会使得网络准入控制功能失效的情况,不利于实现网络安全管理,也没有实现真正实时的网络准入控制功能。
4、传统的网络准入控制系统缺乏对客户端电脑以及局域网网络安全环境的管控,从而无法对用户各种不规范甚至非法网络行为的管控。而本系统的管理端集成了禁止局域网代理、检测局域网混杂模式网卡、检测局域网ARP攻击源主机,防止网络嗅探和网络抓包的功能,进一步强化了网络安全管控,防止了网络次生灾害的发生,实现了电脑使用层面的网络准入控制功能。而通过客户端软件集成的禁止客户端电脑修改IP地址和MAC地址的行为,以及记录客户端电脑使用行为日志,则进一步强化了管理员对客户端电脑管控,便于采取各种预防性的网络准入控制功能,实现了事前、事中和事后的网络准入控制。
即刻下载体验:http://www.grabsun.com/wailaidiannaokongzhi.html
| 大势至公司可以独家提供从局域网网络行为管理、电脑资料防止泄密管控和信息安全防护一站式解决方案 | |
| 聚生网管网络管理系统(下载) | 是一款专门的办公室电脑监控软件、局域网网络控制软件,可以禁止网络游戏、禁止上班炒股、禁止P2P软件下载、禁止在线看视频、局域网限制别人网速等,以及绑定局域网IP和MAC地址,防止ARP攻击行为等。 |
| 大势至文件共享管理软件(下载) | 是一款专门的共享文件夹访问日志记录软件、服务器共享文件访问权限设置软件,可以实现只让读取共享文件而禁止复制共享文件、只让打开共享文件而禁止另存为本地和禁止拖拽共享文件以及只让修改共享文件而禁止删除共享文件,保护服务器共享文件安全,防止共享文件越权访问。 |
| 大势至企业数据泄密防护系统(下载) | 是一款专门保护电脑文件安全,防止U盘复制文件、禁用USB端口的软件,同时还可以屏蔽邮件附件、禁止登录网盘上传文件、禁止FTP软件发送文件、禁止微信发送文件、禁止QQ发送文件等,防止各种途径泄密。 |
| 大势至局域网接入认证系统(下载) | 是一款专业的局域网网络准入控制系统,有效阻止外来电脑接入局域网、禁止外来上网上网、禁止非单位电脑访问局域网共享文件、隔离局域网电脑、进行IP和MAC地址绑定、禁止修改IP地址等,保护局域网安全。 |
