大势至网络准入控制系统是当前国内首款基于B/S架构的局域网安全管理系统，本文主要给大家介绍下大势至网络准入控制系统、局域网接入认证系统、网络接入管理系统，感兴趣的朋友们可以过来看看！

大势至网络准入控制系统

（技术白皮书）

大势至（北京）软件工程有限公司

一、为什么需要网络准入控制系统

随着网络技术的快速发展与广泛应用，如何保障网络信息安全，如何最大限度地减少或避免因网络内部接入客户端因素造成的信息泄漏和破坏，成为摆在我们面前一项刻不容缓的重要课题。主要体现在以下几方面：

1、外来终端随意接入单位局域网，访问单位局域网共享文件等单位重要无形资产；

2、外来终端的接入上网会大量占用局域网网络带宽资源，造成网速下降、网络堵塞；

3、局域网内部用户主动与与外来移动终端非法通讯（如自行携带的电脑或外来人员带入的终端设备）；

4、局域网内部用户随意修改IP地址或MAC地址，造成网络冲突、获取非法访问权限；

5、局域网内部用户私自安装无线路由器、随身wifi等移动上网设备，非法扩展网络；

6、局域网内部用户非法进行网络抓包、网络嗅探，造成用户机密信息的泄露；

7、局域网用户有可能运行黑客软件、ARP攻击软件等行为，造成局域网断网掉线。

二、当前网络准入控制系统的不足和缺陷

随着一些内网安全管理产品在市场上的热销，各种理念的产品层出不穷，但产品同质化趋势明显，产品架构和部署方式也大致相同，一些网络准入控制功能也大同小异。但从用户的实际使用来看，主要有以下一些不足和缺陷：

1、普遍需要安装客户端软件，一旦客户端被移除则无法实现网络准入控制功能；

2、主流网络准入控制系统部署复杂，运维成本高，用户体验差；

3、与单位内部现有的信息系统兼容性较差，无法发挥协同效应；

4、终端准入安全存在漏洞，容易被一些懂技术的人员绕过；

5、无法实现基于图形界面的可视化管理，无法适应各层次人员使用；

6、无法发现发生在内网内部的安全违规行为。

三、大势至网络准入控制系统优势特点

大势至网络准入控制系统(下载地址:http://www.grabsun.com/wailaidiannaokongzhi.html)是当前国内首款基于B/S架构的局域网安全管理系统，无需安装客户端软件，而是通过集成的端口重定向技术、网络基础通讯协议的深度解析技术以及与路由器、交换机等网络设备的联动控制技术，可以实现最为便捷同时极为精准的局域网准入控制功能，实现全面的外来移动终端管控与局域网内部终端的规范使用，实现最大限度的局域网安全管理，实现单位局域网无形资产、网络带宽资源的安全可控。

图：大势至网络准入控制系统截图

1、独创的基于B/S架构的部署方式，无需在客户端安装软件就可以实现网络准入控制；

2、独创的基于“创新直连”部署方式，最便捷实现跨网段的网络准入控制功能；

3、基于实时的IP和MAC地址绑定检测，完全杜绝修改IP地址、IP冲突或越权上网；

4、全面应对ARP攻击、网络嗅探、网络抓包和局域网代理等非法网络行为；

5、精准检测局域网无线路由器和无线AP等设备接入，防止网络不适当扩展；

6、提供详细的网络安全事件记录功能，为网络管理员提供详细的事前防范与事后审计；

7、特殊情况下可以配合大势至公司推出的客户端软件，进一步增强网络准入控制功能；

8、本系统也可以与大势至公司其他网络管理系统形成协同联动，帮助企事业单位实现全面的局域网安全管控。

《信息安全技术信息系统安全等级保护技术要求》（GB/T22239-2008）

《涉及国家秘密的信息系统分级保护技术要求》（BMB17-2006）

《信息安全技术终端计算机系统安全等级技术要求》（GA/T671-2006）

《信息技术安全技术信息安全管理体系要求》（GB/T22080-2008）

《信息技术安全技术信息安全管理实用规则》（GB/T22081-2008）

五、大势至网络准入管理系统功能

控制功能

1）禁止外部电脑(如笔记本)或移动设备(如平板电脑或手机)接入单位局域网访问因特网；

2）禁止外部电脑访问局域网内部共享资源、禁止外部电脑和单位内部电脑通讯；

3）禁止单位内部电脑修改IP地址或MAC地址，防止越权上网或逃避网络监控；

4）不仅可以隔离外部电脑，还可以禁止内部电脑主动访问外部设备，实现双向隔离；

5）突破一切防火墙隔离内部电脑或外部电脑上网或访问内部局域网的行为；

6）检测局域网内处于混杂模式的网卡，防止局域网电脑运行黑客软件、嗅探软件等；

7）防御局域网ARP攻击、抵御ARP欺骗、防止ARP病毒攻击、防止ARP劫持攻击等；

8）可以实时扫描局域网无线路由器、禁止内网无线路由器或其他移动上网设备。

功能

支持将服务器IP添加至保护服务器管理，该服务器即刻被保护，未被许可访问的客户端将无法访问此服务器。一旦被管理员许可访问，则即刻就可以访问服务器。

支持将终端IP添加至例外终端管理，该终端将不受准入策略限制，无论是否在白名单均可以访问所有白名单电脑或黑名单电脑。

支持识别自定义http协议端口。

支持终端分发地址配置。

支持服务器管理地址配置。

支持本地LDAP连接。

支持第三方LDAP连接。

支持WindowsAD域连接。

加入准入系统白名单后的入网方式。

支持注册、LDAP账号认证、WindowsAD域账号认证后入网方式。

支持注册、LDAP账号认证、WindowsAD域账号认证并加入白名单后入网方式。

支持将网络划分为三个区域（白名单、黑名单、免监控）灵活的限制区域间的数据的流动。

支持ARP引导方式实现网络准入。

支持网络终端扫描功能。

支持展示交换机的基本状态信息，如接口列表、端口状态、端口类型、端口所属VLAN、端口dot1x状态。

功能

支持本地LDAP用户的添加删除修改。

支持第三方LDAP用户数据的查看。

支持手动确认用户注册。

支持自动确认用户注册。

支持取消用户注册。

支持在线用户名、用户IP、用户MAC地址与用户最近检测时间查看。

支持跨路由器扫描在线PC。

支持针对PC终端的远程桌面、文件共享、特定软件、特定进程等功能的状态（启用或禁用）进行准入控制。

支持密码修改。

支持系统时间查看修改。

支持接口IP、MAC、类型、启用状态、连接状态查看。

支持接口IP地址修改。

支持接口状态、类型修改。

支持路由信息的添加与删除。

支持系统服务器的停止、启动与重启。

支持页面操作方式升级本系统。

6、系统日志

系统日志包括违规访问日志、心跳日志、认证日志三大类。

支持违规访问的四元组信息、访问时间的查看、查询与删除。

支持心跳日志记录查询与删除

支持本地LDAP、第三方LDAP、WindowsAD域认证记录查询与删除。

支持802.1x成功或失败认证记录的查询与删除。

1、基于B/S架构，无需安装客户端软件，部署快捷简单；

2、支持旁路、网桥或网关三种方式部署，适应性强；

3、基于独家的“创新直连”部署方式，独家实现跨网段网络准入控制；

4、基于虚拟网关和ARP重定向技术，实现实时隔离；

5、同时隔离内网电脑之间的访问和访问外网，全面管控；

6、丰富、精细的网络准入控制功能，实现细致入微的网络管控；

7、基于开发编程接口构建，方便二次开发定制。

工作原理

大势至网络准入控制系统可以适应各种网络结构，不仅可以有效控制无线局域网，而且还可以对无线和有线局域网进行同时管控。同时，系统还可以极为便捷地实现三层交换机多网段环境的网络准入控制，是当前国内适应性最强的网络准入控制系统。

图：大势至网络准入控制系统功能实现图

2、阻止外部设备访问内部数据

图：阻止外部设备访问局域网内部数据资源

成功案例

济南军区xxxx部队训练部

中国核工业二三建设有限公司夹江分公司

西派特（北京）科技有限公司

上海龙创汽车设计股份有限公司

国家测绘地理信息局海南基础地理信息中心

浙江省余姚市地理信息中心

青海省民和回族土族自治县第一中学

深圳创维空调科技有限公司

中国人民解放军xxxxx部队

中北大学

山东省诸城中医医院

上海鼓风机厂有限公司

黑龙江省勃农兴达机械有限公司

青海中医院

……