准入控制 让企业网络系统不再是“公共场所”

　　准入控制是终端管理基础

　　在内网安全管理中，准入控制是所有终端管理功能实现的基础所在，如果一个企业的网络系统变成任人进出的"公共场所"，索尼的"前车之鉴"就可能在任何一家企业"重演"了。

　　最近一段时间内，Skype、宏碁、任天堂等信息科技企业接连传出被黑客攻击的消息。甚至包括美国联邦调查局(FBI)、美国中央情报局(CIA)、西班牙及土耳其警方在内的多个政府机构也不能幸免。而此前传出被黑客入侵导致重要客户信息泄露的花旗银行，更令整个金融界人心惶惶，一时间众多企业人人自危，担心步至今仍灰头土脸的索尼后尘：一着不慎，满盘皆输。

　　网络安全需要构建的是整体的系统及架构，除了专业的团队、合理的机制外，更需要完善的技术支撑。目前，准入控制技术是行之有效的能够主动监控电脑安全状态和管理状态，将不安全的PC终端进行隔离、修复的技术之一。

　　一、什么是准入控制技术?

　　准入控制是网络准入控制(NAC)的简称，最早是由互联网解决方案提供商思科发起、多家厂商参加的计划，其宗旨是防止病毒和蠕虫等新兴网络恶意攻击技术对企业安全造成危害。

　　准入控制简要原理

　　借助准入控制，企业用户可以只允许合法的、值得信任的终端设备接入企业网络系统，而不允许其它未经许可的设备接入。

　　在独立技术和市场调研公司 Forrester 对NAC厂商的排名中，我们看到顶尖的NAC产品关键词中赫然列出了以下5条标准：

　　·Unified management (整合管理)

　　·Integration (集成度，或兼容性)

　　·Clientless (agentless) mode (无客户端模式)

　　·Hardware (appliance) (硬件应用)

　　基于主机的准入控制原理

　　·Heavy focus on IT consumerization, mobile device control and data center virtualization (关注前端、移动端和虚拟化)

　　准入控制可对网络边界进行保护，对接入网络的终端和终端的使用人进行合规检查及认证授权;还可与传统的网络安全技术结合，将被动防御变为主动的立体防御，能够有效促进内网安全建设，减少网络事故。

　　二、基于主机的准入控制原理

　　目前的准入控制技术主要分为两大类：基于网络的准入控制和基于主机的准入控制。基于网络的准入控制主要有EAPOL技术、EAPOU技术;基于主机的准入控制主要有应用准入控制、客户端准入控制等等，由于基于网络的准入控制需要花费相对较多的时间来部署和管理，企业用户的网络设备也不一定全面支持网络准入，因此，易于部署的基于主机的准入控制是很多企业采用的首选，且这类部署适应性好，覆盖面广，不用像其他网络设备依赖庞大的配置，对网络的性能也没有较多影响，还能做到基于进程的访问控制及基于进程的带宽管理。

　　基于网络与基于主机的准入控制对比

　　1、应用准入控制

　　出口准入控制是部署上最容易实现的终端安全管理技术。其思路是先进入再控制，允许用户使用网络，在出口处部署安全控制设备(如防火墙、行为控制网关等)。

　　应用准入控制

　　用户上网时，必须在出口的安全设备处进行身份认证和安全检查，通过之后才能上网。

　　服务器控制

　　出口准入控制的优点是部署简单，不需要安装客户端，而且具备流量控制、上网内容审计等功能，因此应用较为广泛。其缺点是无法识别用户身份�