利用准入控制技术攻克终端管理难题

　　其实，现在非常热门的准入控制技术，就可以非常好地解决客户端部署的问题。

　　可以说，准入控制是终端管理的基础，只有打好了这个基础，终端管理产品才不至于花了钱成为摆设，终端产品也才能真正为单位内网合规管理、桌面自动化运维、以及保证网络和终端的可用性发挥巨大的作用，进而在提高政府部门和企业的工作效率，保证业务始终可用，保护核心数据资产安全方面提供可靠的技术支撑。

　　那么准入控制是如何保障终端得以被管理的呢?

　　准入控制是在终端访问网络的必经之处设置检查点，检查发起网络访问的终端是否安装了客户端软件、其安全状态是否合格——如果没有安装客户端软件，将引导用户进行安装;如果安全状态不合格，将引导用户进行修复。

　　根据准入控制点的不同，一般可分为3个层面的准入控制，即网络层准入控制、应用层准入控制、终端层准入控制，每一层又可以选择多种准入控制技术或手段。图1是3层准入控制示意图。

▲

　　图1 3层准入控制示意

　　Ø 网络层准入控制

　　是利用终端和网络设备的联动，由网络设备检查终端是否安装了客户端软件以及终端的安全状态是否合格，从而达到准入控制的效果。在网络的接入层，接入交换机采用标准的802.1X协议与终端进行联动。在网络的汇聚层，汇聚层交换机可以使用思科的私有EoU协议与终端联动，不同的网络厂商的交换机和路由器可以有自己的私有协议，利用这些私有协议与终端管理软件进行联动，达到准入控制的效果。在网络的边界，边界网关设备与终端进行联动，边界网关设备一般包括防火墙、UTM、VPN等设备，而联动协议一般也是私有协议。802.1X准入因为是在接入层进行控制，离终端最近，控制最为严格，可以直接将终端隔离出网络，但部署相对困难。汇聚层及边界层设备离终端稍远，控制力度稍弱，但部署相对容易一些。对于外来电脑，通过网络层准入控制，要么强制其安装客户端接受完整的管理，要么通过特殊的VLAN或ACL，限制其网络访问。

　　Ø 应用层准入控制

　　其原理是在不同的应用服务器上安装准入控制软件，当终端访问这些应用服务器时，服务器上的准入控制软件检查终端是否接受了管理，安全状态是否合格。一般可以在DNS服务器、代理服务器、Web服务器、ERP系统服务器，或者任意的应用服务器上安装准入控制软件。这些服务器是单位内部员工最常访问的服务器，因此覆盖面较广。实际部署时，一般只需在一到两个服务器上部署控制点即可做到对全局的控制。因应用层离终端稍远，所以控制力度也稍弱。

　　Ø 终端层准入

　　一般是指客户端准入和ARP准入。客户端准入在终端访问网络时检查自身是否符合安全策略，如果不符合，则阻断自身应用程序的网络访问;在终端接受访问时，必须确认对端是否是接受管理的终端，否则拒绝对方的访问，接受访问时也检查自身是否符合安全策略。ARP准入是有客户端的终端对未装客户端的终端进行ARP欺骗，阻扰其正常的网络访问，直到该终端正确安装了客户端软件。ARP准入因有较大的网络副作用，比如广播风暴，而且效果不理想，用户对它的使用也越来越少了。此外，客户端准入如果配合网络层准入或应用层准入一起使用，可使准入控制更加灵活和强大。

　　通过上述的各种准入控制中的一种或多种手段，终端将被强制性地接受管理，终端管理将不再有盲点，终端管理产品将真正发挥作用，为政府部门和企业创造价值。

　　试想如果没有准入控制，终端管理将没有了确定性的手段，确保终端能够接受管理。即使某种终端管理软件的功能再强，如果不能部署在客户端上，也丝毫不能发挥作用。可以说准入控制是终端管理的基石，要部署终端管理产品，必须首先考虑准入控制。