【IT168 方案】提起网络安全，人们最常关注的莫过于网络边界安全.但实际上网络的大部分安全风险均来自于网络内部。据Gartner的调查显示，终端的随意接入、内部资源滥用和误用、经营数据泄漏，以及病毒入侵是目前所面临的最严重的安全威胁。规模化的网络接口方便了内部计算机接入网络，同时也方便了外来计算机的随意接入，管理人员对此类情况很难判定并加以监视和控制，而一些严重的安全问题往往就是由于这些随意、非法接入网络的终端引起。因此，我们必须严格控制内网计算机的非法接入。

　　解决此类问题的核心在于屏蔽一切不安全的设备和人员接入网络，或者规范用户接入网络的行为。只有终端对网络资源的访问是受控的，才能从源头上铲除这样的安全威胁。

　　网御星云内网安全管理系统具备业界最完善的计算机终端准入控制机制。从终端层到网络层，再到应用层，提供了客户端准入、网络准入和应用准入等多种准入控制手段，确保只有通过身份验证和安全基线检查的计算机终端才能接入内网并进行受控访问，对非法的或存在安全隐患的计算机终端进行隔离和修复，从源头上有效减少内网安全漏洞。综合来说，网御星云终端准入控制方案有以下几大特点：

　　1、基于802.1x的网络准入控制

　　网御内网安全管理系统支持国际标准802.1x协议，与支持该协议的接入层交换机设备联动，共同完成网络准入控制。只有被网御内网安全管理系统管理并且符合企业安全策略的计算机终端才允许接入企业内网，否则将被隔离在内网之外，或被自动划分到特定的VLAN中进行修复。

　　网御内网安全管理系统可以通过支持802.1x的网络交换机将外来计算机终端自动划分到Guest VLAN，或通过启用访客策略，严格限制外来计算机终端的访问权限，即使其安全基线不符合要求，甚至藏有蠕虫病毒或木马，也不会对企业网络造成任何危害，同时杜绝了任何外来计算机的非授权访问问题。

　　2、基于CISCO EoU的网络准入控制

　　在网络接入方面，网御内网安全管理系统还支持基于CISCO NAC的EAP Over UDP(简称：EoU)网络准入控制，如果汇聚层接入采用的是CISCO支持EoU协议的网络设备，可以通过基于EoU的网络准入控制，验证计算机终端的安全基线、隔离不安全的终端。如果计算机终端未安装网御内网安全管理系统客户端程序，则会被重新定向URL到指定的网页下载网御内网安全管理系统客户端并进行安装，在此基础上修复安全漏洞。网御内网安全管理系统扩展了EoU协议，支持在EoU协议基础上的用户认证，只有通过用户认证才能继续进行安全验证。

　　3、基于应用的网络准入控制

　　对于网御来说，基于应用服务器进行准入控制不得不提。网御内网安全管理系统的应用准入，通过在业务系统上安装策略网关控件来实现。策略网关对来访计算机进行检测，只有安装网御内网安全管理系统客户端程序、并且符合安全基线的计算机终端，才能被允许访问关键系统及应用，否则无法访问。

　　应用准入的自动重定向功能，帮助我们真正实现了最终用户“自助式”的客户端部署，不仅大幅度减少系统维护人员的工作量，也极大减少用户的厌烦和抵触行为，保证合规管理有效性的同时，在内网终端合规管理过程中，体现了人性关怀，有效增强了最终用户在内网合规管理系统实施中的积极性，促进内网合规更快获得良好收效。

　　4、客户端准入控制以及安全基线管理

　　网御内网安全管理系统能够监控计算机终端的操作系统补丁、防病毒软件、软件进程、登录口令、注册表等方面的运行情况。如果计算机终端没有安装规定的操作系统补丁、防病毒软件的运行状态和病毒库更新状态不符合要求、没有运行指定的软件或运行了禁止运行的软件，或者有其它的安全基线不能满足要求的情况，该计算机终端的网络访问将被禁止。

　　安装有网御内网安全管理系统客户端程序的计算机终端在接受访问时，能够检测来访计算机是否运行了网御内网安全管理系统客户端程序并符合安全基线要求，以此决定是否能够被其访问。同时，当安装网御内网安全管理系统客户端程序的计算机终端访问网络时，也会先检查其自身的安全基线是否合格。网御内网安全管理系统客户端准入控制，创造性将每一台计算机终端都变成准入控制点，保证每台计算机终端只接受安全可信的计算机终端进行访问，并只能在安全基线合格时访问网络，实现最细粒度的准入控制。

　　网御内网安全管理系统从终端接入网络、对网络资源访问和终端之间的互访，都提供了业界最完善和全面的准入控制技术，准入控制条件丰富，准入控制手段全面，能够适应复杂的网络环境，确保准入控制无盲点。