基于主機的準入控制原理

基于網(wǎng)絡的準入控制主要有EAPOL技術、EAPOU技術，而基于主機的準入控制主要有應用準入控制、客戶端準入控制等等，由于基于網(wǎng)絡的準入控制需要花費相對較多的時間來部署和管理，企業(yè)用戶的網(wǎng)絡設備也不一定全面支持網(wǎng)絡準入，因此，易于部署的基于主機的準入控制是很多企業(yè)采用的首選，且這類部署適應性好，覆蓋面廣，不用像其他網(wǎng)絡設備依賴龐大的配置，對網(wǎng)絡的性能也沒有較多影響，還能做到基于進程的訪問控制及基于進程的帶寬管理。

1、應用準入控制

出口準入控制是部署上最容易實現(xiàn)的終端安全管理技術。其思路是先進入再控制，允許用戶使用網(wǎng)絡，在出口處部署安全控制設備(如防火墻、行為控制網(wǎng)關等)。

應用準入控制

用戶上網(wǎng)時，必須在出口的安全設備處進行身份認證和安全檢查，通過之后才能上網(wǎng)。

服務器控制

出口準入控制的優(yōu)點是部署簡單，不需要安裝客戶端，而且具備流量控制、上網(wǎng)內(nèi)容審計等功能，因此應用較為廣泛。其缺點是無法識別用戶身份是否假冒(如IP、MAC、帳號等)，無法控制病毒在內(nèi)網(wǎng)的傳播，而且無法控制外來用戶偷偷接入內(nèi)網(wǎng)的行為(比如U盤拷貝等)，不能從源頭上對終端安全進行控制，必須與其他終端安全控制技術結合，才能提供完整的終端安全管理解決方案。

客戶端準入控制的特點

系統(tǒng)及應用準入是在服務器的操作系統(tǒng)上安裝準入控制軟件，當電腦終端訪問服務器時，準入控制軟件會檢查對方的安全狀態(tài)，如果符合策略則允許訪問，如果不符合將拒絕對方的訪問，并給出相關提示。而客戶端準入控制是終端相互之間進行訪問時，安裝在終端上的軟件也會檢查對方的安全狀態(tài)?；谥鳈C的準入控制點一般安裝在代理服務器、郵件服務器、內(nèi)網(wǎng)Web服務器、DNS服務器上或DHCP服務器上。這些服務器是企業(yè)內(nèi)部員工最常訪問的服務器，因此準入效果較好，覆蓋面廣。實際部署時，一般只需在一到兩個服務器上部署控制點即可做到對全局的準入控制。

2、客戶端準入控制

客戶端準入控制是最常見的終端安全管理技術，往往與防病毒軟件、個人防火墻等結合在一起?？蛻舳藴嗜肟刂频脑硎钦J為來訪用戶都不可靠，因此必須在終端上安裝客戶端安全軟件，時刻對其安全狀態(tài)(如進程、注冊表、引導區(qū)、網(wǎng)絡連接狀態(tài)、網(wǎng)頁訪問狀態(tài)等)進行監(jiān)控，一旦出現(xiàn)異常，就提示用戶或者按預設策略進行處理。

終端用戶控制

客戶端準入控制的優(yōu)點是控制能力強，能夠檢查操作系統(tǒng)、網(wǎng)絡和應用層的安全問題。其缺點是經(jīng)常需要用戶自行判斷，對用戶的安全知識有較高要求，占用系統(tǒng)資源較多;同時無法保證客戶端的運行情況，當端戶貝等)，因此在企業(yè)內(nèi)部使用時，無法避免客戶端被卸載或重裝系統(tǒng)、不運行等情況發(fā)生。

其他終端安全管理技術

基于主機的準入控制其控制強度較弱，也是不可回避的，除此之外，從安全策略的實施點看，目前業(yè)界采用的終端安全管理技術主要還有：

1、服務器準入控制

服務器準入控制技術的原理是在應用服務器上安裝準入控制軟件，一般安裝在DHCP服務器、DNS服務器或代理服務器上。當電腦終端訪問服務器時，準入控制軟件會彈出頁面要求用戶登錄，檢查對方的安全狀態(tài)，如果符合策略則允許訪問，如果不符合將拒絕對方的訪問，并給出相關提示。

服務器準入控制的部署比較簡單，對網(wǎng)絡設備環(huán)境基本沒有要求，但是容易受到安全攻擊的影響(如DHCP攻擊)，而且對源頭客戶端的病毒傳播難以控制，無法解決外來用戶的私自接入問題。

2、網(wǎng)絡準入控制

網(wǎng)絡準入控制技術的原理是從網(wǎng)絡入口進行控制，通過網(wǎng)絡設備在接入端口處強制實施安全策略。用戶接入網(wǎng)絡時，必須運行客戶端軟件，經(jīng)過身份認證和安全檢查，認證通過后才能使用網(wǎng)絡。由于網(wǎng)絡設備不可繞開，因此客戶端一旦被卸載或者操作系統(tǒng)被重裝，用戶將無法接入。

網(wǎng)絡準入控制的優(yōu)點是基于用戶身份與網(wǎng)絡設備緊密配合，安全策略可以得到強制實施。其缺點是部署繁復，成本較高，主要在大中型企業(yè)得到廣泛應用。

準入控制的不同層次

準入控制技術各有其優(yōu)缺點，但從安全策略的實施方面來看，基于網(wǎng)絡的準入控制技術由于網(wǎng)絡設備可以實現(xiàn)強制安全決策，安全度較高，但管理及部署門檻也較高。

【編輯推薦】

1. 內(nèi)網(wǎng)安全需控制終端　利用準入控制來把關
2. 終端準入控制技術首次在國際頂級賽事成功應用
3. 終端安全管理，準入控制為先
4. 內(nèi)網(wǎng)安全管理隱患應從準入控制做起
5. 準入控制構建銀行實名制合規(guī)管理系統(tǒng)
6. 網(wǎng)關準入控制—初探內(nèi)網(wǎng)安全的新思路