基于主機(jī)的準(zhǔn)入控制原理

基于網(wǎng)絡(luò)的準(zhǔn)入控制主要有EAPOL技術(shù)、EAPOU技術(shù)，而基于主機(jī)的準(zhǔn)入控制主要有應(yīng)用準(zhǔn)入控制、客戶端準(zhǔn)入控制等等，由于基于網(wǎng)絡(luò)的準(zhǔn)入控制需要花費(fèi)相對較多的時(shí)間來部署和管理，企業(yè)用戶的網(wǎng)絡(luò)設(shè)備也不一定全面支持網(wǎng)絡(luò)準(zhǔn)入，因此，易于部署的基于主機(jī)的準(zhǔn)入控制是很多企業(yè)采用的首選，且這類部署適應(yīng)性好，覆蓋面廣，不用像其他網(wǎng)絡(luò)設(shè)備依賴龐大的配置，對網(wǎng)絡(luò)的性能也沒有較多影響，還能做到基于進(jìn)程的訪問控制及基于進(jìn)程的帶寬管理。

1、應(yīng)用準(zhǔn)入控制

出口準(zhǔn)入控制是部署上最容易實(shí)現(xiàn)的終端安全管理技術(shù)。其思路是先進(jìn)入再控制，允許用戶使用網(wǎng)絡(luò)，在出口處部署安全控制設(shè)備(如防火墻、行為控制網(wǎng)關(guān)等)。

應(yīng)用準(zhǔn)入控制

用戶上網(wǎng)時(shí)，必須在出口的安全設(shè)備處進(jìn)行身份認(rèn)證和安全檢查，通過之后才能上網(wǎng)。

服務(wù)器控制

出口準(zhǔn)入控制的優(yōu)點(diǎn)是部署簡單，不需要安裝客戶端，而且具備流量控制、上網(wǎng)內(nèi)容審計(jì)等功能，因此應(yīng)用較為廣泛。其缺點(diǎn)是無法識別用戶身份是否假冒(如IP、MAC、帳號等)，無法控制病毒在內(nèi)網(wǎng)的傳播，而且無法控制外來用戶偷偷接入內(nèi)網(wǎng)的行為(比如U盤拷貝等)，不能從源頭上對終端安全進(jìn)行控制，必須與其他終端安全控制技術(shù)結(jié)合，才能提供完整的終端安全管理解決方案。

客戶端準(zhǔn)入控制的特點(diǎn)

系統(tǒng)及應(yīng)用準(zhǔn)入是在服務(wù)器的操作系統(tǒng)上安裝準(zhǔn)入控制軟件，當(dāng)電腦終端訪問服務(wù)器時(shí)，準(zhǔn)入控制軟件會檢查對方的安全狀態(tài)，如果符合策略則允許訪問，如果不符合將拒絕對方的訪問，并給出相關(guān)提示。而客戶端準(zhǔn)入控制是終端相互之間進(jìn)行訪問時(shí)，安裝在終端上的軟件也會檢查對方的安全狀態(tài)?；谥鳈C(jī)的準(zhǔn)入控制點(diǎn)一般安裝在代理服務(wù)器、郵件服務(wù)器、內(nèi)網(wǎng)Web服務(wù)器、DNS服務(wù)器上或DHCP服務(wù)器上。這些服務(wù)器是企業(yè)內(nèi)部員工最常訪問的服務(wù)器，因此準(zhǔn)入效果較好，覆蓋面廣。實(shí)際部署時(shí)，一般只需在一到兩個(gè)服務(wù)器上部署控制點(diǎn)即可做到對全局的準(zhǔn)入控制。

2、客戶端準(zhǔn)入控制

客戶端準(zhǔn)入控制是最常見的終端安全管理技術(shù)，往往與防病毒軟件、個(gè)人防火墻等結(jié)合在一起?？蛻舳藴?zhǔn)入控制的原理是認(rèn)為來訪用戶都不可靠，因此必須在終端上安裝客戶端安全軟件，時(shí)刻對其安全狀態(tài)(如進(jìn)程、注冊表、引導(dǎo)區(qū)、網(wǎng)絡(luò)連接狀態(tài)、網(wǎng)頁訪問狀態(tài)等)進(jìn)行監(jiān)控，一旦出現(xiàn)異常，就提示用戶或者按預(yù)設(shè)策略進(jìn)行處理。

終端用戶控制

客戶端準(zhǔn)入控制的優(yōu)點(diǎn)是控制能力強(qiáng)，能夠檢查操作系統(tǒng)、網(wǎng)絡(luò)和應(yīng)用層的安全問題。其缺點(diǎn)是經(jīng)常需要用戶自行判斷，對用戶的安全知識有較高要求，占用系統(tǒng)資源較多;同時(shí)無法保證客戶端的運(yùn)行情況，當(dāng)端戶貝等)，因此在企業(yè)內(nèi)部使用時(shí)，無法避免客戶端被卸載或重裝系統(tǒng)、不運(yùn)行等情況發(fā)生。

其他終端安全管理技術(shù)

基于主機(jī)的準(zhǔn)入控制其控制強(qiáng)度較弱，也是不可回避的，除此之外，從安全策略的實(shí)施點(diǎn)看，目前業(yè)界采用的終端安全管理技術(shù)主要還有：

1、服務(wù)器準(zhǔn)入控制

服務(wù)器準(zhǔn)入控制技術(shù)的原理是在應(yīng)用服務(wù)器上安裝準(zhǔn)入控制軟件，一般安裝在DHCP服務(wù)器、DNS服務(wù)器或代理服務(wù)器上。當(dāng)電腦終端訪問服務(wù)器時(shí)，準(zhǔn)入控制軟件會彈出頁面要求用戶登錄，檢查對方的安全狀態(tài)，如果符合策略則允許訪問，如果不符合將拒絕對方的訪問，并給出相關(guān)提示。

服務(wù)器準(zhǔn)入控制的部署比較簡單，對網(wǎng)絡(luò)設(shè)備環(huán)境基本沒有要求，但是容易受到安全攻擊的影響(如DHCP攻擊)，而且對源頭客戶端的病毒傳播難以控制，無法解決外來用戶的私自接入問題。

2、網(wǎng)絡(luò)準(zhǔn)入控制

網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)的原理是從網(wǎng)絡(luò)入口進(jìn)行控制，通過網(wǎng)絡(luò)設(shè)備在接入端口處強(qiáng)制實(shí)施安全策略。用戶接入網(wǎng)絡(luò)時(shí)，必須運(yùn)行客戶端軟件，經(jīng)過身份認(rèn)證和安全檢查，認(rèn)證通過后才能使用網(wǎng)絡(luò)。由于網(wǎng)絡(luò)設(shè)備不可繞開，因此客戶端一旦被卸載或者操作系統(tǒng)被重裝，用戶將無法接入。

網(wǎng)絡(luò)準(zhǔn)入控制的優(yōu)點(diǎn)是基于用戶身份與網(wǎng)絡(luò)設(shè)備緊密配合，安全策略可以得到強(qiáng)制實(shí)施。其缺點(diǎn)是部署繁復(fù)，成本較高，主要在大中型企業(yè)得到廣泛應(yīng)用。

準(zhǔn)入控制的不同層次

準(zhǔn)入控制技術(shù)各有其優(yōu)缺點(diǎn)，但從安全策略的實(shí)施方面來看，基于網(wǎng)絡(luò)的準(zhǔn)入控制技術(shù)由于網(wǎng)絡(luò)設(shè)備可以實(shí)現(xiàn)強(qiáng)制安全決策，安全度較高，但管理及部署門檻也較高。

【編輯推薦】

1. 內(nèi)網(wǎng)安全需控制終端　利用準(zhǔn)入控制來把關(guān)
2. 終端準(zhǔn)入控制技術(shù)首次在國際頂級賽事成功應(yīng)用
3. 終端安全管理，準(zhǔn)入控制為先
4. 內(nèi)網(wǎng)安全管理隱患應(yīng)從準(zhǔn)入控制做起
5. 準(zhǔn)入控制構(gòu)建銀行實(shí)名制合規(guī)管理系統(tǒng)
6. 網(wǎng)關(guān)準(zhǔn)入控制—初探內(nèi)網(wǎng)安全的新思路