圖 3層準(zhǔn)入控制示意

·網(wǎng)絡(luò)層準(zhǔn)入控制

是利用終端和網(wǎng)絡(luò)設(shè)備的聯(lián)動(dòng)，由網(wǎng)絡(luò)設(shè)備檢查終端是否安裝了客戶端軟件以及終端的安全狀態(tài)是否合格，從而達(dá)到準(zhǔn)入控制的效果。在網(wǎng)絡(luò)的接入層，接入交換機(jī)采用標(biāo)準(zhǔn)的802.1X協(xié)議與終端進(jìn)行聯(lián)動(dòng)。在網(wǎng)絡(luò)的匯聚層，匯聚層交換機(jī)可以使用思科的私有EoU協(xié)議與終端聯(lián)動(dòng)，不同的網(wǎng)絡(luò)廠商的交換機(jī)和路由器可以有自己的私有協(xié)議，利用這些私有協(xié)議與終端管理軟件進(jìn)行聯(lián)動(dòng)，達(dá)到準(zhǔn)入控制的效果。在網(wǎng)絡(luò)的邊界，邊界網(wǎng)關(guān)設(shè)備與終端進(jìn)行聯(lián)動(dòng)，邊界網(wǎng)關(guān)設(shè)備一般包括防火墻、UTM、VPN等設(shè)備，而聯(lián)動(dòng)協(xié)議一般也是私有協(xié)議。802.1X準(zhǔn)入因?yàn)槭窃诮尤雽舆M(jìn)行控制，離終端最近，控制最為嚴(yán)格，可以直接將終端隔離出網(wǎng)絡(luò)，但部署相對(duì)困難。匯聚層及邊界層設(shè)備離終端稍遠(yuǎn)，控制力度稍弱，但部署相對(duì)容易一些。對(duì)于外來電腦，通過網(wǎng)絡(luò)層準(zhǔn)入控制，要么強(qiáng)制其安裝客戶端接受完整的管理，要么通過特殊的VLAN或ACL，限制其網(wǎng)絡(luò)訪問。

·應(yīng)用層準(zhǔn)入控制

其原理是在不同的應(yīng)用服務(wù)器上安裝準(zhǔn)入控制軟件，當(dāng)終端訪問這些應(yīng)用服務(wù)器時(shí)，服務(wù)器上的準(zhǔn)入控制軟件檢查終端是否接受了管理，安全狀態(tài)是否合格。一般可以在DNS服務(wù)器、代理服務(wù)器、Web服務(wù)器、ERP系統(tǒng)服務(wù)器，或者任意的應(yīng)用服務(wù)器上安裝準(zhǔn)入控制軟件。這些服務(wù)器是單位內(nèi)部員工最常訪問的服務(wù)器，因此覆蓋面較廣。實(shí)際部署時(shí)，一般只需在一到兩個(gè)服務(wù)器上部署控制點(diǎn)即可做到對(duì)全局的控制。因應(yīng)用層離終端稍遠(yuǎn)，所以控制力度也稍弱。

·終端層準(zhǔn)入

一般是指客戶端準(zhǔn)入和ARP準(zhǔn)入。客戶端準(zhǔn)入在終端訪問網(wǎng)絡(luò)時(shí)檢查自身是否符合安全策略，如果不符合，則阻斷自身應(yīng)用程序的網(wǎng)絡(luò)訪問；在終端接受訪問時(shí)，必須確認(rèn)對(duì)端是否是接受管理的終端，否則拒絕對(duì)方的訪問，接受訪問時(shí)也檢查自身是否符合安全策略。ARP準(zhǔn)入是有客戶端的終端對(duì)未裝客戶端的終端進(jìn)行ARP欺騙，阻擾其正常的網(wǎng)絡(luò)訪問，直到該終端正確安裝了客戶端軟件。ARP準(zhǔn)入因有較大的網(wǎng)絡(luò)副作用，比如廣播風(fēng)暴，而且效果不理想，用戶對(duì)它的使用也越來越少了。此外，客戶端準(zhǔn)入如果配合網(wǎng)絡(luò)層準(zhǔn)入或應(yīng)用層準(zhǔn)入一起使用，可使準(zhǔn)入控制更加靈活和強(qiáng)大。

通過上述的各種準(zhǔn)入控制中的一種或多種手段，終端將被強(qiáng)制性地接受管理，終端管理將不再有盲點(diǎn)，終端管理產(chǎn)品將真正發(fā)揮作用，為政府部門和企業(yè)創(chuàng)造價(jià)值。

試想如果沒有準(zhǔn)入控制，終端管理將沒有了確定性的手段，確保終端能夠接受管理。即使某種終端管理軟件的功能再?gòu)?qiáng)，如果不能部署在客戶端上，也絲毫不能發(fā)揮作用。可以說準(zhǔn)入控制是終端管理的基石，要部署終端管理產(chǎn)品，必須首先考慮準(zhǔn)入控制。

liukai