網絡準入解決方案一．引入網絡準入的原因隨著計算機技術和網絡通信技術的發展、應用的日趨復雜，計算機終端已不再是傳統意義上我們所理解的“終端”，它不僅是網線所連接的PC，還包括手機、PAD等各類新式的移動設備。這些形形色色的終端給信息安全工作帶來了巨大挑戰：類型眾多，以各種方式接入;并且是大部分事物的起點和源頭：是用戶登錄并訪問網絡的起點、是用戶訪問Internet的起點、是應用系統訪問和數據產生的起點、更是病毒攻擊、從內部發起惡意攻擊和內部保密數據盜用或失竊的源頭。因此，終端安全管理對每個企業來說都極其重要，只有通過完善的終端安全管理才能夠真正從源頭上控制各種事件的啟始、遏制由內網發起的攻擊和破壞。基于身份的網絡服務(IBNS)能夠在用戶訪問網絡訪問之前確保用戶的身份是信任關系。但是，識別用戶的身份僅僅是其中一部分，盡管依照總體安全策略，用戶有權進入網絡，但是其使用的計算機可能不適合接入網絡。這種情況是因為筆記本電腦等移動計算設備的普及提高了用戶的生產率，但是同時會產生一定的問題：這些計算設備很容易在外部感染病毒或者蠕蟲，當它們重新入公司網絡時，就會將病毒等惡意代碼在不經意之間帶入公司工作環境。二．在當前的信息網絡應用環境下，網絡管理者普遍面臨和需要解決如下終端安全問題：網絡邊界不清晰網絡中有多少臺終端在工作？有沒有外來終端入侵？有多少網絡設備？終端連接狀況如何？使用人員難以確定誰在操作終端？有沒有人進行越權訪問？有沒有進行非法操作？如何盡快發現和管理？BYOD帶來巨大挑戰BYOD（Bring?Your?Own?Device，自帶設備辦公）設備是否有漏洞？安全設置是否符合安全規定？帶離辦公區后會不會被攻擊？是否會將外部的攻擊帶入辦公區？4、終端安全狀況不清晰終端的操作系統環境是否安全？終端的軟件環境是否合規？終端是否符合安全基線要求？??5、各種安全制度難以落實，針對終端和網絡使用的各項安全制度，是否能夠快速落實和檢查？??6、防護系統眾多難以整合各種防護系統如何進行統一管理？各防護系統的安全數據如何整合？三．網絡準入方式對比：802.1x(或EoU)網關型DHCPARP干擾IP+MAC技術特點非授權終端不能訪問任何網絡資源，不能對網絡產生任何破壞性影響非授權終端不能訪問受網關保護的網絡資源，但終端之間可以直接相互訪問，只能控制終端訪問外網終端可以通過自行IP等手段，繞開DHCP準入控制終端可以通過自行設置本本機的路由、ARP映射等繞開ARP準入控制全局的ipsourceguard功能來實現部署要求無須調整網絡結構，要求網絡設備支持802.1x（或EoU）需要調整網絡結構，需要專門的網關無需調整網絡結構，需在每個網段部署專用DHCP服務器無需調整網絡結構，需要在每個網段設置ARP干擾器無需調整網絡結構性能影響不會降低網絡的可靠性、性能會給網絡帶來可靠性、性能問題不會降低網絡的可靠性、性能過多的ARP廣播包會給網絡帶來諸多性能、故障問題不會降低網絡的可靠性、性能支持廠商Cisco/huawei/Leagsoft/奇安信以防火墻廠商為主Microsoft等軟件廠商非主流廠商三層交換機適合對象所有規模的網絡用戶不適合大規模組網中小網絡小網絡小網絡標準化國際標準，或主流技術非標準國際標準非標準非標準四．開源方案：支持802.1x的交換機+freeradius+openldap（ad域控）優點：強準入，在核心交換機上開啟802.1x協議，接入域控，為每個員工分配域控賬號密碼。缺點：可能需要給不懂技術的員工，指導他們開啟接入的功能。支持802.1x的交換+深信服上網行為管理系統+openldap（ad域控）優點：其他的同上，可以設置認證重定向界面，支持認證方式：賬號密碼認證、AD域單點登錄、外部證書認證。缺點：實際效果未知，需要測試。固定ip+MAC優點：改動最小，只需要把ip和mac綁定即可。缺點：工作量比較大，給所有的員工分配ip，把員工的mac地址收集起來，再進行綁定，如有員工離職，還需要解綁。（4）802.1X+MAC認證五．廠商準入產品的優點：六．深圳、北