大勢至網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)官方版

大勢至網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)是一款能夠保護(hù)網(wǎng)絡(luò)信息安全等軟件，這款軟件能夠盡可能減少或避免因網(wǎng)絡(luò)內(nèi)部接入客戶端因素造成的信息泄漏和破壞。有需要的朋友就來東坡下載吧。

一、應(yīng)用背景

隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展與廣泛應(yīng)用，如何保障網(wǎng)絡(luò)信息安全，如何最大限度地減少或避免因網(wǎng)絡(luò)內(nèi)部接入客戶端因素造成的信息泄漏和破壞，成為擺在我們面前一項(xiàng)刻不容緩的重要課題。主要體現(xiàn)在以下幾方面：

1、外來端隨意接入單位局域網(wǎng)，訪問單位局域網(wǎng)共享文件等單位重要無形資產(chǎn)；

2、外來終端的接入上網(wǎng)會(huì)大量占用局域網(wǎng)網(wǎng)絡(luò)帶寬資源，造成網(wǎng)速下降、網(wǎng)絡(luò)堵塞；

3、局域網(wǎng)內(nèi)部用戶主動(dòng)與與外來移動(dòng)終端非法通訊（如自行攜帶的電腦或外來人員帶入的終端設(shè)備）；

4、局域網(wǎng)內(nèi)部用戶隨意修改IP地址或MAC地址，造成網(wǎng)絡(luò)沖突、獲取非法訪問權(quán)限；

5、局域網(wǎng)內(nèi)部用戶私自安裝無線路由器、隨身wifi等移動(dòng)上網(wǎng)設(shè)備，非法擴(kuò)展網(wǎng)絡(luò)；

6、局域網(wǎng)內(nèi)部用戶非法進(jìn)行網(wǎng)絡(luò)抓包、網(wǎng)絡(luò)嗅探，造成用戶機(jī)密信息的泄露；

7、局域網(wǎng)用戶有可能運(yùn)行黑客軟件、ARP攻擊軟件等行為，造成局域網(wǎng)斷網(wǎng)掉線。

因此，網(wǎng)管人員必須對(duì)外來電腦和公司內(nèi)部電腦進(jìn)行全面、實(shí)時(shí)、有效的安全管理和監(jiān)控，保護(hù)企業(yè)商業(yè)機(jī)密的安全，保證企業(yè)內(nèi)部網(wǎng)的穩(wěn)定和暢通。

二、當(dāng)前網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的缺陷和不足

而當(dāng)前國內(nèi)企事業(yè)單位一般是通過路由器、防火墻或者交換機(jī)來對(duì)外來電腦進(jìn)行控制。通常的做法是：在路由器、防火墻或者交換機(jī)上做IP和MAC地址綁定，只有加入到綁定表內(nèi)的電腦才可以上網(wǎng)；同時(shí)一般還關(guān)閉路由器上DHCP服務(wù)功能，從而使得外來電腦無法接入到內(nèi)網(wǎng)上網(wǎng)。

但是，由于路由器、防火墻或者交換機(jī)的IP和MAC地址綁定一般是禁止內(nèi)網(wǎng)的電腦私自更改IP地址或者M(jìn)AC地址，但是卻無法禁止外來電腦接到內(nèi)網(wǎng)，也就是說外來電腦可以接入到內(nèi)網(wǎng)訪問內(nèi)網(wǎng)共享資源，并且還可以上網(wǎng)，從而無法實(shí)現(xiàn)對(duì)內(nèi)網(wǎng)共享資源的有效保護(hù)；而對(duì)于單位內(nèi)部電腦，雖然更改IP

或MAC地址可以防止電腦上網(wǎng)，但是仍舊無法阻止電腦訪問局域網(wǎng)其他電腦或服務(wù)器，從而無法實(shí)現(xiàn)有效的局域網(wǎng)安全管理和商業(yè)機(jī)密的保護(hù)。

同時(shí)，一些單位還常常需要開啟路由器等設(shè)備的DHCP服務(wù)功能，從而可以更加便利了外來電腦接入到內(nèi)網(wǎng)；此外，很多單位是采用無線局域網(wǎng)上網(wǎng)，外來筆記本可以輕松獲取IP地址進(jìn)行上網(wǎng)，即便設(shè)置了密鑰，但一般情況下也礙于情面，不可能拒絕外來用戶的上網(wǎng)行為；

而對(duì)局域網(wǎng)ARP攻擊、ARP欺騙雖然可以通過在路由器上做IP和MAC綁定或者開啟ARP攻擊防御功能，但是實(shí)際上有效防御ARP攻擊還必須在員工電腦做綁定，也即雙向綁定，由于這個(gè)工作量較大而常常使得網(wǎng)管望而卻步。同時(shí)，當(dāng)前流行的ARP；而對(duì)于局域網(wǎng)內(nèi)處于混雜模式的網(wǎng)卡，可能運(yùn)行的一些黑

客軟件、嗅探軟件或抓包軟件，則網(wǎng)管員通常無法及時(shí)發(fā)現(xiàn)，同時(shí)也無法阻斷，這使得企事業(yè)單位面臨著巨大的商業(yè)機(jī)密泄露的風(fēng)險(xiǎn)和信息安全的風(fēng)險(xiǎn)。

具體而言，當(dāng)前國內(nèi)主流的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)主要有以下一些不足和缺陷：

1、普遍需要安裝客戶端軟件，一旦客戶端被移除則無法實(shí)現(xiàn)網(wǎng)絡(luò)準(zhǔn)入控制功能；

2、主流網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)部署復(fù)雜，運(yùn)維成本高，用戶體驗(yàn)差；

3、與單位內(nèi)部現(xiàn)有的信息系統(tǒng)兼容性較差，無法發(fā)揮協(xié)同效應(yīng)；

4、終端準(zhǔn)入安全存在漏洞，容易被一些懂技術(shù)的人員繞過； 

5、無法實(shí)現(xiàn)基于圖形界面的可視化管理，無法適應(yīng)各層次人員使用；

6、無法發(fā)現(xiàn)發(fā)生在內(nèi)網(wǎng)內(nèi)部的安全違規(guī)行為。

三、大勢至網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的優(yōu)勢特點(diǎn)

大勢至網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)是大勢至(北京)軟件工程有限公司推出的一款專業(yè)的局域網(wǎng)安全防護(hù)系統(tǒng)，以有效防止外來電腦接入公司局域網(wǎng)、有效隔離局域網(wǎng)電腦（禁止電腦上網(wǎng)或禁止電腦訪問局域網(wǎng)服務(wù)器共享文件，或者禁止電腦與局域網(wǎng)其他電腦通訊；同時(shí)也可以禁止員工自帶筆記本電腦、

iPad、智能手機(jī)等通過有線或無線wifi的方式接入公司局域網(wǎng)）、禁止電腦修改IP和MAC地址、檢測局域網(wǎng)混雜模式網(wǎng)卡、防御局域網(wǎng)ARP攻擊、檢測局域網(wǎng)代理軟件、禁止電腦代理上網(wǎng)等為核心功能，可以為企事業(yè)單位局域網(wǎng)網(wǎng)絡(luò)安全、規(guī)范網(wǎng)絡(luò)管理和商業(yè)機(jī)密保護(hù)提供有效的解決方案。

圖：大勢至局域網(wǎng)接入監(jiān)控軟件、網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)

具體而言，大勢至網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)主要有以下領(lǐng)先優(yōu)勢：

1、獨(dú)創(chuàng)的基于B/S架構(gòu)的部署方式，無需在客戶端安裝軟件就可以實(shí)現(xiàn)網(wǎng)絡(luò)準(zhǔn)入控制；

2、獨(dú)創(chuàng)的基于“創(chuàng)新直連”部署方式，最便捷實(shí)現(xiàn)跨網(wǎng)段的網(wǎng)絡(luò)準(zhǔn)入控制功能；

3、基于實(shí)時(shí)的IP和MAC地址綁定檢測，完全杜絕修改IP地址、IP沖突或越權(quán)上網(wǎng)；

4、面應(yīng)對(duì)ARP攻擊、網(wǎng)絡(luò)嗅探、網(wǎng)絡(luò)抓包和局域網(wǎng)代理等非法網(wǎng)絡(luò)行為；

5、精準(zhǔn)檢測局域網(wǎng)無線路由器和無線AP等設(shè)備接入，防止網(wǎng)絡(luò)不適當(dāng)擴(kuò)展；

6、提供詳細(xì)的網(wǎng)絡(luò)安全事件記錄功能，為網(wǎng)絡(luò)管理員提供詳細(xì)的事前防范與事后審計(jì)；

7、特殊情況下可以配合大勢至公司推出的客戶端軟件，進(jìn)一步增強(qiáng)網(wǎng)絡(luò)準(zhǔn)入控制功能； 

8、本系統(tǒng)也可以與大勢至公司其他網(wǎng)絡(luò)管理系統(tǒng)形成協(xié)同聯(lián)動(dòng)，幫助企事業(yè)單位實(shí)現(xiàn)全面的局域網(wǎng)安全管控。

四、大勢至網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)核心功能

大勢至網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)集成了全面的局域網(wǎng)安全防護(hù)功能，可以全面防止各種網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的出現(xiàn)。同時(shí)，我們提供了“隨需定制”的二次開發(fā)服務(wù)，可以確保大勢至局域網(wǎng)準(zhǔn)入控制系統(tǒng)可以充分滿足用戶普遍的和個(gè)性化的網(wǎng)絡(luò)安全管理需要。

具體功能如下：

1、禁止外部電腦(如筆記本)或移動(dòng)設(shè)備(如平板電腦或手機(jī))接入單位局域網(wǎng)訪問因特網(wǎng)；

2、禁止外部電腦訪問局域網(wǎng)內(nèi)部電腦資源或服務(wù)器共享文件、禁止外部電腦和單位內(nèi)部電腦通訊；

3、禁止單位內(nèi)部電腦修改IP地址或MAC地址，防止IP地址盜用、防止IP沖突攻擊、防止越權(quán)上網(wǎng)或逃避網(wǎng)絡(luò)監(jiān)控；

4、禁止單位局域網(wǎng)電腦私自、主動(dòng)訪問外部電腦或移動(dòng)設(shè)備，也即外部電腦不能訪問內(nèi)部電腦，內(nèi)部電腦也不能主動(dòng)訪問外來電腦，實(shí)現(xiàn)雙向隔離；

5、實(shí)時(shí)探測局域網(wǎng)內(nèi)部電腦或外來電腦的在線與不在線情況；

6、突破一切防火墻隔離內(nèi)部電腦或外部電腦上網(wǎng)或訪問內(nèi)部局域網(wǎng)的行為；

7、檢測局域網(wǎng)內(nèi)處于混雜模式的網(wǎng)卡，防止局域網(wǎng)電腦運(yùn)行黑客軟件、嗅探軟件、抓包軟件等；

8、防御局域網(wǎng)ARP攻擊、抵御ARP欺騙、防止ARP病毒攻擊、防止ARP劫持攻擊等

9、可以實(shí)時(shí)掃描局域網(wǎng)無線路由器、禁止內(nèi)網(wǎng)無線路由器、限制安裝無線路由器或禁止通過無線路由器上網(wǎng)。

五、大勢至網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)工作原理

大勢至網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)可以適應(yīng)各種網(wǎng)絡(luò)結(jié)構(gòu)，不僅可以有效控制無線局域網(wǎng)，而且還可以對(duì)無線和有線局域網(wǎng)進(jìn)行同時(shí)管控。同時(shí)，系統(tǒng)還可以極為便捷地實(shí)現(xiàn)三層交換機(jī)多網(wǎng)段環(huán)境的網(wǎng)絡(luò)準(zhǔn)入控制，是當(dāng)前國內(nèi)適應(yīng)性最強(qiáng)的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)。

1、系統(tǒng)工作原理

圖：大勢至網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)功能實(shí)現(xiàn)圖

2、阻止外部設(shè)備訪問內(nèi)部數(shù)據(jù)