基于主機(jī)的準(zhǔn)入控制原理

基于網(wǎng)絡(luò)的準(zhǔn)入控制主要有EAPOL技術(shù)、EAPOU技術(shù)，而基于主機(jī)的準(zhǔn)入控制主要有應(yīng)用準(zhǔn)入控制、客戶(hù)端準(zhǔn)入控制等等，由于基于網(wǎng)絡(luò)的準(zhǔn)入控制需要花費(fèi)相對(duì)較多的時(shí)間來(lái)部署和管理，企業(yè)用戶(hù)的網(wǎng)絡(luò)設(shè)備也不一定全面支持網(wǎng)絡(luò)準(zhǔn)入，因此，易于部署的基于主機(jī)的準(zhǔn)入控制是很多企業(yè)采用的首選，且這類(lèi)部署適應(yīng)性好，覆蓋面廣，不用像其他網(wǎng)絡(luò)設(shè)備依賴(lài)龐大的配置，對(duì)網(wǎng)絡(luò)的性能也沒(méi)有較多影響，還能做到基于進(jìn)程的訪(fǎng)問(wèn)控制及基于進(jìn)程的帶寬管理。

1、應(yīng)用準(zhǔn)入控制

出口準(zhǔn)入控制是部署上最容易實(shí)現(xiàn)的終端安全管理技術(shù)。其思路是先進(jìn)入再控制，允許用戶(hù)使用網(wǎng)絡(luò)，在出口處部署安全控制設(shè)備(如防火墻、行為控制網(wǎng)關(guān)等)。

應(yīng)用準(zhǔn)入控制

用戶(hù)上網(wǎng)時(shí)，必須在出口的安全設(shè)備處進(jìn)行身份認(rèn)證和安全檢查，通過(guò)之后才能上網(wǎng)。

服務(wù)器控制

出口準(zhǔn)入控制的優(yōu)點(diǎn)是部署簡(jiǎn)單，不需要安裝客戶(hù)端，而且具備流量控制、上網(wǎng)內(nèi)容審計(jì)等功能，因此應(yīng)用較為廣泛。其缺點(diǎn)是無(wú)法識(shí)別用戶(hù)身份是否假冒(如IP、MAC、帳號(hào)等)，無(wú)法控制病毒在內(nèi)網(wǎng)的傳播，而且無(wú)法控制外來(lái)用戶(hù)偷偷接入內(nèi)網(wǎng)的行為(比如U盤(pán)拷貝等)，不能從源頭上對(duì)終端安全進(jìn)行控制，必須與其他終端安全控制技術(shù)結(jié)合，才能提供完整的終端安全管理解決方案。

客戶(hù)端準(zhǔn)入控制的特點(diǎn)

系統(tǒng)及應(yīng)用準(zhǔn)入是在服務(wù)器的操作系統(tǒng)上安裝準(zhǔn)入控制軟件，當(dāng)電腦終端訪(fǎng)問(wèn)服務(wù)器時(shí)，準(zhǔn)入控制軟件會(huì)檢查對(duì)方的安全狀態(tài)，如果符合策略則允許訪(fǎng)問(wèn)，如果不符合將拒絕對(duì)方的訪(fǎng)問(wèn)，并給出相關(guān)提示。而客戶(hù)端準(zhǔn)入控制是終端相互之間進(jìn)行訪(fǎng)問(wèn)時(shí)，安裝在終端上的軟件也會(huì)檢查對(duì)方的安全狀態(tài)。基于主機(jī)的準(zhǔn)入控制點(diǎn)一般安裝在代理服務(wù)器、郵件服務(wù)器、內(nèi)網(wǎng)Web服務(wù)器、DNS服務(wù)器上或DHCP服務(wù)器上。這些服務(wù)器是企業(yè)內(nèi)部員工最常訪(fǎng)問(wèn)的服務(wù)器，因此準(zhǔn)入效果較好，覆蓋面廣。實(shí)際部署時(shí)，一般只需在一到兩個(gè)服務(wù)器上部署控制點(diǎn)即可做到對(duì)全局的準(zhǔn)入控制。

2、客戶(hù)端準(zhǔn)入控制

客戶(hù)端準(zhǔn)入控制是最常見(jiàn)的終端安全管理技術(shù)，往往與防病毒軟件、個(gè)人防火墻等結(jié)合在一起?？蛻?hù)端準(zhǔn)入控制的原理是認(rèn)為來(lái)訪(fǎng)用戶(hù)都不可靠，因此必須在終端上安裝客戶(hù)端安全軟件，時(shí)刻對(duì)其安全狀態(tài)(如進(jìn)程、注冊(cè)表、引導(dǎo)區(qū)、網(wǎng)絡(luò)連接狀態(tài)、網(wǎng)頁(yè)訪(fǎng)問(wèn)狀態(tài)等)進(jìn)行監(jiān)控，一旦出現(xiàn)異常，就提示用戶(hù)或者按預(yù)設(shè)策略進(jìn)行處理。

終端用戶(hù)控制

客戶(hù)端準(zhǔn)入控制的優(yōu)點(diǎn)是控制能力強(qiáng)，能夠檢查操作系統(tǒng)、網(wǎng)絡(luò)和應(yīng)用層的安全問(wèn)題。其缺點(diǎn)是經(jīng)常需要用戶(hù)自行判斷，對(duì)用戶(hù)的安全知識(shí)有較高要求，占用系統(tǒng)資源較多;同時(shí)無(wú)法保證客戶(hù)端的運(yùn)行情況，當(dāng)端戶(hù)貝等)，因此在企業(yè)內(nèi)部使用時(shí)，無(wú)法避免客戶(hù)端被卸載或重裝系統(tǒng)、不運(yùn)行等情況發(fā)生。

其他終端安全管理技術(shù)

基于主機(jī)的準(zhǔn)入控制其控制強(qiáng)度較弱，也是不可回避的，除此之外，從安全策略的實(shí)施點(diǎn)看，目前業(yè)界采用的終端安全管理技術(shù)主要還有：

1、服務(wù)器準(zhǔn)入控制

服務(wù)器準(zhǔn)入控制技術(shù)的原理是在應(yīng)用服務(wù)器上安裝準(zhǔn)入控制軟件，一般安裝在DHCP服務(wù)器、DNS服務(wù)器或代理服務(wù)器上。當(dāng)電腦終端訪(fǎng)問(wèn)服務(wù)器時(shí)，準(zhǔn)入控制軟件會(huì)彈出頁(yè)面要求用戶(hù)登錄，檢查對(duì)方的安全狀態(tài)，如果符合策略則允許訪(fǎng)問(wèn)，如果不符合將拒絕對(duì)方的訪(fǎng)問(wèn)，并給出相關(guān)提示。

服務(wù)器準(zhǔn)入控制的部署比較簡(jiǎn)單，對(duì)網(wǎng)絡(luò)設(shè)備環(huán)境基本沒(méi)有要求，但是容易受到安全攻擊的影響(如DHCP攻擊)，而且對(duì)源頭客戶(hù)端的病毒傳播難以控制，無(wú)法解決外來(lái)用戶(hù)的私自接入問(wèn)題。

2、網(wǎng)絡(luò)準(zhǔn)入控制

網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)的原理是從網(wǎng)絡(luò)入口進(jìn)行控制，通過(guò)網(wǎng)絡(luò)設(shè)備在接入端口處強(qiáng)制實(shí)施安全策略。用戶(hù)接入網(wǎng)絡(luò)時(shí)，必須運(yùn)行客戶(hù)端軟件，經(jīng)過(guò)身份認(rèn)證和安全檢查，認(rèn)證通過(guò)后才能使用網(wǎng)絡(luò)。由于網(wǎng)絡(luò)設(shè)備不可繞開(kāi)，因此客戶(hù)端一旦被卸載或者操作系統(tǒng)被重裝，用戶(hù)將無(wú)法接入。

網(wǎng)絡(luò)準(zhǔn)入控制的優(yōu)點(diǎn)是基于用戶(hù)身份與網(wǎng)絡(luò)設(shè)備緊密配合，安全策略可以得到強(qiáng)制實(shí)施。其缺點(diǎn)是部署繁復(fù)，成本較高，主要在大中型企業(yè)得到廣泛應(yīng)用。

準(zhǔn)入控制的不同層次

準(zhǔn)入控制技術(shù)各有其優(yōu)缺點(diǎn)，但從安全策略的實(shí)施方面來(lái)看，基于網(wǎng)絡(luò)的準(zhǔn)入控制技術(shù)由于網(wǎng)絡(luò)設(shè)備可以實(shí)現(xiàn)強(qiáng)制安全決策，安全度較高，但管理及部署門(mén)檻也較高。

【編輯推薦】

1. 內(nèi)網(wǎng)安全需控制終端　利用準(zhǔn)入控制來(lái)把關(guān)
2. 終端準(zhǔn)入控制技術(shù)首次在國(guó)際頂級(jí)賽事成功應(yīng)用
3. 終端安全管理，準(zhǔn)入控制為先
4. 內(nèi)網(wǎng)安全管理隱患應(yīng)從準(zhǔn)入控制做起
5. 準(zhǔn)入控制構(gòu)建銀行實(shí)名制合規(guī)管理系統(tǒng)
6. 網(wǎng)關(guān)準(zhǔn)入控制—初探內(nèi)網(wǎng)安全的新思路