IP-guard网络准入控制解决方案

---

IP-guard网络准入控制解决方案

 

1. 网络准入控制的背景

随着网络通讯技术的快速发展，网络信息安全问题日益突出。病毒泛滥、系统漏洞、黑客入侵，非授权用户的非法操作等诸多问题，已经直接影响到企业的正常运营，再有甚者还会给企业造成严重损失，严重的阻碍了企业的成长。如何应对当前严峻的网络安全问

题，保障企业的正常运作，已成为各个企业决策者不得不关注的问题，也是每个网络管理员不得不面对的挑战。

 

IP-guard的桌面管理系统可以对计算机的操作行为进行详细的审计和严格的控制,但是仍然有一些用户通过重新格式化并安装操作系统,设置个人防火墙等等手段逃避行为监管。而即使当管理员及时发现这种情况以后，重新再部署桌面管理客户端都是一件繁琐和恼人的工作。

IP-guard网络准入控制（NAC）系统就是为了解决这一系列网络问题而诞生的，它是一套软件技术和硬件技术相结合的系统。

网络准入控制系统严格审核对限定网络进行访问的计算机。只有合法的计算机才能对限定网络进行访问；不合法的计算机将被引导至隔离区进行修复或完全阻断访问。这样可以有效防止用户对客户端进行破坏和限制以逃避监管。

2. 解决方案

计算机在访问限定计算机或网络之前，必须要通过 IP-guard 网络准入控制系统的认证，只有通过了认证的计算机才允许访问，否则将被禁止访问并进行修复。

通过检验是否安装有合法的 IP-guard客户端，来对计算机的合法性进行认证。对于一些不能安装客户端的设备（比如网络打印机），可以利用 IP-guard网络准入控制的白名单功能设置相应的过滤白名单，允许这些合法的但不能安装客户端的设备访问限定的计算机或网络。

3. IP-guard网络准入控制的特点

  不用在用户核心网络设备上做复杂配置；

  对用户网络环境无额外要求；

  针对要限制访问的计算机或网络，灵活配置；

  可与IP-guard服务器结合，完成客户端合法性验证。

 

4. 网络准入控制的逻辑架构

  网络准入控制由客户端、控制器、管理器三部分组成。

  客户端

    安装在用户终端系统上的软件模块

  控制器

    实施访问控制的硬件设备

  管理器

    进行准入管理与配置的软件平台

 

5. 部署方式

5.1 网桥方式

  以网桥方式进行部署时，IP-guard网络控制器以桥接的方式串接入网络。控制器一般位于限制访问网络或计算机之前。

适用范围

  接在出口路由之前，可限制对互联网的访问；

  接在服务器之前，可限制对该服务器的访问；

  接在局域网交换机之前，可限制对该局域网的访问。

5.2 路由方式

  对核心交换机启用策略路由，对跨网段的访问进行控制。这种控制方式需要核心交换机支持策略路由。 适用范围

  可阻断非法计算机对互联网的访问；

  可阻断非法计算机对敏感局域网的访问；

  可阻断非法计算机对重要服务器的访问。

6. 客户收益

  1. 防止用户破坏客户端，逃避管控，时刻保证对用户行为进行有效管控

部署IP-guard网络准入控制以后，通过破坏客户端来逃避监管的行为将无所遁行。破坏客户端之后，用户无法连接指定网络，工作无法开展，迫使破坏者不得不将客户端恢复正常，将自己处于管控之中。

  2. 阻止外来计算机随意访问内部网络，保护企业信息安全。