一
、产品概述
    如今
，为应对来自内外部的网络与数据安全威胁

，数据防泄密
、补丁管理
、终端安全
、接入认证
、基线管理、资产管理等各种安全管理系统在大型机构内部网络中不断部署，这些分散的
、不断增多的安全系统加重了管理负担，且因缺乏统一的架构，数据难以集中，系统间缺乏协同

，使得安全效果有限。联软科技认为将网络、终端、应用
、信息割裂开来的分别予以治理的方式存在很大局限性
。解决信息安全管理问题，必须从顶层设计入手，将终端、应用
、信息
，乃至包括人员的管理都纳入解决方案中

，才能有效的解决问题
。
二、网络准入管理系统
2.1.准入控制系统简介

    LeagView网络准入控制是LeagView终端安全管理系统的一个管理组件。借助LeagView网络准入控制技术

，可以对接入网络的客户机设备进行控制，只有合法身份和满足安全要求的客户机才允许接入网络。    
    LeagView网络准入控制可以帮助用户很好地解决如下问题：

        l  防止非法的外来电脑接入网络，影响内部网络的安全；

        l  防止感染病毒、木马的桌面电脑和笔记本电脑直接接入内部网络，影响网络的正常运行
；

        l  确保接入网络的客户机符合安全管理要求。

        l  帮助安全管理员解决内部用户私自接HUB
、无线AP等不安全行为
。

    LeagView网络准入控制杜绝非法外来电脑接入内部网络；同时将有问题的客户机隔离或限制其访问
，直到这些有问题的客户机修复为止
，这样，一方面可以防止这些客户机成为蠕虫和病毒攻击的目标，还可以防止这些主机成为传播病毒的源头
。
2.2.网络准入控制技术

    在联软网络准入控制解决方案中，管理员可以将网络资源划分为不同的区域以便不同的终端访问不同区域的网络资源：访客区、修复区和正常工作区。划分方式是基于IP/MAC的访问控制列表或VLAN
。

网络准入控制原理

    一般来说，访客区的网络资源是可以被任何用户的终端访问的
，如Internet资源。一般外来用户的终端设备被限制只能访问访客区的网络资源。修复区网络资源是用来修复安全漏洞的，如补丁服务器、防病毒服务器、软件安装包服务器等，不符合组织安全策略要求的终端被限制在修复区中，强制它们进行安全修复。

当终端设备被接入网络时，会被要求进行身份认证和安全策略检查。如果是来自外部的PC机试图接入网络
，LeagView将采取如下措施：

        1. 拒绝外部终端设备接入网络；

        2. 将外部终端设备设置到访客区中；

    如果是来自内部合法终端设备接入网络
，LeagView将采取如下控制措施：

        1. 检查用户输入的用户名和口令是否合法；检查终端是否满足安全策略要求。

        2. 只有合法身份的用户以及满足组织安全规范的终端设备才能接入到网络中，否则系统会将此终端设备自动切换到修复区中
，终端设备在此修复区中访问修复安全漏洞必须的网络资源；

        3.合法身份的用户以及满足组织安全规范的终端设备接入到网络时
，系统会根据用户身份自动将终端设备切换到属于该用户的工作区中
，从而实现不同权限的人可以访问不同的网络资源
。

    LeagView可以将用户和终端设备进行绑定，即某个用户只能通过某台终端设备接入到网络中，这样可以禁止内部员工私自将家里终端计算机接入到网络中
。

    LeagView网络准入控制架构支持高可靠性

，避免因为LeagView服务宕机或者网络通讯故障导致终端设备不能接入网络的情况。
2.3.网络准入控制的动态授权

    LeagView 网络准入控制架构可以对接入的终端进行动态的授权
，主要包括以下几个部分

：

        1. 基于用户或用户所在的部门自动分发VLAN进行控制；

        2. 用户VLAN的动态下发，根据接入的身份或部门信息
、设备组
、用户组等自动划分到指定的VLAN
；

        3. 用户权限的实时控制，对接入的终端进行实时的控制；

        4. IP地址获取策略限制，可以禁用终端对IP地址的修改
；

        5. 防止私接路由器
、私接HUB、仿冒合法IP/MAC的违规入网行为
；

        6. 接入时段限制；

        7. 接入区域限制；

        8. 多网卡和拨号网络限制；

        9. 代理服务器限制；

        10. MAC地址修改限制；

根据设备组进行策略下发

2.4.准入控制系统终端接入管理体系
    部署准入控制系统后，改变了电脑终端接入网络的行为模式。一般来说，电脑终端接入网络需要：

        1) 注册登记

        内部终端要访问网络资源之前
，需要在网络上注册登记（用户账户登记、终端ID注册等）
，取得接入网络的权限。

        2) 接入检查

        终端在接入网络时，准入控制系统会检查其用户账户、安全设置状态
、终端硬件合法性等。

        3) 安全隔离

        如果在接入检查时
，发现终端不符合安全规定，需要对终端进行隔离或拒绝其访问网络资源，例如
：发现是外来终端则拒绝接入或进入“访客区”网段
，或者是内部不符合安全规定的终端，则让其进入“修复区”。

        4) 安全通知

        对被隔离的终端进行通知，告知其被隔离的原因。

        5) 安全修复

        自动引导被隔离的终端
，让其修复安全设置或者进行注册登记
，使得其可以正常访问网络资源。

    一个完整的网络准入控制系统
，应该包括以上五个方面的内容，缺少其中一个或者两个方面的内容，就不是完善的解决方案
，会给准入控制系统的部署和推广带来问题。

    联软科技的LeagView网络准入控制解决方案是一个完整的准入控制方案，可以提供以上五个方面的所有内容

。
2.5.准入控制系统管理方案设计
    （1）设备通过交换机直接接入

    企业内部传统通过交换机直连的设备使用802.1X方式实现管控。内网办公环境使用交换机启用802.1x准入方式，同时，配合guest vlan的端口镜像准入
，提供访客申请、流量审计
、在网安全检查及智能准入等功能，在保障安全的基础上使一线办公员入网更加便捷。
   （2）通过Hub集线器接入

    如企业内部含有部分职场提供/私接的Hub集线器设备，导致对集线器下多台设备对外提供同一个MAC地址
，给安全管理提供不便性和安全隐患
。

    联软科技的准入网关通过一下方式对Hub集线器下终端的严格管控

：

       a. 准入网关上线后，首先通过网络设备发现的方式对企业内部所有Hub集线器进行自动收集，展示出企业现有Hub集线器数量及位置
。

       b. 在内外网环境下下，上联交换机使用802.1x方式进行管理，依据终端设备的MAC地址逐个认证
。

       c. 联软准入网关上的设备mac地址信息依据终端设备上已安装的客户端上传的mac地址信息标记设备并展示，避免仅通过网络扫描收集造成的数据不准确情况
。
（3）设备通过无线接入

    通过无线接入的设备主要有手机和笔记本
，两者均是通过AP设备发布的无线SSID接入，为方便运维人员管理，联软科技通过同一SSID实现不同设备的不同权限控制。

    用户使用手机端接入时，通过WLAN的802.1x认证的方式，自动为手机弹出AD/LDAP认证页面
，用户通过使用正确的用户信息进行认证。认证通过后
，无线AC自动区分出手机设备

，并对其应用仅有互联网权限的VLAN
，使手机接入网络后仅能访问互联网。
2.7.方案特点

    LV7000的网络接入管理系统
，专为防止设备被病毒感染和网络被随意接入而设计，具有以下特点
：

        l  组网灵活
、兼容性高：具有业界最灵活的组网方式，业界最完善的接入认证技术
、业界最广泛的网络设备兼容性；

        l  最严密的安全接入控制手段
：直接与网络设备联动
，自动下发VLAN和ACL，安全控制粒度最细，与安全助手结合可感知应用类别，实现资源访问控制；

        l  真正的最小授权：最严格的、最全面的准入策略，最大程度上确保了企业安全；

        l  可靠性设计优异：系统结构简单，无单点故障，提供紧急逃生模式。在Radius服务器全面连接不上时，无需人工干预，自动撤防，不降低网络可靠性；

        l  故障诊断便捷：一方面，终端用户不需要做任何网络属性设置；另一方面
，接入故障诊断一目了然，一个界面分析出所有问题（端口
、认证、策略
、绑定）；

        l  部署和维护简单
：系统提供Agent自助式部署工具
、接入故障和系统故障诊断分析工具，策略设置简单易懂；

        l  独立第三方软件解决方案，不依赖于网络设备厂商，用户在设备采购时有更多决策自由权
；

        l  安全性和稳定性经过上千家金融、电信、政府等行业用户长期运行检验。