如何实现网络准入控制

在企业网络中，为保障业务、办公网络的正常运行，预防重要数据与机密文件被窃取。我们有必要建立一套统一的准入控制系统，以便实现对终端计算机的集中安全管理。

网络准入控制实现方

安全接入管理系统对电脑终端进行安全管理的总体思路：

 首先，通过网络准入控制技术，确保接入网络的电脑终端符合如下要求：

1、常规接入，对于内部员工、合作支持厂商及外来访客等人员的常规网络访问，必须符合网络常规接入管理规定，如果不符合管理规定，将拒绝其接入，或者通过网络对该电脑进行自动隔离。通过准入验证的终端可以访问日常办公区域和互联网等。

2、其他接入，对于内部员工、合作支持厂商及业务相关人员的特殊或涉密网络访问，必须安装Agent。不安装Agent的电脑将无法访问指定网络（特殊电脑可以例外）。安装了Agent的终端必须符合网络安全接入管理规定，例如：拥有合法的访问帐号、安装了指定的防病毒软件、安装了指定的操作系统补丁等。

网络准入控制系统架构

网络准入控制建议

1、常规接入：IT系统管理是多层次、多视图立体的管理系统。从管理对象角度，IT系统管理需要覆盖到网络设备、主机设备、标准的和非标准的应用系统。从管理功能角度，IT系统管理需要提供整个IT系统的故障管理功能、性能管理功能、配置管理功能和安全管理功能。解决方案要向IT系统管理员呈现整个计算机网络系统整体运行状况，有一个统一入口，有整体的运行状况监控图和统一的事件控制台。在系统运行状况监控图中，系统管理员不仅可以看到网络设备的运行状况，也能够看到主机设备、各种应用系统的运行状况；不仅能够看到故障信息，也能够看到整个计算机网络系统运行的性能信息、配置信息和安全信息。

2、与网络紧耦合的终端管理：终端管理的很多方面是和网络密不可分的，所以终端安全管理不能单纯地从终端本身着手，而是要和网络系统一起，将终端、网络设备作为一个整体来考虑，才能真正解决终端的安全问题。

3、计算机统一管理：终端管理需要将计算机、人和组织将结合起来管理。很多计算机的管理信息需要通过人来反映，如计算机有问题时，通常需要知会计算机的用户。设置安全策略，直接设置到人比机器更加直观。

4、开放性：解决方案设计的系统要能够实现对主流厂商的网络设备、主机设备、网络安全设备、应用系统和各种PC机的管理，是一个采用国际、国家或者行业标准的开放系统，以便能够支持升级后的IT系统管理。

准入控制可以解决的问题

借助网络准入控制技术，可以对接入网络的客户机设备进行控制，只有合法身份和满足安全要求的客户机才允许接入网络。网络准入控制可以帮助用户很好地解决如下问题：

• 1、防止非法的外来电脑接入网络，影响内部网络的安全；

• 2、防止感染病毒、木马的桌面电脑和笔记本电脑直接接入内部网络，影响网络的正常运行；

• 3、确保接入网络的客户机符合安全管理要求；

• 4、帮助安全管理员解决内部用户私自接HUB、无线AP等不安全行为。