【正文】 2 用戶設(shè)置5) 添加NAD設(shè)備，設(shè)置IP地址為接入層或或匯聚層設(shè)備，共享密鑰需跟設(shè)備密鑰一致。圖 213 設(shè)置 NAD 設(shè)備網(wǎng)絡(luò)接入控制解決方案346) 參數(shù)設(shè)置，在安裝VRVRadius時，會自動安裝并導(dǎo)入證書，不需要做其他任何操作。圖 214 安裝證書7) ACL設(shè)置，ACL控制大概可以分為成功ACL、隔離ACL和無客戶端ACL，成功ACL可以訪問網(wǎng)絡(luò)任何位置，無限制。圖 215 成功 ACL8) 隔離ACL設(shè)置，當(dāng)終端未滿足安全策略時，需要做相應(yīng)限制，根據(jù)企業(yè)實(shí)際情況做控制。無客戶端ACL可以根據(jù)具體情況由網(wǎng)絡(luò)管理員設(shè)置。網(wǎng)絡(luò)接入控制解決方案35圖 216 隔離 ACL. 基于 VIFR 技術(shù)的準(zhǔn)入控制方案虛擬隔離強(qiáng)制注冊（VIFR）技術(shù)原理在于，在局域網(wǎng)內(nèi)，通過已注冊且開機(jī)終端監(jiān)聽網(wǎng)內(nèi) TCP、DHCP、DNS、ARP、HTTP 等協(xié)議；從而對未注冊的計算機(jī)進(jìn)行干擾，并通過重定向的方式讓未注冊計算機(jī)進(jìn)行智能強(qiáng)制安裝客戶端。強(qiáng)制計算機(jī)注冊后，對接入網(wǎng)絡(luò)的計算機(jī)進(jìn)行接入審核、實(shí)名制管理和終端安全狀況檢測等相應(yīng)終端安全管理。該技術(shù)的實(shí)現(xiàn)不需要改變?nèi)魏尉W(wǎng)絡(luò)環(huán)境，也不需要新增網(wǎng)絡(luò)硬件設(shè)備。只需要在現(xiàn)有 EDP 服務(wù)器上進(jìn)行升級或增加新模塊授權(quán)即可。可以實(shí)現(xiàn)以下重要功能：? 對未注冊計算機(jī)干擾：利用計算機(jī)接入網(wǎng)絡(luò)后發(fā)送的DHCP、TCP、ARP、DNS 等協(xié)議進(jìn)行分析，已注冊終端將對未注冊計算機(jī)發(fā)出的相應(yīng)類型協(xié)議數(shù)據(jù)包進(jìn)行阻斷及控制，到達(dá)未注冊終端無法對網(wǎng)絡(luò)正常訪問。并且未注冊終端不能訪問任何已注冊終端。網(wǎng)絡(luò)接入控制解決方案36? 對未注冊計算機(jī)重定向：未注冊計算機(jī)對網(wǎng)絡(luò)進(jìn)行 HTTP 訪問時，會定向到一個提示安裝 Agent 的網(wǎng)頁上。未注冊終端將會根據(jù)重定向頁面的提示進(jìn)行注冊客戶端程序。? 注冊計算機(jī)代理掃描器：由代理掃描策略制定，在同一網(wǎng)內(nèi)，同一時刻由已經(jīng)注冊且開機(jī)的計算機(jī)中，推舉出一臺系統(tǒng)資源占用較少且性能最優(yōu)的計算機(jī)將成為該網(wǎng)段或本 VLAN 內(nèi)代理掃描器。被推舉的代理掃描器出現(xiàn)異常時，如在指定時間內(nèi)沒有進(jìn)行掃描，此時將有新的代理掃描器被推舉，執(zhí)行代理掃描器的任務(wù)。代理掃描主要目的是為了發(fā)現(xiàn)新接入終端。 接入認(rèn)證實(shí)現(xiàn)方式在執(zhí)行此功能的網(wǎng)絡(luò)中，如果有新的終端接入到網(wǎng)絡(luò)中會立即會被隔離，并且只能與 EDP server 通訊，注冊后會立即執(zhí)行安檢策略，通過安檢才能接入到正常的工作網(wǎng)絡(luò)。在非法終端處于隔離同時將不能與網(wǎng)絡(luò)中任何一臺已注冊終端進(jìn)行通訊，并且不能訪問內(nèi)網(wǎng)中的 FTP、OA 等服務(wù)器。網(wǎng)絡(luò)接入控制解決方案37VIFR 接入認(rèn)證策略在策略管理中心中點(diǎn)擊“接入認(rèn)證策略VIFR 接入認(rèn)證”，配置參數(shù)如下所示：??“ 啟用客戶端代理掃描”，開啟代理掃描功能，主控客戶端會自動掃描網(wǎng)絡(luò)信息并上報服務(wù)器；??“ 虛擬隔離注冊功能(VIFR)”，啟用虛擬隔離功能，該技術(shù)會自動控制新接入終端使其安裝制定程序；??“ 重要服務(wù)器信息配置列表”，添加在業(yè)務(wù)終端中需要保護(hù)的服務(wù)器，如：FTP、OA 系統(tǒng)等；??“ 主控范圍配置”，填寫 VIFR 需要控制的范圍，控制該范圍內(nèi)新接入的終端；??“ 代理服務(wù)器列表”，添加上網(wǎng)代理服務(wù)器，通過代理服務(wù)器連接上級網(wǎng)絡(luò)；網(wǎng)絡(luò)接入控制解決方案38? “轉(zhuǎn)發(fā)服務(wù)器端口配置列表”，配置重定向地址，如默認(rèn)為注冊服務(wù)器的地址。. 其他網(wǎng)絡(luò)準(zhǔn)入控制輔助技術(shù). 功能詳解描述ARP 阻斷采用了 ARP 欺騙方法，阻斷計算機(jī)利用 ARP 協(xié)議的原理打亂被阻斷計算機(jī)和網(wǎng)絡(luò)中其他計算機(jī)的 IPMAC 地址對應(yīng)表(ARP 表)，使被阻斷計算機(jī)無法正常進(jìn)行網(wǎng)絡(luò)通信，從而達(dá)到阻斷的目的。. 分布式軟阻斷策略說明功能實(shí)現(xiàn)配置方法一:設(shè)置說明：注釋 “掃描器發(fā)現(xiàn)設(shè)備異常后執(zhí)行的動作”：啟用軟阻斷功能。啟用該功能后，系統(tǒng)將會對網(wǎng)絡(luò)中沒有通過認(rèn)證的終端進(jìn)行阻斷，使終端無法正常訪問網(wǎng)絡(luò)。注釋 “阻斷持續(xù)時間”：本例中設(shè)置的時間為 5 分鐘，表示對新接入的終端每阻斷 5 分鐘，將會對終端做一次檢測，如果發(fā)現(xiàn)終端仍未通過認(rèn)證，12網(wǎng)絡(luò)接入控制解決方案39系統(tǒng)將繼續(xù)對接入的終端進(jìn)行阻斷。功能實(shí)現(xiàn)配置方法二:設(shè)置說明：注釋 “沒有注冊則阻斷聯(lián)網(wǎng)”：啟用軟阻斷功能。啟用該功能后，系統(tǒng)將會對沒有通過認(rèn)證的終端進(jìn)行阻斷，使終端無法正常訪問網(wǎng)絡(luò)。與配置方法一不同的是，方法二可以針對不同網(wǎng)段，單獨(dú)啟用軟阻斷功能，即對不同網(wǎng)段單獨(dú)開啟接入控制功能。該控制技術(shù)通過對支持 SNMP 協(xié)議的交換機(jī)發(fā)送指令，來實(shí)現(xiàn)打開、關(guān)閉交換機(jī)指定端口，通過對交換機(jī)端口的控制來實(shí)現(xiàn)對接入設(shè)備的訪問控制。SNMP 進(jìn)行網(wǎng)絡(luò)管理需要下面幾個重要部分：管理基站，管理代理，管理信息庫和網(wǎng)絡(luò)管理工具。管理基站通常是一個獨(dú)立的設(shè)備，它用作網(wǎng)絡(luò)管理者進(jìn)行網(wǎng)絡(luò)管理的用戶接口?；旧媳仨氀b備有管理軟件，管理員可以使用的用戶接口和從 MIB取得信息的數(shù)據(jù)庫，同時為了進(jìn)行網(wǎng)絡(luò)管理它應(yīng)該具備將管理命令發(fā)出基站的能力。管理代理是一種網(wǎng)絡(luò)設(shè)備，如主機(jī)，網(wǎng)橋，路由器和集線器等，這些設(shè)備都必須能夠接收管理基站發(fā)來的信息，它們的狀態(tài)也必須可以由管理基站監(jiān)視。管理代1網(wǎng)絡(luò)接入控制解決方案40理響應(yīng)基站的請求進(jìn)行相應(yīng)的操作，也可以在沒有請求的情況下向基站發(fā)送信息。MIB 是對象的集合，它代表網(wǎng)絡(luò)中可以管理的資源和設(shè)備。每個對象基本上是一個數(shù)據(jù)變量，它代表被管理的對象的一方面的信息。最后一個方面是管理協(xié)議，也就是 SNMP，SNMP 的基本功能是：取得，設(shè)置和接收代理發(fā)送的意外信息。取得指的是基站發(fā)送請求，代理根據(jù)這個請求回送相應(yīng)的數(shù)據(jù)，設(shè)置是基站設(shè)置管理對象(也就是代理)的值，接收收代理發(fā)送的意外信息是指代理可以在基站未請求的狀態(tài)下向基站報告發(fā)生的意外情況。網(wǎng)絡(luò)接入控制解決方案414. 方案總結(jié)綜上所述，某網(wǎng)絡(luò)接入控制方案通過四項(xiàng)接入控制技術(shù)、二項(xiàng)輔助接入控制技術(shù)對終端接入內(nèi)網(wǎng)現(xiàn)象建立了完整的防范控制體系，避免了由于終端接入環(huán)節(jié)而給內(nèi)網(wǎng)帶來的潛在風(fēng)險。同時，通過某集中管控與策略平臺（EDP SERVER）對上述接入認(rèn)證安全產(chǎn)品進(jìn)行集成化的管控，最終實(shí)現(xiàn)對內(nèi)網(wǎng)授權(quán)終端用戶的可控、可管、可審計，從而形成了完整防范控制體系，為整個網(wǎng)絡(luò)系統(tǒng)信息安全管理體系建設(shè)打下堅實(shí)的基礎(chǔ)。