【正文】 2 用戶設置5) 添加NAD設備，設置IP地址為接入層或或匯聚層設備，共享密鑰需跟設備密鑰一致。圖 213 設置 NAD 設備網(wǎng)絡接入控制解決方案346) 參數(shù)設置，在安裝VRVRadius時，會自動安裝并導入證書，不需要做其他任何操作。圖 214 安裝證書7) ACL設置，ACL控制大概可以分為成功ACL、隔離ACL和無客戶端ACL，成功ACL可以訪問網(wǎng)絡任何位置，無限制。圖 215 成功 ACL8) 隔離ACL設置，當終端未滿足安全策略時，需要做相應限制，根據(jù)企業(yè)實際情況做控制。無客戶端ACL可以根據(jù)具體情況由網(wǎng)絡管理員設置。網(wǎng)絡接入控制解決方案35圖 216 隔離 ACL. 基于 VIFR 技術的準入控制方案虛擬隔離強制注冊（VIFR）技術原理在于，在局域網(wǎng)內(nèi)，通過已注冊且開機終端監(jiān)聽網(wǎng)內(nèi) TCP、DHCP、DNS、ARP、HTTP 等協(xié)議；從而對未注冊的計算機進行干擾，并通過重定向的方式讓未注冊計算機進行智能強制安裝客戶端。強制計算機注冊后，對接入網(wǎng)絡的計算機進行接入審核、實名制管理和終端安全狀況檢測等相應終端安全管理。該技術的實現(xiàn)不需要改變?nèi)魏尉W(wǎng)絡環(huán)境，也不需要新增網(wǎng)絡硬件設備。只需要在現(xiàn)有 EDP 服務器上進行升級或增加新模塊授權即可?？梢詫崿F(xiàn)以下重要功能：? 對未注冊計算機干擾：利用計算機接入網(wǎng)絡后發(fā)送的DHCP、TCP、ARP、DNS 等協(xié)議進行分析，已注冊終端將對未注冊計算機發(fā)出的相應類型協(xié)議數(shù)據(jù)包進行阻斷及控制，到達未注冊終端無法對網(wǎng)絡正常訪問。并且未注冊終端不能訪問任何已注冊終端。網(wǎng)絡接入控制解決方案36? 對未注冊計算機重定向：未注冊計算機對網(wǎng)絡進行 HTTP 訪問時，會定向到一個提示安裝 Agent 的網(wǎng)頁上。未注冊終端將會根據(jù)重定向頁面的提示進行注冊客戶端程序。? 注冊計算機代理掃描器：由代理掃描策略制定，在同一網(wǎng)內(nèi)，同一時刻由已經(jīng)注冊且開機的計算機中，推舉出一臺系統(tǒng)資源占用較少且性能最優(yōu)的計算機將成為該網(wǎng)段或本 VLAN 內(nèi)代理掃描器。被推舉的代理掃描器出現(xiàn)異常時，如在指定時間內(nèi)沒有進行掃描，此時將有新的代理掃描器被推舉，執(zhí)行代理掃描器的任務。代理掃描主要目的是為了發(fā)現(xiàn)新接入終端。 接入認證實現(xiàn)方式在執(zhí)行此功能的網(wǎng)絡中，如果有新的終端接入到網(wǎng)絡中會立即會被隔離，并且只能與 EDP server 通訊，注冊后會立即執(zhí)行安檢策略，通過安檢才能接入到正常的工作網(wǎng)絡。在非法終端處于隔離同時將不能與網(wǎng)絡中任何一臺已注冊終端進行通訊，并且不能訪問內(nèi)網(wǎng)中的 FTP、OA 等服務器。網(wǎng)絡接入控制解決方案37VIFR 接入認證策略在策略管理中心中點擊“接入認證策略VIFR 接入認證”，配置參數(shù)如下所示：??“ 啟用客戶端代理掃描”，開啟代理掃描功能，主控客戶端會自動掃描網(wǎng)絡信息并上報服務器；??“ 虛擬隔離注冊功能(VIFR)”，啟用虛擬隔離功能，該技術會自動控制新接入終端使其安裝制定程序；??“ 重要服務器信息配置列表”，添加在業(yè)務終端中需要保護的服務器，如：FTP、OA 系統(tǒng)等；??“ 主控范圍配置”，填寫 VIFR 需要控制的范圍，控制該范圍內(nèi)新接入的終端；??“ 代理服務器列表”，添加上網(wǎng)代理服務器，通過代理服務器連接上級網(wǎng)絡；網(wǎng)絡接入控制解決方案38? “轉發(fā)服務器端口配置列表”，配置重定向地址，如默認為注冊服務器的地址。. 其他網(wǎng)絡準入控制輔助技術. 功能詳解描述ARP 阻斷采用了 ARP 欺騙方法，阻斷計算機利用 ARP 協(xié)議的原理打亂被阻斷計算機和網(wǎng)絡中其他計算機的 IPMAC 地址對應表(ARP 表)，使被阻斷計算機無法正常進行網(wǎng)絡通信，從而達到阻斷的目的。. 分布式軟阻斷策略說明功能實現(xiàn)配置方法一:設置說明：注釋 “掃描器發(fā)現(xiàn)設備異常后執(zhí)行的動作”：啟用軟阻斷功能。啟用該功能后，系統(tǒng)將會對網(wǎng)絡中沒有通過認證的終端進行阻斷，使終端無法正常訪問網(wǎng)絡。注釋 “阻斷持續(xù)時間”：本例中設置的時間為 5 分鐘，表示對新接入的終端每阻斷 5 分鐘，將會對終端做一次檢測，如果發(fā)現(xiàn)終端仍未通過認證，12網(wǎng)絡接入控制解決方案39系統(tǒng)將繼續(xù)對接入的終端進行阻斷。功能實現(xiàn)配置方法二:設置說明：注釋 “沒有注冊則阻斷聯(lián)網(wǎng)”：啟用軟阻斷功能。啟用該功能后，系統(tǒng)將會對沒有通過認證的終端進行阻斷，使終端無法正常訪問網(wǎng)絡。與配置方法一不同的是，方法二可以針對不同網(wǎng)段，單獨啟用軟阻斷功能，即對不同網(wǎng)段單獨開啟接入控制功能。該控制技術通過對支持 SNMP 協(xié)議的交換機發(fā)送指令，來實現(xiàn)打開、關閉交換機指定端口，通過對交換機端口的控制來實現(xiàn)對接入設備的訪問控制。SNMP 進行網(wǎng)絡管理需要下面幾個重要部分：管理基站，管理代理，管理信息庫和網(wǎng)絡管理工具。管理基站通常是一個獨立的設備，它用作網(wǎng)絡管理者進行網(wǎng)絡管理的用戶接口?；旧媳仨氀b備有管理軟件，管理員可以使用的用戶接口和從 MIB取得信息的數(shù)據(jù)庫，同時為了進行網(wǎng)絡管理它應該具備將管理命令發(fā)出基站的能力。管理代理是一種網(wǎng)絡設備，如主機，網(wǎng)橋，路由器和集線器等，這些設備都必須能夠接收管理基站發(fā)來的信息，它們的狀態(tài)也必須可以由管理基站監(jiān)視。管理代1網(wǎng)絡接入控制解決方案40理響應基站的請求進行相應的操作，也可以在沒有請求的情況下向基站發(fā)送信息。MIB 是對象的集合，它代表網(wǎng)絡中可以管理的資源和設備。每個對象基本上是一個數(shù)據(jù)變量，它代表被管理的對象的一方面的信息。最后一個方面是管理協(xié)議，也就是 SNMP，SNMP 的基本功能是：取得，設置和接收代理發(fā)送的意外信息。取得指的是基站發(fā)送請求，代理根據(jù)這個請求回送相應的數(shù)據(jù)，設置是基站設置管理對象(也就是代理)的值，接收收代理發(fā)送的意外信息是指代理可以在基站未請求的狀態(tài)下向基站報告發(fā)生的意外情況。網(wǎng)絡接入控制解決方案414. 方案總結綜上所述，某網(wǎng)絡接入控制方案通過四項接入控制技術、二項輔助接入控制技術對終端接入內(nèi)網(wǎng)現(xiàn)象建立了完整的防范控制體系，避免了由于終端接入環(huán)節(jié)而給內(nèi)網(wǎng)帶來的潛在風險。同時，通過某集中管控與策略平臺（EDP SERVER）對上述接入認證安全產(chǎn)品進行集成化的管控，最終實現(xiàn)對內(nèi)網(wǎng)授權終端用戶的可控、可管、可審計，從而形成了完整防范控制體系，為整個網(wǎng)絡系統(tǒng)信息安全管理體系建設打下堅實的基礎。