【正文】 、被寫還是不可以接入到客戶端，同時控制用戶對U盤的操作。圖 31 UniAccessTM增量自動數(shù)據(jù)備份和恢復(fù). 防止文件非法外傳控制. U盤/軟盤控制UniAccessTM的U盤控制功能實現(xiàn)U盤的讀寫控制。下圖是UniAccessTM數(shù)據(jù)備份工具界面，它提供完整數(shù)據(jù)備份。UniAccessTM為上述安全審計信息提供報表，管理員可以將報表導(dǎo)出到excel、本地打印。. 報表和數(shù)據(jù)備份管理員可以在UniAccessTM管理界面上查詢到設(shè)置的安全策略信息和所有安全漏洞信息，包括：設(shè)置的安全策略信息、終端安全漏洞信息、網(wǎng)絡(luò)異常審計信息、非授權(quán)外來信息（USB存儲設(shè)備、Modem、無線上網(wǎng)卡、無線網(wǎng)卡、紅外、藍牙、雙網(wǎng)卡等）、網(wǎng)絡(luò)行為審計信息（上網(wǎng)行為、Email、文件拷貝、聊天、BT/電驢下載）、設(shè)備接入審計信息。上網(wǎng)行為的審計信息包括：何時、哪個終端、哪個用戶、通過哪個程序訪問網(wǎng)絡(luò)、具體的網(wǎng)絡(luò)行為、是否被終止、是否離線訪問。. 終端的網(wǎng)絡(luò)訪問行為審計與控制UniAccessTM的網(wǎng)絡(luò)行為審計功能實現(xiàn)終端用戶上網(wǎng)行為審計和控制，包括：（1） 通過白名單和黑名單，審計和控制web網(wǎng)站的訪問，可以禁止終端用戶訪問一些非法web網(wǎng)站；（2） 通過白名單和黑名單，審計和控制通過POP3和SMTP服務(wù)器收發(fā)郵件，可以禁止終端用戶通過外部郵箱收發(fā)郵件；（3） 對文件拷貝進行審計和控制；（4） 對MSN、等聊天軟件的使用進行審計和控制，可以禁止某個時間段內(nèi)使用這些聊天工具；（5） 對BT、電驢等P2P軟件的使用進行審計和控制，可以禁止這些P2P軟件的使用。審計信息包括何時、哪臺終端、哪個用戶、使用什么外連方式、開始使用時間、結(jié)束時間、是否被阻止。. 非授權(quán)外連UniAccessTM的非授權(quán)外連審計功能實現(xiàn)對非授權(quán)外連方式的審計和控制，包括USB大容量硬盤、Modem撥號、GPRS無線上網(wǎng)卡、CDMA無線上網(wǎng)卡、紅外、藍牙、光驅(qū)、軟驅(qū)、雙網(wǎng)卡等。UniAccessTM的主機進程安全策略定義界面如下圖所示。UniAccessTM支持三種方式來定義違禁軟件：（1）通過進程名來定義，即軟件運行后為指定進程名的即為違禁軟件（可以指定進程文件的執(zhí)行路徑）；（2）通過安裝軟件名稱；（3）通過安裝目錄。黑名單是指指定軟件為非法軟件，其他都是合法軟件。圖 28 客戶端安全漏洞掃描. 軟件許可監(jiān)控（黑白名單）UniAccessTM可以通過白名單、黑名單方式定義違禁軟件，這些違禁軟件被運行時可以產(chǎn)生告警事件通知管理員，或者直接禁止違禁軟件的使用。所有這些漏洞信息都會在客戶端按如下界面顯示，提醒用戶自己機器存在的安全漏洞，并且給出漏洞修復(fù)指南，用戶可以按指南說明修復(fù)這些漏洞。并且可以按照時段、IP地址等進行查詢。圖 26 網(wǎng)絡(luò)流量異常配置UniAccessTM可以向管理員展示所有終端設(shè)備的某個時間流量統(tǒng)計、流量排名和TCP連接數(shù)，并且提示管理員終端設(shè)備是否有可疑的TCP連接、流量是否可以、廣播包是否可疑。為了避免偶然峰值引起誤報，如拷貝大文件，UniAccessTM可以統(tǒng)計連續(xù)多個采用周期的平均值來判斷。圖 25 管理員權(quán)限設(shè)置界面. 客戶端流量異常管理控制UniAccessTM實現(xiàn)對終端設(shè)備流量大小、廣播包、TCP連接數(shù)進行監(jiān)控，監(jiān)測是否有異常，當(dāng)異常時產(chǎn)生告警事件通知管理員。UniAccessTM的權(quán)限分配是基于用戶組的，即為每個用戶組分配權(quán)限，然后將設(shè)置管理員屬于哪個用戶組。UniAccessTM管理員權(quán)限是二維的：管理員可以使用的菜單功能和可以管理的設(shè)備。下圖為UniAccessTM網(wǎng)絡(luò)準(zhǔn)入控制的重定向配置界面。UniAccessTM支持Cisco NAC L2IP和Cisco NAC L3IP網(wǎng)絡(luò)準(zhǔn)入控制機制。UniAccessTM探測器模塊的URL重定向界面如下圖所示。在UniAccessTM網(wǎng)絡(luò)準(zhǔn)入控制架構(gòu)中有兩種機制來實現(xiàn)此功能：（1） ARP干擾。. Web方式客戶端注冊UniAccessTM采用web方式進行客戶端注冊。圖 22 客戶端代理升級配置界面管理員可以設(shè)置指定要升級哪個版本、升級時間、客戶端必須滿足的軟件安裝條件、需要升級的目標(biāo)客戶端。圖 21 客戶端代理安裝檢測策略. 客戶端組件在線升級UniAccessTM支持客戶端代理在線升級，管理員可以配置升級策略，定時間、定范圍地升級客戶端代理，并可以查看到代理升級結(jié)果。圖 20 配置變更報表. 未注冊設(shè)備及注冊程序卸載告警UniAccessTM可以設(shè)置主機安全漏洞策略來檢查接入到網(wǎng)絡(luò)的終端設(shè)備是否安裝了客戶端代理，當(dāng)未安裝客戶端代理或者客戶端代理被卸載的終端設(shè)備接入到網(wǎng)絡(luò)時，可以自動產(chǎn)生告警事件，通知系統(tǒng)管理員。管理員可以從終端設(shè)備的詳細(xì)信息界面看到該終端的配置歷史變化過程，如下圖所示。下圖是配置變更策略配置界面。當(dāng)終端用戶新增、卸載一個硬件配置或者軟件式，UniAccessTM系統(tǒng)會記錄詳細(xì)配置變更信息，包括什么時間、哪個終端設(shè)備、哪個用戶、變更的配置項、變化前的配置、變化后的配置。當(dāng)定義安全策略時，可以指定違反該安全策略產(chǎn)生的告警事件采用什么事件處理流程進行處理，如下圖所示。圖 16 事件處理預(yù)案定義界面管理員可以定義告警事件發(fā)生時應(yīng)該按什么流程來處理告警事件，如Email通知、短信通知、Message通知、通知到客戶端代理，也可以與防火墻、網(wǎng)絡(luò)交換機進行聯(lián)動控制客戶端。UniAccessTM事件處理流程預(yù)案是全局性的配置，管理員可以單獨配置好需要的事件流程預(yù)案，然后將其與具體的安全策略綁定起來。. 未安裝殺毒軟件客戶端報警UniAccessTM主機安全漏洞檢測功能可以檢查終端設(shè)備是否存在安全漏洞，包括指定版本的防病毒軟件是否安裝、防病毒軟件的病毒特征庫是否為最新的?？蛻舳舜砺?lián)機卸載界面如下圖所示。圖 13 客戶端注冊信息查看. 客戶端代理反卸載及管理員聯(lián)機卸載UniAccessTM代理具有自我保護功能，可以防止客戶端用戶隨意卸載、停止代理或者刪除代理的安裝目錄下文件。圖 12 客戶端注冊后顯示的代理安裝選項頁面客戶端用戶輸入的注冊信息被作為組織架構(gòu)信息的一部分保存在數(shù)據(jù)庫中。當(dāng)客戶端用戶輸入安裝URL后，UniAccessTM會顯示如下圖所示界面，讓用戶輸入注冊信息。一般情況下，一臺終端接入網(wǎng)絡(luò)只需2－3分鐘的時間即可被系統(tǒng)發(fā)現(xiàn)并予以定位。 安裝日期所有這些信息都被保存在數(shù)據(jù)庫中，管理員可以在線瀏覽或者輸出各種資產(chǎn)報表。 版本216。 安裝的軟件名216。 外設(shè)信息：通過串口、并口、USB口連接的設(shè)備信息，Modem狀態(tài)信息216。 光驅(qū)信息：光驅(qū)速度、廠商、型號216。 內(nèi)存信息：物理內(nèi)存大小、具體的內(nèi)存條信息216。 CPU信息216。圖 10 二層網(wǎng)絡(luò)拓?fù)鋱DUniAccessTM的二層拓?fù)浒l(fā)現(xiàn)功能為終端設(shè)備管理構(gòu)建了一個基線數(shù)據(jù)庫，即所有資產(chǎn)的全集和概要信息。UniAccessTM二層拓?fù)浒l(fā)現(xiàn)功能支持大型網(wǎng)絡(luò)的拓?fù)浒l(fā)現(xiàn)，可以跨網(wǎng)絡(luò)、跨路由發(fā)現(xiàn)設(shè)備，支持不同廠商網(wǎng)絡(luò)設(shè)備混合構(gòu)建的異構(gòu)網(wǎng)絡(luò)設(shè)備發(fā)現(xiàn)。，如果網(wǎng)絡(luò)交換機和Radius之間的通信中斷，很可能導(dǎo)致網(wǎng)絡(luò)無法接入。圖 8 分支機構(gòu)終端接入控制示意圖由于分支機構(gòu)的網(wǎng)絡(luò)規(guī)模比較少，沒有獨立的防病毒服務(wù)器或者補丁服務(wù)器，分支機構(gòu)的終端往往需要通過總部的防病毒服務(wù)器、補丁服務(wù)器來進行自我修復(fù)。解決方案二（）。Cisco EoU認(rèn)證的準(zhǔn)入控制，允許在網(wǎng)絡(luò)設(shè)備上配備緊急模式，一旦網(wǎng)絡(luò)設(shè)備與Radius服務(wù)器之間的通信中斷，可以利用預(yù)先設(shè)置的緊急策略，允許電腦接入分支機構(gòu)的網(wǎng)絡(luò)。解決方案一（基于Cisco EoU認(rèn)證的準(zhǔn)入控制方案）如果分支機構(gòu)有Cisco Catalyst 3550或更高型號的網(wǎng)絡(luò)交換機，某優(yōu)先建議選用基于Cisco EoU認(rèn)證的準(zhǔn)入控制。這樣一方面可以減少服務(wù)器的數(shù)量降低成本，更重要的是減少了維護工作量和維護成本。，Cisco EoU認(rèn)證準(zhǔn)入控制技術(shù)通過動態(tài)ACL(基于IP的訪問控制列表)來控制接入設(shè)備對網(wǎng)絡(luò)資源的訪問。解決方案二（基于Cisco EoU認(rèn)證的準(zhǔn)入控制方案）如果接入層網(wǎng)絡(luò)設(shè)備存在大量的不可網(wǎng)管交換機、某建議選擇采用基于Cisco EoU認(rèn)證的準(zhǔn)入控制方案。UniAccessTM可以到AD服務(wù)器、郵件服務(wù)器或者UniAccessTM內(nèi)部用戶數(shù)據(jù)庫中驗證桌面PC機的用戶身份信息。（2） 只有合法身份的用戶以及滿足組織安全規(guī)范的桌面PC才能接入到網(wǎng)絡(luò)中，否則系統(tǒng)會將此桌面PC機（包括沒有安裝客戶端代理的桌面PC機）自動切換到一個修復(fù)VLAN中，客戶端在此修復(fù)VLAN中訪問修復(fù)安全漏洞必須的網(wǎng)絡(luò)資源；（3） 合法身份的用戶以及滿足組織安全規(guī)范的桌面PC接入到網(wǎng)絡(luò)時，系統(tǒng)會根據(jù)用戶身份自動將桌面PC機切換到屬于該用戶的工作VLAN中，從而實現(xiàn)不同權(quán)限的人可以訪問不同的網(wǎng)絡(luò)資源。有兩個特殊的VLAN：一個是修復(fù)區(qū)VLAN，這個VLAN中主要有一些文件服務(wù)器，供不滿足組織安全策略要求的客戶端打補丁、安裝防病毒軟件、更新防病毒軟件特征庫等；另一個是訪客區(qū)VLAN，這個VLAN中主要是一些可以公共訪問的資源，如對外的網(wǎng)站服務(wù)器等。不同的VLAN有不同的網(wǎng)絡(luò)資源，實現(xiàn)了網(wǎng)絡(luò)資源的訪問控制。. 總部、地區(qū)總部網(wǎng)絡(luò)準(zhǔn)入控制建議解決方案一（）。中小型分支機構(gòu)，由于電腦終端的數(shù)量比較少，往往也缺乏專職的技術(shù)人員來維護準(zhǔn)入控制系統(tǒng)及其服務(wù)器，以及從降低成本的角度考慮，不用配備專用的準(zhǔn)入控制服務(wù)器。一般來說，某建議有大量分支機構(gòu)的客戶采取如下部署方案：l 對于總部或地區(qū)總部，部署專門的準(zhǔn)入控制服務(wù)器（包括：Radius和后臺管理與數(shù)據(jù)庫服務(wù)器）；l 對于中小型的分支機構(gòu)，一般情況下，不建議部署專用的準(zhǔn)入控制服務(wù)器。. XXXX網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)部署建議. 準(zhǔn)入控制系統(tǒng)總體部署建議準(zhǔn)入控制系統(tǒng)，大大提高了內(nèi)部網(wǎng)絡(luò)系統(tǒng)的安全性，但是同時，如果部署不當(dāng)?shù)脑挘矔o網(wǎng)絡(luò)帶來可靠性和可維護性問題。圖 5 EoU認(rèn)證準(zhǔn)入控制技術(shù)對比UniAccessTM 網(wǎng)絡(luò)準(zhǔn)入控制架構(gòu)的突出特點是以網(wǎng)絡(luò)設(shè)備為控制設(shè)備點，但又不局限于一家網(wǎng)絡(luò)設(shè)備廠商，能夠適應(yīng)各種網(wǎng)絡(luò)環(huán)境要求。兩種準(zhǔn)入控制技術(shù)都可以控制對不安全終端或者外來終端對網(wǎng)絡(luò)資源的訪問。ARP干擾器只需要部署在訪客區(qū)VLAN中。（3） ARP干擾，為未安裝代理的終端設(shè)備提供URL重定向功能。特別是MutliAuth模式，在有Hub的網(wǎng)絡(luò)環(huán)境中也可以實現(xiàn)準(zhǔn)入控制。圖 4 UniAccessTM網(wǎng)絡(luò)準(zhǔn)入控制架構(gòu)UniAccessTM 網(wǎng)絡(luò)準(zhǔn)入控制架構(gòu)提供了四種方法解決不同網(wǎng)絡(luò)環(huán)境的網(wǎng)絡(luò)準(zhǔn)入控制：（1） UniAccessTM ，如Cisco和華為3Com。UniAccessTM可以將用戶和終端設(shè)備進行綁定，即某個用戶只能通過某臺終端設(shè)備接入到網(wǎng)絡(luò)中，這樣可以禁止內(nèi)部員工私自將家里電腦接入到網(wǎng)絡(luò)中。如果是來自內(nèi)部合法終端設(shè)備接入網(wǎng)絡(luò)，UniAccessTM將采取如下控制措施：（1） 檢查用戶輸入的用戶名和口令是否合法；檢查客戶端是否滿足安全策略要求。當(dāng)終端設(shè)備被接入網(wǎng)絡(luò)時，會被要求進行身份認(rèn)證和安全策略檢查。一般外來用戶的終端設(shè)備被限制只能訪問訪客區(qū)的網(wǎng)絡(luò)資源。劃分方式可以是VLAN或者基于IP的訪問控制列表。通過以上手段，UniAccessTM可以保障網(wǎng)絡(luò)接入服務(wù)的高度可用性。2）如果執(zhí)行網(wǎng)絡(luò)準(zhǔn)入控制的網(wǎng)絡(luò)設(shè)備是Cisco的交換機或者路由器，可以在網(wǎng)絡(luò)設(shè)備上配置緊急模式。某科技提供的準(zhǔn)入控制系統(tǒng)部署方案具有如下特征：l 和認(rèn)證過程相關(guān)的設(shè)備和系統(tǒng)，不存在單點故障。網(wǎng)絡(luò)交換機將準(zhǔn)備接入網(wǎng)絡(luò)的電腦終端所上傳的以上各種信息轉(zhuǎn)發(fā)給Radius服務(wù)器，由Radius服務(wù)器再去查詢AD服務(wù)器和數(shù)據(jù)庫服務(wù)器并將查詢分析的結(jié)果返回給網(wǎng)絡(luò)交換機。3. 檢查該電腦是否符合安全管理規(guī)定：例如操作系統(tǒng)補丁是否安裝、防病毒軟件是否安裝等。某科技的UniAccessTM網(wǎng)絡(luò)準(zhǔn)入控制解決方案是一個完整的準(zhǔn)入控制方案，可以提供以上五個方面的所有內(nèi)容。l 安全修復(fù)自動引導(dǎo)被隔離的終端，讓其修復(fù)安全設(shè)置或者進行注冊登記，使得其可以正常訪問網(wǎng)絡(luò)資源。l 安全隔離如果在接入檢查時，發(fā)現(xiàn)終端不符合安全規(guī)定，需要對終端進行隔離或拒絕其訪問網(wǎng)絡(luò)資源，例如：發(fā)現(xiàn)是外來終端則拒絕接入或進入“訪客區(qū)”網(wǎng)段，或者是內(nèi)部不符合安全規(guī)定的終端，則讓其進入“修復(fù)區(qū)”。一般來說，電腦終端接入網(wǎng)絡(luò)需要：l 注冊登記內(nèi)部終端要訪問網(wǎng)絡(luò)資源之前，需要在網(wǎng)絡(luò)上注冊登記（用戶賬戶登記、終端ID注冊等），取得接入網(wǎng)絡(luò)的權(quán)限。UniAccessTM網(wǎng)絡(luò)準(zhǔn)入控制杜絕非法外來電腦接入內(nèi)部網(wǎng)絡(luò)；同時將有問題的客戶機隔離或限制其訪問，直到這些有問題的客戶機修復(fù)為止，這樣，一方面可以防止這些客戶機成為蠕蟲和病毒攻擊的目標(biāo)，還可以防止這些主機成為傳播病毒的源頭。UniAccessTM網(wǎng)絡(luò)準(zhǔn)入控制可以幫助用戶很好地解決如下問題：l 防止非法的外來電腦接入網(wǎng)絡(luò)，影響內(nèi)部網(wǎng)絡(luò)的安全；l 防止感染病毒、木馬的桌面電腦和筆記本電腦直接接入內(nèi)部網(wǎng)絡(luò)，影響網(wǎng)絡(luò)的正常運行；l 確保接入網(wǎng)絡(luò)的客戶機符合安全管理要求。4. UniAccessTM網(wǎng)絡(luò)準(zhǔn)入控制介紹及在XXXX部署建議. UniAccessTM網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)總體介紹UniAccessTM網(wǎng)絡(luò)準(zhǔn)入控制是UniAccessTM安全接入控制系統(tǒng)的一個管理組件。 桌面終端的批量管理，提高管理效率批量對桌面終端進行管理和維護，例如：集中式自動安裝軟件、遠(yuǎn)程監(jiān)控和遠(yuǎn)程協(xié)助、快速設(shè)備定位，批量設(shè)置終端的安全選項等，可以提高終端的日常管理和維護效率。包括：軟硬件資產(chǎn)統(tǒng)計，資產(chǎn)變更自動發(fā)現(xiàn)，資產(chǎn)的維護等。252。252。 防止文件非法外傳及員工終端操作行為管理防止保存于電腦終端上信息機密文件被員工非法外傳出去，包括：禁止/審計通過軟盤、U盤、網(wǎng)絡(luò)共享等方式CO