網(wǎng)絡(luò)準(zhǔn)入與終端安全管理技術(shù)方案網(wǎng)絡(luò)準(zhǔn)入與終端安全管理技術(shù)方案深圳市聯(lián)軟科技有限公司20121011網(wǎng)絡(luò)準(zhǔn)入與終端安全管理技術(shù)方案書(shū)_TOC301739999目錄目錄1圖表目錄51終端統(tǒng)一安全管理系統(tǒng)的需要111面臨的網(wǎng)絡(luò)安全挑戰(zhàn)112建立統(tǒng)一的準(zhǔn)入控制與終端安全管理系統(tǒng)12LEAGVIEWUNIACCESS解決方案總體概述321解決方案總體設(shè)計(jì)思路3211方案設(shè)計(jì)原則3212統(tǒng)一的集成化管理平臺(tái)4213支持多廠商/多平臺(tái)5214人、計(jì)算機(jī)統(tǒng)一管理5215開(kāi)放性53LEAGVIEW準(zhǔn)入控制與終端安全管理系統(tǒng)6311LEAGVIEW準(zhǔn)入控制與終端安全管理系統(tǒng)簡(jiǎn)介6312LEAGVIEW準(zhǔn)入控制與終端安全管理總體思路9313LEAGVIEW準(zhǔn)入控制與終端安全管理系統(tǒng)架構(gòu)104LEAGVIEWUNIACCESS網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)1341LEAGVIEW網(wǎng)絡(luò)準(zhǔn)入控制部署總體介紹13411準(zhǔn)入控制系統(tǒng)部署的目的13412準(zhǔn)入控制系統(tǒng)部署后的影響13413準(zhǔn)入控制系統(tǒng)終端接入管理體系1442LEAGVIEW網(wǎng)絡(luò)準(zhǔn)入控制方案介紹15421LEAGVIEW網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)介紹15422企業(yè)綜合網(wǎng)絡(luò)準(zhǔn)入控制解決方案18423網(wǎng)絡(luò)準(zhǔn)入控制部署方案建議25424LEAGVIEW支持的網(wǎng)絡(luò)準(zhǔn)入控制策略2743網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)可靠性保障32431準(zhǔn)入控制高可靠性保障措施建議（消除單點(diǎn)故障）33432準(zhǔn)入控制災(zāi)難恢復(fù)與“一鍵式”復(fù)原技術(shù)335集中式終端安全管理3551網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)及資產(chǎn)/IT設(shè)備管理35511網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)35512資產(chǎn)信息自動(dòng)采集36513設(shè)備快速定位（交換機(jī)端口定位）37514設(shè)備IPMAC資源管理38515IP地址變更管理39516配置變更管理40517移動(dòng)介質(zhì)管理4352用戶身份認(rèn)證管理44521數(shù)字證書(shū)認(rèn)證44522數(shù)字證書(shū)驗(yàn)證方法44523組織目錄管理45524客戶端設(shè)備注冊(cè)4553終端安全防護(hù)管理47531木馬漏洞檢查47532木馬進(jìn)程防護(hù)49533木馬端口防護(hù)49534補(bǔ)丁系統(tǒng)聯(lián)動(dòng)5054終端安全評(píng)估與加固管理51541安全漏洞檢查51542防病毒軟件檢查52543個(gè)人防火墻55544防止ARP網(wǎng)關(guān)、DHCP欺騙56545WINDOWS本地安全策略5755終端安全審計(jì)與行為控制管理58551非授權(quán)外聯(lián)控制58552網(wǎng)絡(luò)行為審計(jì)與控制59553文檔打印審計(jì)與控制61554軟件許可監(jiān)控（黑白名單）61555電子郵件方式外傳控制64556WEBMAIL方式外傳控制64557MSN/文件外傳控制64558文件共享方式外傳控制64559離線及漫游控制645510違規(guī)客戶端遠(yuǎn)程阻斷655511支持穿透客戶端防火墻6556移動(dòng)存貯管理65561USB存儲(chǔ)注冊(cè)65562USB存儲(chǔ)設(shè)備/軟盤(pán)控制66563USB存儲(chǔ)加密功能6857終端流量管理68571網(wǎng)絡(luò)異常檢測(cè)68572終端流量統(tǒng)計(jì)69573終端流量控制7058補(bǔ)丁分發(fā)管理71581補(bǔ)丁斷點(diǎn)續(xù)傳71582補(bǔ)丁測(cè)試71583客戶端用戶手工安裝補(bǔ)丁72584補(bǔ)丁自動(dòng)分發(fā)安裝7359軟件分發(fā)管理74591斷點(diǎn)續(xù)傳74592分發(fā)模式75593軟件分發(fā)過(guò)程監(jiān)控75510遠(yuǎn)程支持76511消息廣播77512全局管理功能785121設(shè)備分組785122管理員權(quán)限管理和分組795123管理員日志審計(jì)805124報(bào)表和數(shù)據(jù)備份816系統(tǒng)部署及軟硬件配置8461LEAGVIEW系統(tǒng)的部署優(yōu)勢(shì)8462LEAGVIEWAGENT的特點(diǎn)及其部署方法84621LEAGVIEWAGENT的特點(diǎn)84622LEAGVIEWAGENT性能參數(shù)85623LEAGVIEWAGENT支持的操作系統(tǒng)85624LEAGVIEWAGENT的部署85625客戶機(jī)軟件部署建議8663LEAGVIEW服務(wù)器部署方案8764軟硬件配置清單89641LEAGVIEW服務(wù)器硬件（臺(tái)，必選項(xiàng)目）89642NACC網(wǎng)絡(luò)準(zhǔn)入控制器（臺(tái)，可選項(xiàng)目）90643補(bǔ)丁下載服務(wù)器（1臺(tái)，可選）90644服務(wù)器軟件配置917項(xiàng)目工作方案9271項(xiàng)目實(shí)施概述9272項(xiàng)目實(shí)施計(jì)劃9373系統(tǒng)部署時(shí)間9474項(xiàng)目組織架構(gòu)9475項(xiàng)目質(zhì)量控制9776技術(shù)文檔管理978附錄9981聯(lián)軟科技公司簡(jiǎn)介9982LEAGVIEW應(yīng)用案例99典型案例詳細(xì)說(shuō)明100_TOC301740000圖表目錄圖1PDCA安全模型4圖2LEAGVIEW的總體思路9圖3LEAGVIEW終端安全與準(zhǔn)入控制管理系架構(gòu)10圖4網(wǎng)絡(luò)準(zhǔn)入控制原理15圖5LEAGVIEW網(wǎng)絡(luò)準(zhǔn)入控制架構(gòu)16圖6部署連接示意圖17圖7基于8021X認(rèn)證和CISCOEOU認(rèn)證準(zhǔn)入控制技術(shù)對(duì)比18圖8大型綜合準(zhǔn)入控制方案19圖9基于8021X的SINGLEHOST準(zhǔn)入控制方案20圖10訪客區(qū)網(wǎng)關(guān)部署21圖11基于CISCONACL2IP的準(zhǔn)入控制方案22圖12遠(yuǎn)程分支機(jī)構(gòu)/遠(yuǎn)程接入準(zhǔn)入控制方案23圖13NACC準(zhǔn)入控制器方案24圖14準(zhǔn)入控制部署方案建議26圖15準(zhǔn)入控制用戶身份認(rèn)證策略29圖16準(zhǔn)入控制主機(jī)安全漏洞檢測(cè)策略30圖17二層網(wǎng)絡(luò)拓?fù)鋱D35圖18設(shè)備概要信息36圖19終端資產(chǎn)詳細(xì)信息（硬件）37圖20IPMAC資源管理38圖21IPMAC策略綁定39圖22設(shè)備IP地址歷史信息40圖23配置變更策略41圖24單臺(tái)終端的配置變更歷史42圖25配置變更報(bào)表43圖26組織架構(gòu)45圖27客戶端注冊(cè)界面46圖28客戶端注冊(cè)后顯示的代理安裝選項(xiàng)頁(yè)面47圖29客戶端注冊(cè)信息查看47圖30可疑注冊(cè)表項(xiàng)48圖31可疑木馬文件48圖32常見(jiàn)木馬進(jìn)程策略49圖33系統(tǒng)補(bǔ)丁及漏洞描述51圖34客戶端安全漏洞掃描52圖35殺毒軟件檢測(cè)策略配置53圖36事件處理預(yù)案定義界面54圖37將安全策略與事件處理流程綁定55圖38個(gè)人防火墻功能56圖39反ARP、反DHCP欺騙策略57圖40WINDOWS本地策略設(shè)置58圖41終端非授權(quán)外聯(lián)策略59圖42網(wǎng)絡(luò)行為審計(jì)策略61圖43打印審計(jì)策略61圖44主機(jī)進(jìn)程安全策略定義界面63圖45USB存儲(chǔ)設(shè)備注冊(cè)66圖46移動(dòng)存儲(chǔ)審計(jì)策略67圖47移動(dòng)介質(zhì)管理68圖48網(wǎng)絡(luò)異常檢測(cè)配置69圖49客戶機(jī)流量統(tǒng)計(jì)明細(xì)表70圖50終端流量控制71圖51補(bǔ)丁信息72圖52客戶端界面顯示的補(bǔ)丁信息73圖53補(bǔ)丁安裝信息73圖54補(bǔ)丁自動(dòng)安裝策略74圖55軟件分發(fā)執(zhí)行統(tǒng)計(jì)信息75圖56軟件分發(fā)任務(wù)執(zhí)行詳細(xì)信息76圖57客戶端遠(yuǎn)程協(xié)助77圖58消息廣播功能78圖59設(shè)備分組配置79圖60管理員權(quán)限設(shè)置界面80圖61操作員日志信息81圖62LEAGVIEW數(shù)據(jù)導(dǎo)入導(dǎo)出工具82圖63LEAGVIEW增量自動(dòng)數(shù)據(jù)備份和恢復(fù)83圖64服務(wù)器熱備示意圖88圖65服務(wù)器部署示意圖89圖66項(xiàng)目組織結(jié)構(gòu)95深圳市聯(lián)軟科技有限公司/LEAGSOFT4服務(wù)熱線40069288114_TOC301740001終端統(tǒng)一安全管理系統(tǒng)的需要_TOC301740002面臨的網(wǎng)絡(luò)安全挑戰(zhàn)隨著行業(yè)信息化的飛速發(fā)展，業(yè)務(wù)和應(yīng)用完全依賴(lài)于計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)終端。但是計(jì)算機(jī)病毒、黑客木馬、間諜件進(jìn)入桌面計(jì)算機(jī)，在計(jì)算機(jī)上安裝非法軟件，私自撥號(hào)上網(wǎng)，外來(lái)電腦接計(jì)算機(jī)網(wǎng)絡(luò)，這些行為非常容易導(dǎo)致桌面計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的癱瘓。由于的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)復(fù)雜，設(shè)備數(shù)量眾多，地理位置分散，接入網(wǎng)絡(luò)的設(shè)備使用者身份復(fù)雜等因素導(dǎo)致安全管理非常困難，給的業(yè)務(wù)、辦公網(wǎng)絡(luò)的正常運(yùn)行帶來(lái)了巨大威脅與風(fēng)險(xiǎn)。這些威脅及風(fēng)險(xiǎn)包括無(wú)法及時(shí)發(fā)現(xiàn)、拒絕非法的計(jì)算機(jī)設(shè)備接入網(wǎng)絡(luò)，非法的計(jì)算機(jī)一旦接入網(wǎng)絡(luò)，極有可能破壞網(wǎng)絡(luò)的正常運(yùn)行，或者竊取重要數(shù)據(jù)與文件；難以對(duì)數(shù)以千計(jì)的桌面計(jì)算機(jī)進(jìn)行有效的安全管理。例如對(duì)不打桌面計(jì)算機(jī)的補(bǔ)丁、不設(shè)置防火墻、非法撥號(hào)行為、盜用IP地址、使用與工作或生產(chǎn)無(wú)關(guān)的軟件（運(yùn)行或BT）、不更新防病毒軟件病毒庫(kù)等行為進(jìn)行有效管理和監(jiān)控，這些安全管理措施如不能具體落實(shí)，會(huì)給網(wǎng)絡(luò)的安全運(yùn)行留下大量的安全隱患。缺乏對(duì)現(xiàn)有計(jì)算機(jī)資產(chǎn)的統(tǒng)一管理，無(wú)法實(shí)時(shí)掌握全網(wǎng)所有終端系統(tǒng)的硬件配置和軟件信息，無(wú)從了解系統(tǒng)安裝了哪些程序，正在提供哪些服務(wù)。所有這些，都給的網(wǎng)絡(luò)安全正常運(yùn)行帶來(lái)了風(fēng)險(xiǎn)。_TOC301740003建立統(tǒng)一的準(zhǔn)入控制與終端安全管理系統(tǒng)分析面臨的網(wǎng)絡(luò)安全威脅與風(fēng)險(xiǎn)，我們認(rèn)為非常有必要建立一套統(tǒng)一的準(zhǔn)入控制與終端安全管理系統(tǒng)，實(shí)現(xiàn)對(duì)終端計(jì)算機(jī)設(shè)備的集中式安全運(yùn)行維護(hù)管理系統(tǒng)，以解決如下問(wèn)題實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)內(nèi)部所有的計(jì)算機(jī)接入網(wǎng)絡(luò)進(jìn)行準(zhǔn)入控制，防止外來(lái)電腦或者不符合規(guī)定的電腦接入網(wǎng)絡(luò)中；建立桌面電腦的集中式快速安全管理體系，對(duì)數(shù)量眾多，最難以管理、監(jiān)控的桌面電腦建立完善的安全評(píng)估、安全加固、集中維護(hù)體系，以提高桌面電腦的安全性及降低桌面電腦的日常維護(hù)工作量；建立安全資產(chǎn)的分級(jí)管理體系，實(shí)現(xiàn)對(duì)不同安全級(jí)別的信息資產(chǎn)采取不同的安全管理；建立安全事件的流程化處理機(jī)制，確保安全事件、安全問(wèn)題得到有效的跟蹤、處理和解決。對(duì)維護(hù)人員的行為規(guī)范進(jìn)行管理，建立各種故障的處理流程，確保信息系統(tǒng)一旦出現(xiàn)問(wèn)題即會(huì)有人及時(shí)去處理、排查直至消除故障。綜上所述，急需規(guī)劃建立一套集中式準(zhǔn)入控制與終端安全管理系統(tǒng)，以技術(shù)促業(yè)務(wù)，逐步完善IT運(yùn)維保障體系，滿足單位管理和業(yè)務(wù)對(duì)IT系統(tǒng)安全運(yùn)行的需要。網(wǎng)絡(luò)準(zhǔn)入與終端安全管理技術(shù)方案書(shū)深圳市聯(lián)軟科技有限公司/LEAGSOFT服務(wù)熱線4006288116第100頁(yè)共109頁(yè)_TOC119493025_TOC301740004LEAGVIEWUNIACCESS解決方案總體概述_TOC119493026_TOC301740005解決方案總體設(shè)計(jì)思路_TOC113095972_TOC118477835_TOC119493027_TOC301740006方案設(shè)計(jì)原則首先，作為一個(gè)“準(zhǔn)入控制與終端安全管理系統(tǒng)”，LEAGSOFT聯(lián)軟科技認(rèn)為有必要參考國(guó)際、國(guó)內(nèi)的安全管理經(jīng)驗(yàn)，來(lái)設(shè)計(jì)的“準(zhǔn)入控制與終端安全管理系統(tǒng)”解決方案。BS7799作為英國(guó)政府頒發(fā)的一項(xiàng)信息系統(tǒng)安全管理規(guī)范，目前已經(jīng)成為全球公認(rèn)的安全管理最佳實(shí)踐，成為全國(guó)大型機(jī)構(gòu)在設(shè)計(jì)、管理信息系統(tǒng)安全時(shí)的實(shí)踐指南。BS7799認(rèn)為，設(shè)計(jì)信息安全系統(tǒng)時(shí)，必須掌握以下安全原則相對(duì)安全原則沒(méi)有100的信息安全，安全是相對(duì)的，在安全保護(hù)方面投入的資源是有限的保護(hù)的目的是要使信息資產(chǎn)得以有效利用，不能為了保護(hù)而過(guò)度限制對(duì)信息資產(chǎn)的使用分級(jí)保護(hù)原則對(duì)信息系統(tǒng)分類(lèi)，不同對(duì)象定義不同的安全級(jí)別首先要保障安全級(jí)別高的對(duì)象全局性原則解決安全問(wèn)題不只是一個(gè)技術(shù)問(wèn)題要從組織、流程、管理上予以整體考慮、解決在設(shè)計(jì)的“準(zhǔn)入控制與終端安全管理系統(tǒng)”解決方案時(shí)，非常有必要參考BS7799中的有關(guān)重要安全原則。BS7799中，除了安全原則之外，給出了許多非常細(xì)致的安全管理指導(dǎo)規(guī)范。在BS7799中有一個(gè)非常有名的安全模型，稱(chēng)為PDCA安全模型。PDCA安全模型的核心思想是信息系統(tǒng)的安全需求是不斷變化的，要使得信息系統(tǒng)的安全能夠滿足業(yè)務(wù)需要，必須建立動(dòng)態(tài)的“計(jì)劃、設(shè)計(jì)和部署、監(jiān)控評(píng)估、改進(jìn)提高”管理方法，持續(xù)不斷地改進(jìn)信息系統(tǒng)的安全性。建立發(fā)展發(fā)展,維護(hù)和提高維護(hù)和提高循環(huán)循環(huán)監(jiān)控/評(píng)審設(shè)計(jì)和實(shí)施提高DODOPLANCHECKCHECKACTACT相關(guān)單位相關(guān)單位信息安全需求和期望相關(guān)單位相關(guān)單位管理狀態(tài)下的信息安全持續(xù)安全改進(jìn)_REF127503572_TOC301740382圖1PDCA安全模型_TOC113095973_TOC118477836_TOC119493028的終端安全管理，也將是一個(gè)持續(xù)、動(dòng)態(tài)、不斷改進(jìn)的過(guò)程，LEAGVIEWUNIACCESS準(zhǔn)入控制與終端安全管理系統(tǒng)將為提供統(tǒng)一的、集成化的平臺(tái)和工具，幫助對(duì)其終端進(jìn)行統(tǒng)一的安全控制、安全評(píng)估、安全審計(jì)及安全改進(jìn)策略部署。_TOC301740007統(tǒng)一的集成化管理平臺(tái)_TOC152321142_TOC118477837_TOC119493029準(zhǔn)入控制與終端安全管理系統(tǒng)必須提供統(tǒng)一的、集成化管理平臺(tái)。解決方案要向IT系統(tǒng)管理員提供一個(gè)統(tǒng)一的登錄入口，有整體的終端安全視圖，呈現(xiàn)整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中所有終端設(shè)備的安全運(yùn)行狀況。管理員不僅可以看到終端安全的運(yùn)行狀況，終端的安全設(shè)置，也能夠看到終端的軟件配置、硬件配置、終端的物理位置等信息。通過(guò)統(tǒng)一的集成化的管理平臺(tái)，管理員可以完成所有與終端安全管理維護(hù)相關(guān)的各種任務(wù)，具體包括用戶身份認(rèn)證，網(wǎng)絡(luò)準(zhǔn)入控制；網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)，設(shè)備快速定位；終端安全審計(jì)、評(píng)估和加固功能；終端安全策略設(shè)置，包括主機(jī)安全漏洞策略、防病毒安全策略、非法外聯(lián)策略、網(wǎng)絡(luò)訪問(wèn)審計(jì)策略等的設(shè)置。終端軟硬件資產(chǎn)管理；終端軟件及補(bǔ)丁管理；終端的遠(yuǎn)程管理和維護(hù)；統(tǒng)一的集成化管理平臺(tái)對(duì)管理員的各種操作，應(yīng)提供審計(jì)功能，以備事后審計(jì)。_TOC127617750_TOC138785240_TOC211685637_TOC301740008_TOC152321143支持多廠商/多平臺(tái)解決方案設(shè)計(jì)的系統(tǒng)要能夠?qū)崿F(xiàn)對(duì)主流廠商的網(wǎng)絡(luò)設(shè)備、多種桌面操作系統(tǒng)的支持，是一個(gè)采用國(guó)際、國(guó)家或者行業(yè)標(biāo)準(zhǔn)的開(kāi)放系統(tǒng)，以便將來(lái)的網(wǎng)絡(luò)擴(kuò)容、系統(tǒng)升級(jí)。_TOC301740009人、計(jì)算機(jī)統(tǒng)一管理終端管理需要將計(jì)算機(jī)、人和組織將結(jié)合起來(lái)管理。很多計(jì)算機(jī)的管理信息需要通過(guò)人來(lái)反映，如計(jì)算機(jī)有問(wèn)題時(shí)，通常需要知會(huì)計(jì)算機(jī)的用戶。設(shè)置安全策略，直接設(shè)置到人比機(jī)器更加直觀。_TOC301740010開(kāi)放性解決方案設(shè)計(jì)的系統(tǒng)要能夠?qū)崿F(xiàn)對(duì)主流廠商的網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備、網(wǎng)絡(luò)安全設(shè)備、應(yīng)用系統(tǒng)和各種PC機(jī)的管理，是一個(gè)采用國(guó)際、國(guó)家或者行業(yè)標(biāo)準(zhǔn)的開(kāi)放系統(tǒng)，以便能夠支持升級(jí)后的IT系統(tǒng)管理。_TOC119493031_TOC301740011LEAGVIEW準(zhǔn)入控制與終端安全管理系統(tǒng)聯(lián)軟LEAGVIEW準(zhǔn)入控制與終端安全管理系統(tǒng)（簡(jiǎn)稱(chēng)為UNIACCESS）是深圳聯(lián)軟科技自主研發(fā)的終端安全管理產(chǎn)品，專(zhuān)門(mén)為企業(yè)和政府解決大量桌面PC安全管理而設(shè)計(jì)，在設(shè)計(jì)上遵循國(guó)際IT服務(wù)管理標(biāo)準(zhǔn)ITIL標(biāo)準(zhǔn)和IT安全管理標(biāo)準(zhǔn)ISO17799標(biāo)準(zhǔn)。_TOC301740012LEAGVIEW準(zhǔn)入控制與終端安全管理系統(tǒng)簡(jiǎn)介L(zhǎng)EAGVIEWUNIACCESS在架構(gòu)上分為三個(gè)部分安裝在終端上的客戶端代理、LEAGVIEW后臺(tái)服務(wù)、LEAGVIEW管理客戶端。LEAGVIEW管理客戶端采用B/S架構(gòu)，構(gòu)建在J2EE架構(gòu)之上?？蛻舳舜砗蚅EAGVIEW后臺(tái)服務(wù)之間采用TCP協(xié)議或者SSL協(xié)議，采用LEAGVIEW后臺(tái)服務(wù)打開(kāi)TCP監(jiān)聽(tīng)端口、客戶端代理主動(dòng)連接的通訊模式，這樣就避免客戶端代理打開(kāi)額外端口從而引來(lái)新的安全漏洞。LEAGVIEWUNIACCESS可以和AD服務(wù)器、郵件服務(wù)器、防病毒服務(wù)器、文件服務(wù)器、網(wǎng)絡(luò)交換機(jī)集成，構(gòu)建一體化的安全防御體系。通過(guò)LEAGVIEWUNIACCESS系統(tǒng)的部署，可以將整個(gè)網(wǎng)絡(luò)劃分為三個(gè)不同的區(qū)訪客區(qū)、修復(fù)區(qū)和辦公區(qū)。UNIACCESS可以根據(jù)終端用戶的身份、終端滿足安全策略程度將終端設(shè)備自動(dòng)劃分到這三個(gè)區(qū)域中。終端在不同安全區(qū)域能夠訪問(wèn)到的網(wǎng)絡(luò)資源是不同的訪客區(qū)只能訪問(wèn)組織可以公開(kāi)的網(wǎng)絡(luò)資源，如INTERNET資源；修復(fù)區(qū)只能訪問(wèn)一下安全修復(fù)服務(wù)器資源；辦公區(qū)才是可以正常訪問(wèn)辦公需要的網(wǎng)絡(luò)資源。LEAGVIEWUNIACCESS支持多用戶管理，可以讓多個(gè)管理員同時(shí)使用，不同管理員有不同的管理權(quán)限。UNIACCESS采用兩維管理權(quán)限控制一是管理員可以使用的菜單功能權(quán)限；二是管理員能夠管理的設(shè)備。對(duì)于每個(gè)管理員而言，他只能使用他有權(quán)限的菜單，只能看到和管理他負(fù)責(zé)的設(shè)備的運(yùn)行狀況。為了支持地理分布、管理職能上有上下級(jí)關(guān)系的多個(gè)IT系統(tǒng)的運(yùn)維管理，LEAGVIEWUNIACCESS支持分級(jí)管理模式。具體來(lái)說(shuō)，在桌面終端安全管理方面，提供了以下多個(gè)方面的安全管理功能網(wǎng)絡(luò)準(zhǔn)入控制，防止非法電腦接入支持基于8021X認(rèn)證的網(wǎng)絡(luò)準(zhǔn)入控制；支持基于CISCONACL2/3IP認(rèn)證的網(wǎng)絡(luò)準(zhǔn)入控制；支持基于DHCP/ARP干擾的網(wǎng)絡(luò)準(zhǔn)入控制；用戶可以自行定義多種準(zhǔn)入控制策略；防止有安全隱患的桌面電腦或者非授權(quán)桌面電腦直接訪問(wèn)內(nèi)部網(wǎng)絡(luò)。設(shè)備自動(dòng)發(fā)現(xiàn)與資產(chǎn)管理自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)上的所有接入設(shè)備；可依據(jù)IP/MAC/主機(jī)名以及資產(chǎn)的配置對(duì)接入設(shè)備快速定位；自動(dòng)發(fā)現(xiàn)組織內(nèi)所有桌面電腦的軟硬件配置信息、桌面電腦網(wǎng)絡(luò)連接信息和運(yùn)行狀態(tài)信息，建立資產(chǎn)基線；支持配置變更自動(dòng)發(fā)現(xiàn)與報(bào)警；自動(dòng)維護(hù)軟硬件配置變更歷史信息。桌面電腦安全主動(dòng)評(píng)估，發(fā)現(xiàn)安全隱患自動(dòng)發(fā)現(xiàn)存在安全隱患的桌面電腦，并提示系統(tǒng)管理員和用戶要采取的彌補(bǔ)措施；桌面電腦網(wǎng)絡(luò)流量異常評(píng)估，及時(shí)發(fā)現(xiàn)異常流量桌面電腦；桌面電腦安全配置評(píng)估，及時(shí)發(fā)現(xiàn)安全設(shè)置不完善的桌面電腦；可疑注冊(cè)表項(xiàng)、可疑文件檢查；靈活配置各種安全隱患條件；多種方式控制/限制存在安全隱患的桌面電腦接入內(nèi)部網(wǎng)絡(luò)。桌面電腦安全加固，防患于未然補(bǔ)丁漏洞自動(dòng)修復(fù)，支持桌面電腦操作系統(tǒng)補(bǔ)丁、MS應(yīng)用軟件補(bǔ)丁自動(dòng)更新、自動(dòng)升級(jí)；支持登錄口令強(qiáng)度檢查、GUEST帳戶檢查、屏幕保護(hù)檢測(cè)等桌面電腦安全加固功能；禁止各種默認(rèn)共享、禁止修改IP地址、禁止修改注冊(cè)表；強(qiáng)制安裝防病毒軟件與更新病毒庫(kù)；禁止運(yùn)行非法進(jìn)程；內(nèi)置桌面電腦個(gè)人防火墻，既可限制外部網(wǎng)絡(luò)直接訪問(wèn)桌面電腦，又可以限制桌面電腦去訪問(wèn)一些不允許的網(wǎng)絡(luò)服務(wù)；非法操作監(jiān)管，讓管理規(guī)定令行禁止檢查桌面電腦是否安裝了非法軟件；支持對(duì)USB硬盤(pán)、MODEM撥號(hào)、無(wú)線通訊、紅外通訊、藍(lán)牙通訊、同時(shí)使用內(nèi)外網(wǎng)卡等非法操作的監(jiān)控、審計(jì)和禁止使用；支持對(duì)軟盤(pán)、U盤(pán)、網(wǎng)絡(luò)共享等方式外傳文件的監(jiān)控、審計(jì)和禁止；支持對(duì)網(wǎng)上聊天、BT下載的監(jiān)控、審計(jì)和禁止；支持對(duì)HTTP訪問(wèn)、EMAIL、網(wǎng)絡(luò)文件拷貝等行為進(jìn)行審計(jì)，或禁止；支持離線管理，可以支持桌面電腦在離開(kāi)網(wǎng)絡(luò)之后安全策略仍然有效；軟件分發(fā)，功能強(qiáng)大、快速分發(fā)在不對(duì)客戶端用戶造成負(fù)擔(dān)的前提下，確保安全補(bǔ)丁和病毒特征碼的正常發(fā)放和安裝；支持大規(guī)模數(shù)量的客戶機(jī)、大型軟件的快速分發(fā)，支持MULTICAST分發(fā)、斷點(diǎn)續(xù)傳、多文件服務(wù)器等技術(shù)；支持自動(dòng)安裝、手動(dòng)安裝，支持多種打包工具和打包格式，如WISE、MSI打包。可以方便靈活地按網(wǎng)段、部門(mén)、IP、操作系統(tǒng)類(lèi)型等條件選擇軟件分發(fā)目標(biāo)。遠(yuǎn)程協(xié)助與監(jiān)控，不到現(xiàn)場(chǎng)、勝過(guò)現(xiàn)場(chǎng)實(shí)時(shí)監(jiān)控客戶端畫(huà)面；可以選擇遠(yuǎn)程控制或者只監(jiān)視不控制，滿足各種場(chǎng)合的需要；可以同時(shí)監(jiān)控多臺(tái)客戶端畫(huà)面。此外，LEAGVIEWUNIACCESS支持信息資產(chǎn)安全分級(jí)管理，各種安全管理策略可以按照部門(mén)、IP網(wǎng)段、IP范圍、設(shè)備組、操作系統(tǒng)類(lèi)型、操作系統(tǒng)語(yǔ)言等條件定義安全管理策略的應(yīng)用范圍。_TOC301740013LEAGVIEW準(zhǔn)入控制與終端安全管理總體思路_TOC301740383圖2LEAGVIEW的總體思路LEAGVIEWUNIACCESS準(zhǔn)入控制與終端安全管理系統(tǒng)對(duì)電腦終端進(jìn)行安全管理的總體思路是一、通過(guò)網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)，確保接入網(wǎng)絡(luò)的電腦終端符合如下要求必須安裝AGENT，如果是未安裝AGENT的電腦終端接入網(wǎng)絡(luò)，其打開(kāi)WEB瀏覽器訪問(wèn)任何WEBSITE時(shí)，將被重定向到管理員指定的一個(gè)頁(yè)面，提醒其安裝AGENT。不安裝AGENT的電腦將無(wú)法訪問(wèn)內(nèi)部網(wǎng)絡(luò)（特殊電腦和訪客電腦可以例外）。必須符合網(wǎng)絡(luò)接入安全管理規(guī)定，例如擁有合法的訪問(wèn)帳號(hào)、安裝了指定的防病毒軟件、安裝了指定的操作系統(tǒng)補(bǔ)丁等。如果不符合管理規(guī)定，將拒絕其接入，或者通過(guò)網(wǎng)絡(luò)對(duì)該電腦進(jìn)行自動(dòng)隔離，并且指引其進(jìn)行安全修復(fù)。二、對(duì)安裝了AGENT的電腦終端，進(jìn)行進(jìn)一步的管理控制，包括安全設(shè)置檢查、加固，非法操作的管理、限制防止文件非法外傳U盤(pán)/軟盤(pán)/共享/EMAIL/MSN等電腦終端的集中式管理，例如，資產(chǎn)管理、軟件分發(fā)、遠(yuǎn)程控制、補(bǔ)丁管理、分組策略分發(fā)、集中審計(jì)。三、要防止電腦終端私自、非法卸載AGENT或者停止AGENT的運(yùn)行,確保管理策略的執(zhí)行。AGENT自帶反卸載、反非法中止、非法刪除功能；如果電腦終端私自卸載AGENT（如重新安裝操作系統(tǒng)）或者中止AGENT的運(yùn)行，LEAGVIEW后臺(tái)系統(tǒng)可以及時(shí)發(fā)現(xiàn)這種行為。企業(yè)可以依據(jù)有關(guān)安全管理規(guī)范對(duì)其進(jìn)行警告或者處罰，防范這種行為的再次發(fā)生。_TOC167814238_TOC301740014LEAGVIEW準(zhǔn)入控制與終端安全管理系統(tǒng)架構(gòu)下圖是LEAGVIEW終端安全與準(zhǔn)入控制管理系的系統(tǒng)架構(gòu)。_TOC138784809_TOC301740384圖3LEAGVIEW終端安全與準(zhǔn)入控制管理系架構(gòu)首先，LEAGVIEW終端安全與準(zhǔn)入控制管理系通過(guò)網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)，對(duì)接入網(wǎng)絡(luò)的電腦終端進(jìn)行實(shí)時(shí)安全檢查，檢查的內(nèi)容包括賬戶檢查用戶名和密碼可使用統(tǒng)一數(shù)字證書(shū)做認(rèn)證；防止外來(lái)人員私自安裝一個(gè)相同的AGENT后接入網(wǎng)絡(luò)；接入的帳號(hào)可以是AD域、EMAIL服務(wù)器、LDAP服務(wù)器或系統(tǒng)內(nèi)置的帳號(hào)；安全設(shè)置規(guī)范檢查終端的安全設(shè)置檢查系統(tǒng)賬戶，包括GUEST賬戶和弱口令檢查；WINDOWS域檢查，檢查終端是否加入指定的WINDOWS域；檢查可寫(xiě)共享設(shè)置，檢查終端是否設(shè)置了可寫(xiě)或者沒(méi)有權(quán)限限制的可寫(xiě)共享；檢查終端操作系統(tǒng)補(bǔ)丁安裝情況；檢查終端的防病毒安裝情況及其病毒特征庫(kù)是否及時(shí)升級(jí)；檢查終端是否有可疑的文件或注冊(cè)表項(xiàng)存在；檢查終端是否安裝了非法軟件。終端注冊(cè)ID檢查檢查終端是否在內(nèi)部網(wǎng)絡(luò)注冊(cè)登記過(guò)網(wǎng)絡(luò)準(zhǔn)入控制確保接入網(wǎng)絡(luò)的電腦終端是合法的、符合接入安全管理規(guī)范的電腦終端，而且是接受管理電腦終端。其次，對(duì)已經(jīng)接入網(wǎng)絡(luò)的電腦終端，可以進(jìn)行進(jìn)一步的安全管理和控制，包括1）安全加固對(duì)主機(jī)的賬戶口令、屏?？诹睢⒐蚕砟夸?、自動(dòng)運(yùn)行的服務(wù)進(jìn)行安全加固，如提示用戶設(shè)置強(qiáng)口令、設(shè)置屏保口令，刪除寫(xiě)共享目錄，停止一些危險(xiǎn)的服務(wù)進(jìn)程等。強(qiáng)制接入網(wǎng)絡(luò)的主機(jī)設(shè)備安裝規(guī)定的防病毒軟件，并且強(qiáng)制這些防病毒軟件及時(shí)更新最新病毒，以加強(qiáng)主機(jī)設(shè)備的自身抗病毒能力。自動(dòng)為客戶端安裝最新補(bǔ)丁包，加強(qiáng)客戶端的抗攻擊能力。2）安全評(píng)估管理員可以定義主機(jī)必須滿足什么樣的安全要求才能夠具備較強(qiáng)的抗攻擊能力，當(dāng)不滿足時(shí)就認(rèn)為主機(jī)是有安全漏洞的，這樣的主機(jī)是很容易受到安全攻擊的。比如賬戶口令是否是強(qiáng)口令；目錄是否有缺省可寫(xiě)共享；是否運(yùn)行了一些危險(xiǎn)進(jìn)程；通過(guò)檢查注冊(cè)表發(fā)現(xiàn)是否有已知的間諜軟件；是否安裝了最新補(bǔ)丁包；是否安裝了規(guī)定的防病毒軟件并及時(shí)更新了病毒特征庫(kù)。檢測(cè)每個(gè)客戶端的網(wǎng)絡(luò)訪問(wèn)流量，確定是否有發(fā)送大量廣播包、流量異常大、網(wǎng)絡(luò)連接異常多的情況，對(duì)于這些異常情況及時(shí)向管理員報(bào)告，在大規(guī)模攻擊出現(xiàn)之前找到根源。3）安全審計(jì)審計(jì)客戶端訪問(wèn)INTERENT網(wǎng)、EMAIL、文件拷貝、FTP等，防止企業(yè)信息泄漏。審計(jì)連接在內(nèi)部網(wǎng)絡(luò)的計(jì)算機(jī)是否同時(shí)打開(kāi)一些組織不允許的方式，如MODEM撥號(hào)、USB硬盤(pán)、同時(shí)跨內(nèi)外網(wǎng)等。審計(jì)內(nèi)部的計(jì)算機(jī)是否運(yùn)行非法軟件，是否未經(jīng)許可更改計(jì)算機(jī)上的軟件、硬件配置等。通過(guò)集中式控制平臺(tái)，對(duì)電腦終端進(jìn)行集中式的管理和設(shè)置，也可以對(duì)電腦終端進(jìn)行各種批量的查詢(xún)和統(tǒng)計(jì)。例如策略分發(fā)。集中、批量、分組對(duì)桌面電腦進(jìn)行安全設(shè)置、安全狀態(tài)查詢(xún)。軟件分發(fā)和補(bǔ)丁管理。集中軟件分發(fā)和補(bǔ)丁管理減輕管理員的日常維護(hù)工作量，提高效率。如為某個(gè)部門(mén)的所有機(jī)器安裝防病毒軟件。遠(yuǎn)程控制。遠(yuǎn)程控制可以讓維護(hù)人員不用離開(kāi)辦公位置就能夠維護(hù)遠(yuǎn)程計(jì)算機(jī)。設(shè)備定位。對(duì)于不安全的接入網(wǎng)絡(luò)的設(shè)備，管理員能夠快速定位設(shè)備是連接在哪個(gè)網(wǎng)絡(luò)交換機(jī)的哪個(gè)端口，是在什么物理位置、誰(shuí)的設(shè)備，這樣可以做出相應(yīng)措施來(lái)控制攻擊的擴(kuò)散，如直接從網(wǎng)絡(luò)斷開(kāi)這臺(tái)設(shè)備。資產(chǎn)管理。管理員可以一目了然地知道連接到網(wǎng)絡(luò)上的設(shè)備都是什么樣的軟硬件配置、有多少設(shè)備。此外，LEAGVIEW終端安全與準(zhǔn)入控制管理系可以對(duì)電腦終端分組進(jìn)行管理，例如，將財(cái)務(wù)部門(mén)的電腦和其它部門(mén)的電腦區(qū)別對(duì)待，將總經(jīng)理辦公室的電腦和其它部門(mén)的電腦區(qū)別對(duì)待。即按組設(shè)置安全管理策略。_TOC163445556_TOC301740015LEAGVIEWUNIACCESS網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)_TOC163445557_TOC301740016LEAGVIEW網(wǎng)絡(luò)準(zhǔn)入控制部署總體介紹_TOC151530036_TOC163445558_TOC301740017準(zhǔn)入控制系統(tǒng)部署的目的_TOC163445559_TOC151530037LEAGVIEW網(wǎng)絡(luò)準(zhǔn)入控制可以對(duì)接入網(wǎng)絡(luò)的客戶機(jī)設(shè)備進(jìn)行控制，只有合法身份和滿足安全要求的客戶機(jī)才允許接入網(wǎng)絡(luò)。LEAGVIEW網(wǎng)絡(luò)準(zhǔn)入控制可以幫助用戶很好地解決如下問(wèn)題防止非法的外來(lái)電腦隨意接入內(nèi)部網(wǎng)絡(luò)，影響內(nèi)部網(wǎng)絡(luò)的安全；防止感染病毒、木馬的桌面電腦和筆記本電腦直接接入內(nèi)部網(wǎng)絡(luò)，影響網(wǎng)絡(luò)的正常運(yùn)行；確保接入網(wǎng)絡(luò)的客戶機(jī)符合安全管理要求。幫助安全管理員解決內(nèi)部用戶私自接HUB、無(wú)線AP等不安全行為。LEAGVIEW網(wǎng)絡(luò)準(zhǔn)入控制杜絕非法外來(lái)電腦接入內(nèi)部網(wǎng)絡(luò)，同時(shí)將有問(wèn)題的客戶機(jī)隔離或限制其訪問(wèn)，直到這些有問(wèn)題的客戶機(jī)修復(fù)為止，這樣，一方面可以防止這些客戶機(jī)成為蠕蟲(chóng)和病毒攻擊的目標(biāo)，還可以防止這些主機(jī)成為傳播病毒的源頭。_TOC163445560_TOC301740018準(zhǔn)入控制系統(tǒng)部署后的影響部署網(wǎng)絡(luò)準(zhǔn)入控制服務(wù)之后，所有的桌面電腦接入計(jì)算機(jī)網(wǎng)絡(luò)之前，都必須經(jīng)過(guò)如下認(rèn)證檢查該電腦是否有合法的數(shù)字證書(shū)，包括文件證書(shū)、USBKEY或IC證書(shū)等多種形式；檢查該電腦是否有合法的用戶名密碼（通過(guò)AD/LDAP服務(wù)器驗(yàn)證）檢查該電腦是否是本單位內(nèi)部的合法終端（檢查電腦的硬件ID），合法的電腦硬件ID保存在管理服務(wù)器的數(shù)據(jù)庫(kù)中。檢查該電腦是否符合安全管理規(guī)定例如操作系統(tǒng)補(bǔ)丁是否安裝、防病毒軟件是否安裝等。這些管理規(guī)定產(chǎn)生的安全策略保存在管理服務(wù)器的數(shù)據(jù)庫(kù)中。網(wǎng)絡(luò)交換機(jī)將準(zhǔn)備接入網(wǎng)絡(luò)的電腦終端所上傳的以上各種信息轉(zhuǎn)發(fā)給RADIUS服務(wù)器，由RADIUS服務(wù)器再去查詢(xún)AD/LDAP服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器并將查詢(xún)分析的結(jié)果返回給網(wǎng)絡(luò)交換機(jī)。_TOC301740019準(zhǔn)入控制系統(tǒng)終端接入管理體系部署準(zhǔn)入控制系統(tǒng)后，改變了電腦終端接入網(wǎng)絡(luò)的行為模式。一般來(lái)說(shuō)，電腦終端接入網(wǎng)絡(luò)需要注冊(cè)登記內(nèi)部終端要訪問(wèn)網(wǎng)絡(luò)資源之前，需要在網(wǎng)絡(luò)上注冊(cè)登記（用戶賬戶登記、終端ID注冊(cè)等），取得接入網(wǎng)絡(luò)的權(quán)限。接入檢查終端在接入網(wǎng)絡(luò)時(shí)，準(zhǔn)入控制系統(tǒng)會(huì)檢查其用戶賬戶、安全設(shè)置狀態(tài)、終端硬件合法性等。安全隔離如果在接入檢查時(shí)，發(fā)現(xiàn)終端不符合安全規(guī)定，需要對(duì)終端進(jìn)行隔離或拒絕其訪問(wèn)網(wǎng)絡(luò)資源，例如發(fā)現(xiàn)是外來(lái)終端則拒絕接入或進(jìn)入“訪客區(qū)”網(wǎng)段，或者是內(nèi)部不符合安全規(guī)定的終端，則讓其進(jìn)入“修復(fù)區(qū)”。安全通知對(duì)被隔離的終端進(jìn)行通知，告知其被隔離的原因。安全修復(fù)自動(dòng)引導(dǎo)被隔離的終端，讓其修復(fù)安全設(shè)置或者進(jìn)行注冊(cè)登記，使得其可以正常訪問(wèn)網(wǎng)絡(luò)資源。一個(gè)完整的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)，應(yīng)該包括以上五個(gè)方面的內(nèi)容，缺少其中一個(gè)或者兩個(gè)方面的內(nèi)容，就不是完善的解決方案，會(huì)給準(zhǔn)入控制系統(tǒng)的部署和推廣帶來(lái)問(wèn)題。聯(lián)軟科技的LEAGVIEW網(wǎng)絡(luò)準(zhǔn)入控制解決方案是一個(gè)完整的準(zhǔn)入控制方案，可以提供以上五個(gè)方面的所有內(nèi)容。_TOC163445561_TOC301740020LEAGVIEW網(wǎng)絡(luò)準(zhǔn)入控制方案介紹_TOC163445562_TOC301740021LEAGVIEW網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)介紹LEAGVIEW網(wǎng)絡(luò)準(zhǔn)入控制的宗旨是為防止非法用戶、病毒、蠕蟲(chóng)、新興黑客技術(shù)等對(duì)企業(yè)安全造成危害，采用NAC，只允許合法的、安全的、值得信任的設(shè)備（如PC、服務(wù)器、PDA）接入網(wǎng)絡(luò)，而不允許其它設(shè)備接入。在LEAGVIEW的網(wǎng)絡(luò)準(zhǔn)入控制解決方案中，管理員可以將網(wǎng)絡(luò)資源劃分為不同的區(qū)域以便不同的終端訪問(wèn)不同區(qū)域的網(wǎng)絡(luò)資源訪客區(qū)、修復(fù)區(qū)和正常工作區(qū)。劃分方式可以是VLAN或者基于IP的訪問(wèn)控制列表（自定義動(dòng)態(tài)ACL組）。_TOC211685579_TOC301740385圖4網(wǎng)絡(luò)準(zhǔn)入控制原理【訪客區(qū)】一般情況下，定義訪客區(qū)的網(wǎng)絡(luò)資源是可以被任何用戶的終端訪問(wèn)的，如INTERNET資源。一般外來(lái)用戶的終端設(shè)備被限制只能訪問(wèn)訪客區(qū)的網(wǎng)絡(luò)資源?！拘迯?fù)區(qū)】修復(fù)區(qū)網(wǎng)絡(luò)資源是用來(lái)修復(fù)安全漏洞的，如補(bǔ)丁服務(wù)器、防病毒服務(wù)器、軟件安裝包服務(wù)器等，不符合組織安全策略要求的終端被限制在修復(fù)區(qū)中，強(qiáng)制它們進(jìn)行安全修復(fù)?！竟ぷ鲄^(qū)】工作區(qū)即是合法用戶通過(guò)認(rèn)證、檢查并成功進(jìn)入網(wǎng)絡(luò)后，規(guī)定用戶可以訪問(wèn)的網(wǎng)絡(luò)資源，如文件服務(wù)器、郵件服務(wù)器、其它應(yīng)用系統(tǒng)等。LEAGVIEW采用以IEEE8021X認(rèn)證和CISCOEOU認(rèn)證為核心的網(wǎng)絡(luò)準(zhǔn)入控制架構(gòu)，如下圖所示。_TOC163445672_TOC301740386圖5LEAGVIEW網(wǎng)絡(luò)準(zhǔn)入控制架構(gòu)LEAGVIEW網(wǎng)絡(luò)準(zhǔn)入控制架構(gòu)提供了三種方法解決不同網(wǎng)絡(luò)環(huán)境的網(wǎng)絡(luò)準(zhǔn)入控制（1）IEEE8021XLEAGVIEW網(wǎng)絡(luò)準(zhǔn)入控制的8021X實(shí)現(xiàn)同時(shí)支持多廠商網(wǎng)絡(luò)設(shè)備，如CISCO、華為、3COM、銳捷等。支持IEEE8021X的SINGLEHOST、MULTIHOST、MULTIAUTH模式。特別是MUTLIAUTH模式，在有HUB的網(wǎng)絡(luò)環(huán)境中也可以實(shí)現(xiàn)準(zhǔn)入控制。（2）CISCONACIP2和CISCONACIP3作為8021X的補(bǔ)充，當(dāng)網(wǎng)絡(luò)中有支持CISCONACIP2和CISCONACIP3的網(wǎng)絡(luò)設(shè)備存在時(shí)，連接在這部分網(wǎng)絡(luò)設(shè)備下的終端可以通過(guò)CICSONAC機(jī)制來(lái)實(shí)現(xiàn)準(zhǔn)入控制。（3）LEAGVIEWNACC網(wǎng)絡(luò)準(zhǔn)入控制器聯(lián)軟科技LEAGVIEWTMUNIACCESSTMNACCONTROLLER準(zhǔn)入控制器（以下簡(jiǎn)稱(chēng)“UNIACCESSTMNACCONTROLLER”或“準(zhǔn)入控制器”）是一種基于EAPOVERUDP協(xié)議技術(shù)的硬件網(wǎng)關(guān)型設(shè)備，專(zhuān)為解決非8021X和HUB接入網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)準(zhǔn)入控制問(wèn)題而設(shè)計(jì)。_TOC301740387圖6部署連接示意圖下圖是LEAGVIEW網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)中，基于8021X認(rèn)證和基于CISCOEOU認(rèn)證的兩種準(zhǔn)入控制對(duì)比圖。兩種準(zhǔn)入控制技術(shù)都可以控制對(duì)不安全終端或者外來(lái)終端對(duì)網(wǎng)絡(luò)資源的訪問(wèn)。基于8021X認(rèn)證的準(zhǔn)入控制通過(guò)VLAN動(dòng)態(tài)切換，將不安全的終端切換到修復(fù)區(qū)，將外來(lái)終端切換到訪客區(qū)，從而實(shí)現(xiàn)對(duì)這些終端的訪問(wèn)控制；基于CISCOEOU證準(zhǔn)入控制通過(guò)動(dòng)態(tài)ACL訪問(wèn)控制列表，直接限制外來(lái)終端或者不安全的終端對(duì)網(wǎng)絡(luò)資源的訪問(wèn)。_TOC163445673_TOC301740388圖7基于8021X認(rèn)證和CISCOEOU認(rèn)證準(zhǔn)入控制技術(shù)對(duì)比總之，LEAGVIEW網(wǎng)絡(luò)準(zhǔn)入控制架構(gòu)的突出特點(diǎn)是以網(wǎng)絡(luò)設(shè)備為控制設(shè)備點(diǎn)，但又不局限于一家網(wǎng)絡(luò)設(shè)備廠商，能夠適應(yīng)各種網(wǎng)絡(luò)環(huán)境要求。_TOC197240028_TOC228860425_TOC231839607_TOC262473952_TOC301740022企業(yè)綜合網(wǎng)絡(luò)準(zhǔn)入控制解決方案許多大型企業(yè)公司的網(wǎng)絡(luò)，通常是由以太網(wǎng)，無(wú)線LAN網(wǎng)絡(luò)，VPN/撥號(hào)接入，以及分支機(jī)構(gòu)等錯(cuò)綜復(fù)雜的方式構(gòu)成。針對(duì)這種環(huán)境，聯(lián)軟科技通過(guò)組合自身所支持的各種準(zhǔn)入控制技術(shù)，來(lái)提供一個(gè)統(tǒng)一的，完整地解決方案。_TOC262474061_TOC301740389圖8大型綜合準(zhǔn)入控制方案綜合解決方案在總部核心網(wǎng)絡(luò)安裝一主一備兩臺(tái)LEAGVIEW的RADIUS服務(wù)器，用來(lái)作為準(zhǔn)入控制的集中認(rèn)證服務(wù)器。并且設(shè)定策略，對(duì)終端接入要求使用AD/LDAP進(jìn)行身份認(rèn)證，并對(duì)接入終端進(jìn)行健康狀況檢查；對(duì)總部沒(méi)有接HUB的接入層交換機(jī)啟用8021X認(rèn)證，實(shí)現(xiàn)終端網(wǎng)絡(luò)準(zhǔn)入控制。解決方案如下_TOC301740390圖9基于8021X的SINGLEHOST準(zhǔn)入控制方案首先，設(shè)置GUESTVLAN作為訪客區(qū)，沒(méi)有安裝LEAGVIEW客戶端的終端接入時(shí)將被切換到GUESTVLAN，GUESTVLAN與其它辦公VLAN隔離，只能訪問(wèn)INTERNET或管理員指定的訪問(wèn)范圍；其次，設(shè)立修復(fù)VLAN，對(duì)不符合安全策略的終端計(jì)算機(jī)，則切換到修復(fù)區(qū)，強(qiáng)制要求終端計(jì)算機(jī)進(jìn)行修復(fù)；對(duì)于身份及安全狀態(tài)均符合規(guī)定的終端計(jì)算機(jī)，允許其訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源；對(duì)總部利用WIRELESS方式接入的終端啟用8021X認(rèn)證。并使用與前面相同的GUESTVLAN和修復(fù)VLAN；對(duì)于切換入GUESTVLAN中的終端計(jì)算機(jī)，通過(guò)部署在訪客區(qū)內(nèi)的訪客網(wǎng)關(guān)設(shè)備，在訪問(wèn)HTTP內(nèi)容時(shí)，將會(huì)被重定向到一個(gè)頁(yè)面，提醒其安裝LEAGVIEW客戶端軟件。受限訪問(wèn)應(yīng)用服務(wù)器安全修復(fù)服務(wù)器合法用戶符合安全要求訪客區(qū)網(wǎng)關(guān)訪客區(qū)_TOC301740391圖10訪客區(qū)網(wǎng)關(guān)部署如果是本單位終端計(jì)算機(jī)，則選擇安裝即可；如果是外來(lái)訪客，經(jīng)與管理員聯(lián)系并進(jìn)行訪客碼申請(qǐng)后，管理員可以授予該訪客終端計(jì)算機(jī)一個(gè)訪客碼，確認(rèn)允許訪客終端接入網(wǎng)絡(luò)的時(shí)長(zhǎng)以及允許其訪問(wèn)INTERNET，但不能訪問(wèn)辦公區(qū)域網(wǎng)絡(luò)資源；對(duì)于總部通過(guò)HUB接入的終端計(jì)算機(jī)，如其上聯(lián)的匯聚層交換機(jī)為CISCO的支持NACL2IP的設(shè)備，則可在其對(duì)應(yīng)端口上啟用CISCONACL2IP認(rèn)證，通過(guò)下載ACL來(lái)控制不同的終端訪問(wèn)不同的網(wǎng)絡(luò)資源。解決方案如下準(zhǔn)入控制服務(wù)器備合法用戶不符合安全要求受限訪問(wèn)應(yīng)用服務(wù)器拒絕訪問(wèn)或通過(guò)ACL限制訪問(wèn)安全修復(fù)服務(wù)器合法用戶符合安全要求非法接入支持NACL2IP的CISCO設(shè)備機(jī)準(zhǔn)入控制服務(wù)器主排除的設(shè)備_TOC301740392圖11基于CISCONACL2IP的準(zhǔn)入控制方案首先，針對(duì)一些服務(wù)器，網(wǎng)絡(luò)打印機(jī)，設(shè)置成排除的設(shè)備。這些設(shè)備不需要安裝AGENT，并且不限制它對(duì)網(wǎng)絡(luò)的訪問(wèn)；其次，當(dāng)終端未安裝代理或身份認(rèn)證失敗時(shí)，將會(huì)對(duì)終端應(yīng)用限制型的ACL限制其對(duì)資源的訪問(wèn)，并且沒(méi)安裝代理的終端，當(dāng)其進(jìn)行HTTP訪問(wèn)的時(shí)候，會(huì)被重定向到代理的安裝頁(yè)面來(lái)強(qiáng)制終端安裝代理；再次，當(dāng)終端通過(guò)身份認(rèn)證，當(dāng)未通過(guò)健康檢查時(shí)，對(duì)其應(yīng)用另一限制型的ACL，只允許其訪問(wèn)網(wǎng)絡(luò)內(nèi)的修復(fù)服務(wù)器。僅當(dāng)終端通過(guò)身份認(rèn)證和安全健康狀況檢查時(shí)，對(duì)其應(yīng)用的ACL將會(huì)允許其訪問(wèn)工作需要使用的資源。對(duì)于分支機(jī)構(gòu)接入到總部網(wǎng)絡(luò)時(shí)，如邊界路由器為CISCO的支持NACL3IP的設(shè)備，則可在邊緣路由器上啟用NACL3IP認(rèn)證。解決方案如下準(zhǔn)入控制服務(wù)器主準(zhǔn)入控制服務(wù)器備不符合安全要求受限訪問(wèn)應(yīng)用服務(wù)器安全修復(fù)服務(wù)器非法接入總部分部合法用戶合法用戶非法接入受限訪問(wèn),不符合安全要求遠(yuǎn)程接入拒絕訪問(wèn)拒絕訪問(wèn)_TOC301740393圖12遠(yuǎn)程分支機(jī)構(gòu)/遠(yuǎn)程接入準(zhǔn)入控制方案首先，當(dāng)遠(yuǎn)程終端的數(shù)據(jù)包第一次到達(dá)啟用了NACL3IP的路由器并準(zhǔn)備進(jìn)行轉(zhuǎn)發(fā)時(shí)，路由器會(huì)要求該終端進(jìn)行身份認(rèn)證和健康狀況檢查；AGENT會(huì)將身份認(rèn)證信息和健康狀況檢查信息發(fā)送給路由器，由路由器轉(zhuǎn)發(fā)給RADIUS服務(wù)器；其次，當(dāng)身份認(rèn)證不通過(guò)時(shí)，路由器將會(huì)對(duì)該終端應(yīng)用ACL拒絕該終端訪問(wèn)總部?jī)?nèi)部資源。當(dāng)身份認(rèn)證通過(guò)，安全狀態(tài)檢查不通過(guò)，路由器將會(huì)對(duì)該終端應(yīng)用ACL，只允許其訪問(wèn)安全修補(bǔ)服務(wù)器；僅當(dāng)身份認(rèn)證和安全狀態(tài)檢查都通過(guò)，路由器才會(huì)放開(kāi)資源給該終端使用。對(duì)于分支機(jī)構(gòu)接入到總部網(wǎng)絡(luò)時(shí)，如邊界路由器為非CISCO設(shè)備，則可通過(guò)NACC網(wǎng)絡(luò)準(zhǔn)入控制器進(jìn)行認(rèn)證。解決方案如下準(zhǔn)入控制服務(wù)器主準(zhǔn)入控制服務(wù)器備不符合安全要求受限訪問(wèn)應(yīng)用服務(wù)器安全修復(fù)服務(wù)器非法接入總部分部合法用戶拒絕訪問(wèn)_TOC301740394圖13NACC準(zhǔn)入控制器方案當(dāng)一個(gè)NEWIPPACKET經(jīng)過(guò)網(wǎng)關(guān)時(shí)，NACC判斷這個(gè)電腦是否是在訪問(wèn)一個(gè)提醒頁(yè)面或安全修復(fù)服務(wù)器（通過(guò)ACL定義），或者這是不是一個(gè)例外的IP地址（有特殊權(quán)限的IP，可以允許其直接訪問(wèn)預(yù)先設(shè)置的特定資源，通過(guò)ACL控制），如果是則允許這個(gè)IP包直接通過(guò)；否則，就要檢查這個(gè)IP所對(duì)應(yīng)的電腦是否符合企業(yè)的安全規(guī)范要求（合法的帳戶、補(bǔ)丁安裝情況、防病毒軟件安裝情況）；NACC通過(guò)向電腦發(fā)請(qǐng)求包，與終端進(jìn)行交互。假如終端未安裝AGENT，網(wǎng)關(guān)會(huì)提醒終端安裝AGENT，而安裝了AGENT的設(shè)備，則AGENT會(huì)將自己的身份信息和安全狀態(tài)信息發(fā)送給網(wǎng)關(guān)，網(wǎng)關(guān)將這些信息重新封裝，發(fā)送給RADIUS服務(wù)器，RADIUS會(huì)依據(jù)網(wǎng)關(guān)轉(zhuǎn)發(fā)過(guò)來(lái)的這些信息，進(jìn)行判斷，依據(jù)判斷結(jié)果，發(fā)送一個(gè)指令給網(wǎng)關(guān)，指令的內(nèi)容可能為一個(gè)ACL名、一個(gè)重定向提醒URL、重新對(duì)該IP進(jìn)行安全檢查的時(shí)間。網(wǎng)關(guān)接收到指令后，向RADIUS下載這個(gè)ACL，并通過(guò)這個(gè)ACL來(lái)控制電腦對(duì)網(wǎng)絡(luò)資源的訪問(wèn)；NACC依據(jù)LEAGVIEW后臺(tái)服務(wù)器配置的策略，對(duì)各種不同情形的終端可訪問(wèn)的資源進(jìn)行控制。當(dāng)身份認(rèn)證不通過(guò)時(shí)，路由器將會(huì)對(duì)該終端應(yīng)用ACL拒絕該終端訪問(wèn)總部?jī)?nèi)部資源。當(dāng)身份認(rèn)證通過(guò)，安全狀態(tài)檢查不通過(guò)，路由器將會(huì)對(duì)該終端應(yīng)用ACL，只允許其訪問(wèn)安全修補(bǔ)服務(wù)器，只有當(dāng)身份認(rèn)證和安全狀態(tài)檢查都通過(guò)，路由器才會(huì)放開(kāi)資源給該終端使用。對(duì)不同網(wǎng)段，部門(mén)或單個(gè)終端都可以配置不同的資源訪問(wèn)權(quán)限。對(duì)于出差員工通過(guò)VPN接入時(shí)，可在VPN設(shè)備上或者VPN連接的第一個(gè)內(nèi)部路由器上啟用NACL3IP認(rèn)證，或通過(guò)NACC進(jìn)行認(rèn)證。解決方案同分支結(jié)構(gòu)遠(yuǎn)程接入解決方案。整體方案具有如下特點(diǎn)全面實(shí)施網(wǎng)絡(luò)準(zhǔn)入控制，不留安全死角；各種準(zhǔn)入控制機(jī)制通過(guò)LEAGVIEW達(dá)到無(wú)縫集成，完全不存在不兼容問(wèn)題。只使用一套產(chǎn)品就能實(shí)現(xiàn)各種準(zhǔn)入控制。靈活性強(qiáng)，用戶可以隨意組合和選擇準(zhǔn)入控制方案，能適應(yīng)各種網(wǎng)絡(luò)環(huán)境，在各種復(fù)雜的網(wǎng)絡(luò)環(huán)境中實(shí)現(xiàn)準(zhǔn)入控制。統(tǒng)一認(rèn)證。無(wú)論選用了多少種準(zhǔn)入控制機(jī)制，都只需要一臺(tái)LEAGVIEW服務(wù)器來(lái)完成身份認(rèn)證，所有的身份認(rèn)證都可以集中到一臺(tái)服務(wù)器完成，有利于對(duì)帳戶使用的集中審計(jì)。_TOC127593596_TOC163445563_TOC301740023網(wǎng)絡(luò)準(zhǔn)入控制部署方案建議下圖是網(wǎng)絡(luò)準(zhǔn)入控制和電腦安全管理系統(tǒng)所有相關(guān)服務(wù)器的部署連接示意圖。_TOC163445674_TOC301740395圖14準(zhǔn)入控制部署方案建議圖中包含如下服務(wù)器兩臺(tái)RADIUS服務(wù)器。兩臺(tái)RADIUS服務(wù)器必須同時(shí)在線接入網(wǎng)絡(luò)，用不同的IP地址。RADIUS服務(wù)器上只有配置文件，沒(méi)有數(shù)據(jù)信息。網(wǎng)絡(luò)交換機(jī)一旦接收到電腦終端上傳的認(rèn)證信息，會(huì)首先把認(rèn)證信息直接送給RADIUS服務(wù)器，由RADIUS服務(wù)器去完成相關(guān)的認(rèn)證工作。因此RADIUS服務(wù)器必須是雙機(jī)。在網(wǎng)絡(luò)交換機(jī)上設(shè)置兩個(gè)RADIUS服務(wù)器的IP地址，在正常情況下，網(wǎng)絡(luò)交換機(jī)會(huì)自動(dòng)選擇第一RADIUS服務(wù)器（主）；在主RADIUS服務(wù)器發(fā)生故障的情況下，網(wǎng)絡(luò)交換機(jī)會(huì)自動(dòng)選擇備RADIUS服務(wù)器。兩臺(tái)LDAP服務(wù)器（如微軟AD服務(wù)器，或可做身份認(rèn)證的MAILSERVER）。LDAP服務(wù)器是用戶已經(jīng)自行部署，可以在RADIUS服務(wù)器上指定兩個(gè)LDAP服務(wù)器的IP地址，這樣，當(dāng)主AD服務(wù)器故障時(shí)，RADIUS會(huì)自動(dòng)從備份RADIUS認(rèn)證。此外，每當(dāng)一個(gè)電腦終端被認(rèn)證之后，RADIUS服務(wù)器會(huì)將其用戶名/密碼等信息緩存在內(nèi)存中，這樣該電腦終端下一次認(rèn)證時(shí)，就不再需要直接去AD認(rèn)證，除非該賬戶的密碼被變更。兩臺(tái)管理數(shù)據(jù)庫(kù)DB服務(wù)器。正常情況下，所有的數(shù)據(jù)均實(shí)時(shí)保存在主DB上，備DB只需要在主DB更新了管理策略、錄入了新的數(shù)據(jù)之后才需要和主DB同步。備DB有一個(gè)IP地址和主DB完全一致，正常情況下，備DB的這個(gè)網(wǎng)卡需要和網(wǎng)絡(luò)斷開(kāi)；在主DB發(fā)生緊急故障的情況下，首先將主DB的網(wǎng)卡斷開(kāi)然后將備DB的網(wǎng)卡和網(wǎng)絡(luò)聯(lián)通，實(shí)現(xiàn)DB的快速切換。RADIUS服務(wù)器在啟動(dòng)之后，會(huì)自動(dòng)從主數(shù)據(jù)庫(kù)（DB）讀取和準(zhǔn)入控制相關(guān)的策略和其它信息，并緩存在內(nèi)存中。這樣一旦主DB發(fā)生故障，只要不重新啟動(dòng)RADIUS服務(wù)器，并不會(huì)立刻直接影響電腦終端接入網(wǎng)絡(luò)（但是接入的審計(jì)信息無(wú)法實(shí)時(shí)寫(xiě)入DB）。_TOC163445564_TOC301740024LEAGVIEW支持的網(wǎng)絡(luò)準(zhǔn)入控制策略_TOC211685648網(wǎng)絡(luò)準(zhǔn)入控制身份認(rèn)證管理LEAGVIEW網(wǎng)絡(luò)準(zhǔn)入控制架構(gòu)支持多種身份認(rèn)證方式基于8021X的身份認(rèn)證和安全認(rèn)證；基于CISCONACL2IP的身份認(rèn)證和安全認(rèn)證；基于CISCONACL3IP的身份認(rèn)證和安全認(rèn)證；支持VPN遠(yuǎn)程訪問(wèn)認(rèn)證；基于數(shù)字證書(shū)的認(rèn)證，包括文件證書(shū)、USBKEY或IC證書(shū)等多種方式；基于用戶名密碼的認(rèn)證，其中用戶名密碼可以是AD域、EMAIL服務(wù)器、LDAP服務(wù)器或系統(tǒng)內(nèi)置賬號(hào)；LEAGVIEW網(wǎng)絡(luò)準(zhǔn)入控制架構(gòu)可以對(duì)接入端的如下信息進(jìn)行強(qiáng)制綁定可以用用戶名密碼進(jìn)行最低級(jí)別的綁定；支持驗(yàn)證終端的硬件標(biāo)識(shí)合法硬件標(biāo)識(shí)的終端允許接入網(wǎng)絡(luò)；支持驗(yàn)證LEAGVIEW安全助手ID合法LEAGVIEW安全助手ID的終端允許接入，LEAGVIEW安全助手重新安裝后ID會(huì)改變；支持驗(yàn)證終端的MAC地址合法MAC地址的終端允許接入網(wǎng)絡(luò)；支持驗(yàn)證終端接入的交換機(jī)及端口終端只能從指定交換機(jī)端口接入；支持驗(yàn)證用戶名（或數(shù)字證書(shū)、USBKEY等）和終端的綁定關(guān)系用戶只能通過(guò)指定的機(jī)器接入網(wǎng)絡(luò)。_TOC211685582_TOC301740396圖15準(zhǔn)入控制用戶身份認(rèn)證策略_TOC211685649網(wǎng)絡(luò)準(zhǔn)入控制安全檢查L(zhǎng)EAGVIEW網(wǎng)絡(luò)準(zhǔn)入控制架構(gòu)可以對(duì)接入設(shè)備的安全設(shè)置規(guī)范檢查終端的安全設(shè)置檢查終端的防病毒安裝情況及其病毒特征庫(kù)是否及時(shí)升級(jí)，如SYMANTEC等防病毒軟件；檢查系統(tǒng)賬戶，包括GUEST賬戶和弱口令檢查；WINDOWS域檢查，檢查終端是否加入指定的WINDOWS域；檢查可寫(xiě)共享設(shè)置，檢查終端是否設(shè)置了可寫(xiě)或者沒(méi)有權(quán)限限制的可寫(xiě)共享；檢查終端操作系統(tǒng)補(bǔ)丁安裝情況；檢查終端是否有可疑的注冊(cè)表項(xiàng)；檢查終端是否有可疑的文件存在；檢查終端是否安裝了非法軟件。_TOC301740397圖16準(zhǔn)入控制主機(jī)安全漏洞檢測(cè)策略_TOC211685650網(wǎng)絡(luò)準(zhǔn)入控制的動(dòng)態(tài)授權(quán)LEAGVIEW網(wǎng)絡(luò)準(zhǔn)入控制架構(gòu)可以對(duì)接入的終端進(jìn)行動(dòng)態(tài)的授權(quán)，主要包括以下幾個(gè)部分基于用戶或用戶所在的部門(mén)自動(dòng)分發(fā)ACL進(jìn)行控制；用戶VLAN的動(dòng)態(tài)下發(fā)，根據(jù)接入的身份或部門(mén)信息自動(dòng)劃分到指定的VLAN；用戶權(quán)限的實(shí)時(shí)控制，對(duì)接入的終端進(jìn)行實(shí)時(shí)的控制；IP地址獲取策略限制，可以禁用終端對(duì)IP地址的修改；接入時(shí)段限制；接入?yún)^(qū)域限制；多網(wǎng)卡和撥號(hào)網(wǎng)絡(luò)限制；代理服務(wù)器限制；MAC地址修改限制；_TOC163445565準(zhǔn)入控制后用戶接入網(wǎng)絡(luò)的時(shí)間估計(jì)桌面電腦在接入網(wǎng)絡(luò)的過(guò)程中，需要經(jīng)過(guò)多個(gè)步驟，接入所需時(shí)間包括1AGENT（安全助手）的啟動(dòng)時(shí)間，該時(shí)間和桌面電腦的性能有關(guān)，因此下面的時(shí)間計(jì)算不將該時(shí)間考慮在內(nèi)。2桌面電腦將認(rèn)證信息上傳給網(wǎng)絡(luò)交換機(jī)。3網(wǎng)絡(luò)交換機(jī)將認(rèn)證信息送給RADIUS。4RADIUS服務(wù)器內(nèi)部對(duì)所接收的認(rèn)證請(qǐng)求信息進(jìn)行檢驗(yàn)。5RADIUS通過(guò)微軟AD服務(wù)器檢驗(yàn)用戶帳戶。6RADIUS將認(rèn)證結(jié)果返回給網(wǎng)絡(luò)交換機(jī)。上述步驟中，第2、3、6步驟所需的時(shí)間可以忽略（一般1毫秒以?xún)?nèi)），第4步驟的時(shí)間一般在3毫秒以?xún)?nèi)。第5步驟所需的時(shí)間可以按照如下表格估計(jì)NO認(rèn)證條件估計(jì)所需時(shí)間備注1主RADIUS，通過(guò)AD驗(yàn)證用戶名/密碼300毫秒以?xún)?nèi)AD驗(yàn)證一般需要200多毫秒2主RADIUS，通過(guò)備份的AD驗(yàn)證用戶名/密碼5秒以?xún)?nèi)從第一個(gè)AD認(rèn)證超時(shí)后，切換到第二個(gè)AD認(rèn)證，切換需要5秒3主RADIUS，利用CACHE驗(yàn)證用戶名/密碼1毫秒以?xún)?nèi)4首次切換到，備份RADIUS，通過(guò)AD驗(yàn)證用戶名/密碼8秒以?xún)?nèi)主RADIUS切換到備份RADIUS需要68秒RETRANSMIT2，TIMEOUT3S_TOC301740025_TOC163445567網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)可靠性保障由于網(wǎng)絡(luò)準(zhǔn)入控制服務(wù)一旦發(fā)生故障，會(huì)導(dǎo)致電腦終端無(wú)法接入網(wǎng)絡(luò)，因此必須保障網(wǎng)絡(luò)準(zhǔn)入控制的高度