网络准入系统客户端、无线局域网接入控制器、交换机限制接入内网的方法

2024-11-11

当前，在局域网网络安全管理中，有一项比较重要的功能就是禁止外来电脑、移动设备接入单位局域网，也就是实现网络准入控制，尤其是无线局域网接入控制是当前很多单位急需的网络安全管理功能。如何实现呢？

一、局域网网络准入控制系统方案背景

目前，同类网络准入控制系统主要基于以下技术实现：

1、在路由器或交换机等网络设备上面启用IP和MAC地址绑定来防止外来设备接入，虽然可以起到一定的作用，但是如果外来设备将其IP和MAC地址同时修改成和绑定电脑一样的IP和MAC地址信息，就可以接入内网而绕过系统监控。

2、针对无线局域网来说，通常情况下无线设备由于功能的局限而通常无法进行IP和MAC地址绑定，同时单位内部也有各种移动设备和无线设备，一旦绑定也会影响此类设备的使用。

3、同类网络准入控制系统，常常是基于C/S架构，在局域网内分别安装管理端和客户端来实现网络准入控制，同时管理端也必须依赖客户端才能实现网络准入控制，一旦客户端被强行卸载或破坏，将会导致网络准入控制功能失效。

4、一些网络准入控制系统还对网络设备有要求，需要网络管理员配合设置相关网络设备方可实现，从而无形中增加了用户部署网络准入控制系统的成本和工作量，也不适合一般单位需要。

当然，上述网络准入控制方式都可以起到一定的作用，但是由于存在各种局限，使得用户始终无法实现更为快捷、灵活和精准的网络准入控制功能。并且，由于当前国内企事业单位越来越通过无线wifi上网，单位内部的无线设备和移动设备也越来越多，如何有效防止外来设备接入，保护单位局域网共享文件安全和网络安全，就成为企业网络管理的重要工作。

二、安企神网络准入控制技术方案

安企神网络准入控制系统（下载地址：http://www.wgj7.com/wailaidiannaokongzhi.html）是一种基于网络报文重定向和过滤驱动双重技术实现网络准入控制的内网接入控制系统。具体实现方式为：本系统基于C/S架构实现，分为管理端和客户端，管理端安装在局域网一台电脑或服务器上，客户端安装在用户计算机上并自动在网卡上安装过滤驱动，并自动连接到管理端，管理端基于ARP广播报文来获取接入局域网的所有设备，一旦发现非内网电脑、移动设备接入内网之后，将通过网络报文重定向，使得外来电脑无法找到内网其他电脑，同时对内网电脑也进行网络报文重定向，使其无法主动与外来电脑进行通信，从而实现阻止外来电脑接入内网的目的。同时，基于内网电脑安装的客户端软件，通过网卡驻留的网络报文过滤驱动，可以实现对内网电脑主动访问外部MAC地址的控制，以及阻止外来电脑访问本机，从而进一步加强了网络准入控制，实现了双重的网络准入控制，较大限度保护网络安全。

图：安企神无线局域网接入控制器截图

三、安企神局域网接入控制系统创新优势

安企神网络准入控制系统，具有如下领先优势：

1、具有灵活的网络准入控制功能。传统的网络准入控制系统通常是基于C/S架构，需要在电脑安装管理端和客户端方可实现网络准入控制。而本系统虽然支持基于C/S架构的控制，但也可以不用安装客户端软件，实现了基于B/S架构的网络准入控制功能，适应性更强、更为灵活，在简化用户部署本系统同时也可以实现网络准入控制功能。

2、本系统较早基于ARP双向欺骗构建。同类网络准入控制系统通常基于单向ARP欺骗来实现。也即通过向被隔离的电脑发送网关的IP地址+网关伪造的MAC地址的方式隔离电脑访问外网；通过向被隔离电脑发送白名单电脑的IP地址+白名单电脑伪造的MAC地址来实现禁止黑名单电脑访问白名单电脑。但是，一旦白名单电脑主动访问黑名单电脑，则此种隔离方式就无法实现禁止。而通过本系统的ARP双向欺骗技术，不但实现了禁止黑名单电脑访问网关或白名单电脑，而且还可以实现禁止白名单电脑主动访问黑名单电脑，实现了双向隔离，有效避免了白名单电脑主动访问黑名单电脑的情况，实现了更为严密的网络准入控制。

3、传统的网络准入控制系统虽然也安装客户端，但主要用来接收和执行管理端的指令，并没有与管理端进行实时交互验证，这样一旦客户端电脑自行安装了客户端，同时也修改自己的IP地址和MAC地址与白名单电脑的IP地址和MAC地址相同的情况下，将会绕过系统监控，获得合法访问内网白名单或服务器的目的，从而不利于实现严密的网络准入控制。此外，同类网络准入控制系统的客户端，虽然可以阻止黑名单电脑访问内网白名单，但是无法阻止白名单电脑主动访问黑名单，这样使得一旦内部电脑主动访问外部黑名单电脑，将会使得网络准入控制功能失效的情况，不利于实现网络安全管理，也没有实现真正实时的网络准入控制功能。

4、传统的网络准入控制系统缺乏对客户端电脑以及局域网网络安全环境的管控，从而无法对用户各种不规范甚至非法网络行为的管控。而本系统的管理端集成了禁止局域网代理、检测局域网混杂模式网卡、检测局域网ARP攻击源主机，防止网络嗅探和网络抓包的功能，进一步强化了网络安全管控，防止了网络次生灾害的发生，实现了电脑使用层面的网络准入控制功能。而通过客户端软件集成的禁止客户端电脑修改IP地址和MAC地址的行为，以及记录客户端电脑使用行为日志，则进一步强化了管理员对客户端电脑管控，便于采取各种预防性的网络准入控制功能，实现了事前、事中和事后的网络准入控制。