上一期飛哥介紹了信息安全設備中的運維審計系統（堡壘機），今天要為大家介紹的是“準入系統”。

我們使用的各種信息系統一般都是通過網絡相互連接的，我們使用的互聯網是廣域網，大家都知道一般要有寬帶的賬号和密碼，上網的之前用寬帶運營商提供的賬号密碼登錄通過認證以後，才能連上互聯網，享受各種信息服務。同樣的道理，在企業内部的園區網絡，重要的業務系統和各個部門的工作站之間也是通過網絡相連，一般來講根據園區規模大小的不同，會通過網絡設備和安全設備将園區網絡劃分成大小不同的VLAN進行管理，每台需要與網絡連接的工作站，根據規則設置不同的IP地址，從而實現在統一管理下的有序的内部網絡通訊。

網絡信息安全

但大多數情況下，企業園區網是有一定規模的，範圍可能分布在園區内不同的建築物中，聯網的終端設備較多且分散，有些園區是開放式的，來訪人員可以自由進出公共區域，甚至有些辦公室也是開放式的，來訪人員可以直接進入到辦公區域内，這樣就産生了一個安全問題，怎樣防止來訪人員未經授權使用内部辦公電腦和怎樣防止來訪人員未經授權使用自帶的筆記本等終端設備接入企業網絡，從而獲取到内部數據。

準入設備正面圖

“準入系統”就是用于應對這類安全威脅的一種系統。一般來講準入系統是一種自帶軟件系統的硬件設備，也有少數準入系統是純軟件形式的。主流的準入系統的安全準入模式大緻有三種：

一、Portal認證 在所有終端工作站上安裝準入系統的客戶端，通過監聽對企業内網數據流進行合法性檢測，操作人員用自己的用戶名和密碼登錄終端設備，通過Portal認證的視為合規用戶，否則拒絕訪問。

準入系統登錄界面

二、IP MAC認證 準入設備通過交換機的鏡像端口獲取網絡數據流，得到終端設備IP和MAC地址列表及對應關系，然後對比準入設備中預先設置的合法IP和MAC地址對應綁定列表，系統判斷後允許合規地址通過，阻止不合規地址應用。

準入界面終端狀态查看

準入界面mac信息查看

三、802.1x接入認證 通過标準802.1x協議，在網絡接入層做準入認證、根據認證授權情況确定是否能訪問網絡，可聯動入網合規性檢查，根據檢查結果下發網絡訪問權限，最終目的就是确定交換機端口是否允許通訊，如果認證成功那麼就“打開”這個端口，允許所有的報文通過；如果認證不成功就使這個端口保持“關閉”狀态，從而阻止網絡接入。

802.1x準入原理圖

需要注意的是，準入系統上線前，應做好聯網設備的設置參數統計工作，形成列表以備查。系統上線時，為了避免造成大規模的網絡不穩定，應該分區域逐步實施，遇到有被準入阻止入網的情況，可以根據之前形成的設備統計列表進行分析和處理。

企業應用準入系統後，可以對外部來訪人員未經授權的操作和設備接入本地網絡做出阻止的動作，從而較大程度的增強企業内部網絡安全性，防止信息洩露，保護業務系統安全。結合準入系統還可以加強對局域網IP地址的分配與管理，減少IP沖突的發生，準入系統也是信息安全等級保護要求上線運行的安全設備之一。今天的介紹就到這裡，謝謝大家閱讀。

聲明：本文為飛哥原創文章，轉載請注明來源及作者。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!