前言：

隨著網(wǎng)絡(luò)越來(lái)越普及，上網(wǎng)越來(lái)越方便，企業(yè)也同時(shí)是網(wǎng)絡(luò)使用的一個(gè)很重要的市場(chǎng)，企業(yè)網(wǎng)絡(luò)的使用很個(gè)人或者家用網(wǎng)絡(luò)使用有很大的不同，首先企業(yè)網(wǎng)絡(luò)里面?zhèn)鬏敻鞣N企業(yè)數(shù)據(jù)，比如財(cái)務(wù)報(bào)表，生產(chǎn)數(shù)據(jù)，人力資源報(bào)表等等，這些數(shù)據(jù)對(duì)企業(yè)來(lái)說(shuō)是很重要且不允許被外泄的企業(yè)資料，但是隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，如果一個(gè)企業(yè)雖然允許陌生終端接入到企業(yè)內(nèi)部網(wǎng)絡(luò)，很多企業(yè)數(shù)據(jù)就容易被竊取，給企業(yè)造成不能估量的損失或影響，如果更好的保障企業(yè)網(wǎng)絡(luò)安全使用是越來(lái)越多的企業(yè)IT運(yùn)維人員所不得不考慮的一個(gè)重要的問(wèn)題。

案例1：

某央企在企業(yè)網(wǎng)絡(luò)中傳輸著生產(chǎn)數(shù)據(jù)，而此生產(chǎn)數(shù)據(jù)關(guān)系著國(guó)計(jì)民生的方方面面，并且直接影響著國(guó)家的對(duì)其行業(yè)的決策。其IT運(yùn)維人員對(duì)訪客使用本企業(yè)網(wǎng)絡(luò)資源未作嚴(yán)格限制，從而導(dǎo)致訪客可以部分訪問(wèn)員工終端，并利用員工終端做跳板從而訪問(wèn)生產(chǎn)服務(wù)器及數(shù)據(jù)，導(dǎo)致信息泄密，從而給企業(yè)和國(guó)家?guī)?lái)很大損失。

案例2：

某巨型央企在網(wǎng)絡(luò)安全方面做了很多的工作，內(nèi)外網(wǎng)分離，不允許使用無(wú)線網(wǎng)絡(luò)，網(wǎng)絡(luò)防火墻層層部署，桌面安全軟件，殺毒軟件，文檔加密軟件等各種安全軟件都一一配齊，但是由于其部署網(wǎng)絡(luò)準(zhǔn)入設(shè)備，在企業(yè)網(wǎng)絡(luò)中未作網(wǎng)絡(luò)邊界管理，企業(yè)的網(wǎng)絡(luò)可以通過(guò)物理直接接入，當(dāng)未知終端通過(guò)物理接口直接接入的時(shí)候，網(wǎng)絡(luò)管理員并不知曉。問(wèn)題就發(fā)生了，雖然企業(yè)配備了文檔加密軟件，但是當(dāng)需要把某部門(mén)的文檔通過(guò)網(wǎng)絡(luò)傳輸給異地部門(mén)的時(shí)候，此時(shí)傳輸是可以破解的，于是安全事件就發(fā)生在此傳輸過(guò)程中，導(dǎo)致企業(yè)數(shù)據(jù)外泄的安全事件。由于未安裝網(wǎng)絡(luò)準(zhǔn)入設(shè)備，事件發(fā)生后也無(wú)法追溯責(zé)任，導(dǎo)致整個(gè)企業(yè)被國(guó)家通報(bào)批評(píng)。

功能：

從上面的案例可以看出，網(wǎng)絡(luò)準(zhǔn)入是企業(yè)在現(xiàn)階段網(wǎng)絡(luò)安全中很重要的一環(huán)，我們必須對(duì)其高度重視并且制定合理的計(jì)劃不斷加固企業(yè)的網(wǎng)絡(luò)安全狀態(tài)。

那么網(wǎng)絡(luò)準(zhǔn)入到底有什么功能，他為什么對(duì)網(wǎng)絡(luò)安全有如此重要的作用呢？下面我們一一來(lái)解釋。

1，網(wǎng)絡(luò)邊界管理。

每個(gè)企業(yè)都有其辦公場(chǎng)所，物理上也會(huì)有一個(gè)墻或者欄桿之類(lèi)的，那么一個(gè)企業(yè)是否有其網(wǎng)絡(luò)邊界并且十分對(duì)其有清晰的界限很重要，如果沒(méi)有邊界管理，就好似一個(gè)企業(yè)沒(méi)有圍墻或欄桿可以被人隨意進(jìn)入，這對(duì)一個(gè)生產(chǎn)型企業(yè)是很恐怖的。而網(wǎng)絡(luò)準(zhǔn)入設(shè)備的重要功能就是網(wǎng)絡(luò)邊界的管理，為企業(yè)的網(wǎng)絡(luò)立起來(lái)一道堅(jiān)不可摧的圍墻，只有經(jīng)過(guò)授權(quán)的人才可以進(jìn)入，未經(jīng)授權(quán)的終端被檔在圍墻之外，即使他物理上接通了企業(yè)的網(wǎng)絡(luò)但是他還是不能使用企業(yè)網(wǎng)絡(luò)資源。

2，企業(yè)網(wǎng)絡(luò)資源中的訪客管理。

在一個(gè)企業(yè)中會(huì)有很多外來(lái)的訪客或者第三方外協(xié)的人員，他們多則在本企業(yè)中辦公協(xié)助幾個(gè)月少則一天，他們不是本企業(yè)的員工，無(wú)權(quán)訪問(wèn)企業(yè)的內(nèi)部數(shù)據(jù)，但是由于工作需要他們可能往往需要訪問(wèn)企業(yè)的某些服務(wù)但不是全部，同時(shí)又需要上互聯(lián)網(wǎng)收發(fā)郵件之類(lèi)的工作。為了追溯的需要訪客網(wǎng)權(quán)限的開(kāi)通需要企業(yè)內(nèi)部員工或者網(wǎng)絡(luò)管理員為申請(qǐng)并開(kāi)通。如果對(duì)訪客進(jìn)行有效安全方便的管理是網(wǎng)絡(luò)準(zhǔn)入的又一功能。網(wǎng)絡(luò)準(zhǔn)入設(shè)備可以很好的支持訪客網(wǎng)權(quán)限、訪問(wèn)時(shí)常、關(guān)聯(lián)人等做有效的管理。

3，終端安全狀態(tài)的管理。

一直以來(lái)由于網(wǎng)絡(luò)安全人員的焦點(diǎn)都定焦在來(lái)自網(wǎng)絡(luò)外部的攻擊或者滲透，對(duì)網(wǎng)絡(luò)內(nèi)部終端自身的安全沒(méi)有足夠的重視，而往往很多網(wǎng)絡(luò)安全事件恰恰是由于網(wǎng)絡(luò)內(nèi)部終端自身的安全狀態(tài)未達(dá)到一定的標(biāo)準(zhǔn)而發(fā)生的。舉例說(shuō)明，企業(yè)要求所有終端必須安裝殺毒軟件，于是企業(yè)的每臺(tái)終端都安裝了殺毒軟件，但是由于終端使用人的疏忽或者此終端根本就沒(méi)有直接的使用人或者責(zé)任人，導(dǎo)致終端殺毒軟件版本及病毒庫(kù)未及時(shí)更新從而引發(fā)病毒攻擊。再者，系統(tǒng)補(bǔ)丁的更新，由于沒(méi)有人及時(shí)重啟終端使終端的補(bǔ)丁及時(shí)得到應(yīng)用從而導(dǎo)致提供服務(wù)的終端被人攻擊并被成功滲透，從而導(dǎo)致網(wǎng)絡(luò)安全事件也很多?；蛘咂髽I(yè)部署了桌面安全軟件做統(tǒng)一的管理，但是由于桌面安全不能管理終端網(wǎng)絡(luò)接入，就發(fā)生了即使此終端的安全狀態(tài)未合規(guī)，但是還是接入了網(wǎng)絡(luò)導(dǎo)致完全泄密。

測(cè)試結(jié)果：

當(dāng)然，網(wǎng)絡(luò)準(zhǔn)入設(shè)備的功能還有很多，但是以上基本的功能，從我們公司在對(duì)一些準(zhǔn)入廠家測(cè)試的結(jié)果來(lái)看，比較好的有賽門(mén)鐵克的802.1x方式的準(zhǔn)入及畫(huà)方可以的混合準(zhǔn)入方式比較好，特別是畫(huà)方的混合準(zhǔn)入具有網(wǎng)絡(luò)拓?fù)溥m應(yīng)性強(qiáng)，準(zhǔn)入控制嚴(yán)格，部署方便快捷等等，在我公司得到的反饋比較好。本次測(cè)試由于時(shí)間段，有機(jī)會(huì)希望能繼續(xù)測(cè)試畫(huà)方的產(chǎn)品。