-
网络准入控制使用说明
IP-guard
的桌面管理系统可以详细地对计算机的操作行为进行详细的审计和严格的控制
,
但是仍然有一些用户通过重新格式化并安装操作系统
,
设置个人防火墙等等手段逃避行为监
管。而即使当管理员及时
发现这种情况以后,重新再部署桌面管理客户端都是一件繁琐和
恼人的工作。
IP- guard
网络准入控制功能就是为了解决这一问题而诞生的。
IP-guard
网络准入控制系统是一套专业的硬件系统,
能够对访问指定网络(如企业内
网、服务器等)
的计算机进行严
格的合规性审核,只有合规的计算机才能连入访问,未合规
的计算机可根据需要将其引导
至隔离区进行修复,或者完全阻断其访问。
更可以与
IP-guard 15
大模
块集成应用,避免内网
PC
脱离
IP-
guard
管控。有效的保证内
网安全策略的执行,同时杜绝非
法连入带来的外泄风险。
1
网络架构
IP-guard
网络准入控制功能的工作模式有两种:网桥模式和路由模式。
企业内的网络常见的网络简易拓扑结构:
IP-
guard
的网桥控制模式:
使用网
桥模式,可以对网络结构和配置不做任何修改,直接将准入设备串接进网络中
需要进行控
制的地方
(多数是重要的应用服务器或者网关处)
,对通过其的
网络通讯进行控
制。
IP-guard
的路由控制模式:
对核心交换机启用策略路由,
对跨网段的访问进行控制。
这种控制方式需要核心交换机
支持策略路由。
2
控制流程
当计算机或其他网络终端设
备接入网络时,
设备端会询问其提供验证的信息。
当安装了
客户端的计算机通过身份认证以后,
就可以访问正常的网络。
而没有通过认证的计算机则会
被放入到隔离区或完全阻断网络访问。<
/p>
同时对于一些无法安装客户端的网络终端设备,
例如网络打印机,
系统可以通过配置白
名单的方式允许
这些网络设备接入网络。
对于一些外来的或者特殊权限的计算
机,
也可以通过设置白名单,
或者开辟特殊用户的
方式允许他们不安装客户端的情况下访问部分或者全部网络。
客
户
端
,
< br>允
合
法
许
访
问
互联网
止
访
问
ERP
服务器
< br>合法客户端
准入控制器
客
户
端
,
阻
非
法
限制访问的计算机或网络
阻
< br>止
后
,
进
入
修
复
区
非
法客户端
修复区
3
部署
3.1
设备介绍
IP-
guard
网络控制设备(以下称控制器),分为三个型号:
IPG-1000
:
5
个百兆网卡,无管理端口;
RESET
键用于恢复出厂设置;
IPG-2000
:
3
个千兆网卡,其中管理端口为
EMP
;
IPG-3000
:
4
个千兆网卡,一组
BYPASS
(
ETH0
和
ETH1
),其中管理端口为
EMP
;
IPG-4000
:
4
个千兆网卡,一组
BYPASS
(
ETH0
和
ETH1
),其中管理端口为
EMP
;
说明
对于有管理端口的控制器,管理
端口的
IP
固定为
190.190.1
90.190
,初始配
置使用管理端口;对于没有管理端口的控
制器,出厂设置下任一端口的
IP
均
为
190.190.190.190
,初始配置可使用任一端口;
BYPASS
功能,可以在控制器断
电或死机的情况下,将控制器所连接的两端
直接物理上导通,不影响网络的使用。
3.2
部署方式
串接方式(网桥模式)
IP-gua
rd
网络控制器以桥接的方式串接入网络。控制器一般位于限制访问网络或计算机
之前。
连接方法:使用设备的两个端口将其连入网络;
IPG-1000
使用
ETH1
四个端口中任意一个和
ETH0
;
IPG-2000
使用
ETH0
和
ETH1
;
IPG-3000
、
IPG-4000
使用
ETH0
、
E
TH1
、
ETH2
中任两个;
远程客户端
VPN
核心层
交换机
准入控制器
路由器
汇聚层
交换机
准入控
制器
无线接
入点
接入层
交换机
接入层
交换机
交换机<
/p>
客户端
客户端
客户端
客户端
ERP
服务器
邮件服务器<
/p>
OA
服务器
准旁路方式(路由模式)
对核心交换
机启用策略路由,对跨网段的访问进行控制。这种控制方式需要核心交换
机支持策略路由
。
连接方法:使用设备的一个端口连接交换机;
PG-1000
使用
ETH1
四个端口的任意一个;
IPG-2000
、
IPG-3000
、
IPG-4
000
都只能使用
ETH0
;
远程客户端
VPN
准
入控制器
核心层
交换机
互联网
路由器
汇聚层
交换机
交
换机
无线
接入点
接入层
交换机
接入层
交换机
ERP<
/p>
服务器
邮件服务器
OA
< br>服务器
客户端
客户端
客户端
客户端
说明
<
/p>
部署前为保证控制器能在网络中正常通讯,需要对其设置
IP
,详见
4.2
。
使用路由模式前,
需要对交换机加上策略路由配置,
具体配置见文档
《策略路
由配置》
;
4
使用
4.1
界面
网络准入管理器的主界面,如图
1
:
图
1
4.2
设置控制器
IP
有管理端口的设备使
用管理端口进行设置,没有管理端口的设备(例如
IPG-1
000
)
,则
使用任一端口进行设置。
具体步骤如下:
1.
计算机
A
安装了网络准入管理器,使计算机
A
脱离内网环境,而直接用网线将控制
器的管理
端口(
IPG-1000
是任一端口)与计算机
A
连接,修改计算机
A
的
IP
,让它
能与控制器通讯。如:
IP
地址:
190.190.0.1
子网掩码:
255.255.0.0
默认网关:可不填
2.
在计算机
A
上启动网络准入管理器,“工具→控制器连接参数”。如图
2
:
-
-
-
-
-
-
-
-
-
上一篇:100%旁路系统的控制特点及其优缺点
下一篇:安防行业中英文对照表