安全类设备包含哪些设备（信息安全设备简介之二）

上一期飞哥介绍了信息安全设备中的运维审计系统（堡垒机），今天要为大家介绍的是“准入系统”。

我们使用的各种信息系统一般都是通过网络相互连接的，我们使用的互联网是广域网，大家都知道一般要有宽带的账号和密码，上网的之前用宽带运营商提供的账号密码登录通过认证以后，才能连上互联网，享受各种信息服务。同样的道理，在企业内部的园区网络，重要的业务系统和各个部门的工作站之间也是通过网络相连，一般来讲根据园区规模大小的不同，会通过网络设备和安全设备将园区网络划分成大小不同的VLAN进行管理，每台需要与网络连接的工作站，根据规则设置不同的IP地址，从而实现在统一管理下的有序的内部网络通讯。

网络信息安全

但大多数情况下，企业园区网是有一定规模的，范围可能分布在园区内不同的建筑物中，联网的终端设备较多且分散，有些园区是开放式的，来访人员可以自由进出公共区域，甚至有些办公室也是开放式的，来访人员可以直接进入到办公区域内，这样就产生了一个安全问题，怎样防止来访人员未经授权使用内部办公电脑和怎样防止来访人员未经授权使用自带的笔记本等终端设备接入企业网络，从而获取到内部数据。

准入设备正面图

“准入系统”就是用于应对这类安全威胁的一种系统。一般来讲准入系统是一种自带软件系统的硬件设备，也有少数准入系统是纯软件形式的。主流的准入系统的安全准入模式大致有三种：

一、Portal认证 在所有终端工作站上安装准入系统的客户端，通过监听对企业内网数据流进行合法性检测，操作人员用自己的用户名和密码登录终端设备，通过Portal认证的视为合规用户，否则拒绝访问。

准入系统登录界面

二、IP MAC认证 准入设备通过交换机的镜像端口获取网络数据流，得到终端设备IP和MAC地址列表及对应关系，然后对比准入设备中预先设置的合法IP和MAC地址对应绑定列表，系统判断后允许合规地址通过，阻止不合规地址应用。

准入界面终端状态查看

准入界面mac信息查看

三、802.1x接入认证 通过标准802.1x协议，在网络接入层做准入认证、根据认证授权情况确定是否能访问网络，可联动入网合规性检查，根据检查结果下发网络访问权限，最终目的就是确定交换机端口是否允许通讯，如果认证成功那么就“打开”这个端口，允许所有的报文通过；如果认证不成功就使这个端口保持“关闭”状态，从而阻止网络接入。

802.1x准入原理图

需要注意的是，准入系统上线前，应做好联网设备的设置参数统计工作，形成列表以备查。系统上线时，为了避免造成大规模的网络不稳定，应该分区域逐步实施，遇到有被准入阻止入网的情况，可以根据之前形成的设备统计列表进行分析和处理。

企业应用准入系统后，可以对外部来访人员未经授权的操作和设备接入本地网络做出阻止的动作，从而较大程度的增强企业内部网络安全性，防止信息泄露，保护业务系统安全。结合准入系统还可以加强对局域网IP地址的分配与管理，减少IP冲突的发生，准入系统也是信息安全等级保护要求上线运行的安全设备之一。今天的介绍就到这里，谢谢大家阅读。

声明：本文为飞哥原创文章，转载请注明来源及作者。