摘要：随着网络应用的日趋复杂，计算机终端已不再是传统意义上我们所理解的“终端”，它不仅是内网中网线所连接的PC机，更是网络中大部分事物的起点和源头——是用户登录并访问网络的起点、是用户透过内网访问Internet的起点、是应用系统访问和数据产生的起点；更是病毒攻击的源头、从内部发起的恶意攻击的源头和内部保密数据盗用或失窃的源头。

第1页:基于网络的准入控制 第2页:基于主机的准入控制

 
　　
　　EAPOU的工作原理是当支持EAPOU的汇聚层设备接收到终端设备发来的数据包时，汇聚层EAPOU设备将要求终端设备进行EAP认证。EAP认证包封装在UDP包内，在EAP认证的内容中，身份认证其实并不重要，重要的则是安全状态认证。如果安全状态不符合企业策略，汇聚层EAPOU设备将从策略服务器上下载ACL，限制不安全的客户端的网络访问，并对其进行修复。
　　
　　EAPOU技术的优点是它对网络接入设备要求不高，因而覆盖面较高；而且汇聚层设备一般明显少于接入层设备，因此部署相对要容易一些。目前支持EAPOU的设备只有Cisco的路由器和3层交换机，相关配套的系列软件为NAC。
　　
　　2.基于主机的准入控制
　　
　　如果用户的网络设备不支持网络准入，或不想花费太多的部署和管理时间，还可以进行基于主机的准入控制。在此处主机是指网络中除网络设备之外的电脑主机，包括服务器和电脑终端。基于主机的准入控制最大特点就是容易部署。
　　
　　系统及应用准入是在服务器的操作系统上安装准入控制软件，当电脑终端访问服务器时，准入控制软件会检查对方的安全状态，如果符合策略则允许访问，如果不符合将拒绝对方的访问，并给出相关提示。而客户端准入控制是终端相互之间进行访问时，安装在终端上的软件也会检查对方的安全状态。基于主机的准入控制点一般安装在代理服务器、邮件服务器、内网Web服务器、DNS服务器上或DHCP服务器上。这些服务器是企业内部员工最常访问的服务器，因此准入效果较好，覆盖面广。实际部署时，一般只需在一到两个服务器上部署控制点即可做到对全局的准入控制。
　　
　　基于主机的准入控制优点首先是容易部署，一般网络准入配置起来都较复杂，不同型号的设备的配置都各不相同，如果网络规模较大，配置的工作量极其巨大，而基于主机的准入控制只需要在对应的主机上安装一个软件，相对而言容易得多。第二是适应性好、覆盖面广、不依赖任何网络设备的支持，可有效保护企业已有的投资。第三是对网络性能没有影响，基于网络的准入控制在运行时会根据客户端的认证状态和安全状态改变自己的状态，比如VLAN切换和动态ACL加载，这或多或少都将影响设备或网络的性能，特别是在大规模网络环境下，这一点不能忽视。基于主机的准入控制将其控制分散到每个终端和主机上，终端的状态变化对网络没有任何影响。第四是其访问控制功能是所有方案中最强的，基于主机的准入控制能够做到基于进程的访问控制，以及基于进程的带宽管理，因此对蠕虫、木马的防治就能更加积极主动。基于主机的准入控制的缺点主要是控制强度较弱，系统及应用准入控制点处于企业网络的核心，远离终端，而客户端准入依赖于网络中已经广泛部署的客户端。
　　
　　目前采用基于主机的准入控制技术的产品主要有微软的NAP、启明星辰的天珣内网安全风险管理与审计系统等。随着内网安全的不断被企业重视，相信会有更多的厂商关注基于主机的安全准入控制队伍中来。
　　
　　责任编辑：Honey