近幾年來(lái)��,隨著終端應(yīng)用種類(lèi)及數(shù)量的不斷增多����,終端管理得到企事業(yè)單位越來(lái)越多的重視��,不少單位已經(jīng)購(gòu)買(mǎi)和部署了各種各樣的終端管理產(chǎn)品�。有的使用國(guó)產(chǎn)品牌的產(chǎn)品,有的則購(gòu)買(mǎi)了國(guó)外品牌的產(chǎn)品��,但總體來(lái)說(shuō)使用效果并不是那么盡如人意�����。
近幾年來(lái)����,隨著終端應(yīng)用種類(lèi)及數(shù)量的不斷增多,終端管理得到企事業(yè)單位越來(lái)越多的重視�,不少單位已經(jīng)購(gòu)買(mǎi)和部署了各種各樣的終端管理產(chǎn)品。有的使用國(guó)產(chǎn)品牌的產(chǎn)品���,有的則購(gòu)買(mǎi)了國(guó)外品牌的產(chǎn)品��,但總體來(lái)說(shuō)使用效果并不是那么盡如人意��。
首要的問(wèn)題就是����,終端管理產(chǎn)品客戶(hù)端軟件的部署率太低�����,使得終端難以實(shí)現(xiàn)被管理�。而如果不能很好地解決這個(gè)問(wèn)題,終端管理也就成了空談����。
終端為何難管理
一般來(lái)講,終端分散在企事業(yè)單位的不同辦公區(qū)域�。但也有不同��,比如分散在全國(guó)各地���。
在這種情況下,如果想讓最終用戶(hù)自行安裝客戶(hù)端軟件����,顯然難度非常大。先不說(shuō)用戶(hù)的意愿�����,就是以用戶(hù)參差不齊的計(jì)算機(jī)水平而言�,要用戶(hù)自行安裝客戶(hù)端軟件已經(jīng)是非常有難度的事了。而如果讓管理員逐臺(tái)手工完成安裝�,這又是巨大的工作量,特別是對(duì)于有成千上萬(wàn)終端的機(jī)構(gòu)來(lái)說(shuō)��,這簡(jiǎn)直就是不可能完成的任務(wù)�。更有甚者,好不容易給終端安裝了客戶(hù)端軟件��,卻又被用戶(hù)給卸載了���;或者終端重裝了操作系統(tǒng)����,客戶(hù)端軟件又需要重新部署�����;或者新購(gòu)了電腦�����,這些新終端又可能成為終端管理的漏網(wǎng)之魚(yú)……
此外��,還有很重要的一點(diǎn)�,就是對(duì)于合作伙伴、客戶(hù)以及供應(yīng)商等外來(lái)人員帶入的筆記本電腦�����,能讓其隨意接入嗎?該如何管理這些電腦?
如上種種�,正在成為困擾終端管理者的問(wèn)題所在。因?yàn)橹挥胁渴鸪晒α丝蛻?hù)端��,使終端接受了管理�����,后續(xù)的各種管理手段才能發(fā)揮作用。那么從技術(shù)和產(chǎn)品的角度是否可以解決上述難題呢?
利用準(zhǔn)入控制技術(shù)攻克終端管理難題
其實(shí)����,現(xiàn)在非常熱門(mén)的準(zhǔn)入控制技術(shù),就可以非常好地解決客戶(hù)端部署的問(wèn)題�。
可以說(shuō),準(zhǔn)入控制是終端管理的基礎(chǔ)����,只有打好了這個(gè)基礎(chǔ),終端管理產(chǎn)品才不至于花了錢(qián)成為擺設(shè)����,終端產(chǎn)品也才能真正為單位內(nèi)網(wǎng)合規(guī)管理、桌面自動(dòng)化運(yùn)維���、以及保證網(wǎng)絡(luò)和終端的可用性發(fā)揮巨大的作用��,進(jìn)而在提高政府部門(mén)和企業(yè)的工作效率���,保證業(yè)務(wù)始終可用,保護(hù)核心數(shù)據(jù)資產(chǎn)安全方面提供可靠的技術(shù)支撐����。
那么準(zhǔn)入控制是如何保障終端得以被管理的呢?
準(zhǔn)入控制是在終端訪(fǎng)問(wèn)網(wǎng)絡(luò)的必經(jīng)之處設(shè)置檢查點(diǎn)�����,檢查發(fā)起網(wǎng)絡(luò)訪(fǎng)問(wèn)的終端是否安裝了客戶(hù)端軟件����、其安全狀態(tài)是否合格——如果沒(méi)有安裝客戶(hù)端軟件���,將引導(dǎo)用戶(hù)進(jìn)行安裝;如果安全狀態(tài)不合格��,將引導(dǎo)用戶(hù)進(jìn)行修復(fù)�。
根據(jù)準(zhǔn)入控制點(diǎn)的不同,一般可分為3個(gè)層面的準(zhǔn)入控制�����,即網(wǎng)絡(luò)層準(zhǔn)入控制�����、應(yīng)用層準(zhǔn)入控制��、終端層準(zhǔn)入控制,每一層又可以選擇多種準(zhǔn)入控制技術(shù)或手段����。圖1是3層準(zhǔn)入控制示意圖。
網(wǎng)絡(luò)層準(zhǔn)入控制
是利用終端和網(wǎng)絡(luò)設(shè)備的聯(lián)動(dòng)���,由網(wǎng)絡(luò)設(shè)備檢查終端是否安裝了客戶(hù)端軟件以及終端的安全狀態(tài)是否合格�,從而達(dá)到準(zhǔn)入控制的效果�����。在網(wǎng)絡(luò)的接入層���,接入交換機(jī)采用標(biāo)準(zhǔn)的802.1X協(xié)議與終端進(jìn)行聯(lián)動(dòng)����。在網(wǎng)絡(luò)的匯聚層��,匯聚層交換機(jī)可以使用思科的私有EoU協(xié)議與終端聯(lián)動(dòng)��,不同的網(wǎng)絡(luò)廠(chǎng)商的交換機(jī)和路由器可以有自己的私有協(xié)議�,利用這些私有協(xié)議與終端管理軟件進(jìn)行聯(lián)動(dòng),達(dá)到準(zhǔn)入控制的效果����。在網(wǎng)絡(luò)的邊界���,邊界網(wǎng)關(guān)設(shè)備與終端進(jìn)行聯(lián)動(dòng),邊界網(wǎng)關(guān)設(shè)備一般包括防火墻����、UTM、VPN等設(shè)備�����,而聯(lián)動(dòng)協(xié)議一般也是私有協(xié)議�。802.1X準(zhǔn)入因?yàn)槭窃诮尤雽舆M(jìn)行控制�,離終端最近,控制最為嚴(yán)格����,可以直接將終端隔離出網(wǎng)絡(luò),但部署相對(duì)困難�����。匯聚層及邊界層設(shè)備離終端稍遠(yuǎn)�,控制力度稍弱,但部署相對(duì)容易一些。對(duì)于外來(lái)電腦����,通過(guò)網(wǎng)絡(luò)層準(zhǔn)入控制,要么強(qiáng)制其安裝客戶(hù)端接受完整的管理���,要么通過(guò)特殊的VLAN或ACL�����,限制其網(wǎng)絡(luò)訪(fǎng)問(wèn)�����。
應(yīng)用層準(zhǔn)入控制
其原理是在不同的應(yīng)用服務(wù)器上安裝準(zhǔn)入控制軟件�,當(dāng)終端訪(fǎng)問(wèn)這些應(yīng)用服務(wù)器時(shí)�����,服務(wù)器上的準(zhǔn)入控制軟件檢查終端是否接受了管理��,安全狀態(tài)是否合格�。一般可以在DNS服務(wù)器、代理服務(wù)器���、Web服務(wù)器��、ERP系統(tǒng)服務(wù)器���,或者任意的應(yīng)用服務(wù)器上安裝準(zhǔn)入控制軟件�。這些服務(wù)器是單位內(nèi)部員工最常訪(fǎng)問(wèn)的服務(wù)器�����,因此覆蓋面較廣�����。實(shí)際部署時(shí)���,一般只需在一到兩個(gè)服務(wù)器上部署控制點(diǎn)即可做到對(duì)全局的控制。因應(yīng)用層離終端稍遠(yuǎn)�,所以控制力度也稍弱。
終端層準(zhǔn)入
一般是指客戶(hù)端準(zhǔn)入和ARP準(zhǔn)入����。客戶(hù)端準(zhǔn)入在終端訪(fǎng)問(wèn)網(wǎng)絡(luò)時(shí)檢查自身是否符合安全策略�����,如果不符合,則阻斷自身應(yīng)用程序的網(wǎng)絡(luò)訪(fǎng)問(wèn)����;在終端接受訪(fǎng)問(wèn)時(shí),必須確認(rèn)對(duì)端是否是接受管理的終端�,否則拒絕對(duì)方的訪(fǎng)問(wèn),接受訪(fǎng)問(wèn)時(shí)也檢查自身是否符合安全策略���。ARP準(zhǔn)入是有客戶(hù)端的終端對(duì)未裝客戶(hù)端的終端進(jìn)行ARP欺騙���,阻擾其正常的網(wǎng)絡(luò)訪(fǎng)問(wèn),直到該終端正確安裝了客戶(hù)端軟件����。ARP準(zhǔn)入因有較大的網(wǎng)絡(luò)副作用,比如廣播風(fēng)暴�����,而且效果不理想����,用戶(hù)對(duì)它的使用也越來(lái)越少了��。此外����,客戶(hù)端準(zhǔn)入如果配合網(wǎng)絡(luò)層準(zhǔn)入或應(yīng)用層準(zhǔn)入一起使用����,可使準(zhǔn)入控制更加靈活和強(qiáng)大。
通過(guò)上述的各種準(zhǔn)入控制中的一種或多種手段���,終端將被強(qiáng)制性地接受管理��,終端管理將不再有盲點(diǎn)���,終端管理產(chǎn)品將真正發(fā)揮作用,為政府部門(mén)和企業(yè)創(chuàng)造價(jià)值�����。
試想如果沒(méi)有準(zhǔn)入控制�����,終端管理將沒(méi)有了確定性的手段�,確保終端能夠接受管理。即使某種終端管理軟件的功能再?gòu)?qiáng)�,如果不能部署在客戶(hù)端上,也絲毫不能發(fā)揮作用���?���?梢哉f(shuō)準(zhǔn)入控制是終端管理的基石�����,要部署終端管理產(chǎn)品�����,必須首先考慮準(zhǔn)入控制��。
