近几年来,随着终端应用种类及数量的不断增多,终端管理得到企事业单位越来越多的重视,不少单位已经购买和部署了各种各样的终端管理产品。有的使用国产品牌的产品,有的则购买了国外品牌的产品,但总体来说使用效果并不是那么尽如人意。
首要的问题就是,终端管理产品客户端软件的部署率太低,使得终端难以实现被管理。而如果不能很好地解决这个问题,终端管理也就成了空谈。
终端为何难管理
一般来讲,终端分散在企事业单位的不同办公区域。但也有不同,比如分散在全国各地。
在这种情况下,如果想让最终用户自行安装客户端软件,显然难度非常大。先不说用户的意愿,就是以用户参差不齐的计算机水平而言,要用户自行安装客户端软件已经是非常有难度的事了。而如果让管理员逐台手工完成安装,这又是巨大的工作量,特别是对于有成千上万终端的机构来说,这简直就是不可能完成的任务。更有甚者,好不容易给终端安装了客户端软件,却又被用户给卸载了;或者终端重装了操作系统,客户端软件又需要重新部署;或者新购了电脑,这些新终端又可能成为终端管理的漏网之鱼……
此外,还有很重要的一点,就是对于合作伙伴、客户以及供应商等外来人员带入的笔记本电脑,能让其随意接入吗?该如何管理这些电脑?
如上种种,正在成为困扰终端管理者的问题所在。因为只有部署成功了客户端,使终端接受了管理,后续的各种管理手段才能发挥作用。那么从技术和产品的角度是否可以解决上述难题呢?
利用准入控制技术攻克终端管理难题
其实,现在非常热门的准入控制技术,就可以非常好地解决客户端部署的问题。
可以说,准入控制是终端管理的基础,只有打好了这个基础,终端管理产品才不至于花了钱成为摆设,终端产品也才能真正为单位内网合规管理、桌面自动化运维、以及保证网络和终端的可用性发挥巨大的作用,进而在提高政府部门和企业的工作效率,保证业务始终可用,保护核心数据资产安全方面提供可靠的技术支撑。
那么准入控制是如何保障终端得以被管理的呢?
准入控制是在终端访问网络的必经之处设置检查点,检查发起网络访问的终端是否安装了客户端软件、其安全状态是否合格——如果没有安装客户端软件,将引导用户进行安装;如果安全状态不合格,将引导用户进行修复。
根据准入控制点的不同,一般可分为3个层面的准入控制,即网络层准入控制、应用层准入控制、终端层准入控制,每一层又可以选择多种准入控制技术或手段。图1是3层准入控制示意图。
图1 3层准入控制示意
网络层准入控制
是利用终端和网络设备的联动,由网络设备检查终端是否安装了客户端软件以及终端的安全状态是否合格,从而达到准入控制的效果。在网络的接入层,接入交换机采用标准的802.1X协议与终端进行联动。在网络的汇聚层,汇聚层交换机可以使用思科的私有EoU协议与终端联动,不同的网络厂商的交换机和路由器可以有自己的私有协议,利用这些私有协议与终端管理软件进行联动,达到准入控制的效果。在网络的边界,边界网关设备与终端进行联动,边界网关设备一般包括防火墙、UTM、VPN等设备,而联动协议一般也是私有协议。802.1X准入因为是在接入层进行控制,离终端最近,控制最为严格,可以直接将终端隔离出网络,但部署相对困难。汇聚层及边界层设备离终端稍远,控制力度稍弱,但部署相对容易一些。对于外来电脑,通过网络层准入控制,要么强制其安装客户端接受完整的管理,要么通过特殊的VLAN或ACL,限制其网络访问。
