应用层准入控制
其原理是在不同的应用服务器上安装准入控制软件,当终端访问这些应用服务器时,服务器上的准入控制软件检查终端是否接受了管理,安全状态是否合格。一般可以在DNS服务器、代理服务器、Web服务器、ERP系统服务器,或者任意的应用服务器上安装准入控制软件。这些服务器是单位内部员工最常访问的服务器,因此覆盖面较广。实际部署时,一般只需在一到两个服务器上部署控制点即可做到对全局的控制。因应用层离终端稍远,所以控制力度也稍弱。
终端层准入
一般是指客户端准入和ARP准入。客户端准入在终端访问网络时检查自身是否符合安全策略,如果不符合,则阻断自身应用程序的网络访问;在终端接受访问时,必须确认对端是否是接受管理的终端,否则拒绝对方的访问,接受访问时也检查自身是否符合安全策略。ARP准入是有客户端的终端对未装客户端的终端进行ARP欺骗,阻扰其正常的网络访问,直到该终端正确安装了客户端软件。ARP准入因有较大的网络副作用,比如广播风暴,而且效果不理想,用户对它的使用也越来越少了。此外,客户端准入如果配合网络层准入或应用层准入一起使用,可使准入控制更加灵活和强大。
通过上述的各种准入控制中的一种或多种手段,终端将被强制性地接受管理,终端管理将不再有盲点,终端管理产品将真正发挥作用,为政府部门和企业创造价值。
试想如果没有准入控制,终端管理将没有了确定性的手段,确保终端能够接受管理。即使某种终端管理软件的功能再强,如果不能部署在客户端上,也丝毫不能发挥作用。可以说准入控制是终端管理的基石,要部署终端管理产品,必须首先考虑准入控制。
