所谓的“硬件信息绑定”是指将一台终端的CPU序列号、硬盘序列号、网卡MAC地址这三项信息作为准入控制的条件,这个条件几乎不能被仿冒,MAC可以改但CPU、硬盘的序列号要修改并不容易。开始老金还怀疑,启明星辰又不是交换机硬件厂商,有何能耐完成这样的定制。但李想却信心满满,客户端和Radius服务器都是自己的,只要交换机支持802.1X,遵守标准协议肯定没问题,不遵守标准协议那我们改自己的东西让它没问题。
话虽简单,执行起来却并不容易,在定制的过程中先后遇到了信息长度超过交换机限制不得不拆包的问题和之前提到的Radius服务器不能正常切换的问题。整个系统稳定下来是半年之后的事。不过效果非常理想,网维中心随即在所有交换机上开启了802.1X准入,要求所有代维人员不得私带电脑联网,所有电脑必须安装天珣客户端。其实第一项都不用要求,即使带了电脑进来装了客户端也联不了网,并且天珣服务器上还会记录MAC、交换机IP地址、端口、时间等信息备查。
装了天珣客户端之后,天珣会记录终端的各种信息,控制非授权网卡的使用,打补丁以及审计终端的各种变化。在上述故障处理中,使用的是天珣IP地址变更审计功能。终端操作系统的登录用户,曾经使用过的IP地址及时间段,甚至连网络访问都历历在目。
点评:
准入控制虽然不是终端管理产品保证自身存在的唯一法宝,但却是最行之有效的手段。业界不少产品都会强调自己的产品只要装上便可以如何不能被卸载,但这却是有限的方法,它不能防止操作系统重装以及新电脑接入等问题,管理范围存在漏洞。启明星辰天珣致力于网络准入的推广,在各个行业用户中积累了大量的实战案例,虽然不是网络设备厂商,但其兼容性以及灵活的可定制性已经成为业界的典范。
