近几年来,随着终端应用种类及数量的不断增多,终端管理得到企事业单位越来越多的重视,不少单位已经购买和部署了各种各样的终端管理产品。有的使用国产品牌的产品,有的则购买了国外品牌的产品,但总体来说使用效果并不是那么尽如人意。
首要的问题就是,终端管理产品客户端软件的部署率太低,使得终端难以实现被管理。而如果不能很好地解决这个问题,终端管理也就成了空谈。
终端为何难管理
一般来讲,终端分散在企事业单位的不同办公区域。但也有不同,比如分散在全国各地。
在这种情况下,如果想让最终用户自行安装客户端软件,显然难度非常大。先不说用户的意愿,就是以用户参差不齐的计算机水平而言,要用户自行安装客户端软件已经是非常有难度的事了。而如果让管理员逐台手工完成安装,这又是巨大的工作量,特别是对于有成千上万终端的机构来说,这简直就是不可能完成的任务。更有甚者,好不容易给终端安装了客户端软件,却又被用户给卸载了;或者终端重装了操作系统,客户端软件又需要重新部署;或者新购了电脑,这些新终端又可能成为终端管理的漏网之鱼……
此外,还有很重要的一点,就是对于合作伙伴、客户以及供应商等外来人员带入的笔记本电脑,能让其随意接入吗?该如何管理这些电脑?
如上种种,正在成为困扰终端管理者的问题所在。因为只有部署成功了客户端,使终端接受了管理,后续的各种管理手段才能发挥作用。那么从技术和产品的角度是否可以解决上述难题呢?
利用准入控制技术攻克终端管理难题
其实,现在非常热门的准入控制技术,就可以非常好地解决客户端部署的问题。
可以说,准入控制是终端管理的基础,只有打好了这个基础,终端管理产品才不至于花了钱成为摆设,终端产品也才能真正为单位内网合规管理、桌面自动化运维、以及保证网络和终端的可用性发挥巨大的作用,进而在提高政府部门和企业的工作效率,保证业务始终可用,保护核心数据资产安全方面提供可靠的技术支撑。
那么准入控制是如何保障终端得以被管理的呢?
准入控制是在终端访问网络的必经之处设置检查点,检查发起网络访问的终端是否安装了客户端软件、其安全状态是否合格——如果没有安装客户端软件,将引导用户进行安装;如果安全状态不合格,将引导用户进行修复。
根据准入控制点的不同,一般可分为3个层面的准入控制,即网络层准入控制、应用层准入控制、终端层准入控制,每一层又可以选择多种准入控制技术或手段。下图是3层准入控制示意图。
3层准入控制示意
网络层准入控制
是利用终端和网络设备的联动,由网络设备检查终端是否安装了客户端软件以及终端的安全状态是否合格,从而达到准入控制的效果。在网络的接入层,接入交换机采用标准的802.1X协议与终端进行联动。在网络的汇聚层,汇聚层交换机可以使用思科的私有EoU协议与终端联动,不同的网络厂商的交换机和路由器可以有自己的私有协议,利用这些私有协议与终端管理软件进行联动,达到准入控制的效果。在网络的边界,边界网关设备与终端进行联动,边界网关设备一般包括防火墙、UTM、VPN等设备,而联动协议一般也是私有协议。802.1X准入因为是在接入层进行控制,离终端最近,控制最为严格,可以直接将终端隔离出网络,但部署相对困难。汇聚层及边界层设备离终端稍远,控制力度稍弱,但部署相对容易一些。对于外来电脑,通过网络层准入控制,要么强制其安装客户端接受完整的管理,要么通过特殊的VLAN或ACL,限制其网络访问。
应用层准入控制
其原理是在不同的应用服务器上安装准入控制软件,当终端访问这些应用服务器时,服务器上的准入控制软件检查终端是否接受了管理,安全状态是否合格。一般可以在DNS服务器、代理服务器、Web服务器、ERP系统服务器,或者任意的应用服务器上安装准入控制软件。这些服务器是单位内部员工最常访问的服务器,因此覆盖面较广。实际部署时,一般只需在一到两个服务器上部署控制点即可做到对全局的控制。因应用层离终端稍远,所以控制力度也稍弱。
终端层准入
一般是指客户端准入和ARP准入。客户端准入在终端访问网络时检查自身是否符合安全策略,如果不符合,则阻断自身应用程序的网络访问;在终端接受访问时,必须确认对端是否是接受管理的终端,否则拒绝对方的访问,接受访问时也检查自身是否符合安全策略。ARP准入是有客户端的终端对未装客户端的终端进行ARP欺骗,阻扰其正常的网络访问,直到该终端正确安装了客户端软件。ARP准入因有较大的网络副作用,比如广播风暴,而且效果不理想,用户对它的使用也越来越少了。此外,客户端准入如果配合网络层准入或应用层准入一起使用,可使准入控制更加灵活和强大。
通过上述的各种准入控制中的一种或多种手段,终端将被强制性地接受管理,终端管理将不再有盲点,终端管理产品将真正发挥作用,为政府部门和企业创造价值。
试想如果没有准入控制,终端管理将没有了确定性的手段,确保终端能够接受管理。即使某种终端管理软件的功能再强,如果不能部署在客户端上,也丝毫不能发挥作用。可以说准入控制是终端管理的基石,要部署终端管理产品,必须首先考虑准入控制。
首要的问题就是,终端管理产品客户端软件的部署率太低,使得终端难以实现被管理。而如果不能很好地解决这个问题,终端管理也就成了空谈。
终端为何难管理
一般来讲,终端分散在企事业单位的不同办公区域。但也有不同,比如分散在全国各地。
在这种情况下,如果想让最终用户自行安装客户端软件,显然难度非常大。先不说用户的意愿,就是以用户参差不齐的计算机水平而言,要用户自行安装客户端软件已经是非常有难度的事了。而如果让管理员逐台手工完成安装,这又是巨大的工作量,特别是对于有成千上万终端的机构来说,这简直就是不可能完成的任务。更有甚者,好不容易给终端安装了客户端软件,却又被用户给卸载了;或者终端重装了操作系统,客户端软件又需要重新部署;或者新购了电脑,这些新终端又可能成为终端管理的漏网之鱼……
此外,还有很重要的一点,就是对于合作伙伴、客户以及供应商等外来人员带入的笔记本电脑,能让其随意接入吗?该如何管理这些电脑?
如上种种,正在成为困扰终端管理者的问题所在。因为只有部署成功了客户端,使终端接受了管理,后续的各种管理手段才能发挥作用。那么从技术和产品的角度是否可以解决上述难题呢?
利用准入控制技术攻克终端管理难题
其实,现在非常热门的准入控制技术,就可以非常好地解决客户端部署的问题。
可以说,准入控制是终端管理的基础,只有打好了这个基础,终端管理产品才不至于花了钱成为摆设,终端产品也才能真正为单位内网合规管理、桌面自动化运维、以及保证网络和终端的可用性发挥巨大的作用,进而在提高政府部门和企业的工作效率,保证业务始终可用,保护核心数据资产安全方面提供可靠的技术支撑。
那么准入控制是如何保障终端得以被管理的呢?
准入控制是在终端访问网络的必经之处设置检查点,检查发起网络访问的终端是否安装了客户端软件、其安全状态是否合格——如果没有安装客户端软件,将引导用户进行安装;如果安全状态不合格,将引导用户进行修复。
根据准入控制点的不同,一般可分为3个层面的准入控制,即网络层准入控制、应用层准入控制、终端层准入控制,每一层又可以选择多种准入控制技术或手段。下图是3层准入控制示意图。
3层准入控制示意
网络层准入控制
是利用终端和网络设备的联动,由网络设备检查终端是否安装了客户端软件以及终端的安全状态是否合格,从而达到准入控制的效果。在网络的接入层,接入交换机采用标准的802.1X协议与终端进行联动。在网络的汇聚层,汇聚层交换机可以使用思科的私有EoU协议与终端联动,不同的网络厂商的交换机和路由器可以有自己的私有协议,利用这些私有协议与终端管理软件进行联动,达到准入控制的效果。在网络的边界,边界网关设备与终端进行联动,边界网关设备一般包括防火墙、UTM、VPN等设备,而联动协议一般也是私有协议。802.1X准入因为是在接入层进行控制,离终端最近,控制最为严格,可以直接将终端隔离出网络,但部署相对困难。汇聚层及边界层设备离终端稍远,控制力度稍弱,但部署相对容易一些。对于外来电脑,通过网络层准入控制,要么强制其安装客户端接受完整的管理,要么通过特殊的VLAN或ACL,限制其网络访问。
应用层准入控制
其原理是在不同的应用服务器上安装准入控制软件,当终端访问这些应用服务器时,服务器上的准入控制软件检查终端是否接受了管理,安全状态是否合格。一般可以在DNS服务器、代理服务器、Web服务器、ERP系统服务器,或者任意的应用服务器上安装准入控制软件。这些服务器是单位内部员工最常访问的服务器,因此覆盖面较广。实际部署时,一般只需在一到两个服务器上部署控制点即可做到对全局的控制。因应用层离终端稍远,所以控制力度也稍弱。
终端层准入
一般是指客户端准入和ARP准入。客户端准入在终端访问网络时检查自身是否符合安全策略,如果不符合,则阻断自身应用程序的网络访问;在终端接受访问时,必须确认对端是否是接受管理的终端,否则拒绝对方的访问,接受访问时也检查自身是否符合安全策略。ARP准入是有客户端的终端对未装客户端的终端进行ARP欺骗,阻扰其正常的网络访问,直到该终端正确安装了客户端软件。ARP准入因有较大的网络副作用,比如广播风暴,而且效果不理想,用户对它的使用也越来越少了。此外,客户端准入如果配合网络层准入或应用层准入一起使用,可使准入控制更加灵活和强大。
通过上述的各种准入控制中的一种或多种手段,终端将被强制性地接受管理,终端管理将不再有盲点,终端管理产品将真正发挥作用,为政府部门和企业创造价值。
试想如果没有准入控制,终端管理将没有了确定性的手段,确保终端能够接受管理。即使某种终端管理软件的功能再强,如果不能部署在客户端上,也丝毫不能发挥作用。可以说准入控制是终端管理的基石,要部署终端管理产品,必须首先考虑准入控制。
(责任编辑:)
