随着网络技术的深入发展，网络安全问题也日益突出，而传统的网络安全防护技术也主要是针对外网的威胁，而忽视了直接接入内网的终端主机带来的网络隐患，这也成了整个网络的安全“短板”。

据统计，多数网络安全事件都是由脆弱的用户终端和“失控”的网络使用行为引起。移动办公用户通常处于网络管理的相对薄弱的环境中，不安装防病毒软件和防火墙的现象普遍存在，不及时升级系统补丁和病毒库等行为也比比皆是;开放的办公环境中外来人员直接接入内网，边界的防护设备对其往往失去作用，一旦这些“失控”的用户终端接入网络，就等于给潜在的安全威胁敞开了大门，使安全威胁在更大范围内快速扩散。

保证接入终端的安全、阻止威胁入侵网络，对用户的网络访问行为进行有效的审计，是保证企业网络安全运行的前提，也是目前企业网络安全管理急需解决的问题。

传统的网络安全产品对于网络安全问题的解决，通常是被动防御，事后追查补救。安达通准入控制技术的核心思想在于事前屏蔽不安全的终端接入网络，规范和审计用户接入网络的行为，从源头铲除网络威胁，避免事后处理的高额成本。

安达通准入控制系统是由准入控制网关、支持802.1X协议交换机和安全客户端组成。

准入控制网关主要功能：内外网接入用户身份合法性检查、用户网络权限的分配、安全规则的制订、上网行为的管理和审计等;

802.1X交换机与准入控制网关联动对内网接入用户的合法性进行验证、阻断非法主机。

安全客户端主要用于收集终端主机安全状态：是否安装防病毒软件、病毒特征库是否即时更新、防火墙是否启动、系统关键补丁是否安装等，并在未达到准入控制网关的安全规则时给出改进办法。

安达通准入控制及安全审计方案的工作原理如下：

1、用户终端试图接入网络时，首先通过安全客户端进行用户身份认证，非法用户将被拒绝接入网络;

2、合法用户将被要求进行安全状态检查，由准入控制网关验证用户主机安全状态是否符合该帐号预定义的安全规则，包括防火墙、补丁版本、病毒库版本、软件安装允许是否合格等，不合格用户将被阻止接入，并给出改进办法;

3、合法合规的用户允许接入网络，并获得准入控制网关分配的网络权限，准入控制网关对其行为进行全面记录，并给出相应的审计报表等

网络部署示意图：

安达通准入控制系统通过准入控制技术将本地和远程接入终端安全措施与网络接入控制、行为规范和审计等网络安全措施整合为一个联动的安全体系。通过对网络接入终端的检查、隔离、管理和监控，使整个网络变被动防御为主动防御;变单点防御为全面防御;变分散管理为集中策略管理，大大提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力，从而满足了企业对其员工进行全面的网络准入控制管理需求，解决企业网络“失控”状况。

(责任编辑：闫小琪)