大勢至網絡準入控制系統是由大勢至軟件推出的一款專業的局域網安全防護軟件。它的主要作用體現在能夠有效防止外來電腦接入公司局域網、有效隔離局域網電腦(禁止電腦上網或禁止電腦訪問局域網服務器共享文件,或者禁止電腦與局域網其他電腦通訊,同時,該系統還可以禁止員工自帶筆記本電腦、iPad、智能手機等通過有線或無線wifi的方式接入公司局域網),支持禁止電腦修改IP和MAC地址、檢測局域網混雜模式網卡、防御局域網ARP攻擊、檢測局域網代理軟件、禁止電腦代理上網等功能,可以為企事業單位局域網網絡安全、規范網絡管理和商業機密保護提供有效的解決方案,有需求的朋友請下載體驗!
系統特色
1、獨創的基于B/S架構的部署方式,無需在客戶端安裝軟件就可以實現網絡準入控制;
2、獨創的基于“創新直連”部署方式,最便捷實現跨網段的網絡準入控制功能;
3、基于實時的IP和MAC地址綁定檢測,完全杜絕修改IP地址、IP沖突或越權上網;
4、全面應對ARP攻擊、網絡嗅探、網絡抓包和局域網代理等非法網絡行為;
5、精準檢測局域網無線路由器和無線AP等設備接入,防止網絡不適當擴展;
6、提供詳細的網絡安全事件記錄功能,為網絡管理員提供詳細的事前防范與事后審計;
7、特殊情況下可以配合大勢至公司推出的客戶端軟件,進一步增強網絡準入控制功能;
8、本系統也可以與大勢至公司其他網絡管理系統形成協同聯動,幫助企事業單位實現全面的局域網安全管控。
功能介紹
1、禁止外部電腦(如筆記本)或移動設備(如平板電腦或手機)接入單位局域網訪問因特網;
2、禁止外部電腦訪問局域網內部電腦資源或服務器共享文件、禁止外部電腦和單位內部電腦通訊;
3、禁止單位內部電腦修改IP地址或MAC地址,防止IP地址盜用、防止IP沖突攻擊、防止越權上網或逃避網絡監控;
4、禁止單位局域網電腦私自、主動訪問外部電腦或移動設備,也即外部電腦不能訪問內部電腦,內部電腦也不能主動訪問外來電腦,實現雙向隔離;
5、實時探測局域網內部電腦或外來電腦的在線與不在線情況;
6、突破一切防火墻隔離內部電腦或外部電腦上網或訪問內部局域網的行為;
7、檢測局域網內處于混雜模式的網卡,防止局域網電腦運行黑客軟件、嗅探軟件、抓包軟件等;
8、防御局域網ARP攻擊、抵御ARP欺騙、防止ARP病毒攻擊、防止ARP劫持攻擊等;
9、可以實時掃描局域網無線路由器、禁止內網無線路由器、限制安裝無線路由器或禁止通過無線路由器上網。
大勢至網絡準入控制系統使用教程
一、安裝介紹:
1、下載軟件壓縮包文件,首先點擊“WinPcap.exe”進行安裝(前提)
2、點擊“LANProtector.exe”根據提示完成大勢至網絡準入控制系統的安裝即可,運行程序,依次點擊開始-程序-大勢至網絡準入控制系統,初次使用需要配置網段,點擊軟件左上角“配置網段”,如果您只有一個網段選擇“配置單網段”,然后選擇當前上網所用網卡,最后點擊確定。
3、如果您有多個網段,則您需要選擇“配置多網段”,然后添加各個網段對應的IP段即可。如下圖所示:
4、添加完畢之后,點擊“確定”,然后點擊“啟動管理”即可,點擊后面的”停止監控“即可實時停止控制。
二、功能說明:
1、黑名單與白名單
點擊“啟動管理”后,即可掃描到所有主機,同時掃描到的主機默認都在黑名單顯示,您可以按住shift鍵全選,然后點擊下面的“移至白名單”即可將所有主機移動到白名單,反之您也可以將單個或部分主機選中后點擊“移至黑名單”即可移動到黑名單。如下圖所示:
2、隔離選項
可選擇“禁止黑白名單互訪”和“禁止黑名單訪問外網”。其中“禁止黑白名單互訪”不僅可以阻止黑名單電腦訪問白名單電腦,而且還可以阻止白名單電腦主動訪問黑名單電腦,從而實現雙向隔離;而“禁止黑名單電腦訪問外網”是禁止黑名單電腦訪問互聯網。
3、隔離強度
這里可以選擇:高、中、弱等三個選項,分別代表軟件的隔離強度。
4、IP變更時自動隔離
勾選后,一旦白名單電腦修改IP地址,則自動會將其放入黑名單并自動隔離,以此實現禁止電腦修改IP地址的目的。
5、靜態綁定IP和MAC
勾選“靜態綁定IP和MAC”并點擊“管理”,彈出“IP和MAC靜態綁定表”,如果點擊“從白名單獲取”,則系統自動獲取當前白名單電腦的IP和MAC地址,也可點擊“手工添加綁定”并自行輸入要綁定的IP地址和MAC地址,最后點擊“保存配置”即可。
注意:在啟用IP和MAC地址綁定功能后,對于白名單電腦IP地址變更時會驗證兩次。也就是白名單電腦如果修改IP地址后軟件會因為您勾選了“IP地址變更時自動隔離”而將其放入黑名單隔離;而如果同時勾選了啟用IP和MAC地址后,則如果白名單電腦修改的IP地址恰恰是您綁定的IP地址,則就不會隔離,因為其符合您的綁定規則。此外,您還可以手工修改IP和MAC地址綁定表的電腦IP地址,修改后將以您的修改為標準,不符合您綁定IP的電腦將自動放入黑名單將其隔離。
6、增強綁定IP和MAC
勾選此功能后,軟件將會自動增強對白名單電腦IP和MAC地址的綁定,并進行動態的引導和防護,以防止局域網ARP攻擊或IP沖突攻擊的行為,進一步保護網絡安全。但也會在一定程度上增加軟件負荷,故本功能建議在局域網發生ARP攻擊的情況下啟用,常規情況不建議啟用。
7、自動禁用手機和平板
勾選此功能后,將實時監測局域網內的手機或平板電腦接入,一旦發現將實時將其隔離,防止蹭網,防止手機連接公司wifi隨意上網的行為,保護網絡資源,防止蹭網、搶網速、搶流量的行為。
8、自動禁用無線路由器
勾選此功能后,將實時監測局域網私自接入的無線路由器,一旦發現后將實時隔離,防止員工私自接入無線路由器的行為,防止通過無線路由器為手機、平板電腦或其他移動設備提供上網的行為,保護網絡資源,防止網絡不適當擴展。
注意:當發現軟件誤將電腦識別為無線路由器而進行隔離時,則可以直接右鍵點擊被隔離的電腦,然后選擇“不再檢測此主機”,同時將其再次放入白名單,即不再進行檢測和隔離;如果您想恢復檢測,則只需要右鍵點擊,然后選擇“重新檢測此主機”即可。如下圖所示:
9、自動禁用局域網代理
勾選此功能后,將自動識別局域網內的代理服務器,自動檢測局域網HTTP代理或Socket代理,防止電腦充當代理服務器、防止電腦代理上網的行為。
10、自動隔離混雜網卡
勾選此選項后,系統可自動檢測局域網內處于混雜模式的網卡,從而防止局域網運行黑客軟件、網絡嗅探軟件、局域網監聽軟件、網絡抓包軟件的行為,規范網絡管理,保護網絡通信安全,防止信息泄密的行為。
11、自動隔離ARP攻擊主機
勾選此選項后,系統可自動檢測局域網ARP攻擊主機并隔離,從而防止局域網ARP攻擊行為,保護局域網網絡安全,同時也便于網管員實時查找和定位局域網ARP攻擊源主機,便于更及時杜絕網絡攻擊行為。
12、實時記錄安全日志
勾選此選項后,系統可以詳細記錄各種網絡安全日志,自動滾動更新顯示100條日志。同時,系統每天都會創建一個日志文件,可以點擊“打開日志文件夾”查看歷史記錄。系統也會自動清理一周前的日志,便于節省磁盤空間。
常見問題
1、啟動系統后導致本機無法上網,局域網其他被控制電腦不受影響。
這種情況下只需要對安裝本軟件的電腦做網關的靜態綁定即可,局域網其他電腦無需調整。
2、將正常上網的電腦識別為無線路由器、手機或平板電腦。
這種情況下,可以在此IP地址上右鍵點擊,然后選擇“不再檢測此主機”即可。這樣就不會再次將其誤判,但并不影響安全控制功能的生效,比如修改IP地址時自動隔離等。如下圖所示:
3、使用常規隔離不生效,不能禁止電腦訪問外網。
這種情況下可以勾選啟用軟件界面上的“自動強制隔離黑名單電腦”的功能即可。
