淺談網絡探針接入控制技術

[摘 要] 本文主要介紹了一種無需依賴于網絡交換設備的接入控制技術——網絡探針技術。網絡探針是對接入網絡的計算機終端進行接入控制的一種程序， 網絡探針角色是網絡探針服務器在安裝有網絡探針客戶端的計算機終端中自動指定的， 網絡探針有限制計算機訪問服務器工作模式和阻斷計算機訪問網絡工作模式。網絡探針對于網絡交換設備沒有依賴性，不會對網絡帶寬產生影響。通過網絡探針，能夠實現全網接入集中式管理控制。

[關鍵詞] 網絡探針;接入控制;工作原理;部署

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2010 . 15 . 035

[中圖分類號]TP393.08 [文獻標識碼]A [文章編號]1673 - 0194(2010)15- 0082- 02

現代企業或單位，出于保密或提高工作質量、工作效率的目的，可能會要求接入單位內部網絡的辦公計算機終端安裝指定的程序，或者通過一定的程序或網絡安全技術進行計算機終端網絡準入授權。在這個前提下，作為網絡管理人員來說，就要做到了解掌握哪些沒有進行網絡準入授權或沒有安裝指定程序的計算機，同時能夠做到嚴格控制這些計算機終端使其無法接入網絡。要實現以上技術，通常情況下需要結合網絡交換設備一同使用，但是在網絡交換設備無法達到以上技術要求的情況下，我們就需要采取其他方法來達到對計算機終端進行入網接入控制的要求。網絡探針技術就是其中一個很好的選擇。

一、網絡探針

網絡探針是對接入網絡的計算機終端進行接入控制的一種程序，它由網絡探針服務器和網絡探針客戶端兩部分組成。它能夠監測到同一子網內沒有安裝運行指定程序或沒有進行入網授權的計算機，并采取措施自動將其引導至指定服務器下載指定程序或申請入網授權，也可以直接阻斷這些計算機的網絡通信。

二、網絡探針的工作原理

1. 網絡探針的輪詢功能

由哪臺計算機終端擔任網絡探針角色是網絡探針服務器在安裝有網絡探針客戶端的計算機終端中自動指定的，不需要網絡管理員的特別指定，這樣就杜絕了指定計算機終端沒有開機，無法運行網絡探針客戶端的可能性。

網絡探針輪詢功能的優點是只要同一子網內的計算機終端有一臺運行網絡探針客戶端，就可以保證網絡探針對整個網絡探測子網生效。當指定計算機終端關機或斷開網絡后，網絡探針服務器會自動將網絡探針角色賦予另一臺運行了網絡探針客戶端的計算機終端，并同時保證在同一時間，同一子網內只有一臺安裝有網絡探針客戶端的計算機終端具有網絡探針功能，擔任網絡探針角色。

2. 網絡探針限制計算機訪問服務器工作模式

當網絡探針發現沒有安裝指定程序或授權的計算機終端試圖通過HTTP、FTP、SMTP等協議訪問網絡域名時，將自動截斷其訪問網絡的DNS請求，將要訪問域名對應的IP地址轉換為指定服務器地IP地址，這樣計算機終端得到的是假的域名解析結果，訪問路徑會跳轉至指定服務器，下載并安裝指定程序或進行授權認證。

3. 網絡探針的阻斷計算機終端訪問網絡工作模式

網絡探針可以利用ARP重定向技術阻斷網絡探針檢測到的沒有安裝指定程序或授權的計算機終端試圖訪問網絡的行為。例如:當這些計算機終端試圖通過網關訪問外部網絡時，網絡探針會向網關設備告知這些計算機終端的IP地址和與IP地址對應的錯誤的MAC地址，這樣網關設備就不能將數據包轉發至這些計算機終端，同理網絡探針也會告知這些計算機終端網關設備的IP地址和一個與網關IP對應的錯誤MAC地址，這樣計算機終端就不能將數據包發送至網關。

同理，在網絡探針的阻斷計算機終端訪問網絡工作模式下，沒有安裝指定程序或授權的計算機也是無法和內網中的其他計算機終端進行通信的。

三、網絡探針在網絡中的部署

網絡探針對于網絡交換設備沒有依賴性，網絡探針服務器無需接入網絡主干鏈路，而是以旁路方式接入網絡，因此網絡探針產生的網絡流量不會對網絡帶寬產生影響。通過網絡探針服務器管理網絡探針，可以實現對所有計算機終端的全網接入集中式管理控制。

網絡探針在部署初期，可采用網絡探針的限制工作模式，因為此時網絡中可能存在大量沒有安裝指定程序或授權的計算機終端，可以讓它們跳轉到指定服務器進行授權或下載指定程序，部署一段時間后，網內計算機終端中可能僅剩一小部分沒有安裝指定程序或授權，這時可轉用網絡探針的阻斷工作模式，拒絕這些不符合相關標準和要求的計算機終端從事網絡活動。