终端安全：准入控制保障“内网合规”

随着网络应用的日趋复杂，计算机终端已不再是传统意义上我们所理解的“终端”，它不仅是内网中网线所连接的PC机，更是网络中大部分事物的起点和源头——是用户登录并访问网络的起点、是用户透过内网访问Internet的起点、是应用系统访问和数据产生的起点;更是病毒攻击的源头、从内部发起的恶意攻击的源头和内部保密数据盗用或失窃的源头。因此，也只有通过完善的终端安全管理才能够真正从源头上控制各种事件的源头、遏制由内网发起的攻击和破坏。

在内网安全管理中，准入控制是所有终端管理功能实现的基础所在，采用准入控制技术能够主动监控桌面电脑的安全状态和管理状态，将不安全的电脑隔离、进行修复。准入控制技术与传统的网络安全技术如防火墙、防病毒技术结合，将被动防御变为主动防御，能够有效促进内网合规建设，减少网络事故。

目前的准入控制技术主要分为两大类：基于网络的准入控制和基于主机的准入控制。基于网络的准入控制主要有EAPOL(Extensible Authentication Protocol Over LAN)技术、EAPOU(Extensible Authentication Protocol Over UDP)技术;基于主机的准入控制主要有应用准入控制、客户端准入控制。

1. 基于网络的准入控制

EAPOL

EAP是Extensible Authentication Protocol的缩写，EAP最初作为PPP的扩展认证协议，使PPP的认证更具安全性。无线局域网兴起后，人们在无线局域网接入领域引入了EAP认证，同时设计了专门封装和传送EAP认证数据的IEEE 802.1x协议格式。802.1x协议除了支持WLAN外，也支持传统的其他局域网类型，比如以太网、FDDI、Token Ring。EAP与802.1x的结合就是EAPOL(EAP Over LAN)，或者称为EAP over 802.1x。作为一种标准局域网的数据包协议，802.1x几乎得到所有网络设备厂商的支持。