使用DCSM-Agent的优势.docVIP

一、DCSM内网安全及管理系统的布属方法： 对于用户的原有网络，不必考虑用户原来使用什么品牌的交换机、什么功能的交换机。通过布置“DCSM管理中心”和“DCSM-Agent”，就可以达到用户准入控制和用户终端管理的功能。 例如：用户的原有网络拓扑结构如下图所示： 通过实现下面两点，就可以成功布属DCSM管理方案： 通过在网络任意位置（最好是核心区）通过旁路方式布属一台“DCSM管理中心”（DCSM-100、DCSM-500、DCSM-2000、DCSM-3000）； 将DCSM-Agent的每个网口分别接入到每个VLAN内的交换机上的任意一个网口上。（要求DCMS-Agent与DCSM-管理中心的网络是可通的） 根据内网管理的不同需求，可选择让内网用户安装或不安装Client。 如下图如示： 二、为什么需求使用DCSM-Agent？以及几种方案的对比 DCSM-Agent的功能主要是以下三点： 通过主动探测和被动侦听的方式，收集各个VLAN内的上线主机的信息。 通过ARP欺骗的方式，将不符合安全策略的主机隔离到网络之外，即：不允许非法主机接入进内网中来。 向内网主机下发安全策略。 一些其它厂家的终端管理方案，可能宣传说不需求使用我们这种Agent的方式，他们的解决方案通常有两种： 要求每个内网用户必须安装client，通过这个Client来实现DCSM-Agent的功能。 在组网时，在出口处加一个认证网关，对于不符合安全策略的用户不允许访问外网。 通过与接入层交换机进行联动，对于内网用户通过SNMP网管手段打开或关闭该用户所连的交换机端口，达到上网控制的目的。 不对内网用户进行安全准入控制。 下面我们分别针对上面的几种情况的优缺点进行一下分析： 针对“要求每个内网用户必须安装client，通过这个Client来实现DCSM-Agent的功能。”的情况： 优点： 布置起来不必再加专用的Agent设备，方便且为用户节省成本。 缺点： 如果用户要求采用无client的方式，则这种方式一点都达不到要求。 如果内网中所有安装了Client的主机都关机了，则对没有安装Client的主机就达不到准入控制的目的了，会给内网的安全造成极大的漏洞。外来主机可以容易地接入到内网中来。 只能通过“行政命令”的方式要求安装client，而在技术手段上无法严格控制。 综合结论：内网安全管理的漏洞极大 针对“在组网时，在出口处加一个认证网关，对于不符合安全策略的用户不允许访问外网。”的情况： 优点： 不必布属很多Agent，只需要在出口处用一台即可。 缺点： 因为用于准入控制的网关放在出口处，实现不了网络内部的准入管理，例如：一个VLAN内部的各个主机之间在仍然可以通信、传播病毒。 对于非法外来人员接入到网口上，仍可以接入内网。只能实现对外网的“准出”控制，而不是“准入”控制。 如果某用户不想出外网，而不安装client，也一样可访问内网。 综合结论：内网控制粒度粗，可对访问外网进行控制。 针对“通过与接入层交换机进行联动，对于内网用户通过SNMP网管手段打开或关闭该用户所连的交换机端口，达到上网控制的目的。”的情况： 优点： 达到了在接入层准入控制的目的，完全没有上面二种方式的缺点。 缺点： 针对不同品牌的交换机要求有较多的兼容性，难于真正很完美的实现。基本上会是每个项目都要单独的定制开发。 因为兼容性引起的一些原因，好多准入控制、Client与后台之间的通信功能实现不了。 要求用户原有的接入层交换机必须是可网管的交换机。 综合结论：在有统一标准接口之前，实现起来比较困难。 针对“不对内网用户进行安全准入控制。”的情况： 优点： 无。 缺点： 不能进行准入控制，无内网安全可言。 综合结论：不是内网安全方面的产品。 针对上面对比的几种情况，DCSM管理中心和DCSM-Agent在准入控制上更加严格，实现了真正意义上的不依赖于外部环境的内网安全管理。