以定級為等保二級或更高安全等級的網(wǎng)絡(luò)為例，針對違規(guī)內(nèi)聯(lián)，會專門部署終端桌面管理系統(tǒng)，并對網(wǎng)絡(luò)接入實(shí)行準(zhǔn)入控制，準(zhǔn)入控制手段主要有：

成都創(chuàng)新互聯(lián)公司是一家專業(yè)提供象山企業(yè)網(wǎng)站建設(shè),專注與成都網(wǎng)站建設(shè)、網(wǎng)站制作、HTML5、小程序制作等業(yè)務(wù)。10年已為象山眾多企業(yè)、政府機(jī)構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專業(yè)網(wǎng)站制作公司優(yōu)惠進(jìn)行中。

（1）基于802.1X進(jìn)行準(zhǔn)入控制；

（2）基于交換機(jī)端口綁定實(shí)行準(zhǔn)入控制；

（3）基于認(rèn)證網(wǎng)關(guān)進(jìn)行準(zhǔn)入控制；

（4）其他如DHCP等準(zhǔn)入控制。

上述技術(shù)手段的組合，會對邊界完整性保護(hù)發(fā)揮重要作用，但仍無法完全杜絕違規(guī)內(nèi)聯(lián)問題。

原因解析：

第一：無線AP通過NAT結(jié)合DMZ，可輕松突破802.1X的準(zhǔn)入控制。事實(shí)上，基于802.1X的準(zhǔn)入控制，推廣和普及力度大的地方是在大學(xué)校園，大學(xué)校園實(shí)行準(zhǔn)入控制的目的是為了收費(fèi)，而非安全。在淘寶網(wǎng)上，輸入“校園網(wǎng)路由器802.1x認(rèn)證”進(jìn)行搜索，可以發(fā)現(xiàn)很多淘寶賣家在兜售它們專門改裝的無線AP，這些無線AP自帶802.1X客戶端，可以兼容校園網(wǎng)的802.1X認(rèn)證。下面介紹的這種方法，可以繞過絕大多數(shù)基于802.1X的準(zhǔn)入控制系統(tǒng)，如802.1X+客戶端健康檢查的組合控制，具體做法是將合法終端接入無線AP的DMZ區(qū)充當(dāng)堡壘機(jī)，然后AP以MAC地址克隆＋NAT方式接入原有網(wǎng)絡(luò)，802.1X的接入認(rèn)證由無線AP來完成，802.1X認(rèn)證通過后，其他的附加認(rèn)證均由堡壘機(jī)來完成，其他接入無線AP的無線設(shè)備就可以通過DMZ區(qū)的堡壘機(jī)接入內(nèi)網(wǎng)，而無須再認(rèn)證。

第二：對于無法部署客戶端的亞終端（如IP電話、網(wǎng)絡(luò)打印機(jī)等），其認(rèn)證方式多是基于MAC或IP地址進(jìn)行驗(yàn)證，無線AP可以通過MAC克隆+NAT輕易突破此限制；

第三：對于交換機(jī)端口綁定，無線AP可以通過MAC克隆+NAT輕易突破此限制；

第四：準(zhǔn)入控制系統(tǒng)的覆蓋率影響監(jiān)管效果，覆蓋率達(dá)到100%是很難完成的任務(wù)，總有小部分終端通過各種方式能夠逃避監(jiān)管，導(dǎo)致存在監(jiān)管盲區(qū)；

下面轉(zhuǎn)發(fā)一技術(shù)達(dá)人撰寫的破解文章：http://blog.csdn.net/github_33709120/article/details/50849175。其他類似的文章很多，大家可以在互聯(lián)網(wǎng)上搜索“突破802.1x”。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價比高”等特點(diǎn)與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

分享標(biāo)題：通過無線AP輕松突破內(nèi)網(wǎng)準(zhǔn)入控制-創(chuàng)新互聯(lián)
URL網(wǎng)址：http://weahome.cn/article/doipji.html