大势至局域网网络准入控制系统是专业禁止外来电脑接入公司局域网的网络安全管理系统，可以防止手机蹭网、禁止局域网修改IP地址和MAC地址、检测局域网混杂网卡、禁止局域网代理上网、限制平板电脑接入公司局域网、禁止局域网私自安装无线路由器、防止局域网arp攻击，检测局域网混杂网卡等全方位的局域网安全管理系统。

　　一、大势至内网安全卫士简介：

　　大势至内网安全卫士是大势至（北京）软件工程有限公司推出的一款专业的局域网安全防护系统，以有效防止外来电脑接入公司局域网、有效隔离局域网电脑（禁止电脑上网或禁止电脑访问局域网服务器共享文件，或者禁止电脑与局域网其他电脑通讯；同时也可以禁止员工自带笔记本电脑、iPad、智能手机等通过有线或无线wifi的方式接入公司局域网）、禁止电脑修改IP和MAC地址、检测局域网混杂模式网卡、防御局域网ARP攻击、检测局域网代理软件、禁止电脑代理上网等为核心功能，可以为企事业单位局域网网络安全、规范网络管理和商业机密保护提供有效的解决方案。

　　二、大势至内网安全卫士核心功能：

　　1、禁止外部电脑（如笔记本）或移动设备（如平板电脑或手机）接入单位局域网访问因特网。

　　2、禁止外部电脑访问局域网内部电脑资源或服务器共享文件、禁止外部电脑和单位内部电脑通讯。

　　3、禁止单位内部电脑修改IP地址或MAC地址，防止IP地址盗用、防止IP冲突攻击、防止越权上网或逃避网络监控。

　　4、禁止单位局域网电脑私自、主动访问外部电脑或移动设备，也即外部电脑不能访问内部电脑，内部电脑也不能主动访问外来电脑，实现双向隔离。

　　5、实时探测局域网内部电脑或外来电脑的在线与不在线情况。

　　6、突破一切防火墙隔离内部电脑或外部电脑上网或访问内部局域网的行为。

　　7、检测局域网内处于混杂模式的网卡，防止局域网电脑运行黑客软件、嗅探软件、抓包软件等

　　8、防御局域网ARP攻击、抵御ARP欺骗、防止ARP病毒攻击、防止ARP劫持攻击等。

　　三、大势至内网安全卫士应用背景：

　　当前，国内很多企事业单位都建立了自己的内部局域网，并且一般都有自己的内部服务器，用于共享单位重要的商业数据，一些员工也会共享自己电脑的一些资源便于局域网其他用户访问和使用，这极大地方便了内部员工之间共享数据、信息传递、协同工作等各方面工作的开展。但是，与此同时，由此引发的网络安全、商业机密安全、信息风险也逐步暴露出来。特别是，一些外来人员（比如客户、合作伙伴）常常携带笔记本接入到公司的局域网中，有意、无意都可能访问到公司的商业机密或重要文件，如果被一些别有用心的人员复制、拷贝、修改、删除等操作，将会使得企业遭受巨大的损失，将严重影响企业的稳健经营、严重削弱公司的技术、市场优势；同时，这些外来电脑还可能携带病毒、木马等，私自接入到公司的内部局域网中，极容易传播给内网其他电脑，使得服务器重要商业机密容易感染病毒，或者导致内网出现网络风暴攻击、木马植入等各种风险，导致企业信息系统无法正常工作，严重影响了单位各项工作的正常开展；此外，员工随意修改IP地址或MAC地址，导致内网IP地址冲突、电脑无法上网的情况也屡见不鲜；同时，修改IP地址或MAC地址，也使得一些电脑可以越权上网、逃避网络监控、盗取公司商业机密的行为也极为普遍，给企业单位造成了重大网络安全隐患或商业机密泄露的风险；而当前局域网流行的ARP攻击、ARP欺骗等危害网络的攻击行为，轻者会导致局域网网速变慢、网络性能下降；重者会导致局域网电脑大面积掉线，从而严重影响了企事业单位正常的生产和经营活动。同时，当前流行的ARP防火墙只能防止局域网内对于网关的ARP欺骗攻击，而对于局域网其他电脑的ARP重定向攻击常常无能为力，同时ARP防火墙对于ARP劫持攻击也基本无效，并且运行ARP防火墙也会使得局域网ARP报文加大，进而加重路由器的负荷；同时，局域网电脑如果运行一些黑客软件、网络嗅探软件、网络抓包软件（如Sniffer、Wireshark等），一方面破坏了局域网的正常通讯，导致网络流量异常，网络通讯受阻；另一方面，这些抓包软件、嗅探软件极容易窃取单位的商业机密或个人隐私（如邮件账户密码、网银账户密码等），从而可能给企业带来巨大的经济损失和经营风险，不利于单位的稳健经营。因此，网管人员必须对外来电脑和公司内部电脑进行全面、实时、有效的安全管理和监控，保护企业商业机密的安全，保证企业内部网的稳定和畅通。如下图所示：

　　而当，前国内企事业单位一般是通过路由器、防火墙或者交换机来对外来电脑进行控制。通常的做法是：在路由器、防火墙或者交换机上做IP和MAC地址绑定，只有加入到绑定表内的电脑才可以上网；同时一般还关闭路由器上DHCP服务功能，从而使得外来电脑无法接入到内网上网。但是，由于路由器、防火墙或者交换机的IP和MAC地址绑定一般是禁止内网的电脑私自更改IP地址或者MAC地址，但是却无法禁止外来电脑接到内网，也就是说外来电脑可以接入到内网访问内网共享资源，并且还可以上网，从而无法实现对内网共享资源的有效保护；而对于单位内部电脑，虽然更改IP或MAC地址可以防止电脑上网，但是仍旧无法阻止电脑访问局域网其他电脑或服务器，从而无法实现有效的局域网安全管理和商业机密的保护。同时，一些单位还常常需要开启路由器等设备的DHCP服务功能，从而可以更加便利了外来电脑接入到内网；此外，很多单位是采用无线局域网上网，外来笔记本可以轻松获取IP地址进行上网，即便设置了密钥，但一般情况下也碍于情面，不可能拒绝外来用户的上网行为；而对局域网ARP攻击、ARP欺骗虽然可以通过在路由器上做IP和MAC绑定或者开启ARP攻击防御功能，但是实际上有效防御ARP攻击还必须在员工电脑做绑定，也即双向绑定，由于这个工作量较大而常常使得网管望而却步。同时，当前流行的ARP；而对于局域网内处于混杂模式的网卡，可能运行的一些黑客软件、嗅探软件或抓包软件，则网管员通常无法及时发现，同时也无法阻断，这使得企事业单位面临着巨大的商业机密泄露的风险和信息安全的风险。

　　为此，大势至（北京）软件工程有限公司推出了专注企业局域网网络安全的“大势至内网安全卫士”。通过本工具可以实时探测、隔离外来电脑，既可以禁止外来电脑访问内网特殊的服务器或者主机，又可以禁止外来电脑访问内网的所有电脑，从而可以完全实现对内网共享资源的有效保护，同时也避免了病毒、木马的传播；同时，本工具还支持将外来电脑白名单功能，也即加入到白名单内的电脑将视为内网电脑不再被隔离，可以与内网电脑相互访问，从而可以实现灵活的、针对性的网络管理；而在“大势至内网安全卫士”最新版中，我们集成了禁止局域网电脑修改IP地址、禁止修改电脑MAC地址的功能，一旦发现内网电脑修改IP地址或MAC地址则自动将其进行隔离，使之无法访问互联网，同时也无法访问内网其他电脑或服务器，而一旦其改回网管员为其分配的默认IP地址或电脑本来的MAC地址，则自动取消隔离，从而大大增强了局域网的规范管理，防止员工私自修改IP地址或私自修改MAC地址而导致的IP冲突攻击、越权上网或逃避网络监控、网络管理的目的，从而既保护了内网安全，又保护了单位商业机密；同时，大势至内网安全卫士提供的防御ARP攻击、防止ARP欺骗的功能可以实时探测局域网内发动ARP攻击的电脑从而便于网管员进行及时的阻止，避免给局域网造成更大的危害；而大势至内网安全卫士的“发现局域网混杂网卡时报警功能”可以实时探测局域网内处于混杂模式的网卡，一旦发现网卡处于混杂模式就会实时输出电脑的IP、MAC地址等信息，从而便于网管员及时定位危险主机，阻止员工随意下载和运行这些非法软件的行为。

　　总之，“大势至内网安全卫士”作为大势至公司的核心产品之一，可以与聚生网管相互配合，实现更强大的网络管理和网络监控，可以有效保护内网共享资源的安全，同时也防御了病毒、木马的侵袭，特别是可以有效防御蠕虫病毒、防御冲击波病毒、抵御网络风暴攻击等黑客攻击；同时，还可以自动检测内网一些黑客软件或者攻击软件，记录危险主机，向网管人员发送警报信息，便于网管人员迅速定位攻击源，保护内网的网络安全。

　　“大势至内网安全卫士”是当前国内唯一专注于局域网网络安全、防范网络攻击、保护局域网防止外来电脑随意接入、防止网络嗅探和网络抓包的专业网络安全防护系统，可以极大地提升企事业单位内网的安全管理和商业机密保护。