大勢至內網安全衛士是大勢至(北京)軟件工程有限公司推出的一款專業的局域網安全防護系統，以有效防止外來電腦接入公司局域網、有效隔離局域網電腦（禁止電腦上網或禁止電腦訪問局域網服務器共享文件，或者禁止電腦與局域網其他電腦通訊；同時也可以禁止員工自帶筆記本電腦、iPad、智能手機等通過有線或無線wifi的方式接入公司局域網）、禁止電腦修改IP和MAC地址、檢測局域網混雜模式網卡、防御局域網ARP攻擊、檢測局域網代理軟件、禁止電腦代理上網等為核心功能，可以為企事業單位局域網網絡安全、規范網絡管理和商業機密保護提供有效的解決方案。

核心功能
1、禁止外部電腦(如筆記本)或移動設備(如平板電腦或手機)接入單位局域網訪問因特網
2、禁止外部電腦訪問局域網內部電腦資源或服務器共享文件、禁止外部電腦和單位內部電腦通訊
3、禁止單位內部電腦修改IP地址或MAC地址，防止IP地址盜用、防止IP沖突攻擊、防止越權上網或逃避網絡監控
4、禁止單位局域網電腦私自、主動訪問外部電腦或移動設備，也即外部電腦不能訪問內部電腦，內部電腦也不能主動訪問外來電腦，實現雙向隔離
5、實時探測局域網內部電腦或外來電腦的在線與不在線情況
6、突破一切防火墻隔離內部電腦或外部電腦上網或訪問內部局域網的行為
7、檢測局域網內處于混雜模式的網卡，防止局域網電腦運行黑客軟件、嗅探軟件、抓包軟件等
8、防御局域網ARP攻擊、抵御ARP欺騙、防止ARP病毒攻擊、防止ARP劫持攻擊等。

大勢至內網安全衛士應用背景
當前，國內很多企事業單位都建立了自己的內部局域網，并且一般都有自己的內部服務器，用于共享單位重要的商業數據，一些員工也會共享自己電腦的一些資源便于局域網其他用戶訪問和使用，這極大地方便了內部員工之間共享數據、信息傳遞、協同工作等各方面工作的開展。但是，與此同時，由此引發的網絡安全、商業機密安全、信息風險也逐步暴露出來。特別是，一些外來人員（比如客戶、合作伙伴）常常攜帶筆記本接入到公司的局域網中，有意、無意都可能訪問到公司的商業機密或重要文件，如果被一些別有用心的人員復制、拷貝、修改、刪除等操作，將會使得企業遭受巨大的損失，將嚴重影響企業的穩健經營、嚴重削弱公司的技術、市場優勢；同時，這些外來電腦還可能攜帶病毒、木馬等，私自接入到公司的內部局域網中，極容易傳播給內網其他電腦，使得服務器重要商業機密容易感染病毒，或者導致內網出現網絡風暴攻擊、木馬植入等各種風險，導致企業信息系統無法正常工作，嚴重影響了單位各項工作的正常開展；此外，員工隨意修改IP地址或MAC地址，導致內網IP地址沖突、電腦無法上網的情況也屢見不鮮；同時，修改IP地址或MAC地址，也使得一些電腦可以越權上網、逃避網絡監控、盜取公司商業機密的行為也極為普遍，給企業單位造成了重大網絡安全隱患或商業機密泄露的風險；而當前局域網流行的ARP攻擊、ARP欺騙等危害網絡的攻擊行為，輕者會導致局域網網速變慢、網絡性能下降；重者會導致局域網電腦大面積掉線，從而嚴重影響了企事業單位正常的生產和經營活動。同時，當前流行的ARP防火墻只能防止局域網內對于網關的ARP欺騙攻擊，而對于局域網其他電腦的ARP重定向攻擊常常無能為力，同時ARP防火墻對于ARP劫持攻擊也基本無效，并且運行ARP防火墻也會使得局域網ARP報文加大，進而加重路由器的負荷；同時，局域網電腦如果運行一些黑客軟件、網絡嗅探軟件、網絡抓包軟件（如Sniffer、Wireshark等），一方面破壞了局域網的正常通訊，導致網絡流量異常，網絡通訊受阻；另一方面，這些抓包軟件、嗅探軟件極容易竊取單位的商業機密或個人隱私（如郵件賬戶密碼、網銀賬戶密碼等），從而可能給企業帶來巨大的經濟損失和經營風險，不利于單位的穩健經營。因此，網管人員必須對外來電腦和公司內部電腦進行全面、實時、有效的安全管理和監控，保護企業商業機密的安全，保證企業內部網的穩定和暢通。如下圖所示：

而當，前國內企事業單位一般是通過路由器、防火墻或者交換機來對外來電腦進行控制。通常的做法是：在路由器、防火墻或者交換機上做IP和MAC地址綁定，只有加入到綁定表內的電腦才可以上網；同時一般還關閉路由器上DHCP服務功能，從而使得外來電腦無法接入到內網上網。但是，由于路由器、防火墻或者交換機的IP和MAC地址綁定一般是禁止內網的電腦私自更改IP地址或者MAC地址，但是卻無法禁止外來電腦接到內網，也就是說外來電腦可以接入到內網訪問內網共享資源，并且還可以上網，從而無法實現對內網共享資源的有效保護；而對于單位內部電腦，雖然更改IP或MAC地址可以防止電腦上網，但是仍舊無法阻止電腦訪問局域網其他電腦或服務器，從而無法實現有效的局域網安全管理和商業機密的保護。同時，一些單位還常常需要開啟路由器等設備的DHCP服務功能，從而可以更加便利了外來電腦接入到內網；此外，很多單位是采用無線局域網上網，外來筆記本可以輕松獲取IP地址進行上網，即便設置了密鑰，但一般情況下也礙于情面，不可能拒絕外來用戶的上網行為；而對局域網ARP攻擊、ARP欺騙雖然可以通過在路由器上做IP和MAC綁定或者開啟ARP攻擊防御功能，但是實際上有效防御ARP攻擊還必須在員工電腦做綁定，也即雙向綁定，由于這個工作量較大而常常使得網管望而卻步。同時，當前流行的ARP；而對于局域網內處于混雜模式的網卡，可能運行的一些黑客軟件、嗅探軟件或抓包軟件，則網管員通常無法及時發現，同時也無法阻斷，這使得企事業單位面臨著巨大的商業機密泄露的風險和信息安全的風險。

為此，大勢至（北京）軟件工程有限公司推出了專注企業局域網網絡安全的“大勢至內網安全衛士”。通過本工具可以實時探測、隔離外來電腦，既可以禁止外來電腦訪問內網特殊的服務器或者主機，又可以禁止外來電腦訪問內網的所有電腦，從而可以完全實現對內網共享資源的有效保護，同時也避免了病毒、木馬的傳播；同時，本工具還支持將外來電腦白名單功能，也即加入到白名單內的電腦將視為內網電腦不再被隔離，可以與內網電腦相互訪問，從而可以實現靈活的、針對性的網絡管理；而在“大勢至內網安全衛士”最新版中，我們集成了禁止局域網電腦修改IP地址、禁止修改電腦MAC地址的功能，一旦發現內網電腦修改IP地址或MAC地址則自動將其進行隔離，使之無法訪問互聯網，同時也無法訪問內網其他電腦或服務器，而一旦其改回網管員為其分配的默認IP地址或電腦本來的MAC地址，則自動取消隔離，從而大大增強了局域網的規范管理，防止員工私自修改IP地址或私自修改MAC地址而導致的IP沖突攻擊、越權上網或逃避網絡監控、網絡管理的目的，從而既保護了內網安全，又保護了單位商業機密；同時，大勢至內網安全衛士提供的防御ARP攻擊、防止ARP欺騙的功能可以實時探測局域網內發動ARP攻擊的電腦從而便于網管員進行及時的阻止，避免給局域網造成更大的危害；而大勢至內網安全衛士的“發現局域網混雜網卡時報警功能”可以實時探測局域網內處于混雜模式的網卡，一旦發現網卡處于混雜模式就會實時輸出電腦的IP、MAC地址等信息，從而便于網管員及時定位危險主機，阻止員工隨意下載和運行這些非法軟件的行為。

總之，“大勢至內網安全衛士”作為大勢至公司的核心產品之一，可以與聚生網管相互配合，實現更強大的網絡管理和網絡監控，可以有效保護內網共享資源的安全，同時也防御了病毒、木馬的侵襲，特別是可以有效防御蠕蟲病毒、防御沖擊波病毒、抵御網絡風暴攻擊等黑客攻擊；同時，還可以自動檢測內網一些黑客軟件或者攻擊軟件，記錄危險主機，向網管人員發送警報信息，便于網管人員迅速定位攻擊源，保護內網的網絡安全。

“大勢至內網安全衛士”是當前國內唯一專注于局域網網絡安全、防范網絡攻擊、保護局域網防止外來電腦隨意接入、防止網絡嗅探和網絡抓包的專業網絡安全防護系統，可以極大地提升企事業單位內網的安全管理和商業機密保護。

更新日志

1、優化了檢測局域網無線路由器的功能
2、新增了IP和MAC地址綁定功能
3、增加了禁止白名單電腦訪問黑名單的功能

官方網站：http://www.dashizhi.com/

相關搜索：大勢至 大勢至網絡接入控制系統 大勢至局域網安全衛士