大势至网络准入控制系统官方版

大势至网络准入控制系统是由大势至软件推出的一款专业的局域网安全防护软件。它的主要作用体现在能够有效防止外来电脑接入公司局域网、有效隔离局域网电脑（禁止电脑上网或禁止电脑访问局域网服务器共享文件，或者禁止电脑与局域网其他电脑通讯，同时，该系统还可以禁止员工自带笔记本电脑、iPad、智能手机等通过有线或无线wifi的方式接入公司局域网），支持禁止电脑修改IP和MAC地址、检测局域网混杂模式网卡、防御局域网ARP攻击、检测局域网代理软件、禁止电脑代理上网等功能，可以为企事业单位局域网网络安全、规范网络管理和商业机密保护提供有效的解决方案，有需求的朋友请下载体验！

系统特色

1、独创的基于B/S架构的部署方式，无需在客户端安装软件就可以实现网络准入控制；

2、独创的基于“创新直连”部署方式，最便捷实现跨网段的网络准入控制功能；

3、基于实时的IP和MAC地址绑定检测，完全杜绝修改IP地址、IP冲突或越权上网；

4、全面应对ARP攻击、网络嗅探、网络抓包和局域网代理等非法网络行为；

5、精准检测局域网无线路由器和无线AP等设备接入，防止网络不适当扩展；

6、提供详细的网络安全事件记录功能，为网络管理员提供详细的事前防范与事后审计；

7、特殊情况下可以配合大势至公司推出的客户端软件，进一步增强网络准入控制功能；

8、本系统也可以与大势至公司其他网络管理系统形成协同联动，帮助企事业单位实现全面的局域网安全管控。

功能介绍

1、禁止外部电脑(如笔记本)或移动设备(如平板电脑或手机)接入单位局域网访问因特网；

2、禁止外部电脑访问局域网内部电脑资源或服务器共享文件、禁止外部电脑和单位内部电脑通讯；

3、禁止单位内部电脑修改IP地址或MAC地址，防止IP地址盗用、防止IP冲突攻击、防止越权上网或逃避网络监控；

4、禁止单位局域网电脑私自、主动访问外部电脑或移动设备，也即外部电脑不能访问内部电脑，内部电脑也不能主动访问外来电脑，实现双向隔离；

5、实时探测局域网内部电脑或外来电脑的在线与不在线情况；

6、突破一切防火墙隔离内部电脑或外部电脑上网或访问内部局域网的行为；

7、检测局域网内处于混杂模式的网卡，防止局域网电脑运行黑客软件、嗅探软件、抓包软件等；

8、防御局域网ARP攻击、抵御ARP欺骗、防止ARP病毒攻击、防止ARP劫持攻击等；

9、可以实时扫描局域网无线路由器、禁止内网无线路由器、限制安装无线路由器或禁止通过无线路由器上网。

大势至网络准入控制系统使用教程

一、安装介绍：

1、下载软件压缩包文件，首先点击“WinPcap.exe”进行安装（前提）

2、点击“LANProtector.exe”根据提示完成大势至网络准入控制系统的安装即可，运行程序，依次点击开始-程序-大势至网络准入控制系统，初次使用需要配置网段，点击软件左上角“配置网段”，如果您只有一个网段选择“配置单网段”，然后选择当前上网所用网卡，最后点击确定。

3、如果您有多个网段，则您需要选择“配置多网段”，然后添加各个网段对应的IP段即可。如下图所示：

4、添加完毕之后，点击“确定”，然后点击“启动管理”即可，点击后面的”停止监控“即可实时停止控制。

二、功能说明：

1、黑名单与白名单

点击“启动管理”后，即可扫描到所有主机，同时扫描到的主机默认都在黑名单显示，您可以按住shift键全选，然后点击下面的“移至白名单”即可将所有主机移动到白名单，反之您也可以将单个或部分主机选中后点击“移至黑名单”即可移动到黑名单。如下图所示：

2、隔离选项

可选择“禁止黑白名单互访”和“禁止黑名单访问外网”。其中“禁止黑白名单互访”不仅可以阻止黑名单电脑访问白名单电脑，而且还可以阻止白名单电脑主动访问黑名单电脑，从而实现双向隔离；而“禁止黑名单电脑访问外网”是禁止黑名单电脑访问互联网。

3、隔离强度

这里可以选择：高、中、弱等三个选项，分别代表软件的隔离强度。

4、IP变更时自动隔离

勾选后，一旦白名单电脑修改IP地址，则自动会将其放入黑名单并自动隔离，以此实现禁止电脑修改IP地址的目的。

5、静态绑定IP和MAC

勾选“静态绑定IP和MAC”并点击“管理”，弹出“IP和MAC静态绑定表”，如果点击“从白名单获取”，则系统自动获取当前白名单电脑的IP和MAC地址，也可点击“手工添加绑定”并自行输入要绑定的IP地址和MAC地址，最后点击“保存配置”即可。

注意：在启用IP和MAC地址绑定功能后，对于白名单电脑IP地址变更时会验证两次。也就是白名单电脑如果修改IP地址后软件会因为您勾选了“IP地址变更时自动隔离”而将其放入黑名单隔离；而如果同时勾选了启用IP和MAC地址后，则如果白名单电脑修改的IP地址恰恰是您绑定的IP地址，则就不会隔离，因为其符合您的绑定规则。此外，您还可以手工修改IP和MAC地址绑定表的电脑IP地址，修改后将以您的修改为标准，不符合您绑定IP的电脑将自动放入黑名单将其隔离。

6、增强绑定IP和MAC

勾选此功能后，软件将会自动增强对白名单电脑IP和MAC地址的绑定，并进行动态的引导和防护，以防止局域网ARP攻击或IP冲突攻击的行为，进一步保护网络安全。但也会在一定程度上增加软件负荷，故本功能建议在局域网发生ARP攻击的情况下启用，常规情况不建议启用。

7、自动禁用手机和平板

勾选此功能后，将实时监测局域网内的手机或平板电脑接入，一旦发现将实时将其隔离，防止蹭网，防止手机连接公司wifi随意上网的行为，保护网络资源，防止蹭网、抢网速、抢流量的行为。

8、自动禁用无线路由器

勾选此功能后，将实时监测局域网私自接入的无线路由器，一旦发现后将实时隔离，防止员工私自接入无线路由器的行为，防止通过无线路由器为手机、平板电脑或其他移动设备提供上网的行为，保护网络资源，防止网络不适当扩展。

注意：当发现软件误将电脑识别为无线路由器而进行隔离时，则可以直接右键点击被隔离的电脑，然后选择“不再检测此主机”，同时将其再次放入白名单，即不再进行检测和隔离；如果您想恢复检测，则只需要右键点击，然后选择“重新检测此主机”即可。如下图所示：

9、自动禁用局域网代理

勾选此功能后，将自动识别局域网内的代理服务器，自动检测局域网HTTP代理或Socket代理，防止电脑充当代理服务器、防止电脑代理上网的行为。

10、自动隔离混杂网卡

勾选此选项后，系统可自动检测局域网内处于混杂模式的网卡，从而防止局域网运行黑客软件、网络嗅探软件、局域网监听软件、网络抓包软件的行为，规范网络管理，保护网络通信安全，防止信息泄密的行为。

11、自动隔离ARP攻击主机

勾选此选项后，系统可自动检测局域网ARP攻击主机并隔离，从而防止局域网ARP攻击行为，保护局域网网络安全，同时也便于网管员实时查找和定位局域网ARP攻击源主机，便于更及时杜绝网络攻击行为。

12、实时记录安全日志

勾选此选项后，系统可以详细记录各种网络安全日志，自动滚动更新显示100条日志。同时，系统每天都会创建一个日志文件，可以点击“打开日志文件夹”查看历史记录。系统也会自动清理一周前的日志，便于节省磁盘空间。

常见问题

1、启动系统后导致本机无法上网，局域网其他被控制电脑不受影响。

这种情况下只需要对安装本软件的电脑做网关的静态绑定即可，局域网其他电脑无需调整。

2、将正常上网的电脑识别为无线路由器、手机或平板电脑。

这种情况下，可以在此IP地址上右键点击，然后选择“不再检测此主机”即可。这样就不会再次将其误判，但并不影响安全控制功能的生效，比如修改IP地址时自动隔离等。如下图所示：

3、使用常规隔离不生效，不能禁止电脑访问外网。

这种情况下可以勾选启用软件界面上的“自动强制隔离黑名单电脑”的功能即可。