我們面臨的內(nèi)部網(wǎng)絡(luò)安全問題
  長期以來，人們談到網(wǎng)絡(luò)安全時，目光都集中在外部病毒入侵、黑客攻擊等問題上，但是常常忽略來自內(nèi)網(wǎng)的威脅。從而導(dǎo)致常規(guī)的安全防御理念往往局限于網(wǎng)關(guān)級別、網(wǎng)絡(luò)邊界等方面的防御，很多成功防范企業(yè)網(wǎng)邊界安全的技術(shù)對保護企業(yè)內(nèi)網(wǎng)卻沒有效用。但是，隨著近年來由內(nèi)網(wǎng)引發(fā)的安全事件越來越多，內(nèi)網(wǎng)安全也逐漸成了大家關(guān)注的焦點。
如果不對內(nèi)網(wǎng)安全加以嚴格控制，會導(dǎo)致什么問題呢？讓我們舉例說明如下：
 任何人隨意接入企業(yè)內(nèi)部網(wǎng)絡(luò)，信息不安全因素大增；
 病毒感染率增多，網(wǎng)絡(luò)癱瘓機率增加；
 出現(xiàn)故障盤查難度大，解決問題時間長；
 企業(yè)內(nèi)部的保密資料有可能被竊取；
 網(wǎng)絡(luò)管理難度大，無法杜絕惡意破壞。
 ……
  隨著大家對內(nèi)網(wǎng)安全的越來越重視，業(yè)界開始提出并實施各種各樣的技術(shù)和方案，而安奈特的安全認證解決方案則是其中最有特色的一個。
安奈特的AT-ST系列硬件安全認證解決方案
安奈特的AT-ST系列是一款無需專業(yè)知識便可快捷地利用證書等方式來實現(xiàn)網(wǎng)絡(luò)安全、可靠認證及通訊控制（IEEE 802.1x）的產(chǎn)品。通過它可以構(gòu)成只有注冊用戶才能訪問的網(wǎng)絡(luò)環(huán)境，對于有線局域網(wǎng)和無線局域網(wǎng)的安全接入控制特別有效。
  AT-ST系列是集CA認證機構(gòu)功能、EAP-RADIUS功能、LDAP服務(wù)器功能、簡易DHCP服務(wù)器功能、SNMP功能、NTP（Client）功能于一體的認證服務(wù)器設(shè)備，能夠與支持IEEE802.1X認證的無線LAN訪問點或交換機等一起進行EAP-RADIUS認證，從而在網(wǎng)絡(luò)的入口阻擋非法用戶。
  AT-ST系列的基本功能包括RADIUS服務(wù)器、組・策略設(shè)定、電子證書等等。
  RADIUS服務(wù)器
  AT-ST系列可對所有網(wǎng)絡(luò)接入進行集中認證，包括有線、無線、外網(wǎng)接入等等，我們都可以將其進行接入控制，并對該用戶進行授權(quán)，而該用戶則可以獲得相應(yīng)的權(quán)限去訪問對應(yīng)的資源，從而保障了內(nèi)網(wǎng)信息的安全。
  組・策略設(shè)定
  AT-ST系列可以通過訪問者的身份和所在的位置等設(shè)定「組・策略」，從而保證網(wǎng)絡(luò)的安全。一下是一個應(yīng)用案例。
  通過使用支持VLAN分配功能的IEEE802.1X交換機或無線訪問點，AT-ST系列可以在連接用戶認證以后，對該用戶所連接的端口進行VLAN的切換。
  途中給出了一個案例，當(dāng)業(yè)務(wù)部的員工接入到無線AP中時，首先無線AP會向AT-ST進行認證數(shù)據(jù)的中轉(zhuǎn)，當(dāng)認證成功后，該員工被分配到業(yè)務(wù)部的VLAN中，獲取他應(yīng)有的權(quán)限（比如訪問業(yè)務(wù)部服務(wù)器等），而技術(shù)部的員工接入時，同樣需要認證，完成認證后被分配到技術(shù)部的VLAN中，獲取他應(yīng)有的權(quán)限。而當(dāng)業(yè)務(wù)部的員工電腦出現(xiàn)故障，技術(shù)部的人員移動到業(yè)務(wù)部進行故障處理的時候，AT-ST可以仍然將他分配到技術(shù)部的VLAN中，按照預(yù)先設(shè)定的權(quán)限對他進行資源訪問的控制，這樣就可以讓他順利地處理故障，也從內(nèi)部避免了信息泄露等安全事件的發(fā)生，從而保障了內(nèi)網(wǎng)的安全。
  我們也可以在交換機上設(shè)定一個不需要認證的Guest VLAN，該VLAN只有有限的權(quán)限，比如只能訪問互聯(lián)網(wǎng)等。當(dāng)有客人來到業(yè)務(wù)部需要連接網(wǎng)絡(luò)的時候，會自動進入GUEST VLAN，只能訪問互聯(lián)網(wǎng)而不能訪問內(nèi)網(wǎng)資源，這樣既方便了來賓使用，又保障了內(nèi)網(wǎng)安全。
電子證書
  AT-ST系列內(nèi)置了電子證書功能，并提供簡單易用的電子證書管理，這是AT-ST系列獨具特色的功能，可以將內(nèi)網(wǎng)安全的級別提高到金融機構(gòu)的水平。網(wǎng)絡(luò)管理人員不需要專業(yè)知識，通過兩步操作就可以發(fā)行用戶證書，也可以發(fā)行服務(wù)器證書。
  通過一張電子證書，可以實現(xiàn)所需要的全部功能，包括IEEE802.1X認證（EAP-TLS）、在VPN中的TLS認證、SSL Web證書、E-Mail簽名、加密（S/MIME）等等。
  無線AP支持
  在無線網(wǎng)絡(luò)應(yīng)用中添加AT-ST設(shè)備，可以將它與支持IEEE802.1X的無線訪問點組合后，可以達到支持IEEE802.1X的無線LAN客戶端的認證服務(wù)器功能。
  通過使用EAP-TLS、EAP-TTLS、EAP-PEAP、CISCO-LEAP等認證，并用可靠的客戶端進行認證，通過該設(shè)備中WEP鍵的動態(tài)變更，來防止固定WEP容易因泄漏而導(dǎo)致的不安全網(wǎng)絡(luò)使用。同時還支持MAC地址認證。通過此功能進行MAC地址認證后，可以進行基于EAP-TLS的認證，能夠加大與強化無線網(wǎng)絡(luò)的安全機制。
  高可靠的冗余架構(gòu)
  另外，AT-ST系列還支持冗余結(jié)構(gòu)以及快速、精確的備份和恢復(fù)，保障整個系統(tǒng)的正常運行。兩個系統(tǒng)可以設(shè)置在不同的場所，通過TCP/IP實現(xiàn)各種信息的同步。
  綜上所述，采用AT-ST系列，可以實現(xiàn)以下主要功能：
 支持無線/有線局域網(wǎng)基于端口的各種登陸認證，防止非法入侵。
 私有數(shù)字證書的發(fā)放和失效管理。
 網(wǎng)絡(luò)通訊加密。
 可根據(jù)客戶所在區(qū)域進行分組，并分別設(shè)置訪問權(quán)限。
 單獨設(shè)立管理與認證的網(wǎng)絡(luò)端口，杜絕了管理端口被盜用的危險。
 內(nèi)建雙服務(wù)器備份，備份設(shè)置簡便，系統(tǒng)具有極高的穩(wěn)定性。
 其他豐富的網(wǎng)絡(luò)管理功能。