一、要求内容 

a)应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断； 

b)应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。 

二、实施建议 

通过使用支持802.1x的网络设备限制非授权的的设备私自接入到内部网络；也可以通过防火墙、IDS设备或流量检测设备监控非法的内联和外联行为。 

三、常见问题 

多数企业很少对非法外联行为进行控制。 

四、实施难点 

内部人员通过Modem拨号、ADSL拨号或手机无线拨号等方式，非法连接到互联网等外部网络难以控制。 

五、测评方法 

形式 访谈，检查，测试。 对象 安全管理员，边界完整性检查设备。 

实施 

a)应访谈安全管理员，询问是否对内部用户私自联到外部网络的行为以及非授权设备私自联到网络的行为进行监控，具体采取什么措施； 

b)应检查边界完整性检查设备，查看是否设置了对非法联接到内网和非法联接到外网的行为进行监控并有效阻断； 

c)应测试边界完整性检查设备，测试是否能够确定出非法外联设备的位置，并对其进行有效阻断（如产生非法外联的动作，查看边界完整性检查设备是否能够准确定位并阻断）； 

d)应测试边界完整性检查设备，测试是否能够对非授权设备私自联到网络的行为进行检查，并准确定出位置，对其进行有效阻断（如产生非法接入的动作，查看测试边界完整性检查设备是否能准确的发现，准确的定位并产生阻断）。 

六、参考资料 

在IATF 3.1中对边界保护的对策有相关描述： 对于通过非授权访问或修改电子邮件报文、实时的报文传输、或文件传输的所有为了供给区域的努力，必须具有能够阻止这些攻击渗透区域边界的正确措施。在攻击来自于区域内部的情况下，包括物理窃取以及非授权访问数据在内的攻击容易进行进攻的地方也需要采取预警措施。下面的各个小节将描述可以采用的对付区域攻击和区域之间信息传送攻击的措施。这些对策被分成三类：通过边界护卫的边界保护、分发攻击的对策和内部攻击的对策。 6.3.4.1 通过边界护卫的边界保护 6.3.4.2 分发攻击的对策 6.3.4.3 内部攻击的对策