北信源網(wǎng)絡(luò)接入控制系統(tǒng)工作原理與功能對比.doc

HWP TD NAC WP 001 1 北信源網(wǎng)絡(luò)接入控制系統(tǒng)北信源網(wǎng)絡(luò)接入控制系統(tǒng) 工作原理與功能工作原理與功能 北京北信源軟件股份有限公司北京北信源軟件股份有限公司 HWP TD NAC WP 001 2 目 錄 1 整體說明 4 2 核心技術(shù) 4 2 1 重定向技術(shù) 4 2 2 策略路由準(zhǔn)入控制技術(shù) 5 2 3 旁路干擾準(zhǔn)入控制技術(shù) 7 2 4 透明網(wǎng)橋準(zhǔn)入控制技術(shù) 8 2 5 虛擬網(wǎng)關(guān)準(zhǔn)入控制技術(shù) 8 2 6 局域網(wǎng)控制技術(shù) 9 2 7 身份認(rèn)證技術(shù) 9 2 8 安檢修復(fù)技術(shù) 10 2 9 桌面系統(tǒng)聯(lián)動 10 3 產(chǎn)品功能對比 11 HWP TD NAC WP 001 3 1 整體說明整體說明 準(zhǔn)入網(wǎng)關(guān)對接入設(shè)備進(jìn)行訪問控制 對于未注冊用戶進(jìn)行 WEB 重定向進(jìn)行 注冊 注冊后的用戶進(jìn)行認(rèn)證或安檢后可以訪問網(wǎng)絡(luò) 管理員可以配置采取何種準(zhǔn)入控制方式 如策略路由 旁路監(jiān)聽 透明網(wǎng) 橋 虛擬網(wǎng)關(guān)等 同時可以選擇使用不同的認(rèn)證類型 如本地認(rèn)證 Radius 認(rèn) 證 AD 域認(rèn)證等 而認(rèn)證途徑采取網(wǎng)關(guān)強(qiáng)制重定向 準(zhǔn)入網(wǎng)關(guān)整體上對準(zhǔn)入的控制可分為兩類 一類是網(wǎng)關(guān)自己控制數(shù)據(jù)的流 通 另一類則是通過配置交換機(jī) 讓交換機(jī)來控制數(shù)據(jù)包的流通 目前準(zhǔn)入網(wǎng) 關(guān)實(shí)現(xiàn)的策略路由和旁路監(jiān)聽 透明網(wǎng)橋等準(zhǔn)入控制均屬于前者 也就是網(wǎng)關(guān) 自己通過放行或丟棄 阻斷數(shù)據(jù)包 來達(dá)到準(zhǔn)入控制 對于數(shù)據(jù)包的阻斷是基 于 tcp 實(shí)現(xiàn)的 而虛擬網(wǎng)關(guān)則是通過控制交換機(jī) VLAN 來達(dá)到準(zhǔn)入控制 2 核心技術(shù)核心技術(shù) 為了適應(yīng)不同業(yè)務(wù)環(huán)境下的統(tǒng)一入網(wǎng)控制 北信源網(wǎng)絡(luò)接入控制系統(tǒng)采用 多種核心技術(shù)設(shè)計(jì) 支持多種準(zhǔn)入控制模式 實(shí)現(xiàn)從多角度多維度的終端入網(wǎng) 安全控制 2 1 重定向技術(shù)重定向技術(shù) 接入控制的目的是為了阻止不可信終端隨意接入網(wǎng)絡(luò) 對于不可信終端的 判定需要一個過程 如何在判定過程中進(jìn)行良好的提示 這就對產(chǎn)品的人機(jī)界面 設(shè)計(jì)提出了較高的要求 業(yè)界通常的做法是針對 http 性質(zhì)的業(yè)務(wù)訪問進(jìn)行重定 向 以往針對 http 的業(yè)務(wù)區(qū)分主要基于業(yè)務(wù)端口 主要為 80 端口 對于非 80 業(yè)務(wù)端口的 http 業(yè)務(wù)不能有效區(qū)分 針對以上情況 北信源網(wǎng)絡(luò)接入控制 系統(tǒng)對 http 業(yè)務(wù)進(jìn)行了深度識別 除 80 端口的 http 業(yè)務(wù)可以進(jìn)行有效重定向 HWP TD NAC WP 001 4 之外 針對非 80 端口的 http 業(yè)務(wù)也能進(jìn)行有效的識別和重定向 除此之外 北信源網(wǎng)絡(luò)接入控制系統(tǒng)針對終端入網(wǎng)的控制流程進(jìn)行了重定 向優(yōu)化 針對終端入網(wǎng)注冊 認(rèn)證 安檢 修復(fù)的整個流程進(jìn)行了人性化的設(shè) 計(jì) 整個重定向過程符合終端入網(wǎng)習(xí)慣 貫穿終端入網(wǎng)的全過程 并在重定向 頁面提供人性化幫助提示 主要表現(xiàn)在以下幾大方面 針對未注冊終端 提供重定向下載頁面供終端進(jìn)行 Agent 下載和注冊 針對未通過身份認(rèn)證的用戶 提供多種認(rèn)證重定向頁面 認(rèn)證方式可供 用戶選擇 提供人性化的安檢評分重定向頁面 采用 Ajax 技術(shù) 使得安檢結(jié)果可 以在重定向頁面自動刷新 自動評分 并在重定向頁面提供一鍵修復(fù) 策略 在終端入網(wǎng)的每個重定向環(huán)節(jié)提供幫助說明 對業(yè)務(wù)操作提供幫助鏈接 幫助終端使用者自動解決入網(wǎng)過程的所有問題 減少網(wǎng)絡(luò)管理人員的 參與 提高網(wǎng)絡(luò)管理的效率 降低人工成本 重定向頁面的提供不基于特定的 IE 瀏覽器 只要是 http 的業(yè)務(wù)形式 無論是采用 IE 瀏覽器訪問 還是采用客戶端登錄 例如 QQ 登錄 或是客戶端彈出窗口 例如 QQ 飛信彈出內(nèi)容模式 都可以進(jìn)行重定 向 2 2 策略路由準(zhǔn)入控制技術(shù)策略路由準(zhǔn)入控制技術(shù) 在過去 所有的準(zhǔn)入控制模式幾乎都是基于網(wǎng)絡(luò)鏈路節(jié)點(diǎn)來進(jìn)行控制的 從終端 PC 網(wǎng)絡(luò)交換設(shè)備 路由器防火墻等 所有的控制節(jié)點(diǎn)都放在了網(wǎng)絡(luò)轉(zhuǎn) 發(fā)或傳輸設(shè)備本身 這種模式不僅加重了網(wǎng)絡(luò)基礎(chǔ)設(shè)施的壓力 同時也更容易 形成單點(diǎn)故障 對網(wǎng)絡(luò)業(yè)務(wù)本身可能造成不可連續(xù)性運(yùn)營的困擾 隨著近年來 準(zhǔn)入控制技術(shù)的不斷發(fā)展 越來越多的準(zhǔn)入控制技術(shù)都采用了 OOB Out Of Band 模式 即所謂旁路部署模式 在準(zhǔn)入控制產(chǎn)品的本身出現(xiàn)故障的情況下 并不會影響網(wǎng)絡(luò)業(yè)務(wù)本身的可持續(xù)性運(yùn)營 網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)的發(fā)展也由此邁 向了一個新的臺階 HWP TD NAC WP 001 5 北信源網(wǎng)絡(luò)接入控制系統(tǒng)的策略路由模式 要求網(wǎng)絡(luò)基礎(chǔ)設(shè)施的核心設(shè)備 例如核心交換機(jī) 支持策略路由功能 通過將上行業(yè)務(wù)請求通過策略路由的 控制定向到北信源網(wǎng)絡(luò)接入控制系統(tǒng) 經(jīng)由北信源網(wǎng)絡(luò)接入控制系統(tǒng)針對終端 的可信程度進(jìn)行認(rèn)證和判定后 采用丟棄或者正常轉(zhuǎn)發(fā)到原路由下一跳的方式 對終端入網(wǎng)進(jìn)行安全可信的篩選 從而達(dá)到準(zhǔn)入控制的效果 具體流程可以參 考以下流程示意圖 圖 4 策略路由準(zhǔn)入控制模式示例流程 由于策略路由模式只針對上行業(yè)務(wù)請求進(jìn)行處理 不會影響下行業(yè)務(wù)返回 的正常轉(zhuǎn)發(fā) 也不影響網(wǎng)絡(luò)路由和拓?fù)涞母?其安全性也得到了更多的保障 因而比較適合于大多數(shù)網(wǎng)絡(luò)環(huán)境 另外 大多數(shù)支持策略路由的核心設(shè)備同時也支持逃生模式 核心設(shè)備在 確認(rèn)策略路由的下一跳不可達(dá)的情況下 可以按照策略配置自動選擇原有默認(rèn) 路由 從安全角度來看 即使準(zhǔn)入控制設(shè)備失去功效 也不會影響業(yè)務(wù)的正常 轉(zhuǎn)發(fā) 從而保證網(wǎng)絡(luò)業(yè)務(wù)的可持續(xù)運(yùn)營 因此 相對于以往的準(zhǔn)入控制模式 策略路由模式無異于更受歡迎 北信源網(wǎng)絡(luò)接入控制系統(tǒng)完美的利用了核心設(shè)備策略路由的特性 結(jié)合北 信源公司安全接入控制理念 并和北信源內(nèi)網(wǎng)安全管理系統(tǒng)有效結(jié)合起來 為 HWP TD NAC WP 001 6 客戶的內(nèi)網(wǎng)終端安全管理提供有效的安全保障 2 3 旁路干擾準(zhǔn)入控制技術(shù)旁路干擾準(zhǔn)入控制技術(shù) 在 OOB 準(zhǔn)入控制模式的發(fā)展趨勢下 北信源公司研發(fā)了基于旁路干擾模式 的準(zhǔn)入控制方法 該準(zhǔn)入控制方法采用和策略路由模式一致的旁路部署方法 是北信源公司在準(zhǔn)入控制發(fā)展理念的基礎(chǔ)上自主創(chuàng)新的新型準(zhǔn)入控制技術(shù) 相 對于策略路由準(zhǔn)入控制模式 旁路干擾準(zhǔn)入控制模式有著更為突出的安全特性 策略路由準(zhǔn)入控制模式雖然采用旁路部署模式 但是從技術(shù)原理上來說 采用的是流量劫持的方式對上行業(yè)務(wù)流進(jìn)行篩選 而旁路干擾準(zhǔn)入模式采用的 是流量復(fù)制的模式對上行業(yè)務(wù)流量進(jìn)行篩選 在篩選過后再采用旁路干擾的方 式中斷現(xiàn)行業(yè)務(wù)流 是真正的旁路部署模式 不需要對現(xiàn)行業(yè)務(wù)流的走向進(jìn)行 任何改動 就像在快速運(yùn)行的高速公路旁邊部署了一臺監(jiān)控?cái)z像頭 當(dāng)發(fā)現(xiàn)違 規(guī)車輛時通過點(diǎn)對點(diǎn)的對話方式 讓違規(guī)車輛自動接受處罰 由于旁路干擾準(zhǔn) 入控制模式真正的旁路部署特性 其對現(xiàn)行業(yè)務(wù)流沒有任何影響 因此相對于 所有準(zhǔn)入控制模式來說 有著得天獨(dú)厚 無法比擬的安全性 其具體的業(yè)務(wù)流 程參考下圖 圖 5 旁路干擾準(zhǔn)入控制模式示例流程 旁路干擾準(zhǔn)入控制模式要求核心設(shè)備 通常是核心或者匯聚層交換機(jī) 具 備流量鏡像的功能 相對與策略路由來說 有更多的交換機(jī)都支持流量鏡像功 HWP TD NAC WP 001 7 能 因此對于不同網(wǎng)絡(luò)環(huán)境的適應(yīng)性更加強(qiáng)大 除此之外 即使核心設(shè)備不支 持流量鏡像功能 也可以采用 TAP 分流的方式對流量進(jìn)行復(fù)制分流 而這僅僅 只需要增加一臺分流 分光設(shè)備即可 2 4 透明網(wǎng)橋準(zhǔn)入控制技術(shù)透明網(wǎng)橋準(zhǔn)入控制技術(shù) 在不支持策略路由或者旁路鏡像的環(huán)境下 為了滿足客戶網(wǎng)絡(luò)環(huán)境下的準(zhǔn) 入控制需求 采用串接的方式實(shí)現(xiàn)準(zhǔn)入控制便顯得尤為重要了 透明網(wǎng)橋技術(shù) 已經(jīng)被大多數(shù)網(wǎng)絡(luò)安全設(shè)備接受和認(rèn)可 也是目前為止在網(wǎng)絡(luò)關(guān)口層面控制最 為嚴(yán)格的部署技術(shù) 北信源網(wǎng)絡(luò)接入控制系統(tǒng)在不改變現(xiàn)有拓?fù)涞那闆r下將網(wǎng) 橋串接到網(wǎng)絡(luò)當(dāng)中 采用 ACL 的方式對流量 IP 進(jìn)行過濾 對不可信不安全的 終端進(jìn)行隔離修復(fù) 圖 6 透明網(wǎng)橋準(zhǔn)入控制模式示例流程 2 5 虛擬網(wǎng)關(guān)準(zhǔn)入控制技術(shù)虛擬網(wǎng)關(guān)準(zhǔn)入控制技術(shù) 虛擬網(wǎng)關(guān)是基于 VLAN Virtual Local Area Network 和 SNMP Simple Network Management Protocol 兩種技術(shù) 在 VLAN 環(huán)境中 把設(shè)備接入的 HWP TD NAC WP 001 8 VLAN 分為可信 VLAN 和不可信 VLAN 判斷對應(yīng)設(shè)備是否通過認(rèn)證 未通過 則通過 SNMP Write 將對應(yīng)設(shè)備所接交換機(jī)端口所處 VLAN 切為不可信 VLAN 以后 該設(shè)備再訪問網(wǎng)絡(luò) 將會被重定向 直至認(rèn)證通過后 虛擬網(wǎng) 關(guān)才將其所處 VLAN 切換為可信 VLAN 正常上網(wǎng) 2 6 局域網(wǎng)控制技術(shù)局域網(wǎng)控制技術(shù) 無論是策略路由 旁路干擾還是透明網(wǎng)橋準(zhǔn)入控制技術(shù) 都是基于網(wǎng)絡(luò)核 心節(jié)點(diǎn)的網(wǎng)絡(luò)接入控制技術(shù) 并不能真正對局域網(wǎng)終端節(jié)點(diǎn)之間的互訪進(jìn)行授 信控制 在以往的所有準(zhǔn)入控制技術(shù)當(dāng)中 對于局域網(wǎng)之間互訪的授信控制是 基于接入交換機(jī)端口的控制 802 1X IP 地址獲取控制 DHCP Enforcer 或者通過 VLAN 技術(shù)進(jìn)行隔離 北信源網(wǎng)絡(luò)接入控制系統(tǒng)授予了終端可信判斷的能力 對于安裝有北信源 網(wǎng)絡(luò)接入控制系統(tǒng) Agent 的終端 可以自動判斷來訪者的可信程度 如果發(fā)現(xiàn) 來訪者是不安全不可信的終端 Agent 會丟棄來訪的數(shù)據(jù)包請求 阻止不可信 終端對自身的訪問 采用終端自判斷的方式將局域網(wǎng)訪問控制從網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備 下放到終端自身 不僅可以降低網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備自身的壓力 還可以規(guī)避其它局 域網(wǎng)訪問控制技術(shù)的缺陷 例如 802 1x 對 hub 傻瓜式交換機(jī)下終端互訪無法 控制的問題以及采用手動設(shè)置 IP 規(guī)避 DHCP 自動獲取的 IP 控制等 而由于安 裝 Agent 進(jìn)行注冊是入網(wǎng)授信必須經(jīng)歷的一個環(huán)節(jié) 因此采用終端自判斷的局 域網(wǎng)控制技術(shù) 可以完全有效的控制局域網(wǎng)終端之間的授信訪問過程 2 7 身份認(rèn)證技術(shù)身份認(rèn)證技術(shù) 身份認(rèn)證是終端可信認(rèn)證的一個重要環(huán)節(jié) 隨著信息安全技術(shù)的不斷發(fā)展 針對身份認(rèn)證安全可靠的特性也提出了更高的要求 身份認(rèn)證最重要的部分是 防偽造 防抵賴 因此身份認(rèn)證技術(shù)也從最初簡單的用戶名 口令 逐漸發(fā)展到 證書 生物技術(shù) 動態(tài)密碼以及多因素認(rèn)證 防止一切可能偽造和抵賴的因素 HWP TD NAC WP 001 9 為了滿足不同安全程度的身份認(rèn)證需求 也為了適應(yīng)客戶網(wǎng)絡(luò)環(huán)境中可能 已經(jīng)存在的身份存儲和認(rèn)證方式 北信源網(wǎng)絡(luò)接入控制系統(tǒng)針對各種主流身份 認(rèn)證技術(shù)進(jìn)行了符合性開發(fā) 為各種主流身份認(rèn)證技術(shù)提供了認(rèn)證接口 典型 的諸如和 Radius LDAP AD 域 CA 系統(tǒng) 郵箱系統(tǒng)相結(jié)合的認(rèn)證 可以滿 足當(dāng)前技術(shù)下大部分認(rèn)證系統(tǒng)的需求 2 8 安檢修復(fù)技術(shù)安檢修復(fù)技術(shù) 除身份認(rèn)證外 安檢修復(fù)也是針對終端可信認(rèn)證的重要環(huán)節(jié) 據(jù)權(quán)威機(jī)構(gòu) 研究證明 80 的信息泄密來自于企業(yè)或機(jī)構(gòu)的內(nèi)部計(jì)算機(jī)終端 由于大部分 企業(yè)計(jì)算機(jī)終端的使用人員安全意識薄弱且非計(jì)算機(jī)專業(yè)人員 對于計(jì)算機(jī)的 自主安全防護(hù)能力存在一定欠缺 因此造成了很大的泄密隱患 針對內(nèi)部終端被動泄密的問題 歸根結(jié)底是因?yàn)榻K端的安全策略配置不夠 嚴(yán)謹(jǐn) 例如 guest 賬戶開啟 弱口令設(shè)置以及不正常的注冊表鍵值等 或者計(jì) 算機(jī)本身存在安全漏洞 例如關(guān)鍵補(bǔ)丁未安裝 殺毒軟件未安裝或者病毒庫過 期等原因 造成的 針對此類情況 北信源網(wǎng)絡(luò)接入控制系統(tǒng)采用主動探測和 一鍵修復(fù)的技術(shù)設(shè)計(jì) 對入網(wǎng)計(jì)算機(jī)終端的安全測試進(jìn)行檢查和評分 對存在 安全隱患的計(jì)算機(jī)終端強(qiáng)制禁止入網(wǎng) 并提供一鍵策略修復(fù)技術(shù) 解決終端可 能存在的不安全隱患 從而達(dá)到全網(wǎng)終端的統(tǒng)一安全管理 2 9 桌面系統(tǒng)聯(lián)動桌面系統(tǒng)聯(lián)動 北信源準(zhǔn)入控制系統(tǒng)支持與桌面系統(tǒng)聯(lián)動 在已經(jīng)部署桌面系統(tǒng)的環(huán)境下 支持注冊客戶端透明準(zhǔn)入 不需要二次認(rèn)證注冊 由桌面管理平臺下發(fā)安全策 略 客戶端安全信息實(shí)時上報(bào)到準(zhǔn)入網(wǎng)關(guān) 實(shí)時更新終端安全策略狀況 風(fēng)險(xiǎn) 控制嚴(yán)格 客戶端上報(bào)安全信息不合規(guī)時 立即被隔離到隔離區(qū) 此時客戶端 僅能訪問隔離區(qū)中的服務(wù)器 直到修復(fù)完全直到滿足安全策略要求 產(chǎn)品支持與客戶端 AD 域?qū)嵜?符合安全要求的注冊信息才準(zhǔn)許入網(wǎng) HWP TD NAC WP 001 10 同時自動配合域組織架構(gòu)信息 達(dá)到實(shí)時動態(tài)審核 同步更新域組織信息 簡 化實(shí)名注冊審核機(jī)制 規(guī)范終端實(shí)名架構(gòu) 統(tǒng)一管理 一目了然 3 產(chǎn)品功能對比產(chǎn)品功能對比 功能項(xiàng)功能項(xiàng)功能描述功能描述北信源北信源江南天安江南天安 自定義注冊信息 要求可以定義必須填寫的注冊信息項(xiàng) 可根據(jù)需 要啟用 禁用自定義項(xiàng) 自定義單元豐 富 簡單 終端注冊的日志記錄功能 并可根據(jù)時間 設(shè)備名 注冊者 IP 及動作等關(guān)鍵字進(jìn)行記錄查詢 支持支持 注冊管理 針對 IE QQ 登陸及彈出窗口等 web 形式的訪問提供入網(wǎng)重定向提 示 提示進(jìn)行客戶端注冊 支持支持 支持實(shí)名制注冊審核管理功能 支持與 OA 系統(tǒng) AD 域等組織架構(gòu) 服務(wù)器同步組織架構(gòu) 自動根據(jù)設(shè)置關(guān)鍵字段實(shí)名審核 同時支持 已注冊終端可通過管理員手動審核或者短信審核通過之后才可以接 入網(wǎng)絡(luò) 支持不支持 終端硬件資產(chǎn)統(tǒng)計(jì)和查詢 統(tǒng)計(jì)內(nèi)容應(yīng)至少包含 CPU 內(nèi)存 硬盤 等基本硬件設(shè)備信息以及光驅(qū) 顯卡 鼠標(biāo) 網(wǎng)卡 鍵盤等相關(guān)外 設(shè)信息 明細(xì)多豐富支持 終端軟件資產(chǎn)統(tǒng)計(jì)和查詢 統(tǒng)計(jì)內(nèi)容應(yīng)至少包含操作系統(tǒng)版本 操 作系統(tǒng)補(bǔ)丁安裝情況 IE 版本 主機(jī)名稱 網(wǎng)卡 MAC 信息以及設(shè) 備內(nèi)安裝的應(yīng)用軟件使用情況 支持支持 資產(chǎn)管理 對終端計(jì)算機(jī)軟件安裝信息的收集 包括當(dāng)前軟件安裝信息和歷史 安裝信息 支持支持 本地認(rèn)證系統(tǒng) 支持自定義本地用戶和密碼 支持本地認(rèn)證用戶自 行修改密碼 支持支持 身份認(rèn)證 與安全檢 查 支持與 AD 域服務(wù)器 LDAP 服務(wù)器實(shí)現(xiàn)聯(lián)動認(rèn)證 并且支持帳戶信 息的自動同步以及導(dǎo)入導(dǎo)出 支持支持 HWP TD NAC WP 001 11 認(rèn)證超時機(jī)制 超時帳戶強(qiáng)制自動登出 要求超時時間可以自行配 置 必須支持帳戶超期統(tǒng)一登出機(jī)制 登出時間可根據(jù)需要自行設(shè) 置 支持不支持 帳戶嘗試登錄限制 要求嘗試登錄次數(shù)可進(jìn)行配置 嘗試登錄失敗 可鎖定帳戶 鎖定時間可按需配置 支持支持 帳戶角色綁定功能 不同用戶帳戶繼承所屬角色的訪問權(quán)限以及安 檢要求 支持不支持 安檢規(guī)范定義配置功能 可根據(jù)角色屬性定制不同的安檢規(guī)范 安 檢規(guī)范應(yīng)至少包含殺毒軟件安裝情況檢查 補(bǔ)丁漏洞檢查 系統(tǒng)共 享資源檢查 IE 主頁修改項(xiàng)檢查 guest 來賓帳戶啟用情況檢查 遠(yuǎn)程桌面啟用情況檢查 系統(tǒng)啟動項(xiàng)檢查 系統(tǒng)進(jìn)程檢查 IE 代 理檢查等 支持支持 支持指定時間周期內(nèi)安檢 支持不支持 安全域控制功能 可根據(jù)角色屬性定制不同的安全域 用戶認(rèn)證成 功后 安全域角色控制功能自動生效 相關(guān)角色帳戶只能訪問指定 的安全控制域 支持不支持 對未認(rèn)證通過用戶入網(wǎng)時進(jìn)行阻斷 能夠提供 web 重定向提醒 并 說明入網(wǎng)阻斷原因 支持支持 對身份認(rèn)證通過后的用戶終端進(jìn)行安全檢查 并對安檢進(jìn)度提供進(jìn) 度條提示 未通過安檢的終端給出未通過項(xiàng)提示并阻斷入網(wǎng) 支持 安檢未通過一鍵修復(fù)功能 支持支持 串接和旁路部署模式 支持策略路由 旁路干擾 透明串接 虛擬 網(wǎng)關(guān)等多種準(zhǔn)入控制模式 支持不支持旁路 鏡像部署 基于終端心跳和終端水印認(rèn)證雙重準(zhǔn)入判斷 自動發(fā)現(xiàn)采用 NAT 模 式入網(wǎng)的終端并強(qiáng)制認(rèn)證 支持 特有水 印技術(shù) 不支持 準(zhǔn)入策略制定功能 可根據(jù)訪問 IP 源 目的域以及準(zhǔn)入流程進(jìn)行策 略制定 目的域需是 IP 端口以及目錄的組合 支持不支持 準(zhǔn)入控制 準(zhǔn)入流程差異化控制 可根據(jù)準(zhǔn)入策略控制終端僅注冊 僅認(rèn)證 支持支持 HWP TD NAC WP 001 12 注冊及認(rèn)證 注冊認(rèn)證及安檢等差異化準(zhǔn)入控制策略 對路由 無線 AP HUB 等環(huán)境下的終端實(shí)施準(zhǔn)入控制 支持對 IPHONE IPAD 等非 windows 操作系統(tǒng)的終端實(shí)施準(zhǔn)入控制 支持支持不全 三層環(huán)境下 IP 和 MAC 綁定支持不支持 外來終端或者訪客初次入網(wǎng)阻斷 并給出入網(wǎng)指導(dǎo)提示支持支持 外來終端或者訪客自助申請上網(wǎng)碼 只需要提供管理員要求提供