拓帆終端準(zhǔn)入控制解決方案探析

拓帆終端準(zhǔn)入控制解決方案缸石家莊拓帆模網(wǎng)絡(luò)科技有圣限公司TIME\@"yyyy'年'M'月'd'日'"樂2023年餐4月19日目錄概述理隨著我國(guó)信蠻息系統(tǒng)建設(shè)眼的普及和成圓熟，企業(yè)的獵信息系統(tǒng)和偽網(wǎng)絡(luò)變得越孩來越復(fù)雜。方企業(yè)常常無蠻法控制和了武解內(nèi)部網(wǎng)絡(luò)方的情嘴況，聰無法知道有驕?zhǔn)裁慈?、什竟么終端、從離什么地方接被入到內(nèi)部網(wǎng)織絡(luò)中，更無寶法對(duì)接入內(nèi)雅部網(wǎng)絡(luò)的人率、終端進(jìn)行紛訪問控制的漿規(guī)范管理。辦美國(guó)著名調(diào)烤研機(jī)落構(gòu)綱Gartn廈er威尸研究表明，課鑒于終端的肉非法使用和麻病毒泛濫，賞美濫國(guó)赤80旁%潔的受訪企業(yè)敬想要采用網(wǎng)帥絡(luò)準(zhǔn)入控制巖（霉TFS脖T缸）。短對(duì)于內(nèi)部網(wǎng)狗絡(luò)缺乏規(guī)范牧管理，各個(gè)績(jī)廠家都沒有寇提出系統(tǒng)的艷解決方案。兩各個(gè)廠家經(jīng)姐常會(huì)以網(wǎng)絡(luò)著準(zhǔn)入控制解虎決部分內(nèi)網(wǎng)地管理的問題悔。醋當(dāng)今世界上視的網(wǎng)絡(luò)準(zhǔn)入姿方案大致來穩(wěn)自于兩類廠鄭家。一：澆內(nèi)網(wǎng)管理廠相家觸；二：交換毅機(jī)廠家；突內(nèi)網(wǎng)管理廠浙家徒需要先安裝暈客戶端軟件哨，再實(shí)現(xiàn)準(zhǔn)焰入控制。對(duì)俱于不安裝軟齊件的終端，籮只能初新增凳網(wǎng)關(guān)設(shè)備，晨對(duì)出外網(wǎng)的濃訪問進(jìn)行檢脹查。而對(duì)于娛內(nèi)部網(wǎng)絡(luò)的框接入，只能傭依賴于交換龍機(jī)進(jìn)行準(zhǔn)入湊控制。但由遭于低端交換馳機(jī)和老舊交楚換機(jī)不支持栗準(zhǔn)入控制，節(jié)因此企業(yè)靠厘這兩種解決刊方案無法實(shí)員現(xiàn)全網(wǎng)的準(zhǔn)留入控制。悟拓帆科技蒸提出一種新竊的、不同于島以上兩種的五網(wǎng)絡(luò)準(zhǔn)入控連制押（滴TFS按T想）方案。這磚種新方案將視常見的兩種亡準(zhǔn)入控制技胸術(shù)融入進(jìn)來殃，并進(jìn)行創(chuàng)左新，解決了集無法保證網(wǎng)倉(cāng)絡(luò)邊界完整太和與企業(yè)老緣舊設(shè)備和系謀統(tǒng)兼容的問傳題。使得企們業(yè)在不用更勻新網(wǎng)絡(luò)設(shè)備魄、不用改變劣網(wǎng)絡(luò)結(jié)構(gòu)、趙不用安裝客釀戶端的情況假下，實(shí)現(xiàn)網(wǎng)敏絡(luò)實(shí)名制準(zhǔn)魔入控制。餅拓帆科技恒在實(shí)名準(zhǔn)入解控制的基礎(chǔ)柱上，提出一保套完整的內(nèi)礎(chǔ)網(wǎng)規(guī)廁范管理的系擋統(tǒng)，實(shí)現(xiàn)了錦對(duì)內(nèi)部網(wǎng)絡(luò)鴨的人、終端俗、蘇I胞P海、設(shè)備的統(tǒng)糾一規(guī)范管理觀，實(shí)現(xiàn)了我曬國(guó)信息系統(tǒng)棵等級(jí)保護(hù)中肝對(duì)網(wǎng)絡(luò)邊界灰保護(hù)、訪問拜控制、身份露認(rèn)證等的要盆求。同時(shí)，社也有效地解旗決了目前各欄大企事業(yè)單資位普遍存在謠的非法外聯(lián)慢、無法保證菠網(wǎng)絡(luò)邊界完煤整、無法做輕到網(wǎng)絡(luò)出口獅唯一、無法陡做謹(jǐn)?shù)脚縄P旋千地址中心下逝發(fā)、統(tǒng)一管芽控、無法做懸到內(nèi)部網(wǎng)絡(luò)校實(shí)名制等一額系列的問題丟。虜內(nèi)網(wǎng)急需安誓全準(zhǔn)入控制遲我們將目前愛存在的網(wǎng)絡(luò)仆層安全問題燃?xì)w納如下：漿內(nèi)網(wǎng)管理混闖亂的問題管非法外聯(lián)的只問題額保證內(nèi)、外烤網(wǎng)隔離的問巖題蹤保證網(wǎng)絡(luò)邊振界完整的問樂題冷防止私改網(wǎng)幣址吧，固IP濟(jì)瀉網(wǎng)址無法可紫控的問題稅核心詞系統(tǒng)安全保潛障的問題俘內(nèi)網(wǎng)無法實(shí)貸名制的問題爐保證終端設(shè)胃?jìng)浜弦?guī)性和箭安全性的問勿題棚細(xì)粒度網(wǎng)絡(luò)恥訪問控制權(quán)賤限可實(shí)現(xiàn)的劈問題融無法支持移添動(dòng)辦公的問憂題旗內(nèi)網(wǎng)管理混粱亂的問題輩由于缺乏乏姑“我內(nèi)網(wǎng)規(guī)范管寶理彩”回的系統(tǒng)，企濾業(yè)內(nèi)部網(wǎng)絡(luò)奮常常處于管尊理混亂的狀鏡態(tài)。企業(yè)不倒知道目前有村什么人、有承多少人、有槳多少終端正型在使用企業(yè)氏內(nèi)部網(wǎng)絡(luò)；課不知道終端棚是否安裝了庭要求的終端哪軟件、是否繼使用了外來墨的終端設(shè)備薦進(jìn)入內(nèi)部網(wǎng)老絡(luò)；不知道校內(nèi)部網(wǎng)絡(luò)中推有多鋪少傅I漸P廣，每厲個(gè)雹IP身齊的使用人；暢不知道是否勿有外部的網(wǎng)距絡(luò)設(shè)備（如漿：私帶的路欺由器、無妻線摔A震P死、等）正在附本單位的內(nèi)承部網(wǎng)絡(luò)運(yùn)行刃。狀保證內(nèi)鏟、外唱網(wǎng)隔離的問坊題遭目前，大多放數(shù)重要企業(yè)闖都進(jìn)行了物冊(cè)理隔離。但嗚這種物理隔屯離僅限于網(wǎng)謎絡(luò)的基礎(chǔ)結(jié)斜構(gòu)的物理隔租離。對(duì)接入悄內(nèi)網(wǎng)和外網(wǎng)潛的終端并沒驟有進(jìn)行很好善的管控。如參何保證內(nèi)網(wǎng)迎與外網(wǎng)不發(fā)次生互聯(lián)，如搖何保證內(nèi)、忌外網(wǎng)終端和紹筆記本不發(fā)吼生誤接和混冊(cè)接，是各大偉企業(yè)急需解灌決的問題。像防止私改網(wǎng)摧址天，零IP爺墨網(wǎng)址無法可浮控的問題臂我國(guó)企業(yè)，睛尤其是保密堡或涉密單位阿，目前多采際用掀IP命泛網(wǎng)絡(luò)統(tǒng)一規(guī)鍵劃，終端單濟(jì)獨(dú)設(shè)罩置瓜IP化繭地址的方法識(shí)來管理網(wǎng)絡(luò)柏。這種管法些的優(yōu)點(diǎn)在于丙，可以通攝過根IP麥免和人關(guān)聯(lián)，盤實(shí)現(xiàn)對(duì)用戶塊的網(wǎng)絡(luò)行為英進(jìn)行管理和按審計(jì)。但是抬，隨著網(wǎng)卡洞管理技術(shù)的膨普及，越來精越多村的人框知道如何重江新設(shè)置網(wǎng)卡茂的鐵IP壺酸地址習(xí)和全MAC朋鄰地址。由于濕，企業(yè)授權(quán)經(jīng)每個(gè)用戶可身以自己設(shè)證置拴IP來鴨地址，因此叢常常發(fā)生用筆戶將自己柳的安I內(nèi)P垃地址設(shè)為他傅人慮的挪IP庸拆地址，造成豎網(wǎng)絡(luò)管理和本安全問題。浙同時(shí)，允許扛私設(shè)和私表改蛙IP/MA旬C渾辛地址，就無丹法根兔除厲ARP剩你病毒。拳要解決私設(shè)剛和私蘿改六IP/MA票C匙乎地址的問題沉，要徹底根偉除辛ARP威誰(shuí)病毒，就必甩須從根本上洋改變?cè)试S終堆端用戶自己途設(shè)仿置宮IP古出的問題。而賞采龜取駱I(yè)P疾差網(wǎng)址中心下囑發(fā)，統(tǒng)一管胡理的新技術(shù)成和新的管理罰方法。油核心系統(tǒng)安區(qū)全保障的問吐題案隨著我國(guó)各由大企業(yè)業(yè)務(wù)烘大集中的發(fā)途展，各單位沸將重要的應(yīng)增用都集中在削集團(tuán)的伯信息寇中心，從而反達(dá)到應(yīng)用共孫享，提高工渴作效率的目唇的。系統(tǒng)的國(guó)大集中對(duì)系座統(tǒng)的安全提麥出了更高的吃要求。企業(yè)聾需要保證能容夠?qū)ο到y(tǒng)進(jìn)偷行訪問的人攀和終端必須剩是經(jīng)過授權(quán)壁的、安全的聽人和終端。衣由于各大企庸業(yè)管理是分循級(jí)授權(quán)管理善，因此許多皮企業(yè)集團(tuán)無廢法直接管理甚到各個(gè)下級(jí)盤單位的網(wǎng)絡(luò)棄管理和使用摸。類如何保證從某進(jìn)入集團(tuán)的你網(wǎng)絡(luò)訪問是鳳來自于被授飾權(quán)的下級(jí)單漫位，來自于保被授權(quán)的終茫端和員工，歷并且使用終茅端是符合應(yīng)睜用系統(tǒng)要求新的，就是企遼業(yè)急需解決升的問題。同邀時(shí)，集中的誤核心系統(tǒng)安站全存在這短富板效應(yīng)，一激旦有一個(gè)下夾級(jí)單位的一楊個(gè)終端發(fā)生謹(jǐn)問題，就會(huì)錦使整個(gè)系統(tǒng)萌面臨威脅。姻這個(gè)問題解抱決愚不好昂，就會(huì)影響擺到整個(gè)集團(tuán)料的內(nèi)網(wǎng)信息沫安全。濾內(nèi)網(wǎng)無法實(shí)哭名制的問題姓企業(yè)管乘理菜IP嶄朽網(wǎng)址的方法鎮(zhèn)，通常愿有達(dá)DHCP怠墓和靜瘦態(tài)乒IP鵲僅兩種管理方籠法。但兩種喊方法都無法芽保億證耍IP隱愧地址實(shí)名管阻理和審計(jì)的吊問題。破在孝DHCP槍致環(huán)境下，由圈于卸IP繁腸地址動(dòng)態(tài)分貸配，無法保刻證指定終端深永遠(yuǎn)獲得同找一型個(gè)隸IP護(hù)博地址。就更響無法確芝定香IP糞欣地址使用者駝的身份。播在靜青態(tài)處IP亮席的環(huán)境下，所由于無法很沫好地解決私跟改、私濃設(shè)進(jìn)IP觸降地址的問題圖，因此也無瞞法確坊定訴IP雁盼使用者的唯刮一性。售保證終端設(shè)售備合規(guī)性和春安全性的問番題眼大多數(shù)企業(yè)昂沒有很好的川技術(shù)手段，裙配合相應(yīng)政違策，保證所條有終端在甩接入蠢辦公內(nèi)網(wǎng)前唐，安裝和運(yùn)薄行了規(guī)定的燭桌面軟件、唐殺病毒軟件休和必須的控遼制軟件。仔另外，企業(yè)閣也很難保證運(yùn)終端進(jìn)行了與必要的補(bǔ)丁神更新。也無壤法保證所有勤進(jìn)入網(wǎng)絡(luò)的傅終端進(jìn)行了伶必要的補(bǔ)丁焰更新。顛無法支持移虎動(dòng)辦公的問腹題課隨著計(jì)算機(jī)伴的普及，隨奴著筆記本電醬腦的越來越廚多，企業(yè)有享移動(dòng)辦公的附需求。由于真，企業(yè)常常邪采用的桑是寄IP煙喬端口綁定的廢方法，就無忽法支持員工辛進(jìn)行移動(dòng)辦秧公。畝拓帆內(nèi)網(wǎng)終侍端準(zhǔn)入控制絞解決方案再目前的網(wǎng)絡(luò)為準(zhǔn)入控制解谷決方案大致策有兩類。候以婚Cisco墾高為代表的。灘要求用戶購(gòu)笨置新的網(wǎng)絡(luò)名接入設(shè)備，挎安裝新的客膝戶端軟件。獄以堵Syman萍tec犬錢為代表呼的。據(jù)要求用戶購(gòu)等買新的客戶矮端，改變用答戶網(wǎng)絡(luò)結(jié)構(gòu)脹，加裝在線諒設(shè)備。午這兩種方案昨都是有條件符的實(shí)現(xiàn)了網(wǎng)駝絡(luò)準(zhǔn)入控制伯。這些方案芹是一種要求態(tài)企業(yè)將從客伏戶端到網(wǎng)絡(luò)龍接入設(shè)備都瘋進(jìn)行更新，剃支持新塘的撞802.1醬x涂運(yùn)協(xié)議的縱向厘解決方案。音這種縱向解蘇決方案有利侵于廠家推進(jìn)候老舊產(chǎn)品的憑更新?lián)Q代，挽保證現(xiàn)有廠棕家的收入。屑但對(duì)企業(yè)來夕說，則存在跪著重復(fù)投入搖、系統(tǒng)兼容金等問題。即靈浪費(fèi)了資金逃，又存在著母部分老舊交欺換機(jī)和老舊祝終端無法實(shí)瓦現(xiàn)網(wǎng)絡(luò)準(zhǔn)入律控制的問題斯。勝為了解決縱流向解決方案干的問題，蠶拓帆科技顧提出一種新吊的橫向解決仔方案。這種掘的橫向解決熟方案就是一益定囊括所有興的準(zhǔn)入控制釘解決方振案，簡(jiǎn)能夠?qū)Σ煌S家、不同爬年代、不同射類型的網(wǎng)絡(luò)哥設(shè)備都進(jìn)行仆支持，對(duì)不獅同操作系統(tǒng)祖，不同版本來的終端也都飛能夠進(jìn)行支落持的準(zhǔn)入控踏制解決方案臘。尸這種解決方欲案的優(yōu)點(diǎn)在街于即可以充抄分發(fā)揮新協(xié)暴議、新的網(wǎng)貼絡(luò)接入設(shè)備豪的技術(shù)優(yōu)點(diǎn)站，也可以兼搏容老舊設(shè)備插，最大限度側(cè)地實(shí)現(xiàn)網(wǎng)絡(luò)炊準(zhǔn)入控制。耐內(nèi)網(wǎng)終端準(zhǔn)鈴入控制克部署與拓樸忍結(jié)構(gòu)箏拓帆科技流公司猜提出了股將以上五種灑技術(shù)集成在蘭一起，并有共機(jī)地融合起群來，這樣可胃以滿足不同嬸網(wǎng)絡(luò)結(jié)構(gòu)和銅用戶需求。偵系統(tǒng)由三部夾份組成：昏1嚴(yán)、準(zhǔn)入網(wǎng)關(guān)激采用旁路部鹿署方式，可狂放置在核心灰交換機(jī)上；塵分支機(jī)構(gòu)可減配置多臺(tái)準(zhǔn)凱入網(wǎng)關(guān)，集敬中管理。奏支持雙機(jī)熱具備，豪具有貼可靠的逃生挪方案惕DHCP姜鋒準(zhǔn)入模塊，鋸根據(jù)安全策堆略為終端分峽配合法的動(dòng)柏態(tài)悔I狼P砌地址艱SNM蹈P獲準(zhǔn)入模塊，頃自矛動(dòng)螺/擴(kuò)手動(dòng)掃描可爸管理型交換謝機(jī)端口信息遲，阻止非法命接入句收集網(wǎng)絡(luò)內(nèi)惜的管理對(duì)盡象話I區(qū)P葡地址的數(shù)據(jù)衡包并將收集設(shè)到的數(shù)據(jù)包是信息傳送給生準(zhǔn)入控制換臺(tái)酒播菜執(zhí)行網(wǎng)絡(luò)管浮理者設(shè)置的明策躁略匆鍛良根據(jù)策略產(chǎn)褲生的事件日肯志發(fā)送給準(zhǔn)秘入控制針臺(tái)桂妻燃支亮持萬(wàn)IEEE物802.1齒QTru軌nk苗顫協(xié)議從而管乘理腰VLAN險(xiǎn)實(shí)時(shí)監(jiān)控污各蘋VLA貸N友廣播域中接辟入主看機(jī)廣P委C由；2、控制臺(tái)營(yíng)管理員績(jī)和翼IP/MA不C柳準(zhǔn)入網(wǎng)關(guān)的婆用戶接口營(yíng)對(duì)收集的數(shù)嫂據(jù)進(jìn)行加工唐，并保存到遙數(shù)據(jù)庫(kù)制支持一個(gè)阿準(zhǔn)入劉網(wǎng)關(guān)的多個(gè)圍網(wǎng)絡(luò)接口（報(bào)多廣播域）午的控制這同一控制臺(tái)副可管理多個(gè)棵準(zhǔn)入網(wǎng)關(guān)蔽執(zhí)矛行油IP/MA儀C所網(wǎng)絡(luò)管理策屢略娃通過報(bào)表系政統(tǒng)工具，分戲析網(wǎng)絡(luò)當(dāng)前剖狀態(tài)及歷史穗數(shù)據(jù)3、數(shù)據(jù)庫(kù)猾數(shù)據(jù)存儲(chǔ)伍、猜IP/MA磚C掙埋地址表、策丈略、變更日株志駛、誘IP快自沖突、用戶間數(shù)據(jù)、事件蛋日志。浸支雜持雨ACCE丹S蛛S足、恨SQLS江ERVER渡2000地/2003墓/2005縮摧部署拓樸結(jié)勻構(gòu)系統(tǒng)部署圖鳳終端入網(wǎng)摟準(zhǔn)入北流程村接入主機(jī)可墨以設(shè)置成固忍定粱I弓P銹地址槐或訂DHC負(fù)P桐動(dòng)態(tài)獲瘦得消I采P游地址，一般揚(yáng)建議服務(wù)器敬或特權(quán)主機(jī)椒設(shè)定為固鄙定狼I踏P允地址，其他禍主機(jī)動(dòng)態(tài)分熄配啟I防P職地址。王對(duì)于固旋定背I船P姿地黎址的貢主機(jī)，系統(tǒng)娛檢查戰(zhàn)其隨MA武C買地址眾、踐I守P愈地址、主機(jī)酬名、網(wǎng)卡類剃型、對(duì)應(yīng)交斯換機(jī)端口等變信息，如果蛛是非法主機(jī)膊，系統(tǒng)將阻陷止其入網(wǎng)。舍此類主機(jī)無觸需實(shí)名認(rèn)證幼，無需健康臘檢查。唉對(duì)營(yíng)于估DHC藏P梅動(dòng)態(tài)獲甘取托I鉛P赴地址的主機(jī)幸，首先系統(tǒng)瑞會(huì)臨時(shí)分配永一個(gè)隔離網(wǎng)選段粒I愧P還地址，允許聞它訪問隔離雕網(wǎng)段服務(wù)器辮（例如：殺診毒服務(wù)器、陵補(bǔ)丁服務(wù)器曠、實(shí)名認(rèn)證摧服務(wù)器等）災(zāi)系統(tǒng)如果啟型動(dòng)了實(shí)名認(rèn)騾證模塊，接各入主機(jī)獲取恭動(dòng)埋態(tài)連I貨P劍地址后，打夢(mèng)開嶼I肉E融瀏覽器訪問剖外網(wǎng)時(shí)，系抓統(tǒng)會(huì)自動(dòng)推琴送實(shí)名認(rèn)證密網(wǎng)頁(yè)，要求握其輸入管理浮員分配的用凈戶名及密碼虎，如果身份斯認(rèn)證未通過轉(zhuǎn)，系統(tǒng)將不倒會(huì)分配內(nèi)烤網(wǎng)脾I厚P英地址，其無結(jié)法訪問內(nèi)課網(wǎng)任截何資源。如跟果身份認(rèn)證杏通過，并且立系統(tǒng)沒有啟嗎動(dòng)健康檢查遙模塊，接入縫主機(jī)將獲取熄管理員分配摔的內(nèi)網(wǎng)合兆法緊I榆P子地址，接入判主機(jī)被允許割訪問內(nèi)網(wǎng)應(yīng)嚇用服務(wù)器資輛源。磚系統(tǒng)如果啟脈動(dòng)了健康檢粥查嘩/摧桌面管理模能塊，接入主顯機(jī)實(shí)名認(rèn)證呆通過后，系觸統(tǒng)在其打仔開羊I份E抓瀏覽器訪問脫外網(wǎng)時(shí)，會(huì)申自動(dòng)推送健臣康檢膽查屑/早桌面管理客闖戶端下載網(wǎng)劃頁(yè)，當(dāng)其安餅裝完健康檢婦查獄/吳桌面管理客熔戶端后，接抗入主機(jī)將獲促取管理員分蜂配的內(nèi)網(wǎng)合至法岸I襲P攏地址，接入棉主機(jī)被允許農(nóng)訪問內(nèi)網(wǎng)應(yīng)遙用服務(wù)器資食源。傲系統(tǒng)運(yùn)行過葉程中，將自梁動(dòng)收集當(dāng)前歲限制主機(jī)、文允許主機(jī)、菜離線主機(jī)、被在線主機(jī)列繩表，每臺(tái)主木機(jī)當(dāng)前使祖用藝MA槳C聽地址岔、獎(jiǎng)IP遷地址盞、組耍名智/依主機(jī)名、部惑門塔/遺用戶名、接覆入交換機(jī)及垮端口號(hào)、接尺入時(shí)間等待仁信息，管理酬員可實(shí)時(shí)查伴看到對(duì)應(yīng)交隆換機(jī)上接入膀主機(jī)的信息浮，并可手叢動(dòng)皇/攤自動(dòng)關(guān)閉其示端口，完全珍隔離非法主臂機(jī)。水流程圖如下口所示：遺終端準(zhǔn)入認(rèn)姑證流程押拓帆內(nèi)網(wǎng)終濾端準(zhǔn)入控制樹主要功能嚇4.3.跟1響、內(nèi)網(wǎng)設(shè)備銷資源管理功滑能鳳臨網(wǎng)絡(luò)資源自梳動(dòng)收集功能私將所有連接讓在網(wǎng)絡(luò)祥的金I畫P落資源櫻（偶I園P懷、丈MA到C陰、域追名毫/乳組名、用戶胸名、接入主咸機(jī)網(wǎng)卡類型吧、最近網(wǎng)絡(luò)哥接入事件等墾）按照設(shè)置序好的周期自屆動(dòng)收集嚼。輛抓收集交換機(jī)陣信息及管理表通過收集在若管理范圍內(nèi)拐的網(wǎng)絡(luò)中注權(quán)冊(cè)的交換機(jī)歌的盡SNM伍P辰的信哀息，普可以實(shí)時(shí)收匙集交換機(jī)的吉狀態(tài)信息，底可以收集端夠口狀態(tài)，并宗且可以自遺動(dòng)挽/敢手動(dòng)對(duì)指定芳的交換機(jī)端洞口進(jìn)行阻殃止脫/計(jì)解除管理。翼此功能在網(wǎng)陽(yáng)絡(luò)中主機(jī)發(fā)打出有害數(shù)據(jù)鑼包時(shí)，可以談完全的阻止客網(wǎng)絡(luò)連接羨。宗和針對(duì)網(wǎng)絡(luò)的些有效地分組專管理剝?cè)陟o功態(tài)嗎I接P狡地址環(huán)境中努可以基紐于根I彎P卡地址進(jìn)行分蒸組管理，在爬動(dòng)吧態(tài)檔I替P元地址環(huán)境中銜可以基江于敬MA絕C蔬地址管咐理虧I玻P攝使用情況和移主機(jī)策略情另況逢。滋挺提供周期性潑的資源使用領(lǐng)情況塊黃竭溝網(wǎng)絡(luò)臨時(shí)連后接終端或是買為了短期使辜用了分配押的員I搬P飲地址，長(zhǎng)時(shí)伙間沒有連接漂網(wǎng)絡(luò)在離線旦狀態(tài)時(shí)，可望以將購(gòu)其新I顯P融釋放為可使柿用暴的錫I廁P動(dòng)地址進(jìn)行管稿理，從而做跟到有效虛的甜I撕P裳資源管理蓬。決汁4.3.榆2萬(wàn)、強(qiáng)有力的析阻止功能豈啄阻止非授權(quán)朵的蹤I溜P俊和晝MA督C循用戶崇對(duì)使用非授促權(quán)辣的般I劇P丈和辟M(fèi)A療C映地址的用戶料進(jìn)行自動(dòng)或腐手動(dòng)阻止，匙從而防止因利非授權(quán)用戶拒引起的網(wǎng)絡(luò)恨故嫂障固.流引入網(wǎng)絡(luò)實(shí)污名來管理主陵機(jī)名稱押DHC位P貫引入實(shí)名認(rèn)爛證模塊，只零有實(shí)名認(rèn)證祖通過后，才雅能獲取內(nèi)網(wǎng)造合法毅的鞏I賠P漲地址。漆收導(dǎo)集織I墓P饑用戶的主機(jī)認(rèn)名桑（恥NetBI隨OSNam杠e比），可以對(duì)瞞各網(wǎng)絡(luò)主機(jī)讀要求使用指腐定的正確的稼主機(jī)名，否竊則不行入網(wǎng)掀。乓收殘集恩I損P悉用戶的域賀名丹/度組名，可以搜對(duì)網(wǎng)絡(luò)主機(jī)蒼要求登陸域敞，否則不行鳳入網(wǎng)。已I仁P矛地址沖突保未護(hù)策略餅使片用座MAC歪萍綁定策略，布對(duì)于只能使頑用特齒定儀I戒P淺地址的主機(jī)秒固定行其退I岡P部地址（一個(gè)虹或多豪個(gè)叔I典P寄），從而防碑止其他主機(jī)正盜用芒其帥I滿P踢地址，并且資可以避免隆因滑I于P讀沖突而引起樸的網(wǎng)絡(luò)故障者。根日4.3.扮3熔、對(duì)網(wǎng)絡(luò)設(shè)灑備及服務(wù)端陳口管理功能津候交換機(jī)端口傅管理及控制速功能五可以監(jiān)控管怎理范圍內(nèi)的值主機(jī)所連接馳的可管理型錦交換機(jī)的端龍口，并且可淚以自動(dòng)收集淹和手動(dòng)阻賞止伸/座遷解除端口。牛當(dāng)非法主機(jī)激與合法網(wǎng)絡(luò)廢設(shè)備發(fā)效生百I銳P訓(xùn)沖突時(shí)，可魂以自動(dòng)切斷略相應(yīng)的交換悔機(jī)端口，從駕而防止網(wǎng)絡(luò)醒故障。抄系統(tǒng)監(jiān)控主些界面懲實(shí)名認(rèn)證設(shè)為置界面痕健康檢揮查鉛/伸桌面管理設(shè)爆置主界面陡I籃P姿地址使用情誤況分配表余交換柿機(jī)端口接入信主機(jī)分布與乳管理隊(duì)拓帆內(nèi)網(wǎng)終還端準(zhǔn)入控制臘解決方案結(jié)的優(yōu)勢(shì)昨拓帆光802.1狂x調(diào)斧準(zhǔn)入控制的界優(yōu)勢(shì)時(shí)技術(shù)總是在悶不斷進(jìn)步的對(duì)，尤其是像氧網(wǎng)絡(luò)準(zhǔn)入控阻制這種新興派的技術(shù)，更暫是不斷的變彼化。網(wǎng)絡(luò)準(zhǔn)成入控制的設(shè)糟備廠家在實(shí)方現(xiàn)新技術(shù)和席新協(xié)議的時(shí)暢候，實(shí)現(xiàn)起留來會(huì)有差異漏。同時(shí)，各昆廠家又會(huì)根怪據(jù)自己設(shè)備端的特點(diǎn)加入蝕一些特有的翁功能。蛛由于竭拓帆科技澡的網(wǎng)絡(luò)準(zhǔn)入棕系統(tǒng)建立了摸統(tǒng)一準(zhǔn)入平說臺(tái)，就可以脹通過對(duì)不同渴廠家編寫不照同的驅(qū)動(dòng)，糊保證最大限別度地支持各量廠家的交換益機(jī)設(shè)備，實(shí)笑現(xiàn)其他交換笑機(jī)廠家無法嫁實(shí)現(xiàn)的兼容呼性。袍對(duì)于探在給802.1提x坦源交換機(jī)下假掛圣Hub粱糟和二層交換除機(jī)的情況，攪拓旬帆科技送的準(zhǔn)入控制革平臺(tái)可以通括過肅拓帆科技況實(shí)現(xiàn)的其泄他感4不酸種準(zhǔn)入控制牛技術(shù)對(duì)終端血接入實(shí)現(xiàn)準(zhǔn)厭入控制。汽拓帆政DHCP祥帽準(zhǔn)入控制的哈優(yōu)勢(shì)頁(yè)拓帆科技惰的蓋DHCP幻襖準(zhǔn)入控制能崗夠通些過罷IP販咽的下發(fā)實(shí)現(xiàn)貝終端的準(zhǔn)入作控制。誼拓帆科技槽的結(jié)DHCP游允準(zhǔn)入控制可雀以實(shí)現(xiàn)固政定賠I虎P卻、中心下發(fā)槍。這樣，在運(yùn)保證仇了直IP勢(shì)呀綁定的同時(shí)醋，還做到貴了敘I晌P鵝使用的可控頓性。算拓帆唐網(wǎng)關(guān)型準(zhǔn)入緩控制的優(yōu)勢(shì)屋目前國(guó)際上算大部分網(wǎng)關(guān)板型準(zhǔn)入控制鋸都是由軟件湖廠家或防火清墻廠設(shè)計(jì)生棒產(chǎn)的。網(wǎng)關(guān)報(bào)型準(zhǔn)入控制愁通過對(duì)穿越遠(yuǎn)網(wǎng)關(guān)的流量突進(jìn)行檢查，懶彈著出理Web椒恥認(rèn)證界面，淹完成對(duì)穿越晌網(wǎng)關(guān)的終端識(shí)進(jìn)行主機(jī)健誰(shuí)康檢查。踢但軟件疊廠家缺少防拍火墻廠家的款經(jīng)驗(yàn)，因此太他們生產(chǎn)的皆網(wǎng)關(guān)型準(zhǔn)入夜控制常常出臘現(xiàn)性能問題儉。同樣，由轟于防火墻廠惡家采用傻的使CPU堡更性能較差、款內(nèi)存較少，日不可能像服哀務(wù)器一樣具仿有處理大待量?jī)xhttp信嘗訪問的能力糖，因此常常雁造成大量用丙戶認(rèn)證時(shí)，糧網(wǎng)絡(luò)出現(xiàn)瓶頃頸效應(yīng)，造奶成宕機(jī)，發(fā)扎生斷網(wǎng)事故班。毛拓帆科技膛的網(wǎng)關(guān)型準(zhǔn)打入控制采用監(jiān)特有的包處雕理技術(shù)，對(duì)深一般網(wǎng)絡(luò)數(shù)患據(jù)包實(shí)現(xiàn)透假明轉(zhuǎn)發(fā)，同啦時(shí)將未經(jīng)認(rèn)繭證的電腦咱的扮http盛瓣數(shù)據(jù)包直接食推送認(rèn)證頁(yè)緞面，發(fā)起認(rèn)財(cái)證請(qǐng)求關(guān)，旅提供用戶鳴實(shí)名認(rèn)證或們準(zhǔn)入軟件下賺載跑服務(wù)。震拓帆憂SNMP類搶準(zhǔn)入控制的額優(yōu)勢(shì)碎拓帆科技懂SNMP懶獲準(zhǔn)入控制可狗以通喬過左SNMP晉災(zāi)協(xié)襖議了解終端泰接入的位置悅，同時(shí)幫助元網(wǎng)管人員對(duì)反終端實(shí)現(xiàn)阻姑斷。顛不同于傳統(tǒng)磚的網(wǎng)管軟件肅，遲拓帆科技糧的準(zhǔn)入控制糾將網(wǎng)絡(luò)管理師的范圍從網(wǎng)老絡(luò)設(shè)備的管簽理延伸到接滑入網(wǎng)絡(luò)的終腰端、終端綱的廁IP飛擔(dān)和終端使用婆的人。使得黃網(wǎng)絡(luò)人員能侍夠更加全面也地了解網(wǎng)絡(luò)權(quán)和網(wǎng)絡(luò)使用錦的終端及其解使用者。揚(yáng)拓帆伏ARP漆涂準(zhǔn)入控制的片優(yōu)勢(shì)泰傳統(tǒng)找的申ARP趴窩準(zhǔn)入控制多裳是炎PC說捷軟件廠家實(shí)接現(xiàn)島的門ARP槽梯準(zhǔn)入控制。柿它們的原理浸是通過裝我有責(zé)PC萬(wàn)腳軟件的終端掩對(duì)周圍沒有伴安磁裝胖PC付四軟件的終端同發(fā)冬起犯ARP債郊攻擊。但這味種實(shí)現(xiàn)方法姥有以下問題燭：牛當(dāng)子網(wǎng)中沒邀有裝氧有六PC岡率軟件的終端盜時(shí)，無法對(duì)敞非法終端實(shí)夢(mèng)行播ARP請(qǐng)堪攻外擊；銅當(dāng)子網(wǎng)中裝申有舉PC聾參軟件的終端盛沒有開機(jī)時(shí)序，無法對(duì)非放法終端實(shí)腳行毅ARP竟粒攻擊；鴿當(dāng)所賴有絡(luò)PC稈賣軟件都發(fā)箭起桐ARP聾啦攻擊時(shí)，網(wǎng)姑絡(luò)會(huì)由稱于足ARP芽檢包過多，造費(fèi)成網(wǎng)絡(luò)癱瘓旗；誰(shuí)PC鋒畜軟件無法跨唯網(wǎng)段實(shí)襪現(xiàn)箱ARP模囑攻擊；呈一旦終端安頸裝更了桂ARP報(bào)刻防火墻匠，饒ARP喝業(yè)攻擊無法起發(fā)到阻斷作用瞎；定拓帆恭的棉ARP盼籃準(zhǔn)入控制是誠(chéng)基于硬件平愉臺(tái)明的艦ARP欺乓準(zhǔn)入控制。枕由于腸拓帆閉的準(zhǔn)入控制挎平臺(tái)是一款殖硬件網(wǎng)絡(luò)設(shè)貿(mào)備，她可以仁實(shí)現(xiàn)：猶7*24太淹小時(shí)保證在宋網(wǎng)絡(luò)中運(yùn)行工；竟不需要其他并終端開機(jī)和耗實(shí)農(nóng)施頌ARP洲厭攻擊；恒對(duì)非法終端受實(shí)現(xiàn)的連是隱1若痰對(duì)濤1附項(xiàng)的咳ARP帝共單播攻擊，擠不會(huì)造成大授量射AR幅P頁(yè)緒流量；侮硬件網(wǎng)絡(luò)設(shè)點(diǎn)備支持跨網(wǎng)村絡(luò)進(jìn)行行兼ARP筍朗準(zhǔn)入控制；究與多噴家內(nèi)ARP殼賴防火墻廠家氣進(jìn)行了合作蹄和整合，保聯(lián)證能夠穿帥越嬌ARP謹(jǐn)燙防火墻，實(shí)步現(xiàn)準(zhǔn)入控制么。瘦兼容不同廠尺家、不同年悟代的網(wǎng)絡(luò)接五入設(shè)備馳由于企業(yè)在劇進(jìn)行信息化圾建設(shè)時(shí)，總莖會(huì)有一個(gè)過灘程。這就使顧得企業(yè)的信仗息系統(tǒng)會(huì)有捕不同時(shí)代的溪網(wǎng)絡(luò)設(shè)備并流存。另一方呆面，由于各訴個(gè)廠家的設(shè)側(cè)備各有所長(zhǎng)翠，一個(gè)企業(yè)匠的信息系統(tǒng)瓜常常會(huì)有多蹈家設(shè)備共存耕。墨要想做到對(duì)病所有信息系呀統(tǒng)的邊界設(shè)栗備進(jìn)行網(wǎng)絡(luò)紅準(zhǔn)入控制，洋不但要考慮殃到與同廠家擺、不同時(shí)代絹的設(shè)備進(jìn)行爛兼容，同時(shí)呢也要考慮到膊與不同廠家倒的設(shè)備做到省兼容。淺要做到這一跳點(diǎn)，網(wǎng)屈絡(luò)準(zhǔn)入控制紛平臺(tái)就必須鉆做到符合標(biāo)忘準(zhǔn)網(wǎng)絡(luò)協(xié)議靈。同時(shí)，靈蜂活地運(yùn)用網(wǎng)泄絡(luò)協(xié)議，對(duì)哈終端通過網(wǎng)誼絡(luò)接入設(shè)備李的接入進(jìn)行辱準(zhǔn)入控制。住目前的信息注系統(tǒng)經(jīng)常會(huì)漲有多種網(wǎng)絡(luò)瓜接入種類的割設(shè)備。其中畏包括：網(wǎng)絡(luò)辛交換機(jī)宜，相Hu觀b大，無垮線湯A艇P倦，屑VPN匙拖接入，防火肚墻穿越，撥橫號(hào)上網(wǎng)等。信兼容不同的造操作系統(tǒng)的在企業(yè)中，當(dāng)終端設(shè)備多賭以微近軟脹Windo駕ws霸聚為主。但同童一企業(yè)中，瞞常常存在這填不同版本禾的嘉Windo革w量s秧，如尸：潤(rùn)Win9餃8拴，脾Win2桌00臂0木，皆WinX蘆P歲，煮Wind焦owsV般ista遭皇等。不同版抄本的操作系孫統(tǒng)所帶的軟群件不同。在猶一個(gè)企業(yè)中浮，也常會(huì)出漫現(xiàn)蘋果操作倒系統(tǒng)凡，忙L縫inu暑x償，肆Unix村鳴等。蠅要想做到對(duì)僻這些操作系順統(tǒng)兼容，只漁有用操作系央統(tǒng)自帶的游陽(yáng)覽器豬作裝為客戶端?？八?，一個(gè)協(xié)好的網(wǎng)絡(luò)準(zhǔn)肯入控制平臺(tái)富，應(yīng)該支持掙不需要安裝棉客戶端軟件粘，而可以用烈游覽器做為艦客戶端完成應(yīng)接入控制。艘利燭用共IP沙標(biāo)中心下發(fā)技蝦術(shù)，建立網(wǎng)化絡(luò)隔離區(qū)被要滿足以上繩的要求，一礦個(gè)方法就是屈利膏用亂IP普膠中心下發(fā)技把術(shù)，建立網(wǎng)支絡(luò)接入隔離拘區(qū)。當(dāng)一個(gè)落未經(jīng)確認(rèn)和冬判斷的終端影接入網(wǎng)絡(luò)時(shí)會(huì)，首先對(duì)這杠個(gè)終端分配榜一個(gè)隔離區(qū)嗽的懲IP冠投網(wǎng)址。隔離疏區(qū)的網(wǎng)段與志辦公區(qū)的網(wǎng)觀段不同，網(wǎng)謝絡(luò)通訊互不假相通，這就援做到了網(wǎng)絡(luò)群的三層隔離跌。萄當(dāng)隔離網(wǎng)與乏辦公網(wǎng)實(shí)現(xiàn)挽了三層隔離算后，不明終宣端膨就無法通辭過喚TCP/I統(tǒng)P沈協(xié)議進(jìn)行網(wǎng)胳絡(luò)訪問。無去法訪問各種室應(yīng)用服務(wù)器蹈，如：郵件聯(lián)服務(wù)器，財(cái)撕務(wù)服務(wù)器，修數(shù)據(jù)庫(kù)，文警件服務(wù)器等蜻。靈對(duì)于一些功次能較強(qiáng)的交研換器，不但蒙可以做到三誕層網(wǎng)絡(luò)，還暫可以實(shí)現(xiàn)網(wǎng)亭絡(luò)的二層隔東離，即殺：蓋VLAN躬黑隔離。這樣盆進(jìn)一步保證昌了辦公網(wǎng)的閣網(wǎng)絡(luò)隔離和暗安全。傻在隔離網(wǎng)中酒，網(wǎng)絡(luò)準(zhǔn)入的控制平臺(tái)會(huì)昌對(duì)接入的不若明終端推送沈認(rèn)證頁(yè)面。海當(dāng)用戶輸入雨用戶名和密屈碼后，網(wǎng)絡(luò)騎準(zhǔn)入控制平牲臺(tái)會(huì)鑒別用豎戶身份和權(quán)催限，對(duì)用戶爹使用的終端曠分配辦公網(wǎng)畢的膨I拆P陡網(wǎng)址。儲(chǔ)見配合接入設(shè)頂備，防止私梢改鈔IP班光網(wǎng)址臭私膠改枝IP傷妹的情況多發(fā)匯生于固浸定翁IP示廊的網(wǎng)絡(luò)中。內(nèi)國(guó)內(nèi)一些部撿門，遠(yuǎn)為了能及時(shí)幣確駝定江IP確將的使用者，郊常常對(duì)每個(gè)防人使用的終仍端指已定催IP座困網(wǎng)址。但是拼由于缺乏靜疊態(tài)曬I啊P翼、中心下發(fā)理的技術(shù)，因睜此多采用在此終端上設(shè)置匙并綁輸定竄IP除牽網(wǎng)址。誰(shuí)讓每一蠶個(gè)重用戶學(xué)會(huì)設(shè)就置沾IP圖繼網(wǎng)址是一件陸耗時(shí)耗力的離事情。同時(shí)鞏，一旦用戶涉學(xué)會(huì)了如何削設(shè)理置膽IP離約網(wǎng)址，就總覽會(huì)有用戶因隱為各種各樣臉的原因，自君己私贈(zèng)改疼IP閑引網(wǎng)址?；W(wǎng)管人員常面常采用加裝測(cè)客戶端軟件邀，防止用戶顧私憶改炮IP歉下網(wǎng)址。但是捐，病毒也是難軟件，病毒樹也能改變終拜端室的嬸IP榜霜網(wǎng)址。同時(shí)享，網(wǎng)管人員秀無法控制沒張有安裝客戶嘆端軟件的終馬端私黑設(shè)騾IP贊管后接入網(wǎng)絡(luò)趣。蛇要想從根本糾上解決這一貿(mào)問題，只有雁采取靜如態(tài)建IP曉、中心下發(fā)切的策略。中直心唉IP塑喪下發(fā)可以通沸過蠢DHCP范腹協(xié)議實(shí)現(xiàn)。夾其實(shí)腦，矩DHCP針湊協(xié)議只是一嫌種中心下發(fā)守的協(xié)議。與綢綁定終端錘與麥IP祥卡網(wǎng)址并不矛居盾。比較熟紀(jì)悉娃D(zhuǎn)