北信源网络接入控制系统工作原理与功能对比.docVIP

实用标准文档 PAGE 文案大全 北信源网络接入控制系统 工作原理与功能 北京北信源软件股份有限公司  目 录 TOC \o 1-3 \h \z \u 1. 整体说明 h 4 2. 核心技术 h 4 2.1. 重定向技术 h 4 2.2. 策略路由准入控制技术 h 5 2.3. 旁路干扰准入控制技术 h 7 2.4. 透明网桥准入控制技术 h 8 2.5. 虚拟网关准入控制技术 h 8 2.6. 局域网控制技术 h 9 2.7. 身份认证技术 h 9 2.8. 安检修复技术 h 10 2.9. 桌面系统联动 h 10 3. 产品功能对比 h 11  整体说明 准入网关对接入设备进行访问控制，对于未注册用户进行WEB重定向进行注册；注册后的用户进行认证或安检后可以访问网络； 管理员可以配置采取何种准入控制方式，如策略路由，旁路监听，透明网桥，虚拟网关等；同时可以选择使用不同的认证类型，如本地认证，Radius认证，AD域认证等，而认证途径采取网关强制重定向； 准入网关整体上对准入的控制可分为两类，一类是网关自己控制数据的流通，另一类则是通过配置交换机，让交换机来控制数据包的流通。目前准入网关实现的策略路由和旁路监听，透明网桥等准入控制均属于前者，也就是网关自己通过放行或丢弃、阻断数据包，来达到准入控制，对于数据包的阻断是基于tcp实现的；而虚拟网关则是通过控制交换机VLAN来达到准入控制； 核心技术 为了适应不同业务环境下的统一入网控制，北信源网络接入控制系统采用多种核心技术设计，支持多种准入控制模式，实现从多角度多维度的终端入网安全控制。 重定向技术 接入控制的目的是为了阻止不可信终端随意接入网络，对于不可信终端的判定需要一个过程，如何在判定过程中进行良好的提示,这就对产品的人机界面设计提出了较高的要求。业界通常的做法是针对http性质的业务访问进行重定向，以往针对http的业务区分主要基于业务端口（主要为80端口），对于非80业务端口的http业务不能有效区分。针对以上情况，北信源网络接入控制系统对http业务进行了深度识别，除80端口的http业务可以进行有效重定向之外，针对非80端口的http业务也能进行有效的识别和重定向。 除此之外，北信源网络接入控制系统针对终端入网的控制流程进行了重定向优化，针对终端入网注册、认证、安检、修复的整个流程进行了人性化的设计，整个重定向过程符合终端入网习惯，贯穿终端入网的全过程，并在重定向页面提供人性化帮助提示，主要表现在以下几大方面: 针对未注册终端，提供重定向下载页面供终端进行Agent下载和注册； 针对未通过身份认证的用户，提供多种认证重定向页面，认证方式可供用户选择； 提供人性化的安检评分重定向页面，采用Ajax技术，使得安检结果可以在重定向页面自动刷新，自动评分，并在重定向页面提供一键修复策略； 在终端入网的每个重定向环节提供帮助说明，对业务操作提供帮助链接，帮助终端使用者自动解决入网过程的所有问题，减少网络管理人员的参与，提高网络管理的效率，降低人工成本； 重定向页面的提供不基于特定的IE浏览器，只要是http的业务形式，无论是采用IE浏览器访问，还是采用客户端登录（例如QQ登录），或是客户端弹出窗口（例如QQ、飞信弹出内容模式）都可以进行重定向。 策略路由准入控制技术 在过去，所有的准入控制模式几乎都是基于网络链路节点来进行控制的，从终端PC、网络交换设备、路由器防火墙等，所有的控制节点都放在了网络转发或传输设备本身。这种模式不仅加重了网络基础设施的压力，同时也更容易形成单点故障，对网络业务本身可能造成不可连续性运营的困扰。随着近年来准入控制技术的不断发展，越来越多的准入控制技术都采用了OOB（Out Of Band）模式，即所谓旁路部署模式，在准入控制产品的本身出现故障的情况下，并不会影响网络业务本身的可持续性运营，网络准入控制技术的发展也由此迈向了一个新的台阶。 北信源网络接入控制系统的策略路由模式，要求网络基础设施的核心设备（例如核心交换机）支持策略路由功能，通过将上行业务请求通过策略路由的控制定向到北信源网络接入控制系统，经由北信源网络接入控制系统针对终端的可信程度进行认证和判定后，采用丢弃或者正常转发到原路由下一跳的方式，对终端入网进行安全可信的筛选，从而达到准入控制的效果，具体流程可以参考以下流程示意图： 图4 策略路由准入控制模式示例流程 由于策略路由模式只针对上行业务请求进行处理，不会影响下行业务返回的正常转发，也不影响网络路由和拓扑的更改，其安全性也得到了更多的保障，因而比较适合于大多数网络环境。 另外，大多数支持策略路由的核心设备同时也支持逃生模式，核心设备在确认策略