北信源网络接入控制系统工作原理与功能对比整理.pdf

HWP-TD-NAC-WP-001 北信源网络接入控制系统 工作原理与功能 北京北信源软件股份有限公司 1 HWP-TD-NAC-WP-001 目 录 1. 整体说明4 2. 核心技术4 2.1. 重定向技术4 2.2. 策略路由准入控制技术5 2.3. 旁路干扰准入控制技术7 2.4. 透明网桥准入控制技术8 2.5. 虚拟网关准入控制技术8 2.6. 局域网控制技术9 2.7. 身份认证技术9 2.8. 安检修复技术 10 2.9. 桌面系统联动 10 3. 产品功能对比 11 2 HWP-TD-NAC-WP-001 1. 整体说明 准入网关对接入设备进行访问控制，对于未注册用户进行WEB 重定向进行注 册；注册后的用户进行认证或安检后可以访问网络； 管理员可以配置采取何种准入控制方式，如策略路由，旁路监听，透明网桥， 虚拟网关等；同时可以选择使用不同的认证类型，如本地认证，Radius 认证， AD 域认证等，而认证途径采取网关强制重定向； 准入网关整体上对准入的控制可分为两类，一类是网关自己控制数据的流 通，另一类则是通过配置交换机，让交换机来控制数据包的流通。目前准入网关 实现的策略路由和旁路监听，透明网桥等准入控制均属于前者，也就是网关自己 通过放行或丢弃、阻断数据包，来达到准入控制，对于数据包的阻断是基于tcp 实现的；而虚拟网关则是通过控制交换机VLAN 来达到准入控制； 2. 核心技术 为了适应不同业务环境下的统一入网控制，北信源网络接入控制系统采用多 种核心技术设计，支持多种准入控制模式，实现从多角度多维度的终端入网安全 控制。 2.1. 重定向技术 接入控制的目的是为了阻止不可信终端随意接入网络，对于不可信终端的 判定需要一个过程，如何在判定过程中进行良好的提示,这就对产品的人机界面 设计提出了较高的要求。业界通常的做法是针对http 性质的业务访问进行重定 向，以往针对http 的业务区分主要基于业务端口（主要为80 端口），对于非80 业务端口的http 业务不能有效区分。针对以上情况，北信源网络接入控制系统 对http 业务进行了深度识别，除80 端口的http 业务可以进行有效重定向之外， 3 HWP-TD-NAC-WP-001 针对非80 端口的http 业务也能进行有效的识别和重定向。 除此之外，北信源网络接入控制系统针对终端入网的控制流程进行了重定 向优化，针对终端入网注册、认证、安检、修复的整个流程进行了人性化的设计， 整个重定向过程符合终端入网习惯，贯穿终端入网的全过程，并在重定向页面提 供人性化帮助提示，主要表现在以下几大方面: ⚫ 针对未注册终端，提供重定向下载页面供终端进行Agent 下载和注册； ⚫ 针对未通过身份认证的用户，提供多种认证重定向页面，认证方式可供 用户选择； ⚫ 提供人性化的安检评分重定向页面，采用Ajax 技术，使得安检结果可以 在重定向页面自动刷新，自动评分，并在重定向页面提供一键修复策 略； ⚫ 在终端入网的每个重定向环节提供帮助说明，对