- 1、本文档共13页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
HWP-TD-NAC-WP-001
北信源网络接入控制系统
工作原理与功能
北京北信源软件股份有限公司
1
HWP-TD-NAC-WP-001
目 录
1. 整体说明4
2. 核心技术4
2.1. 重定向技术4
2.2. 策略路由准入控制技术5
2.3. 旁路干扰准入控制技术7
2.4. 透明网桥准入控制技术8
2.5. 虚拟网关准入控制技术8
2.6. 局域网控制技术9
2.7. 身份认证技术9
2.8. 安检修复技术 10
2.9. 桌面系统联动 10
3. 产品功能对比 11
2
HWP-TD-NAC-WP-001
1. 整体说明
准入网关对接入设备进行访问控制,对于未注册用户进行WEB 重定向进行注
册;注册后的用户进行认证或安检后可以访问网络;
管理员可以配置采取何种准入控制方式,如策略路由,旁路监听,透明网桥,
虚拟网关等;同时可以选择使用不同的认证类型,如本地认证,Radius 认证,
AD 域认证等,而认证途径采取网关强制重定向;
准入网关整体上对准入的控制可分为两类,一类是网关自己控制数据的流
通,另一类则是通过配置交换机,让交换机来控制数据包的流通。目前准入网关
实现的策略路由和旁路监听,透明网桥等准入控制均属于前者,也就是网关自己
通过放行或丢弃、阻断数据包,来达到准入控制,对于数据包的阻断是基于tcp
实现的;而虚拟网关则是通过控制交换机VLAN 来达到准入控制;
2. 核心技术
为了适应不同业务环境下的统一入网控制,北信源网络接入控制系统采用多
种核心技术设计,支持多种准入控制模式,实现从多角度多维度的终端入网安全
控制。
2.1. 重定向技术
接入控制的目的是为了阻止不可信终端随意接入网络,对于不可信终端的
判定需要一个过程,如何在判定过程中进行良好的提示,这就对产品的人机界面
设计提出了较高的要求。业界通常的做法是针对http 性质的业务访问进行重定
向,以往针对http 的业务区分主要基于业务端口(主要为80 端口),对于非80
业务端口的http 业务不能有效区分。针对以上情况,北信源网络接入控制系统
对http 业务进行了深度识别,除80 端口的http 业务可以进行有效重定向之外,
3
HWP-TD-NAC-WP-001
针对非80 端口的http 业务也能进行有效的识别和重定向。
除此之外,北信源网络接入控制系统针对终端入网的控制流程进行了重定
向优化,针对终端入网注册、认证、安检、修复的整个流程进行了人性化的设计,
整个重定向过程符合终端入网习惯,贯穿终端入网的全过程,并在重定向页面提
供人性化帮助提示,主要表现在以下几大方面:
⚫ 针对未注册终端,提供重定向下载页面供终端进行Agent 下载和注册;
⚫ 针对未通过身份认证的用户,提供多种认证重定向页面,认证方式可供
用户选择;
⚫ 提供人性化的安检评分重定向页面,采用Ajax 技术,使得安检结果可以
在重定向页面自动刷新,自动评分,并在重定向页面提供一键修复策
略;
⚫ 在终端入网的每个重定向环节提供帮助说明,对
文档评论(0)