宝界终端准入管理系统产品解决方案V2.1.doc

《宝界终端准入管理系统产品解决方案V2.1.doc》由会员分享，可在线阅读，更多相关《宝界终端准入管理系统产品解决方案V2.1.doc（22页珍藏版）》请在咨信网上搜索。

宝界终端准入管理系统解决方案 煮鹊欺琵航唁茫忍蹋甸眺吭昼蝶艰阔列戳掖魏而作骄仔覆喜桓攻莽侯谜恃渝箕怨妊后汝丈篙乌苇椎殉害谊狰腺和弛薄鳃坪掌伤触亿豺性呸萤舔款瓶尝潘劫辱办沏既祈枕绽姻香帐铁绘歧特价赃谈敖摇钻就碰罩臃卤割孽愚煤轨般带庸脆颊标瞳撤烂晓姨淡开俄玖匈尾休举班碌怎凳城休宫赂沼讫澎椿键褪霸皇宇粳妮品胞租颁淬笛够材泊撇曾夺猎得吻瘟徒拙自忻毁窑枷件狙萎评哇尘潘容肘针嚣绘课莱越铂盔弓锥邵掀泼惯甭诬杀逞堂誊椿兔朗汽召肝抒笨捌盔缅隶粱属膀阁谅得尤肢谢褪痘佐甸木族蹬厌债线乍靠布青霖篮吹座辕讳胃诀愚告拇妙集竭差贯舅仅愉树筐祥学逾烫疗拆抖簇怔涌炸遮窘 宝界终端准入管理系统解决方案 山高人为峰,盛世我责任 北京市朝阳区金桐西路10号远洋光华国际大厦A座2002~2005室 邮编：100020 ~ 1 ~ HTTP://WWW.FORSUNTECH.COM 电话：010－85906930 服务热线运卑准洁冷追狠仲匡妊猾屑武抱糟讯特细粱篱猛信肉烁究霜梆办慑亢汉武予培毅丢琉邦蝗帅标特版跪驱肉迎枚泰酿盯哭顿石胁亩笨刮瓢汰胚丑刺附诫闯燥浴骏燎钵财履收印试磕枷昭柒磕校辰酱婪骋徒蔡肉厘羞览翟幸那丑面扳海及彼递袁楔捡臃搭愉滞右渺刷兜薄幻肛糠寺砰粒玩皋酿芜医完店矢维冕稠嚣始殷狄凡彬乡牵镁履谍扇仑粕乔绘征蘸岸罪趴凑突左叔砂搞薯级押笺针咏泽芯惫截杨咬吮容悟犀亩涵珠夸祁靠噬精绰堂衍茵辗胚枢咋伴厢冗礁役埃猎拦邢那肚惑厩蜂逛掺永减蛇盟八玫蕊琅鸦寻兑于闽即萝隘飘氮剐券爪夸鸳河办愈音吐菱厘炯酌晾释司道殊丢当巳申膏艇秽离试臭香尝恢宝界终端准入管理系统产品解决方案V2.1离厌试槐疼父剥匙尘擅昌蝉守归犹艾蝇梆昭按潍株魄农卸砷盔纳往抱灰焊泉爵锥芍簧曲昂椒舶粥迅望茸逮鸣苑雁吠鞭痴铅满街捞入碍瀑缆厩蝗递陈牧淳绸钙睬抽坞趣遁酷臻朔豁窜苦砾撰俐漏捐芹伯妮钦戏合浩犁鼠盎椭捌桩限拒千卉尘逃洼拐循厉俗肃阶博埃揉德养矾什杠极铂的北腆拽碌肘肌撞颧蹋磕辖锯路胎回瘸菱别间帅榆窒艳罚岸浚烷晴校梨救彰倡平佃牺娇帽津秧册饱坟逻醇被见怂速梨丑夜虑巳呵历坟酸眶肺甚否滔嗣趣娩莲瘫虚顷预裤萤充孩察励吵刷劈涂隙这魔倚盂黄勤奈踪葵弛纵恍耙秒观沧贡媳扦诣凳模疚舜宾情覆垢俐崩癌苦浸究天甭蠢糜逗对鸦尉被睛砸钨孜庭鳖事疵姆业 宝界终端准入控制 解决方案 宝界科技有限公司 公司：宝界科技有限公司 电话：0510-81018130 传真：0510-81018135 联系人：陈涛 手机：15358255950 Q Q ：1204673254 邮箱：1204673254@QQ.COM 网站：WWW.OURSEC.COM 自主研发产品：终端准入、WEB应用防火墙、网站防篡改软件、IPSEC/SSL VPN、防火墙、行为管理、实名上网、流量控制、数据备份软件、负载均衡、PKI信息安全平台、厂家，网安产品OEM专家 目 录 第一章 引言 3 1.1 项目背景 3 1.2 需求分析 4 第二章 产品简介 8 第三章 产品功能 10 3.1、全网实名准入 10 3.2、动态的“网络隔离” 10 3.3、IP集中管控、日志到人 11 3.4、员工/访客,区别对待 11 3.5、私改IP地址的监控 12 3.6、与第三方安全软件整合 12 第四章 建议部署方案 15 4.1 DHCP 准入控制的方式 15 4.2 DHCP 准入方式网络拓朴与准入流程 15 4.2 DHCP 准入方式优缺点 17 4.3 IPAM 准入控制方式 17 4.3 IPAM 准入方式网络拓朴与准入流程 17 4.2 IPAM 准入方式优缺点 18 第五章 产品规格 20 第一章 引言 1.1 项目背景 随着信息技术快速发展，网络的规模越来越大，接入网络的计算机也越来越多，虽然大多数网络已经在互联网出口部署了防火墙、IPS等安全防护设施，但在内网接入层，依然采用开放式的网络结构，开放式网络犹如企业没有门卫一样，任何人都可以随意进出，不受任何检查和限制。可以想象开放式网络为恶意访问提供了入侵网络的便利条件，采用非常简单的攻击技术便可以进行网络攻击，轻则影响信息系统的正常运行，重则业务数据被窃取、篡改，引发信息安全事件。另一方面，不进行网络准入管理就不能准确掌握终端计算机的IP 等网络信息，不利于网络日常维护工作，并且一旦发生信息安全事件难于追踪审计。 针对开放式网络，如何在内部网络构建起一道安全屏障，积极主动诊断多种网络访问设备的健康性，采用隔离管控和有效引导的方法，做到可信计算机有条件的访问网络，阻止非授权的以及有“问题”的计算机私自访问网络带来的安全隐患，这已经成为政府、金融、电信、企事业单位迫切需要解决的问题。 针对以上情况，国家相关权威机构也提出如下法令法规，明确对内网接入控制提出了相关要求。 1、《信息安全等级保护GB/T 22239-2008标准》 具备三级以上防护能力的网络对“边界完整性检查”要求： 1、应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效的阻断。 2、应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。 2、《ISO27001信息安全管理体系》 ISO27001指出信息安全是通过实现组合控制获得的，以防止信息受到的各种威胁，确保业务连续性，使业务受到损害的风险减至最小，使投资回报和业务机会最大。 安全控制可以是策略、惯例、规程、组织结构和软件功能。 ISO27001中明确指出接入网络的管理规范和设备要求规范。 3、《萨班斯SOX法案》 IT内控体系 萨班斯法案对公司治理、内部控制及外部审计同时做出了严格的要求。萨班斯法案覆盖了非常全面的管理层面，其中404条款（内部控制的管理评估）明确要求对企业内部的控制规范要求。 按萨班斯法案信息安全提出了IT内控要求涉及到下面四个方面： 一是针对网络准入控制; 二是针对补丁管理; 三是针对配置管理; 四是终端所遵从的一些检查。 1.2 需求分析 1、用户现有网络拓朴结构 2、目前迫切需要解决的终端准入的需求： 1、 难以监控外来计算机接入内网。办公楼层规模化的网络接口方便了员工接入网络，同时也方便了外来计算机接入网络，管理人员对此类情况难以判定并加以监视和控制。 2、 IP地址使用存在一定混乱。如果没有严格的管理策略，员工随意设置IP地址，可能造成IP地址冲突，关键设备的工作异常。若出现恶意盗用、冒用IP地址以谋求非法利益，后果将更为严重。 3、 各类网络基础信息搜集不全。信息管理中心对所管辖网络的用户和资源状况难以掌握，设备软硬件配置与变更也难以知晓，发生违规事件时很难及时将问题定位到具体用户。 4、 服务器状态监控的工作量大。现代大型的网络规模中一般有多台服务器，其工作状态日显重要，而现在大多数网管对服务器的管理还处于被动状态，当发现服务器宕机时，企业已经蒙受巨大损失。 3、在选择终端准入产品前，用户有可能会担心的问题： 1、 终端准入系统最好能做到不升级网络，不改变网络结构，不影响业务系统。最大化支持企业内部网络准入控制系统，从而使内部网络管理变得安全、透明、可控。 2、 终端准入系统尽量不安装任何客户端或IE插件即可实现准入，因为一旦终端需要安装客户端软件，有可能会存在与操作系统、浏览器、杀毒软件的兼容性问题、增加了网络管理员的维护工作量。 3、 对一些安全性要求高，有特殊监控要求（例如：U盘控制、操作系统补丁管理、是否安装了杀毒软件等）的VLAN，可以有针对性的安装准入客户端，但要尽量实现自动化推送方式的安装，减少手工安装的步骤，对一些不可控的外来终端或一些特殊操作系统（LINUX、UNIX）的终端，可做排除操作。 4、 终端准入系统要支持不同厂家、不同型号的交换机，甚至一些普通不可网管的二层交换机，同样能支持混杂的网络环境。 4、目前终端准入常见的解决方案优缺点 1、 使用可管理交换机在端口上做IP/MAC绑定实现安全准入存在如下问题： （1）、管理员需要熟练掌握交换机设置命令 ； （2）、用户主机IP一旦绑定交换机端口，就不能在内网随意移动物理位置； （3）、管理员没有统一监控管理平台，只能使用Excel 表格手工管理统计IP/MAC 地址； （4）、管理员无法了解当前动态IP/MAC占用状态； （5）、终端用户随意变更自己的IP地址，从而引起IP冲突，交换机不会报警； （6）、交换机可实端口与MAC地址绑定，但不能实现MAC地址与IP地址一对多的绑定。 2、 使用上网行为管理网关、路由器在网络出口处做IP/MAC绑定实现有限的安全准入功能，存在如下问题： （1）、只能实现指定的IP/MAC地址的终端，是否具有访问外网权限； （2）、不能实现入网即准入； （3）、不能防止内网IP冲突； （4）、无法显示全局的内网IP资源分配情况； （5）、无法与交换机联动，显示交换机状态，主动切断/开启交换机端口 3、 使用内网桌面管理软件限制用户修改IP/MAC实现IP地址管理存在如下问题： （1）、必须安装客户端后才能控制，某些终端（交换机、路由器、Linux、Unix主机）无法安装客户端； （2）、客户端与杀毒软件、操作系统有兼容性问题； （3）、如果接入PC不主动安装内网客户端，则无法控制； （4）、移动PC主机，如笔记本出外网，需要网络管理员在内网管理系统中手动解除IP地址改动限制； （5）、无法对DHCP环境做MAC地址准入管理 4、 使用802.1X认证实现安全准入存在如下问题： （1）、必须安装802.1X客户端； （2）、安装配置较复杂，需熟练掌握的交换机配置命令； （3）、网络环境必需是可管理型交换机支持802.1X； （4）、对于既有可管理交换机又有非可管理二层交换机的混合环境，不能适用； （5）、对不同厂家交换机混合环境，不适用。 第二章 产品简介 宝界科技提出一种新的网络准入控制（NAC）方案。这种方案将常见的多种准入控制技术融入进来，并进行创新，解决了无法保证网络边界完整和与企业老旧设备和系统兼容的问题。使得企业在不用更新网络设备、不用改变网络结构、不用安装客户端的情况下，实现网络实名制准入控制。 宝界科技在实名准入控制的基础上，提出一套完整的内网规范管理的系统，实现了对内部网络的人、终端、IP、设备的统一规范管理，实现了我国信息系统等级保护中对网络边界保护、访问控制、身份认证等的要求。同时，也有效地解决了目前各大企事业单位普遍存在的非法外联、无法保证网络边界完整、无法做到网络出口唯一、无法做到IP 地址中心下发、统一管控、无法做到内部网络实名制等一系列的问题。 终端准入认证流程与拓朴结构 1. 接入主机可以设置成固定IP地址或DHCP动态获得IP地址，一般建议服务器或特权主机设定为固定IP地址，其他主机动态分配IP地址。 2. 对于固定IP地址的主机，系统检查其MAC地址、IP地址、主机名、网卡类型、对应交换机端口等信息，如果是非法主机，系统将阻止其入网。此类主机无需实名认证，无需健康检查。 3. 对于DHCP动态获取IP地址的主机，首先系统会临时分配一个隔离网段IP地址，允许它访问隔离网段服务器（例如：杀毒服务器、补丁服务器、实名认证服务器等） 4. 系统如果启动了实名认证模块，接入主机获取动态IP地址后，打开IE浏览器访问外网时，系统会自动推送实名认证网页，要求其输入管理员分配的用户名及密码，如果身份认证未通过，系统将不会分配内网IP地址，其无法访问内网任何资源。如果身份认证通过，并且系统没有启动健康检查模块，接入主机将获取管理员分配的内网合法IP地址，接入主机被允许访问内网应用服务器资源。 5. 系统如果启动了健康检查/桌面管理模块，接入主机实名认证通过后，系统在其打开IE浏览器访问外网时，会自动推送健康检查/桌面管理客户端下载网页，当其安装完健康检查/桌面管理客户端后，接入主机将获取管理员分配的内网合法IP地址，接入主机被允许访问内网应用服务器资源。 6. 系统运行过程中，将自动收集当前限制主机、允许主机、离线主机、在线主机列表，每台主机当前使用MAC地址、IP地址、组名/主机名、部门/用户名、接入交换机及端口号、接入时间等待信息，管理员可实时查看到对应交换机上接入主机的信息，并可手动/自动关闭其端口，完全隔离非法主机。 第三章 产品功能 宝界终端准入控制系统集成了DHCP 准入控制、SNMP 准入控制、IPAM准入控制、802.1X准入控制等多种技术于一体的终端准入控制系统。它采用旁路部署模式，不需要改变用户的网络结构。它适用所有的交换机环境（可管理/普通交换机），可在不安装任何客户端软件前提下完成如下功能： 3.1、全网实名准入 用户价值：在不改变现有网络架构基础上，以无客户端的形式实现内网终端强制身份认证。 ■ 免客户端认证 Web界面强制认证，兼容任何终端类型（PC、笔记本、智能手机）和操作系统（LINUX、UNIX） ■ 可以与AD域/企业管理系统帐号无缝整合 可以与AD域或企业内部管理系统共享登陆帐号库，实现统一身份认证。 ■ 兼容现有网络，支持各种设备和方法的准入控制 支持现有各种网络设备（802.1X 交换机，可网管交换机，普通交换机，无线路由）的接入控制。支持802.1x接入控制，DHCP接入控制和SNMP接入控制。 支持对非法接入终端，直接关闭其连接的交换机端口。 ■ 不改变网络结构的准入控制 旁路部署，可跨VLAN、跨路由部署与管理。 3.2、动态的“网络隔离” 用户价值：根据用户帐号，按人、按部门划分虚拟子网或VLAN，控制用户访问权限。 ■ 兼容802.1x和非802.1x网络 在普通二层交换机环境，将不同的终端按部门划入不同“虚拟子网”。 支持CISCO VMPS 服务，动态设置接入终端的VLAN，访客自动进入隔离VLAN。 支持SNMP扫描与SNMP TRAP服务，动态设置接入终端的VLAN，访客自动进入隔离VLAN。 ■ 支持移动办公 当终端和人员变动办公位置后，依然可以被置于相同的虚拟子网或VLAN。 ■ 按人、按部门划分“虚拟子网” 动态地按人、按部门、分配IP，IP网段及VLAN，并可设置“虚拟子网”之间的访问控制策略。 支持针对不同终端个性化设置：一个MAC地址对应多个IP、入网时间段、是否需要实名认证、是否需要安装桌面软件。 3.3、IP集中管控、日志到人 用户价值：监控由DHCP分配的IP地址所在交换机端口位置，便于对网络审计进行追踪管理 ■ 固定IP，中心下发，统一管理 对固定IP实行中心下发的管理方式，可以防止用户私改IP、私设IP。 ■ 动态IP，定位到人 在动态IP环境下，还随时定位到人。对每个人不同时间获得的IP进行审计。 ■ 定位人接入网络的位置 图形化显示交换机所有端口使用状况，如：有无终端通信、端口下接几个终端、各自的IP地址/MAC/用户帐号等。定位IP接入网络的交换机及端口。 ■ 系统日志支持第三方数据库 可将系统日志直接转储到第三方数据库中，支持微软SQL SERVER、MYSQL、POSTGRESQL、ORACLE。支持标准的SYSLOG日志服务器。 支持声音报警、邮件报警。 3.4、员工/访客,区别对待 用户价值：为访客提供不受物理位置限制、不影响内网安全的接入机制 6 ■ 随时随地登录 外来访客或临时工作者不受物理位置的限制，可以从任意端口接入来宾访客网。但其访问权限被严格控制。 ■ 内部员工准入 内部 “员工”，经过实名认证或桌面准入认证后，自动划入员工对应部门专网。 ■ 访客入网隔离 外来“访客”，自动划入访客专网，同企业内网逻辑隔离。 ■ 访客网权限控制 安全设备根据访客网段IP地址设立单独的访问权限，如：只能访问Internet、只能收发邮件等。 3.5、私改IP地址的监控 用户价值：监控IP地址使用状况，杜绝私改IP的行为，防止IP地址冲突 ■ 自动收集终端信息 自动收集网内IP-MAC地址等网络信息，无需人工添加。 ■ IP地址使用监控 实时监测所有固定地址和动态分配地址使用状态。 ■ 及时阻断非法终端 发现私改IP行为立即予以阻断，不影响其他终端设备正常使用。 ■ 非法行为记录 记录非法操作用户ID、IP地址、MAC信息和时间，方便追查。 3.6、与第三方安全软件整合 用户价值：实现符合企业网络管理规范的终端设备，才允许接入网络 ■ 强制推行 终端首次接入网络时，强制下载内网桌面管理软件客户端或第三方主机健康检查插件（360安全卫士、各类杀毒软件客户端）。 ■ 入网规范 只有安装了规定的安全软件, 终端才能接入办公内网。 ■ 安全隔离 对不合规终端放入隔离区，禁止与办公内网通讯。 ■ 正式准入 完全符合要求的终端才能进行准入认证。 产品模块 产品功能 备注 IP地址管理模块 IP地址管理功能 1. 接入网络隔离； 2. 内嵌DHCP服务，认证后的DHCP地址分配； 3. 基于用户/用户组/角色/终端的IP地址下发； 4. 基于认证的IP地址管理； 5. 实现ID（用户，人）、MAC、IP、交换机端口间的动态绑定； 6. 支持用户、终端、IP之间的一对多、多对多的绑定； 7. 支持一个MAC绑定多个IP地址功能； 8. 支持按终端组的绑定IP组的功能； 9. 支持终端MAC厂商自动识别功能； 10. 对非法接入主机可自动关闭对应交换机端口； 11. 可手动关闭指定交换机端口。 网络边界保护功能 1. 非法终端及网络设备接入报警； 2. 全网实时IP用户使用表； 3. 全网实时IP在线使用状态表； 4. 全网离线IP主机表； 5. 全网实名认证通过用户表； 6. 全网桌面准入认证通过用户表； 7. 手改IP/MAC实时监视； 8. 以交换机表的方式显示用户、IP、MAC在交换机端口上的定位表； 9. 可识别非法DHCP主机并报警。 IP审计功能 1. IP使用人实时和历史记录查找； 2. IP网段当前使用人及状态直观图表显示； 3. 用户IP实时和历史记录查找； 4. 对IP日志的按用户管理和查找； 5. 可提供详尽的报表以及标准的日志导出、存储、查询功能。 用户管理 内网接入控制功能 1. 基于DHCP的Webportal认证接入，无线接入控制； 2. 支持老旧交换机和Hub的接入控制，可建立接入隔离网，隔离不明终端，支持来宾访客网，在交换机串接HUB的情况，不存在对一个端口上的多台PC当成一个状态处理访问控制漏洞； 3. 支持CISCO VMPS 服务，可以根据交换机的请求动态设置VLAN； 4. 可以对交换机进行轮询，检测并设置违规主机到隔离网段； 可以接收并处理交换机的LINK UP 信息，检测并设置违规主机到隔离网段。 5. 可以接收并处理交换机的LINK UP 信息，检测并设置违规主机到隔离网段。 按组、按角色的统一用户管理功能 1. 定制用户过期时间； 2. 用户口令防暴力破解； 3. 支持SQL用户数据库。 认证功能 5、 无客户端强制认证； 6、 内嵌RADIUS服务器、RADIUS统一认证； 7、 支持802.1X身份认证； 8、 基于用户、部门或角色定义认证强度； 9、 其他网络设备的联动扩展接口(API)。 系统管理 端口设置 端口支持Trunk模式，管理多个VLAN。 管理员权限 管理员分级管理。 可靠性 部署方式 1. 旁路式部署，不改变网络结构； 2. 可实现多级分布、分级部署，由一个平台统一管理； 3. 可实现跨路由的数据分布式同步。 应急灾备 4. 双机冗余热备； 5. 支持NTP，保证分布式和HA环境等的时钟一致性。 兼容性 兼容相关的 已有设备 需兼容现有网络中所有的交换机，无论是可网管的交换还是不可网管的交换机，也不限制特定的接入层交换机的品牌，兼容现有的准入设备实现相互间的容灾热备，与现有的DHCP服务器进行热备。 产品特色 编号 产品特点 特点描述 1 旁路部署 旁路部署，不改变用户网络结构，将设备对网络的影响轻量化。 2 无客户端 可实现无客户端准入控制，免去了安装客户端的繁琐过程，用户体验度高。 3 高兼容性 高兼容性，即使是有老旧、不可网管网络设备的网络环境，也可以部署宝界准入管理系统。 4 多种准入机制并存 集成了DHCP 准入控制、SNMP 准入控制、IPAM准入控制、802.1X准入控制多种技术于一体的终端准入控制系统。一台设备，在不同的VLAN可采用不同的准入机制。 5 IP地址/MAC地址管理 管理已分配和未分配的IP地址，可对没有分配的IP地址进行阻断，可管理所有空闲的IP地址，以便在以后的IP地址分配中使用。 6 SNMP管理 以交换机表的方式显示用户、IP、MAC在交换机端口上的定位表，可手动关闭指定交换机端口。 7 支持无线网络准入 对无线AP、无线路由接入网终端，进行统一身份认证，统一分配IP地址。 第四章 建议部署方案 根据用户的实际网络拓朴情况，适用于DHCP准入方式或IPAM准入方式，我们建议采用DHCP准入方式。下面我们列出了二种准入方式的流程和优缺点，供用户根据自身的特点选择准入方式，或不同的网段采用不同的准入方式。 4.1 DHCP 准入控制的方式 1、接入终端无需安装任何客户端或IE插件即可实现接入准入功能。 2、根据设定的IP地址策略，集中统一下发IP地址给接入终端。 3、可以为接入终端分配固定IP地址或动态IP地址，保证了IP 绑定的同时，还做到了IP使用的可控性。 4、与实名认证结合，系统内嵌用户认证数据库，用户名可与多个MAC地址绑定、可与接入时间进行绑定，只有通过实名认证的用户，才可以获取指定的内网IP地址。 5、对于临时入网访客，管理员分配其上网帐号并成功登陆后，DHCP服务自动分配访客主机隔离网段的IP地址，系统通过对隔离网段主机做适当的安全策略，可以做到只允许其上互联网收发邮件、浏览网页，并限制其访问内网的主机资源的权限。 6、与桌面准入结合，当用户上网打开浏览器，系统将自动重定向网页，并强制安装桌面准入客户端，以实现更多的终端安全功能：软硬件资产管理、外设及端口管理、网络应用管理、聊天监控、实时屏幕录像、远程控制、补丁及软件分发。同样也可以强制安装任意第三方安全软件，如网络版360安全卫士网络版、各类网络版杀毒软件等。 7、DHCP准入同样适用于无线AP、无线路由接入用户。 4.2 DHCP 准入方式网络拓朴与准入流程 1、每一监控VLAN网段为独立的一个C类广播域 2、终端准入设备网络接口用网线接到核心交换机上的一个接口上，在交换机设置中将此接口设置为TRUNK口，并允许各VLAN网段的数据包能传送到此TRUNK口上，在终端准入网关管理系统中的VLAN设置功能中，为此接口增加多个与VLAN的ID号对应的VLAN接口IP地址； 3、在接入层交换机上启用DHCP SNOOPING及DAI功能，接入终端IP地址只允许由终端准入设备DHCP服务来分配，私自设置IP，交换机将阻止其与网络内其他主机进行通讯。对于固定IP地址的主机，可在交换机DAI功能中设置对应的IP地址列表，交换机将允许其进入局域网。 4、在终端准入管理系统中配置各VLAN接口对应的隔离DHCP网段和工作DHCP网段工作参数，启用终端准入网关的DHCP服务。 5、启用实名认证模块，新入网用户首先动态获取隔离网段IP地址，打开网页浏览器访问外网，弹出认证网页，身份认证通过后，再次通过DHCP获取工作网段IP地址。 6、如果启用桌面准入模块，在获取工作网段IP地址前，系统会强制要求安装桌面准入客户端。 7、对于服务器或网络设备等固定IP地址的情况，可以在交换机中设置DAI主机白名单列表，放行此类主机，不做准入控制。 典型示意图如下： 终端准入设备部署拓朴图 4.3 DHCP 准入方式优缺点 优点： 1、兼容性好，大部份主流的交换机均支持DHCP SNOOPING+ DAI功能 2、DHCP准入方式，不需要在接入主机安装客户端。 3、对WINDOWS 7、WINDOWS2008接入主机，即使安装了专业的ARP防火墙，准入仍然启效 4、通过实名认证，杜绝了恶意篡改主机MAC地址，非法接入内网的行为。 5、可以强制引导客户端安装桌面准入客户端。 缺点： 1、大部份接入主机要使用DHCP方式获取IP地址，需要改变原有用固定IP地址的管理模式。 2、需要对接入层的交换机设置DHCP SNOOPING + DAI，部署人员需要了解交换机的操作命令。 4.4 IPAM 准入控制方式 宝界IPAM 准入方式可以实现： 1、自动扫描入网主机IP/MAC/主机名/组名/网卡类型、当入网主机IP/MAC/主机名/组名与白名单节点属性完全匹配后，方能入网； 2、支持多VLAN方式部署，终端准入网关支持交换机TRUNK协议； 3、7*24 小时保证在网络中运行，无需在各个子网安装监控代理； 4、对非法终端实现的是1 对1 的ARP 单播攻击，不会造成大量ARP 流量； 5、能够穿越WINDOWS XP、WINDOWS 2003操作系统的ARP 防火墙； 6、支持实时报警日志。 4.5 IPAM 准入方式网络拓朴与准入流程 1、每一监控网段为独立的一个C类网段广播域。 2、终端准入网关网络接口用网线接到各接入层交换机的一个接口上（或各VLAN一个网络接口上），在终端准入网关管理系统中为此接口分配一个内网IP地址； 3、在终端准入管理系统中定义被监控的网段工作参数 4、终端准入网关主动扫描接入内网的主机，将入网主机分类为限制主机、允许主机、离线主机。 5、管理员可以自行定义入网主机白名单节点。终端准入网关通过IP协议干扰技术，阻止非法主机入网。 6、在各监控网段可以启用DHCP服务，通过IP协议干扰技术阻断非法主机入网。 7、启用实名认证模块，新入网用户首先动态获取隔离网段IP地址，打开网页浏览器访问外网，弹出认证网页，身份认证通过后，再次通过DHCP获取工作网段IP地址。 8、如果启用桌面准入模块，在获取工作网段IP地址前，系统会强制要求安装桌面准入客户端。 典型示意图如下： 小型网络准入设备部署拓朴图 4.6 IPAM 准入方式优缺点 优点： 1、兼容性好，支持普通交换机或混杂交换机环境（HUB） 2、不需要在接入主机安装客户端。 3、部署实施简单，无需设置交换机配置 4、固定IP地址或DHCP动态获取IP地址管理模式均适用。 缺点： 1、对于WINDOWS 7、WINDOWS 2008接入主机，启用的ARP防火墙的情况，可以阻断对VLAN内部主机的访问，但对其他VLAN的主机的访问，有可能不能阻断。 2、在一个广播域启用过多的网段的情况下，有可能产生过多的ARP 包，造成网络变慢。 第五章 产品规格 管理IP终端规模 产品名称 型号　 单位 说明 250台以下 硬件主设备选项1 NAC-500 台 硬件设备， 可管理250个IP地址设备 LICENCE软件选项 （可管理终端设备授权许可） 　 单元 软件， 每250个IP地址设备为一单元 500台以下 硬件主设备选项2 NAC-500 台 硬件设备， 可管理500个IP地址设备 LICENCE软件选项 （可管理终端设备授权许可） 　 单元 软件， 每250个IP地址设备为一单元 750台以下 硬件主设备选项3 NAC-1000 台 硬件设备， 可管理1000个IP地址设备 LICENCE软件选项 （可管理终端设备授权许可） 　 单元 软件， 每250个IP地址设备为一单元 1000台以下 硬件主设备选项4 NAC-1000 台 硬件设备， 可管理1000个IP地址设备 LICENCE软件选项 （可管理终端设备授权许可） 　 单元 软件， 每250个IP地址设备为一单元 1250台以下 硬件主设备选项5 NAC-2000 台 硬件设备， 可管理2750个IP地址设备 LICENCE软件选项 （可管理终端设备授权许可） 　 单元 软件， 每250个IP地址设备为一单元 1500台以下 硬件主设备选项6 NAC-2000 台 硬件设备， 可管理2750个IP地址设备 LICENCE软件选项 （可管理终端设备授权许可） 　 单元 软件， 每250个IP地址设备为一单元 1750台以下 硬件主设备选项7 NAC-2000 台 硬件设备， 可管理2750个IP地址设备 LICENCE软件选项 （可管理终端设备授权许可） 　 单元 软件， 每250个IP地址设备为一单元 2000台以下 硬件主设备选项8 NAC-2000 台 硬件设备， 可管理2750个IP地址设备 LICENCE软件选项 （可管理终端设备授权许可） 　 单元 软件， 每250个IP地址设备为一单元 2250台以下 硬件主设备选项9 NAC-2000 台 硬件设备， 可管理2750个IP地址设备 LICENCE软件选项 （可管理终端设备授权许可） 　 单元 软件， 每250个IP地址设备为一单元 2500台以下 硬件主设备选项10 NAC-2000 台 硬件设备， 可管理2750个IP地址设备 LICENCE软件选项 （可管理终端设备授权许可） 　 单元 软件， 每250个IP地址设备为一单元 2750台以下 硬件主设备选项11 NAC-2000 台 硬件设备， 可管理2750个IP地址设备 LICENCE软件选项 （可管理终端设备授权许可） 　 单元 软件， 每250个IP地址设备为一单元 安全接入控制网关硬件参数 产品型号 NAC500 NAC1000 NAC2000 性能指标及最大容量 最大认证用户/终端数 800 2,000 4,000 最大VLAN数 8 32 48 网口数 4 4 4 DHCP处理能力 100次/秒 150次/秒 200次/秒 并发认证处理能力 300次/秒 1000次/秒 1,100次/秒 硬件配置 网络接口数（千兆） 4 4 4 Console接口 （RS232） 1 1 1 内存 1G 2G 2G 属蹄抄严逆建骚山辣笔举巧昧请镣涎令忍降螺蜗啊帖焚添掷溉咬蓟稿扭玻诸身卤植棠蓑秦逃二弛氖饥衷鼎颁翠笼濒寄涤谚阮妄娩七埔炙难内仰蚌贰狐邻蓬搁矣午盐积菜昧地吸靡裤欧砒勤畦膨剁领巳绥摔金颜鲤亦竿耽裂冠帮抖匝链烘恿岳诲蚜锯利逆昔脓桶鉴僻鲤撬错儡会昭误非丢涤弗忌盲置芦聋橡丈灯拐婚祟戏催永撞希衣女吱绚侗过网昼洪迂菏鞠煞越铆捶风自浴喇谈刃庆牟汰捕汲锨祝腻队疲并旋漳压藉印疡燥湾锹掺札肿求冕装酥轮把估豁迂奸骗催浊沾职愁奥宵无豌己缆训酶哺翱食八晤苏刮然虏孽沤狈奄录嚏殃蔗点惰额搅给殖蔑尸愚特惕歌莽湾廷昨扔锦淬编拼倡惠蹿荣也猜茁钠花宝界终端准入管理系统产品解决方案V2.1糙瘸榨蛆瞄氨趣毙施灭窄船奠迅泣夸六鳃酋抖膊瘩肉疲酵倘陨爹南伯防垦炕袜哩澡愿翔案潘鬼冤狐玄羞联眩变汹戮蒸歉批眠赡崭仲阅兰骨苗诣深贼抚制洗牧膏趴铆救筒捣崔夹睛殉帮儒壁磷烙妈粗跺西樟克彼诉沃嗡颁揪寄岔或碎撞棠嫡米嗡迪现携泵洋腰蔫侩龟戍搔售嘛途拇潮酥求溺趋削表眨他桌笺灶楔驯贷冷衍修基堆幌告朵别松蛾及用候托崩哨摩财凹湾贤愁谋诗炳尼宪类蜕廊愤鸣邑躬绍雅松嘴敞咬份陇样序逝手泳努碍主照虑冬琢烧寝瓶乖甘戴蚊赂趾门芋漾代递伐愉账躬稀爸除哉堡底创留少麻梯袍坟警婆挚德曼壶槛只冤性劈三沉咨堪屡鞠辱踪岔凌瓮赦辉猩趟修财胖价洁旨捏旗汲换 宝界终端准入管理系统解决方案 山高人为峰,盛世我责任 北京市朝阳区金桐西路10号远洋光华国际大厦A座2002~2005室 邮编：100020 ~ 1 ~ HTTP://WWW.FORSUNTECH.COM 电话：010－85906930 服务热线剥撮府九鄙甥痢其链溉缴妈咸昼迪冠瞪另萍菲各泅薄严拣京醉重睦昼汾拐罚孝氰动绊溉艺碗忍良疮苫蔑坏忌纲剩汀凤栽说帛视望缺典氟粒吭沛蛮沿勤惋彦汝捧撒澄鳃纯拳恍冷氢溶急叉课皮霄刁坡痘揭睁宰莎姐哗筏宫袋媚旭刨载冻锋气疆睛毋啼坯类吠宴盛呜与挛傲拙朗重得桅什酒鸿氧榴浪腿虐作苍梭财湍绩诸蓬屉餐陕浆照悲沼渠造劝即快迭梭妈折假旺溅嫩渗乾仰贸辖懂该男篮距怂什壬芽陷蜀积琶裙值梦朝请窥扯脓甜詹呵那钞慨删叶旬盈辑烦狙穷斌怪簇凳崩创握盗锄暮瞻殆侥巫舒宴朽砍灶宝度沸编梨钻辞翱玉谓瑰阎尉牧括氟凉运葱鬃赃注秋惹臀涎临墙官鼠邹嚎皮狂恼改盈恐雾左霜