随着信息技术快速发展，内部网络的规模越来越大，虽然已经在互联网出口部署了防火墙、ips、行为管理等安全防护设备，但在内网接入层，依然采用开放式的网络结构。开放式网络犹如企业没有门卫一样，任何人都可以采用非常简单的攻击手段便可窃取、篡改重要的业务数据，并且一旦发生信息安全事件，难以追踪审计。

　　相信您也曾被如下问题困扰过：

　　1、 外来主机随意接入网络，不能区分访客与员工的访问权限；

　　2、 员工私改ip/mac地址，与核心设备发生地址冲突；

　　3、 内网没有实名认证机制，内网访问日志无法审计到人；

　　4、 vlan间的访问控制策略，对移动终端失效；

　　5、 内外网采用物理隔离，但仍然存在内外网网线互插现象；

　　6、 私接无线路由，或无线共享密码被恶意；

　　7、 无法强制终端安装杀毒等安全软件、防范病毒等对网络攻击；

　　8、 无法集中管理分配ip/mac资源、集中监控终端运行状态。

　　终端准入控制系统融合了dhcp准入、ipam准入、802.1x准入、snmp准入等多种准入技术，针对不同的内网网段（vlan）可灵活地采用不同的准入机制。它实现了对内部网络的人、终端、ip、设备的统一规范管理，实现了我国信息系统等级保护中对网络边界保护、访问控制、身份认证等的要求。同时，它也有效地解决了目前各大企事业单位普遍存在的非法外联、网络边界不完整、ip地址不能统一管控、入网不能实名等一系列的问题。

产品功能

　　全网准入

　　用户价值：在不改变现有网络架构基础上，以无客户端的形式实现内网终端强制身份认证。

　　免客户端实名认证

　　web界面强制认证，兼容任何终端类型（pc、笔记本、智能手机）和操作系统（windows、linux、unix）

　　可以与ad域/企业管理系统无缝整合可以与ad域或企业内部管理系统共享登陆库，实现统一身份认证。

　　兼容现有网络，支持各种设备和方法的准入控制

　　支持现有各种网络设备（802.1x交换机、可网管交换机、普通交换机、无线路由）的接入控制。支持802.1x接入控制、dhcp接入控制和snmp接入控制。

　　支持对非法接入终端直接关闭其连接的交换机端口。

　　不改变网络结构的准入控制

　　旁路部署，可跨vlan、跨路由部署与管理。

　　动态的“网络隔离”

　　用户价值：根据用户，按人、按部门划分虚拟子网或vlan，控制用户访问权限。

　　兼容802.1x和非802.1x网络

　　在普通二层交换机环境，将不同的终端按部门划入不同“虚拟子网”。

　　支持cisco vmps 服务，动态设置接入终端的vlan，

　　访客自动进入隔离vlan。

　　支持snmp扫描与snmp trap服务，动态设置接入终端的vlan，访客自动进入隔离vlan。

　　支持移动办公

　　当终端和人员变动办公位置后，依然可以被置于相同的虚拟子网或vlan。

　　按人、按部门划分“虚拟子网”

　　动态地按人、按部门、分配ip，ip网段及vlan，并可设置“虚拟子网”之间的访问控制策略。

　　支持针对不同终端个性化设置：一个mac地址对应多个ip、入网时间段、是否需要实名认证、是否需要安装桌面软件。

　　ip集中管控、日志到人

　　用户价值：监控由dhcp分配的ip地址所在交换机端口位置，便于对网络审计进行追踪管理

　　固定ip，中心下发，统一管理

　　对固定ip实行中心下发的管理方式，可以防止用户私改ip私设ip。

　　动态ip，定位到人

　　在动态ip环境下，可随时定位到人。对每个人不同时间获得的ip进行审计。

　　定位终端接入网络的物理位置

　　图形化显示交换机所有端口使用状况，如：有无终端通信、端口下接几个终端、各自的ip地址/mac/用户等

　　定位ip接入网络的交换机及端口。

　　系统日志支持第三方数据库

　　可将系统日志直接转储到第三方数据库中，支持微软sqlserver、mysql、postgresql、oracle。支持标准的syslog日志服务器。支持声音报警、邮件报警。

　　员工 / 访客区别对待

　　用户价值：为访客提供不受物理位置限制、不影响内网安全的接入机制

　　随时随地登录

　　外来访客或临时工作者不受物理位置的限制，可以从任意端口接入来宾访客网。但其访问权限被严格控制。

　　内部员工准入

　　内部 “员工”，经过实名认证或桌面准入认证后，自动划入员工对应部门专网。

　　访客入网隔离

　　外来“访客”，自动划入访客专网，同企业内网逻辑隔离访客隔离网权限控制

　　安全设备根据访客网段ip地址设立单独的访问权限，如：只能访问internet、只能收发邮件等。

　　私改ip地址的监控

　　用户价值：监控ip地址使用状况，杜绝私改ip的行为，防止ip地址冲突

　　自动收集终端信息

　　自动收集网内ip-mac地址等网络信息，无需人工添加

　　ip地址使用监控

　　实时监测所有固定地址和动态分配地址使用状态。

　　及时阻断非法终端

　　发现私改ip行为立即予以阻断，不影响其他终端设备正常使用。

　　非法行为记录

　　记录非法操作用户id、ip地址、mac信息和时间，方便追查。

　　与第三方安全软件整合

　　用户价值：实现符合企业网络管理规范的终端设备，才允许接入网络

　　强制推行

　　终端接入网络时，强制下载内网桌面管理软件客户端或第三方主机健康检查插件（360安全卫士、各类杀毒软件客户端）。

　　入网扫描

　　只有安装了规定的安全软件, 终端才能接入办公内网。

　　安全隔离

　　对不合规终端放入隔离区，禁止与办公内网通讯。

　　正式准入

　　完全符合要求的终端才能入网。