傳統網絡準入技術需要安裝客戶端,其有如下缺點:
實施困難
需要網絡管理員幫助每壹個用戶實施安裝,其實施困難比較大,另外存在用戶意外卸載客戶端或者ActiveX控件的情況。2012年國內某大型石油化工企業就是由於安裝網絡準入客戶端實施困難從而放棄客戶端或者ActiveX控件準入控制方式轉而改用無客戶端準入控制方式。
存在Bugs或安全漏洞
客戶端可能存在Bugs或者安全漏洞,容易引起終端異常或被攻擊利用,導致安全隱患進而影響整個網絡穩定性和安全性。
占用系統資源
客戶端控件需要運行在終端系統上,會占用系統資源(CPU,內存,硬盤,網絡帶寬等),從而導致系統變慢影響正常工作。 NAM設備可監控網絡內終端網絡行為,並對某些特定的網絡行為做到主控發現,主動隔離或限制。如對P2P下載,可以做到發現並隔離。
終端因P2P軟件下載被隔離後的通知頁面 通過劃分不同VLAN(VLAN技術細節,請參照第三部分技術介紹)來管理終端設備。基於準入控制行業內的長期經驗和幾次技術更新,NAM設備在過去的幾年中已經逐漸變的更為靈活和穩定。客戶本身的VLAN拓撲可以保留,只需要在客戶的網絡中增加兩個新的VLAN:註冊VLAN和隔離VLAN。
另外,NAM設備可兼容很多設備供應商(參照第四部分支持網絡設備)的產品。
VLAN的管理使用不同方式實現:
通過交換機(基於VLAN管理的默認方式)
通過客戶類別(基於角色管理的默認方式)
通過客戶端程序
其他…
並且,每個交換機可以與其他方法結合來管理使用VLAN。例如,通過NAM設備的默認設置,在適當分類後,基於客戶所連接的設備,可以給客戶的打印機分配壹個VLAN。這意味著妳可以很輕松的擁有按照設備類型創建的VLANs。 現在,大多數機構要處理不同類型公司的在線咨詢,因此他們的工作需要網絡接入。大多數情況下,公司的內部網絡很少給未經審核的個人或者設備提供網絡接入。而且,他們也很少能夠得到公司內部環境的網絡接入,這是為了避免管理負擔。
NAM設備支持壹種特殊的VLAN管理來訪者。如果妳使用訪客VLAN,妳可以配置來訪者VLAN只能訪問互聯網或授權的網絡資源,在註冊VLAN中提供向訪客介紹如何註冊以獲取網絡接入。這通常是提供網絡接入的管理員來定義的。
註冊訪客有幾種方式:
管理員提前授權來訪者賬戶信息
密碼
來訪者自註冊(需要或者不需要認證)
來訪者擔保(員工與來訪者關聯)
通過郵件激活的來訪者
通過移動電話激活的來訪者(短信)
NAM設備還整合了在線支付方案,比如支付寶。通過這種方式,妳可以實現在線支付,獲取相關的網絡接入。 NAM設備可以使用多種協議/標準給您的用戶提供認證。這使得您可以在您的環境中集成NAM設備,而無需要求用戶記住另壹個用戶名和密碼。已知的認證源:
微軟的Active Directory
Novell公司的eDirectory
OpenLDAP
思科的ACS
RADIUS (FreeRADIUS, Radiator, etc.)
本地用戶文件 高可用性始終是NAM設備的研發重點。
在我們所有部署中,無論是使用主動或者被動部署模式,都證明了NAM設備的高可用性。在我們的管理員手冊中,詳細記載了如何配置NAM設備以及如何使其高效穩定運轉。 NAM設備采用多種開放的標準,以避免廠商技術封鎖。我們的支持和使用的標準,主要有:
802.1X
簡單網絡管理協議(SNMP)
標準的SNMP管理信息庫(MIB),如BRIDGE-MIB、Q-BRIDGE-MIB、IF-MIB、IEEE8021-PAE-MIB
RADIUS
NetFlow/ IPFIX
無線ISP漫遊(WISPR)
部署方案:
1.采用旁路部署,VLAN隔離。
2.用戶區劃分為:員工VLAN、隔離VLAN、BYOD(Bring Your Owner Device)設備VLAN、來訪者VLAN。
3.用戶采用本地帳戶管理,來訪者采用郵件申請註冊。
4.服務區劃分為:外部服務區VLAN、內部服務區VLAN。
5.隔離區:P2P下載、即時聊天QQ軟件,終端未升級系統及指定軟件補丁。
6.BYOD區主要包含智能手機及平板電腦。
部署方案:
1.采用旁路部署,隔離方式VLAN。
2.邏輯層次分為中央(總部)、省級(分支)、市級(銷售點)。
3.上下級設備實時數據同步,執行統壹安全策略。
4.用戶采用本地帳戶與域帳戶管理相結合,來訪者采用短信(SMS)註冊並管理員審核。
部署方案:
1.采用串聯部署,網絡層隔離。
2.用戶采用本地帳戶管理,來訪者采用短信及郵件申請並審核。
3.隔離區:終端未升級系統及指定軟件補丁。
安全問題:
內網較混亂,終端型號及系統復雜,發生內網掃描及內網入侵服務器等安全事件。
部署方案:
1.采用串聯部署,網絡層隔離。
2.部署NAM設備從網絡層保護服務區僅允許授權用戶訪問。
3.授權用戶采用本地帳戶、郵件賬戶管理,臨時用戶采用申請並審核。
4.訪問時間嚴格限制,避免非授權用戶接觸服務區。