현재 위치 - 법률 상담 무료 플랫폼 - 회사 전체 - 网络准入控制的常见方法
网络准入控制的常见方法

网络准入控制的方法有很多,最常用的有以下几个:

DHCP网络准入应用控制

准入系统接入到网络内部后,在核心位置上启动DHCP服务, DHCP服务有静态地址池,和动态地址池,管理人员可以预先设定静态地址池中的IP资源以及对应的MAC地址,当有终端接入后,根据终端的MAC地址,准入系统会自动分配相关的IP地址资源;对于未预先分配过IP地址中的终端,管理员可以设置从动态IP地址池进行相关的IP资源分配,也可以手动根据终端的MAC地址进行IP地址分配。

系统也可以展示全网的IP地址占用情况,管理人员可以对于网络中的整体IP地址资源进行实时掌握。通过DHCP准入方式可以安全的对于终端计算机IP地址使用进行准入管理,在链路层做到了对于接入终端的隔离,真正做到了不经管理员认证,不能接入到内部网络。

802.1X网络准入控制

802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口访问LAN/WAN。在获得交换机或LAN提供的各种业务之前,802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前,802.1x只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口;认证通过以后,正常的数据可以顺利地通过以太网端口。

网络准入控制系统终端集成了802.1X客户端,终端接入网络时,如未安装准入客户端,则不能接入网络。当成功安装准入终端后,准入终端会进行拨号,准入设备会进行认证,认证通过后,终端可以接入网络了。

合规则入网,不合规不入网

在终端接入网络之前,计算机会被要求下载客户端进行相关的安全检测,检测内容包括,操作系统信息、杀毒软件运行情况、黑名单进程、必须运行的进程、域环境检测等多种检测类目,并根据检测结果来判定是否允许终端入网,充分做到合规则入网,不合规不入网。

Portal认证模式

针对新接入的计算机系统提供了多重认证模式,包括用户名/密码认证、U-Key认证、手机短信认证、动态码认证等模式。管理员可以设备针对不同的用户形态使用不同的认证方式等。针对来访人群接入网络,系统提供了访客模式,来访者填入相关的入网申请信息,管理者审批通过后,终端计算机则可入网。

高可用双机热备方案

本次安秉信息科技为用户内网准入管理项目所推荐采用的网络准入设备支持稳定的主备冗余功能,在办公网中各部署的2台网络准入设备能够完全支持数据库同步、双机保活、宕机后自动切换备机等标准的主备冗余功能。双机冗余示意图如下:

利用网络准入协议本身的特性,能够支持对多个认证服务器的判断,因此安秉信息科技针对本次准入项目设计的网络准入双机主备方案能够充分满足准入协议本身的应急机制,在主网络准入宕机的情况下,通过协议本身的智能判断迅速切换到备机网络准入,由备机网络准入接管准入系统,保证系统的正常运行。

同时安秉信息科技的高可用性(HA)功能也支持双机冗余情况下,备网络准入能够及时检测到主网络准入设备的宕机事故,从而主动接管网络,确保用户的网络可用性。