VASTN終端準入控制方案一

功能一、實名制準入控制完整的實名制接入控制，是全面ID網(wǎng)絡管理的基礎。免客戶端認證 Web界面強制認證，兼容任何終端類型（PC、筆記本、智能手機）和操作系統(tǒng)（要做主機健康檢查，需加裝終端插件）。與AD域無縫整合

解決了終端網(wǎng)絡準入和終端AD域登錄的矛盾，使得終端的網(wǎng)絡準入和AD域登錄合二為一。內(nèi)置多因素、強認證

支持密碼強度設定，弱口令字典編輯，動態(tài)密碼卡、手機短信等多因素認證。兼容現(xiàn)有網(wǎng)絡，支持各種設備和方法的準入控制

支持現(xiàn)有各種網(wǎng)絡設備（802.1x交換機，可管理交換機，Hub，無線接入，VPN接入等）的接入控制。支持802.1x接入控制，DHCP接入控制。不改變網(wǎng)絡結構的準入控制

不需加裝在線設備（如：網(wǎng)管設備），旁路部署，即可解決網(wǎng)絡準入控制。功能二、主機健康檢查符合企業(yè)網(wǎng)絡管理規(guī)范的終端設備，才允許接入網(wǎng)絡。強制推送插件

終端首次接入網(wǎng)絡時，強制下載主機健康檢查插件。入網(wǎng)掃描

終端接入辦公內(nèi)網(wǎng)前，立即掃描終端健康狀況，檢查規(guī)定軟件是否安裝到位，特征庫是否及時更新。安全隔離

對不合規(guī)終端放入隔離區(qū)，禁止與辦公內(nèi)網(wǎng)通訊，僅允許安裝規(guī)定軟件和版本升級。軟件兼容

兼容各類桌面、防病毒、補丁軟件，具有定制功能。功能三、實現(xiàn)內(nèi)、外網(wǎng)隔離，防止“非法外聯(lián)”對內(nèi)、外網(wǎng)的網(wǎng)絡設備實現(xiàn)資源管理，保護網(wǎng)絡邊界，防止非法外聯(lián)。防止通過非法網(wǎng)絡設備進行非法外聯(lián)

實現(xiàn)內(nèi)、外網(wǎng)設備資源管理。建立隔離區(qū)，防止非法網(wǎng)絡設備（如：私帶路由器聯(lián)入互聯(lián)網(wǎng)）接入網(wǎng)絡，造成內(nèi)、外網(wǎng)互通（如：用Hub聯(lián)通內(nèi)、外網(wǎng)）。。強制終端軟件安裝，防止非法信息泄漏

對所有接入網(wǎng)絡的終端強制安裝終端軟件。通過終端軟件防止非法程序運行，移動介質非法使用。一經(jīng)發(fā)現(xiàn)，禁止終端和使用者入網(wǎng)。功能四、“安全域”劃分和管理根據(jù)ID，按人、按部門劃分子網(wǎng)或VLAN，控制訪問權限，限制危險擴散范圍。兼容802.1x和非802.1x網(wǎng)絡，實現(xiàn)“安全域”劃分

針對不同網(wǎng)絡設備，可按人動態(tài)地實現(xiàn)子網(wǎng)的劃分或VLAN的劃分。支持移動辦公

當終端和人員變動辦公位置后，依然可以被置于相同的安全域。按人、按部門、按級別劃分“安全域”

動態(tài)地按人、按部門、按級別分配IP，IP網(wǎng)段及VLAN。功能五、精細到人和終端的網(wǎng)絡管理監(jiān)控由DHCP分配的IP地址所在交換機端口位置，便于對網(wǎng)絡應用進行追蹤管理。固定IP，中心下發(fā)，統(tǒng)一管理

對固定IP實行中心下發(fā)的管理方式，可以防止用戶私改IP、私設IP。動態(tài)IP，定位到人

在動態(tài)IP環(huán)境下，還隨時定位到人。對每個人不同時候得到的IP進行審計。定位人接入網(wǎng)絡的位置

圖形化顯示交換機所有端口使用狀況，如：有無終端通信、端口下接幾個終端、各自的IP地址/MAC/用戶ID等。定位IP接入網(wǎng)絡的交換機及端口。功能六、來賓訪客網(wǎng)為訪客提供不受物理位置限制、不影響內(nèi)網(wǎng)安全的接入機制。隨時隨地登錄

外來訪客或臨時工作者不受物理位置的限制，可以從任意端口接入的來賓訪客網(wǎng)。但其訪問權限被嚴格控制。內(nèi)部員工準入

Web界面登錄時，在認證界面選擇“企業(yè)員工”，則進入主機健康檢查和正常準入流程。訪客入網(wǎng)隔離

認證界面選擇“訪客”，則劃入訪客專網(wǎng)，同企業(yè)內(nèi)網(wǎng)邏輯隔離。訪客網(wǎng)權限控制

安全設備根據(jù)訪客網(wǎng)段IP地址設立單獨的訪問權限，如：只能訪問Internet、只能收發(fā)郵件等。功能七、私改IP地址的監(jiān)控監(jiān)控IP地址使用狀況，杜絕私改IP的行為，防止IP地址沖突。自動收集終端信息

部署時自動收集網(wǎng)內(nèi)IP-MAC地址等網(wǎng)絡信息，無需人工添加。IP地址使用監(jiān)控

實時監(jiān)測所有固定地址和動態(tài)分配地址使用狀態(tài)。及時阻斷非法終端

發(fā)現(xiàn)私改IP行為立即予以阻斷，不影響其他終端設備正常使用。非法行為記錄

記錄非法操作用戶ID、IP地址、MAC信息和時間，方便追查。產(chǎn)品界面示例：辦公網(wǎng)接入流程1、用戶發(fā)起DHCP申請2、分配隔離網(wǎng)段IP3、通過WEB觸發(fā)認證頁面4、發(fā)送認證頁面，進行認證6、認證通過分配正常網(wǎng)段IPhttp7、正常訪問網(wǎng)絡資源隔離IPhttpAccept防火墻Internet交換機

正常IPDHCP5、輸入用戶名及密碼產(chǎn)品界面示例：終端定位以“人”為本，按ID管理網(wǎng)絡此端口下掛Hub，有多臺終端接入網(wǎng)絡通過設備名稱可以看到設備的位置可以看到有多少臺終端在這臺交換機下能看到交換機的端口號能看到廠商的名稱產(chǎn)品界面示例：IP地址統(tǒng)一管理以“人”為本，按ID管理網(wǎng)絡可以立即看到全網(wǎng)IP分布情況。能看到IP的分配情況。產(chǎn)品界面示例：IP地址實名查找以“人”為本，按ID管理網(wǎng)絡即