HWP-TD-NAC-WP-001北信源网络接入控制系统工作原理与功能北京北信源软件股份有限公司1HWP-TD-NAC-WP-001目录1.整体说明.....................................................................................................42.核心技术.....................................................................................................42.1.重定向技术..................................................................................................................42.2.策略路由准入控制技术...............................................................................................52.3.旁路干扰准入控制技术...............................................................................................72.4.透明网桥准入控制技术...............................................................................................82.5.虚拟网关准入控制技术...............................................................................................82.6.局域网控制技术...........................................................................................................92.7.身份认证技术..............................................................................................................92.8.安检修复技术............................................................................................................102.9.桌面系统联动............................................................................................................103.产品功能对比............................................................................................112HWP-TD-NAC-WP-0011.整体说明准入网关对接入设备进行访问控制,对于未注册用户进行WEB重定向进行注册;注册后的用户进行认证或安检后可以访问网络;管理员可以配置采取何种准入控制方式,如策略路由,旁路监听,透明网桥,虚拟网关等;同时可以选择使用不同的认证类型,如本地认证,Radius认证,AD域认证等,而认证途径采取网关强制重定向;准入网关整体上对准入的控制可分为两类,一类是网关自己控制数据的流通另一类则是通过配置交换机,让交换机来控制数据包的流通。目前准入网关实现的策略路由和旁路监听,透明网桥等准入控制均属于前者,也就是网关自己通过放行或丢弃、阻断数据包,来达到准入控制,对于数据包的阻断是基于tcp实现的;而虚拟网关则是通过控制交换机VLAN来达到准入控制;2.核心技术为了适应不同业务环境下的统一入网控制,北信源网络接入控制系统采用多种核心技术设计,支持多种准入控制模式,实现从多角度多维度的终端入网安全控制。2.1.重定向技术接入控制的目的是为了阻止不可信终端随意接入网络,对于不可信终端的判定需要一个过程,如何在判定过程中进行良好的提示,这就对产品的人机界面设计提出了较高的要求。业界通常的做法是针对http性质的业务访问进行重定向,以往针对http的业务区分主要基于业务端口(主要为80端口),对于非80业3HWP-TD-NAC-WP-001务端口的http业务不能有效区分。针对以上情况,北信源网络接入控制系统对http业务进行了深度识别,除80端口的http业务可以进行有效重定向之外,针对非80端口的http业务也能进行有效的识别和重定向。除此之外,北信源网络接入控制系统针对终端入网的控制流程进行了重定向优化,针对终端入网注册、认证、安检、修复的整个流程进行了人性化的设计,整个重定向过程符合终端入网习惯,贯穿终端入网的全过程,并在重定向页面提供人性化帮助提示,主要表现在以下几大方面:针对未注册终端,提供重定向下载页面供终端进行Agent下载和注册;针对未通过身份认证的用户,提供多种认证重定向页面,认证方式可供用户选择;提供人性化的安检评分重定向页面,采用Ajax技术,使得安检结果可以在重定向页面自动刷新,自动评分,并在重定向页面提供一...
