北信源網(wǎng)絡(luò)接入控制系統(tǒng)工作原理與功能對(duì)比

1、北信源網(wǎng)絡(luò)接入把握系統(tǒng)北信源網(wǎng)絡(luò)接入把握系統(tǒng)工作原理與功能工作原理與功能北京北信源軟件股份有限公司北京北信源軟件股份有限公司精選2目 錄1.整體說明.42.核心技術(shù).42.1.重定向技術(shù).42.2.策略路由準(zhǔn)入把握技術(shù).52.3.旁路干擾準(zhǔn)入把握技術(shù).72.4.透亮網(wǎng)橋準(zhǔn)入把握技術(shù).82.5.虛擬網(wǎng)關(guān)準(zhǔn)入把握技術(shù).82.6.局域網(wǎng)把握技術(shù).92.7.身份認(rèn)證技術(shù).92.8.安檢修復(fù)技術(shù).102.9.桌面系統(tǒng)聯(lián)動(dòng).103.產(chǎn)品功能對(duì)比.11 精選31. 整體說明整體說明準(zhǔn)入網(wǎng)關(guān)對(duì)接入設(shè)備進(jìn)行訪問把握，對(duì)于未注冊(cè)用戶進(jìn)行 WEB 重定向進(jìn)行注冊(cè)；注冊(cè)后的用戶進(jìn)行認(rèn)證或安檢后可以訪問網(wǎng)絡(luò)；管理員可以

2、配置實(shí)行何種準(zhǔn)入把握方式，如策略路由，旁路監(jiān)聽，透亮網(wǎng)橋，虛擬網(wǎng)關(guān)等；同時(shí)可以選擇使用不同的認(rèn)證類型，如本地認(rèn)證，Radius認(rèn)證，AD 域認(rèn)證等，而認(rèn)證途徑實(shí)行網(wǎng)關(guān)強(qiáng)制重定向；準(zhǔn)入網(wǎng)關(guān)整體上對(duì)準(zhǔn)入的把握可分為兩類，一類是網(wǎng)關(guān)自己把握數(shù)據(jù)的流通，另一類則是通過配置交換機(jī)，讓交換機(jī)來把握數(shù)據(jù)包的流通。目前準(zhǔn)入網(wǎng)關(guān)實(shí)現(xiàn)的策略路由和旁路監(jiān)聽，透亮網(wǎng)橋等準(zhǔn)入把握均屬于前者，也就是網(wǎng)關(guān)自己通過放行或丟棄、阻斷數(shù)據(jù)包，來達(dá)到準(zhǔn)入把握，對(duì)于數(shù)據(jù)包的阻斷是基于 tcp 實(shí)現(xiàn)的；而虛擬網(wǎng)關(guān)則是通過把握交換機(jī) VLAN 來達(dá)到準(zhǔn)入把握；2. 核心技術(shù)核心技術(shù)為了適應(yīng)不同業(yè)務(wù)環(huán)境下的統(tǒng)一入網(wǎng)把握，北信源網(wǎng)絡(luò)接入把握

3、系統(tǒng)接受多種核心技術(shù)設(shè)計(jì)，支持多種準(zhǔn)入把握模式，實(shí)現(xiàn)從多角度多維度的終端入網(wǎng)平安把握。2.1. 重定向技術(shù)重定向技術(shù)接入把握的目的是為了阻擋不行信終端任憑接入網(wǎng)絡(luò)，對(duì)于不行信終端的判定需要一個(gè)過程，如何在判定過程中進(jìn)行良好的提示,這就對(duì)產(chǎn)品的人機(jī)界面設(shè)計(jì)提出了較高的要求。業(yè)界通常的做法是針對(duì) http 性質(zhì)的業(yè)務(wù)訪問進(jìn)行重定向，以往針對(duì) http 的業(yè)務(wù)區(qū)分主要基于業(yè)務(wù)端口（主要為 80 端口） ，對(duì)于非80 業(yè)務(wù)端口的 http 業(yè)務(wù)不能有效區(qū)分。針對(duì)以上狀況，北信源網(wǎng)絡(luò)接入把握系統(tǒng)對(duì) http 業(yè)務(wù)進(jìn)行了深度識(shí)別，除 80 端口的 http 業(yè)務(wù)可以進(jìn)行有效重定向精選4之外，針對(duì)非 80

4、端口的 http 業(yè)務(wù)也能進(jìn)行有效的識(shí)別和重定向。除此之外，北信源網(wǎng)絡(luò)接入把握系統(tǒng)針對(duì)終端入網(wǎng)的把握流程進(jìn)行了重定向優(yōu)化，針對(duì)終端入網(wǎng)注冊(cè)、認(rèn)證、安檢、修復(fù)的整個(gè)流程進(jìn)行了人性化的設(shè)計(jì)，整個(gè)重定向過程符合終端入網(wǎng)習(xí)慣，貫穿終端入網(wǎng)的全過程，并在重定向頁面供應(yīng)人性化掛念提示，主要表現(xiàn)在以下幾大方面: 針對(duì)未注冊(cè)終端，供應(yīng)重定向下載頁面供終端進(jìn)行 Agent 下載和注冊(cè)； 針對(duì)未通過身份認(rèn)證的用戶，供應(yīng)多種認(rèn)證重定向頁面，認(rèn)證方式可供用戶選擇； 供應(yīng)人性化的安檢評(píng)分重定向頁面，接受 Ajax 技術(shù)，使得安檢結(jié)果可以在重定向頁面自動(dòng)刷新，自動(dòng)評(píng)分，并在重定向頁面供應(yīng)一鍵修復(fù)策略； 在終端入網(wǎng)的每個(gè)重

5、定向環(huán)節(jié)供應(yīng)掛念說明，對(duì)業(yè)務(wù)操作供應(yīng)掛念鏈接，掛念終端使用者自動(dòng)解決入網(wǎng)過程的全部問題，削減網(wǎng)絡(luò)管理人員的參與，提高網(wǎng)絡(luò)管理的效率，降低人工成本； 重定向頁面的供應(yīng)不基于特定的 IE 掃瞄器，只要是 http 的業(yè)務(wù)形式，無論是接受 IE 掃瞄器訪問，還是接受客戶端登錄（例如 QQ 登錄） ，或是客戶端彈出窗口（例如 QQ、飛信彈出內(nèi)容模式）都可以進(jìn)行重定向。2.2. 策略路由準(zhǔn)入把握技術(shù)策略路由準(zhǔn)入把握技術(shù)在過去，全部的準(zhǔn)入把握模式幾乎都是基于網(wǎng)絡(luò)鏈路節(jié)點(diǎn)來進(jìn)行把握的，從終端 PC、網(wǎng)絡(luò)交換設(shè)備、路由器防火墻等，全部的把握節(jié)點(diǎn)都放在了網(wǎng)絡(luò)轉(zhuǎn)發(fā)或傳輸設(shè)備本身。這種模式不僅加重了網(wǎng)絡(luò)基礎(chǔ)設(shè)施的壓

6、力，同時(shí)也更簡(jiǎn)潔形成單點(diǎn)故障，對(duì)網(wǎng)絡(luò)業(yè)務(wù)本身可能造成不行連續(xù)性運(yùn)營(yíng)的困擾。隨著近年來準(zhǔn)入把握技術(shù)的不斷進(jìn)展，越來越多的準(zhǔn)入把握技術(shù)都接受了 OOB（Out Of Band）模式，即所謂旁路部署模式，在準(zhǔn)入把握產(chǎn)品的本身消滅故障的狀況下，并不會(huì)影響網(wǎng)絡(luò)業(yè)務(wù)本身的可持續(xù)性運(yùn)營(yíng)，網(wǎng)絡(luò)準(zhǔn)入把握技術(shù)的進(jìn)展也由此邁向了一個(gè)新的臺(tái)階。北信源網(wǎng)絡(luò)接入把握系統(tǒng)的策略路由模式，要求網(wǎng)絡(luò)基礎(chǔ)設(shè)施的核心設(shè)備精選5（例如核心交換機(jī)）支持策略路由功能，通過將上行業(yè)務(wù)懇求通過策略路由的把握定向到北信源網(wǎng)絡(luò)接入把握系統(tǒng)，經(jīng)由北信源網(wǎng)絡(luò)接入把握系統(tǒng)針對(duì)終端的可信程度進(jìn)行認(rèn)證和判定后，接受丟棄或者正常轉(zhuǎn)發(fā)到原路由下一跳的方式，對(duì)

7、終端入網(wǎng)進(jìn)行平安可信的篩選，從而達(dá)到準(zhǔn)入把握的效果，具體流程可以參考以下流程示意圖：圖 4 策略路由準(zhǔn)入把握模式示例流程由于策略路由模式只針對(duì)上行業(yè)務(wù)懇求進(jìn)行處理，不會(huì)影響下行業(yè)務(wù)返回的正常轉(zhuǎn)發(fā)，也不影響網(wǎng)絡(luò)路由和拓?fù)涞母?，其平安性也得到了更多的保障，因而比較適合于大多數(shù)網(wǎng)絡(luò)環(huán)境。另外，大多數(shù)支持策略路由的核心設(shè)備同時(shí)也支持逃命模式，核心設(shè)備在確認(rèn)策略路由的下一跳不行達(dá)的狀況下，可以依據(jù)策略配置自動(dòng)選擇原有默認(rèn)路由，從平安角度來看，即使準(zhǔn)入把握設(shè)備失去功效，也不會(huì)影響業(yè)務(wù)的正常轉(zhuǎn)發(fā)，從而保證網(wǎng)絡(luò)業(yè)務(wù)的可持續(xù)運(yùn)營(yíng)，因此，相對(duì)于以往的準(zhǔn)入把握模式，策略路由模式無異于更受歡迎。北信源網(wǎng)絡(luò)接入把握系

8、統(tǒng)完善的利用了核心設(shè)備策略路由的特性，結(jié)合北信源公司平安接入把握理念，并和北信源內(nèi)網(wǎng)平安管理系統(tǒng)有效結(jié)合起來，為客戶的內(nèi)網(wǎng)終端平安管理供應(yīng)有效的平安保障。精選62.3. 旁路干擾準(zhǔn)入把握技術(shù)旁路干擾準(zhǔn)入把握技術(shù) 在 OOB 準(zhǔn)入把握模式的進(jìn)展趨勢(shì)下，北信源公司研發(fā)了基于旁路干擾模式的準(zhǔn)入把握方法，該準(zhǔn)入把握方法接受和策略路由模式全都的旁路部署方法，是北信源公司在準(zhǔn)入把握進(jìn)展理念的基礎(chǔ)上自主創(chuàng)新的新型準(zhǔn)入把握技術(shù)，相對(duì)于策略路由準(zhǔn)入把握模式，旁路干擾準(zhǔn)入把握模式有著更為突出的平安特性。策略路由準(zhǔn)入把握模式雖然接受旁路部署模式，但是從技術(shù)原理上來說，接受的是流量劫持的方式對(duì)上行業(yè)務(wù)流進(jìn)行篩選。而旁

9、路干擾準(zhǔn)入模式接受的是流量復(fù)制的模式對(duì)上行業(yè)務(wù)流量進(jìn)行篩選，在篩選過后再接受旁路干擾的方式中斷現(xiàn)行業(yè)務(wù)流，是真正的旁路部署模式，不需要對(duì)現(xiàn)行業(yè)務(wù)流的走向進(jìn)行任何改動(dòng)，就像在快速運(yùn)行的高速大路旁邊部署了一臺(tái)監(jiān)控?cái)z像頭，當(dāng)發(fā)覺違規(guī)車輛時(shí)通過點(diǎn)對(duì)點(diǎn)的對(duì)話方式，讓違規(guī)車輛自動(dòng)接受懲罰。由于旁路干擾準(zhǔn)入把握模式真正的旁路部署特性，其對(duì)現(xiàn)行業(yè)務(wù)流沒有任何影響，因此相對(duì)于全部準(zhǔn)入把握模式來說，有著得天獨(dú)厚、無法比擬的平安性，其具體的業(yè)務(wù)流程參考下圖：圖 5 旁路干擾準(zhǔn)入把握模式示例流程旁路干擾準(zhǔn)入把握模式要求核心設(shè)備（通常是核心或者匯聚層交換機(jī)）具備流量鏡像的功能，相對(duì)與策略路由來說，有更多的交換機(jī)都支持流

10、量鏡像功能，因此對(duì)于不同網(wǎng)絡(luò)環(huán)境的適應(yīng)性更加強(qiáng)大。除此之外，即使核心設(shè)備不支持流量鏡像功能，也可以接受 TAP 分流的方式對(duì)流量進(jìn)行復(fù)制分流，而這僅僅只需要增加一臺(tái)分流/分光設(shè)備即可。精選72.4. 透亮透亮網(wǎng)橋準(zhǔn)入把握技術(shù)網(wǎng)橋準(zhǔn)入把握技術(shù)在不支持策略路由或者旁路鏡像的環(huán)境下，為了滿足客戶網(wǎng)絡(luò)環(huán)境下的準(zhǔn)入把握需求，接受串接的方式實(shí)現(xiàn)準(zhǔn)入把握便顯得尤為重要了。透亮網(wǎng)橋技術(shù)已經(jīng)被大多數(shù)網(wǎng)絡(luò)平安設(shè)備接受和認(rèn)可，也是目前為止在網(wǎng)絡(luò)關(guān)口層面把握最為嚴(yán)格的部署技術(shù)，北信源網(wǎng)絡(luò)接入把握系統(tǒng)在不轉(zhuǎn)變現(xiàn)有拓?fù)涞臓顩r下將網(wǎng)橋串接到網(wǎng)絡(luò)當(dāng)中，接受 ACL 的方式對(duì)流量 IP 進(jìn)行過濾，對(duì)不行信擔(dān)憂全的終端進(jìn)行隔離修

11、復(fù)。圖 6 透亮網(wǎng)橋準(zhǔn)入把握模式示例流程2.5. 虛擬網(wǎng)關(guān)準(zhǔn)入把握技術(shù)虛擬網(wǎng)關(guān)準(zhǔn)入把握技術(shù)虛擬網(wǎng)關(guān)是基于 VLAN（Virtual Local Area Network）和 SNMP（Simple Network Management Protocol ）兩種技術(shù)，在 VLAN 環(huán)境中，把設(shè)備接入的VLAN 分為可信 VLAN 和不行信 VLAN，推斷對(duì)應(yīng)設(shè)備是否通過認(rèn)證：未通過，則通過 SNMP Write，將對(duì)應(yīng)設(shè)備所接交換機(jī)端口所處 VLAN，切為不行信VLAN，以后，該設(shè)備再訪問網(wǎng)絡(luò)，將會(huì)被重定向，直至認(rèn)證通過后，虛擬網(wǎng)關(guān)才將其所處 VLAN, 切換為可信 VLAN，正常上網(wǎng)。精選82

12、.6. 局域網(wǎng)把握技術(shù)局域網(wǎng)把握技術(shù)無論是策略路由、旁路干擾還是透亮網(wǎng)橋準(zhǔn)入把握技術(shù)，都是基于網(wǎng)絡(luò)核心節(jié)點(diǎn)的網(wǎng)絡(luò)接入把握技術(shù)，并不能真正對(duì)局域網(wǎng)終端節(jié)點(diǎn)之間的互訪進(jìn)行授信把握。在以往的全部準(zhǔn)入把握技術(shù)當(dāng)中，對(duì)于局域網(wǎng)之間互訪的授信把握是基于接入交換機(jī)端口的把握（802.1X） 、IP 地址獵取把握（DHCP Enforcer）或者通過 VLAN 技術(shù)進(jìn)行隔離。北信源網(wǎng)絡(luò)接入把握系統(tǒng)授予了終端可信推斷的力量，對(duì)于安裝有北信源網(wǎng)絡(luò)接入把握系統(tǒng) Agent 的終端，可以自動(dòng)推斷來訪者的可信程度，假如發(fā)覺來訪者是擔(dān)憂全不行信的終端，Agent 會(huì)丟棄來訪的數(shù)據(jù)包懇求，阻擋不行信終端對(duì)自身的訪問。接受終

13、端自推斷的方式將局域網(wǎng)訪問把握從網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備下放到終端自身，不僅可以降低網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備自身的壓力，還可以規(guī)避其它局域網(wǎng)訪問把握技術(shù)的缺陷，例如 802.1x 對(duì) hub、傻瓜式交換機(jī)下終端互訪無法把握的問題以及接受手動(dòng)設(shè)置 IP 規(guī)避 DHCP 自動(dòng)獵取的 IP 把握等。而由于安裝 Agent 進(jìn)行注冊(cè)是入網(wǎng)授信必需經(jīng)受的一個(gè)環(huán)節(jié)，因此接受終端自推斷的局域網(wǎng)把握技術(shù)，可以完全有效的把握局域網(wǎng)終端之間的授信訪問過程。2.7. 身份認(rèn)證技術(shù)身份認(rèn)證技術(shù)身份認(rèn)證是終端可信認(rèn)證的一個(gè)重要環(huán)節(jié)，隨著信息平安技術(shù)的不斷進(jìn)展，針對(duì)身份認(rèn)證平安牢靠的特性也提出了更高的要求。身份認(rèn)證最重要的部分是防偽造、防抵賴，

14、因此身份認(rèn)證技術(shù)也從最初簡(jiǎn)潔的用戶名/口令，漸漸進(jìn)展到證書、生物技術(shù)、動(dòng)態(tài)密碼以及多因素認(rèn)證，防止一切可能偽造和抵賴的因素。為了滿足不同平安程度的身份認(rèn)證需求，也為了適應(yīng)客戶網(wǎng)絡(luò)環(huán)境中可能已經(jīng)存在的身份存儲(chǔ)和認(rèn)證方式，北信源網(wǎng)絡(luò)接入把握系統(tǒng)針對(duì)各種主流身份認(rèn)證技術(shù)進(jìn)行了符合性開發(fā)，為各種主流身份認(rèn)證技術(shù)供應(yīng)了認(rèn)證接口，典型的諸如和 Radius、LDAP、AD 域、CA 系統(tǒng)、郵箱系統(tǒng)相結(jié)合的認(rèn)證，可以滿足當(dāng)前技術(shù)下大部分認(rèn)證系統(tǒng)的需求。精選92.8. 安檢修復(fù)技術(shù)安檢修復(fù)技術(shù)除身份認(rèn)證外，安檢修復(fù)也是針對(duì)終端可信認(rèn)證的重要環(huán)節(jié)，據(jù)權(quán)威機(jī)構(gòu)爭(zhēng)辯證明，80%的信息泄密來自于企業(yè)或機(jī)構(gòu)的內(nèi)部計(jì)算機(jī)

15、終端。由于大部分企業(yè)計(jì)算機(jī)終端的使用人員平安意識(shí)薄弱且非計(jì)算機(jī)專業(yè)人員，對(duì)于計(jì)算機(jī)的自主平安防護(hù)力量存在肯定欠缺，因此造成了很大的泄密隱患。針對(duì)內(nèi)部終端被動(dòng)泄密的問題，歸根結(jié)底是由于終端的平安策略配置不夠嚴(yán)謹(jǐn)（例如 guest 賬戶開啟、弱口令設(shè)置以及不正常的注冊(cè)表鍵值等）或者計(jì)算機(jī)本身存在平安漏洞（例如關(guān)鍵補(bǔ)丁未安裝、殺毒軟件未安裝或者病毒庫過期等緣由）造成的。針對(duì)此類狀況，北信源網(wǎng)絡(luò)接入把握系統(tǒng)接受主動(dòng)探測(cè)和一鍵修復(fù)的技術(shù)設(shè)計(jì)，對(duì)入網(wǎng)計(jì)算機(jī)終端的平安測(cè)試進(jìn)行檢查和評(píng)分，對(duì)存在平安隱患的計(jì)算機(jī)終端強(qiáng)制禁止入網(wǎng)，并供應(yīng)一鍵策略修復(fù)技術(shù)，解決終端可能存在的擔(dān)憂全隱患，從而達(dá)到全網(wǎng)終端的統(tǒng)一平安管

16、理。2.9. 桌面系統(tǒng)聯(lián)動(dòng)桌面系統(tǒng)聯(lián)動(dòng)北信源準(zhǔn)入把握系統(tǒng)支持與桌面系統(tǒng)聯(lián)動(dòng)，在已經(jīng)部署桌面系統(tǒng)的環(huán)境下，支持注冊(cè)客戶端透亮準(zhǔn)入，不需要二次認(rèn)證注冊(cè)， 由桌面管理平臺(tái)下發(fā)平安策略，客戶端平安信息實(shí)時(shí)上報(bào)到準(zhǔn)入網(wǎng)關(guān)，實(shí)時(shí)更新終端平安策略狀況，風(fēng)險(xiǎn)把握嚴(yán)格，客戶端上報(bào)平安信息不合規(guī)時(shí)，馬上被隔離到隔離區(qū)，此時(shí)客戶端僅能訪問隔離區(qū)中的服務(wù)器，直到修復(fù)完全直到滿足平安策略要求。 產(chǎn)品支持與客戶端 AD 域?qū)嵜剑掀桨惨蟮淖?cè)信息才準(zhǔn)許入網(wǎng)，同時(shí)自動(dòng)協(xié)作域組織架構(gòu)信息，達(dá)到實(shí)時(shí)動(dòng)態(tài)審核，同步更新域組織信息，簡(jiǎn)化實(shí)名注冊(cè)審核機(jī)制，規(guī)范終端實(shí)名架構(gòu)，統(tǒng)一管理，一目了然。3. 產(chǎn)品功能對(duì)比產(chǎn)品功能對(duì)比功

17、能項(xiàng)功能項(xiàng)功能描述功能描述北信源北信源江南天安江南天安注冊(cè)管理自定義注冊(cè)信息，要求可以定義必需填寫的注冊(cè)信息項(xiàng)，可依據(jù)需自定義單元豐簡(jiǎn)潔精選10要啟用/禁用自定義項(xiàng)。富終端注冊(cè)的日志記錄功能，并可依據(jù)時(shí)間、設(shè)備名、注冊(cè)者、IP及動(dòng)作等關(guān)鍵字進(jìn)行記錄查詢。支持支持針對(duì) IE、QQ 登陸及彈出窗口等 web 形式的訪問供應(yīng)入網(wǎng)重定向提示，提示進(jìn)行客戶端注冊(cè)。支持支持支持實(shí)名制注冊(cè)審核管理功能，支持與 OA 系統(tǒng)、AD 域等組織架構(gòu)服務(wù)器同步組織架構(gòu)，自動(dòng)依據(jù)設(shè)置關(guān)鍵字段實(shí)名審核，同時(shí)支持已注冊(cè)終端可通過管理員手動(dòng)審核或者短信審核通過之后才可以接入網(wǎng)絡(luò)。支持不支持終端硬件資產(chǎn)統(tǒng)計(jì)和查詢，統(tǒng)計(jì)內(nèi)容應(yīng)至

18、少包含 CPU、內(nèi)存、硬盤等基本硬件設(shè)備信息以及光驅(qū)、顯卡、鼠標(biāo)、網(wǎng)卡、鍵盤等相關(guān)外設(shè)信息。明細(xì)多豐富支持終端軟件資產(chǎn)統(tǒng)計(jì)和查詢，統(tǒng)計(jì)內(nèi)容應(yīng)至少包含操作系統(tǒng)版本、操作系統(tǒng)補(bǔ)丁安裝狀況、IE 版本、主機(jī)名稱、網(wǎng)卡 MAC 信息以及設(shè)備內(nèi)安裝的應(yīng)用軟件使用狀況。支持支持資產(chǎn)管理對(duì)終端計(jì)算機(jī)軟件安裝信息的收集，包括當(dāng)前軟件安裝信息和歷史安裝信息。支持支持本地認(rèn)證系統(tǒng)，支持自定義本地用戶和密碼，支持本地認(rèn)證用戶自行修改密碼。支持支持支持與 AD 域服務(wù)器、LDAP 服務(wù)器實(shí)現(xiàn)聯(lián)動(dòng)認(rèn)證，并且支持帳戶信息的自動(dòng)同步以及導(dǎo)入導(dǎo)出；支持支持認(rèn)證超時(shí)機(jī)制，超時(shí)帳戶強(qiáng)制自動(dòng)登出，要求超時(shí)時(shí)間可以自行配置。必需支持

19、帳戶超期統(tǒng)一登出機(jī)制，登出時(shí)間可依據(jù)需要自行設(shè)置。支持不支持帳戶嘗試登錄限制，要求嘗試登錄次數(shù)可進(jìn)行配置，嘗試登錄失敗可鎖定帳戶，鎖定時(shí)間可按需配置。支持支持帳戶角色綁定功能，不同用戶帳戶繼承所屬角色的訪問權(quán)限以及安檢要求。支持不支持身份認(rèn)證與平安檢查安檢規(guī)范定義配置功能，可依據(jù)角色屬性定制不同的安檢規(guī)范，安支持支持精選11檢規(guī)范應(yīng)至少包含殺毒軟件安裝狀況檢查、補(bǔ)丁漏洞檢查、系統(tǒng)共享資源檢查、IE 主頁修改項(xiàng)檢查、guest 來賓帳戶啟用狀況檢查、遠(yuǎn)程桌面啟用狀況檢查、系統(tǒng)啟動(dòng)項(xiàng)檢查、系統(tǒng)進(jìn)程檢查、IE 代理檢查等。支持指定時(shí)間周期內(nèi)安檢。支持不支持平安域把握功能，可依據(jù)角色屬性定制不同的平安

20、域，用戶認(rèn)證成功后，平安域角色把握功能自動(dòng)生效，相關(guān)角色帳戶只能訪問指定的平安把握域。支持不支持對(duì)未認(rèn)證通過用戶入網(wǎng)時(shí)進(jìn)行阻斷，能夠供應(yīng) web 重定向提示，并說明入網(wǎng)阻斷緣由。支持支持對(duì)身份認(rèn)證通過后的用戶終端進(jìn)行平安檢查，并對(duì)安檢進(jìn)度供應(yīng)進(jìn)度條提示，未通過安檢的終端給出未通過項(xiàng)提示并阻斷入網(wǎng)，支持安檢未通過一鍵修復(fù)功能。支持支持串接和旁路部署模式，支持策略路由、旁路干擾、透亮串接、虛擬網(wǎng)關(guān)等多種準(zhǔn)入把握模式。支持不支持旁路鏡像部署基于終端心跳和終端水印認(rèn)證雙重準(zhǔn)入推斷，自動(dòng)發(fā)覺接受 NAT 模式入網(wǎng)的終端并強(qiáng)制認(rèn)證。支持，特有水印技術(shù)不支持準(zhǔn)入策略制定功能,可依據(jù)訪問 IP 源、目的域以及準(zhǔn)入流程進(jìn)行策略制定，目的域需是 IP、端口以及名目的組合支持不支持準(zhǔn)入流程差異化把握，可依據(jù)準(zhǔn)入策略把握終端僅注冊(cè)、僅認(rèn)證、注冊(cè)及認(rèn)證、注冊(cè)認(rèn)證及安檢等差異化準(zhǔn)入把握策略。支持支持對(duì)路由、無線、AP、HUB 等環(huán)境下的終端實(shí)施準(zhǔn)入把握，支持對(duì)IPHONE、IPAD 等非 windows 操作系統(tǒng)的終端實(shí)施準(zhǔn)入把握。支持支持不全準(zhǔn)入把握三層環(huán)境下 IP 和 MAC 綁定支持不支持外來終端或者訪客初次入網(wǎng)阻斷，并給出入網(wǎng)指導(dǎo)提示支持支持外來終端或者訪客自助申請(qǐng)上網(wǎng)碼，只需要供應(yīng)