四种无客户端网络准入控制技术详细解读

2017-10-09 15:19:00 作者:专题 分类 : 比特网

  传统的终端准入控制解决方案为保证对终端进行管理和控制,要求全部终端均安装有客户端软件,并通过客户端代理完成用户的网络认证、终端检查和管理等功能。但是,对于外来访客等临时访问网络的终端,无法要求其必须安装客户端软件;尤其是在一些大规模部署或终端设备上自身软件情况复杂等应用场景中,安装客户端软件的开销较大;另外客户端的个人操作系统越来越多样化,单纯对微软Windows客户端进行控制已经满足不了需求。

  如何对临时访问网络的终端设备进行更好的控制和管理,如何更方便地部署终端管理系统,如何满足多种客户端操作系统用户的接入需求,成为网络IT管理的一个重大课题。

  一、插件方案

  用户上网时,在终端的IE地址栏上输入网页URL地址后,IE就会向联动设备发送HTTP请求,如果用户没有安装客户端或者想访问受限资源,联动设备就会向终端返回一个指向Portal认证页的HTTP重定向回应报文,将用户访问转向Portal认证门户网页。

  在第一次使用时,IE将自动下载并运行JRE(JAVA运行环境)和JAVA客户端,然后将安装文件缓存在本地,以便加快下次客户登录的进行。用户在进行登录操作时,JAVA客户端直接和Portal 服务器进行通信,从而完成身份认证过程。认证通过后,JAVA客户端将向策略服务器发起安全请求,进行病毒、补丁等检查。对于通过安全检查的终端用户,准入服务器会通知网络设备为其开放访问权限,至此终端用户就可以对受限资源进行访问。

  插件无客户端方案通过JAVA技术来驱动客户端的下载及自动运行,使用过程非常简单。同时由于JAVA技术具有操作系统无关性的特点,除了Windows外,LinuxMac OS用户也可以安装JAVA客户端,进行身份认证和访问网络,灵活性强、部署简便、轻量小巧。

  优点:不安装客户端,减轻工作量和维护任务

  缺点:JAVA版本不统一,加载过程可能不顺利

  二、Web+ Portal方案

  Portal认证的基本过程是:客户机首先通过DHCP协议获取到IP地址(也可以使用静态IP地址),但是客户使用获取到的IP地址并不能登上Internet,在认证通过前只能访问特定的IP地址,这个地址通常是PORTAL服务器的IP地址。采用Portal认证的接入设备必须具备这个能力。一般通过修改接入设备的访问控制表(ACL)可以做到。

  用户登录到Portal Server后,可以浏览上面的内容,比如广告、新闻等免费信息,同时用户还可以在网页上输入用户名和密码,它们会被WEB客户端应用程序传给 Portal Server,再由Portal Server与NAS之间交互来实现用户的认证。Portal Server在获得用户的用户名和密码外,还会得到用户的IP地址,以它为索引来标识用户。然后Portal Server 与NAS之间用Portal协议直接通信,而NAS又与RADIUS 服务器直接通信完成用户的认证和上线过程。因为安全问题,通常支持安全性较强的CHAP式认证。

  优点:

  1、不需要特殊的客户端软件,降低网络维护工作量

  2、可以提供Portal等业务认证

  缺点:

  1、WEB承载在7层协议上,对于设备的要求较高,建网成本高;

  2、用户连接性差,不容易检测用户离线,基于时间的计费较难实现;

  3、易用性不够好,用户在访问网络前,不管是 TELNET、FTP还是其它业务,必须使用浏览器进行WEB认证;

  4、IP地址的分配在用户认证前,如果用户不是上网用户,则会造成地址的浪费,而且不便于多ISP的支持。

  5、认证前后业务流和数据流无法区分。

  三、微信认证

  微信作为一种通讯手段,已经广泛应用于个人和企业的通讯中。随着无线网络传输技术的不断发展,以及智能移动终端的日渐普及,在机场、银行营业厅、展厅、商场超市、酒店、餐厅等场景均部署了无线网络,给客人提供免费的网络接入服务。可是,无线网络仅仅是给客人提供免费上网,这必然是一种隐性的浪费。

  因此,很多企业将营销与无线网络结合在一起,成为业务推广的新方向。微信准入控制应运而生。

  优点:

  1、可以推广微信平台。

  2、营销成本低,定位准确。

  缺点:

  1、依托腾讯平台,每年都需要缴费(约600元rmb)。

  2、仅适用于访客,不适用于内部员工。

  四、用户无感知认证

  在传统的PC时代,用户登录网络是,需要输入用户名和密码,则可以使用键盘方便的输入,但在移动终端时代,更多的员工使用移动智能终端进行网络的接入,如果使用智能手机或PAD软键盘输入用户名和密码,则体验非常差。

  根据Gartner的调查显示覆盖范围内,76%的用户排斥使用智能终端,反复的输入网络准入信息,体验比较差。

  无感知认证,可以实现首次接入网络时,用户输入用户名密码,系统会采集设备指纹信息,后续只要用户的终端再使用网络,就会自动认证,这一切都用户都是透明无感知的,体验被大大提升。

  优点:

  1、用户感知好,无须输入用户名密码,连上就可以使用。

  2、自动采集感知元素。

  3、极少厂商能定位用户发布的信息内容属于什么用户(目前联软公司可以做到)

  缺点:

  在安全要求非常严格的情况下无法满足,安全性不及有客户端准入认证。

  选择最适合的

  联软无客户端准入控制支持以上4种准入控制技术,可根据客户实际网络环境和业务需求,定制最佳的认证方案,扬长避短,充分利用各类无客户端准入控制技术的优势,为企业的网络安全提供最好的安全保障。

  不仅如此,联软还可以和有客户端准入控制相结合,在同一个管理后台实现pc和移动设备的统一管理,展现企业内部网络、设备的全景画像,大幅提升工作效率和管理价值。

芥末视频

最近更新
科普

科普图集
互联网创业者迎来春天,创业环境将更好

互联网创业者迎来春天,创业环境将更好>>详情

“互联网+”接上大市场,小创业正确打开方式

“互联网+”接上大市场,小创业正确打开方式>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。