传统的终端准入控制解决方案为保证对终端进行管理和控制,要求全部终端均安装有客户端软件,并通过客户端代理完成用户的网络认证、终端检查和管理等功能。但是,对于外来访客等临时访问网络的终端,无法要求其必须安装客户端软件;尤其是在一些大规模部署或终端设备上自身软件情况复杂等应用场景中,安装客户端软件的开销较大;另外客户端的个人操作系统越来越多样化,单纯对微软Windows客户端进行控制已经满足不了需求。
如何对临时访问网络的终端设备进行更好的控制和管理,如何更方便地部署终端管理系统,如何满足多种客户端操作系统用户的接入需求,成为网络IT管理的一个重大课题。
一、插件方案
用户上网时,在终端的IE地址栏上输入网页URL地址后,IE就会向联动设备发送HTTP请求,如果用户没有安装客户端或者想访问受限资源,联动设备就会向终端返回一个指向Portal认证页的HTTP重定向回应报文,将用户访问转向Portal认证门户网页。
在第一次使用时,IE将自动下载并运行JRE(JAVA运行环境)和JAVA客户端,然后将安装文件缓存在本地,以便加快下次客户登录的进行。用户在进行登录操作时,JAVA客户端直接和Portal 服务器进行通信,从而完成身份认证过程。认证通过后,JAVA客户端将向策略服务器发起安全请求,进行病毒、补丁等检查。对于通过安全检查的终端用户,准入服务器会通知网络设备为其开放访问权限,至此终端用户就可以对受限资源进行访问。
插件无客户端方案通过JAVA技术来驱动客户端的下载及自动运行,使用过程非常简单。同时由于JAVA技术具有操作系统无关性的特点,除了Windows外,Linux和Mac OS用户也可以安装JAVA客户端,进行身份认证和访问网络,灵活性强、部署简便、轻量小巧。
优点:不安装客户端,减轻工作量和维护任务
缺点:JAVA版本不统一,加载过程可能不顺利
二、Web+ Portal方案
Portal认证的基本过程是:客户机首先通过DHCP协议获取到IP地址(也可以使用静态IP地址),但是客户使用获取到的IP地址并不能登上Internet,在认证通过前只能访问特定的IP地址,这个地址通常是PORTAL服务器的IP地址。采用Portal认证的接入设备必须具备这个能力。一般通过修改接入设备的访问控制表(ACL)可以做到。
用户登录到Portal Server后,可以浏览上面的内容,比如广告、新闻等免费信息,同时用户还可以在网页上输入用户名和密码,它们会被WEB客户端应用程序传给 Portal Server,再由Portal Server与NAS之间交互来实现用户的认证。Portal Server在获得用户的用户名和密码外,还会得到用户的IP地址,以它为索引来标识用户。然后Portal Server 与NAS之间用Portal协议直接通信,而NAS又与RADIUS 服务器直接通信完成用户的认证和上线过程。因为安全问题,通常支持安全性较强的CHAP式认证。
优点:
1、不需要特殊的客户端软件,降低网络维护工作量
2、可以提供Portal等业务认证
缺点:
1、WEB承载在7层协议上,对于设备的要求较高,建网成本高;
2、用户连接性差,不容易检测用户离线,基于时间的计费较难实现;
3、易用性不够好,用户在访问网络前,不管是 TELNET、FTP还是其它业务,必须使用浏览器进行WEB认证;
4、IP地址的分配在用户认证前,如果用户不是上网用户,则会造成地址的浪费,而且不便于多ISP的支持。
5、认证前后业务流和数据流无法区分。
三、微信认证
微信作为一种通讯手段,已经广泛应用于个人和企业的通讯中。随着无线网络传输技术的不断发展,以及智能移动终端的日渐普及,在机场、银行营业厅、展厅、商场超市、酒店、餐厅等场景均部署了无线网络,给客人提供免费的网络接入服务。可是,无线网络仅仅是给客人提供免费上网,这必然是一种隐性的浪费。
因此,很多企业将营销与无线网络结合在一起,成为业务推广的新方向。微信准入控制应运而生。
优点:
1、可以推广微信平台。
2、营销成本低,定位准确。
缺点:
1、依托腾讯平台,每年都需要缴费(约600元rmb)。
2、仅适用于访客,不适用于内部员工。
四、用户无感知认证
在传统的PC时代,用户登录网络是,需要输入用户名和密码,则可以使用键盘方便的输入,但在移动终端时代,更多的员工使用移动智能终端进行网络的接入,如果使用智能手机或PAD软键盘输入用户名和密码,则体验非常差。
根据Gartner的调查显示覆盖范围内,76%的用户排斥使用智能终端,反复的输入网络准入信息,体验比较差。
无感知认证,可以实现首次接入网络时,用户输入用户名密码,系统会采集设备指纹信息,后续只要用户的终端再使用网络,就会自动认证,这一切都用户都是透明无感知的,体验被大大提升。
优点:
1、用户感知好,无须输入用户名密码,连上就可以使用。
2、自动采集感知元素。
3、极少厂商能定位用户发布的信息内容属于什么用户(目前联软公司可以做到)
缺点:
在安全要求非常严格的情况下无法满足,安全性不及有客户端准入认证。
选择最适合的
联软无客户端准入控制支持以上4种准入控制技术,可根据客户实际网络环境和业务需求,定制最佳的认证方案,扬长避短,充分利用各类无客户端准入控制技术的优势,为企业的网络安全提供最好的安全保障。
不仅如此,联软还可以和有客户端准入控制相结合,在同一个管理后台实现pc和移动设备的统一管理,展现企业内部网络、设备的全景画像,大幅提升工作效率和管理价值。