網絡准入系統

針對目前內網管理所存在的問題，來訪者網絡接入管理，員工BYOD，網絡非法掃描，網絡資源濫用。

更安全的檢測BYOD（Bring Your Own Device）設備。

提供來訪者網絡接入管理。

根據不同的角色設置訪問控制權限。

執行一致性檢查。

消除惡意軟件。

簡化網絡管理。

銀行

大學、中小學

工程公司

會展中心

醫院和醫療中心

酒店

製造企業

……

傳統網絡准入技術需要安裝客户端，其有如下缺點：

需要網絡管理員幫助每一個用户實施安裝，其實施困難比較大，另外存在用户意外卸載客户端或者ActiveX控件的情況。2012年國內某大型石油化工企業就是由於安裝網絡准入客户端實施困難從而放棄客户端或者ActiveX控件准入控制方式轉而改用無客户端准入控制方式。

客户端可能存在Bugs或者安全漏洞，容易引起終端異常或被攻擊利用，導致安全隱患進而影響整個網絡穩定性和安全性。

客户端控件需要運行在終端系統上，會佔用系統資源（CPU，內存，硬盤，網絡帶寬等），從而導致系統變慢影響正常工作。

NAM設備可監控網絡內終端網絡行為，並對某些特定的網絡行為做到主控發現，主動隔離或限制。如對P2P下載，可以做到發現並隔離。

終端因P2P軟件下載被隔離後的通知頁面

支持國內常見的各種網絡設備硬件。

通過劃分不同VLAN（VLAN技術細節，請參照第三部分技術介紹）來管理終端設備。基於准入控制行業內的長期經驗和幾次技術更新，NAM設備在過去的幾年中已經逐漸變的更為靈活和穩定。客户本身的VLAN拓撲可以保留，只需要在客户的網絡中增加兩個新的VLAN：註冊VLAN和隔離VLAN。

另外，NAM設備可兼容很多設備供應商（參照第四部分支持網絡設備）的產品。

VLAN的管理使用不同方式實現：

通過交換機（基於VLAN管理的默認方式）

通過客户類別（基於角色管理的默認方式）

通過客户端程序

其他…

並且，每個交換機可以與其他方法結合來管理使用VLAN。例如，通過NAM設備的默認設置，在適當分類後，基於客户所連接的設備，可以給客户的打印機分配一個VLAN。這意味着你可以很輕鬆的擁有按照設備類型創建的VLANs。

現在，大多數機構要處理不同類型公司的在線諮詢，因此他們的工作需要網絡接入。大多數情況下，公司的內部網絡很少給未經審核的個人或者設備提供網絡接入。而且，他們也很少能夠得到公司內部環境的網絡接入，這是為了避免管理負擔。

NAM設備支持一種特殊的VLAN管理來訪者。如果你使用訪客VLAN，你可以配置來訪者VLAN只能訪問互聯網或授權的網絡資源，在註冊VLAN中提供向訪客介紹如何註冊以獲取網絡接入。這通常是提供網絡接入的管理員來定義的。

註冊訪客有幾種方式：

管理員提前授權來訪者賬户信息

密碼

來訪者自注冊（需要或者不需要認證）

來訪者擔保（員工與來訪者關聯）

通過郵件激活的來訪者

通過移動電話激活的來訪者（短信）

NAM設備還整合了在線支付方案，比如支付寶。通過這種方式，你可以實現在線支付，獲取相關的網絡接入。

NAM設備獨有自動阻止網絡上指定或者特定行為的設備,。除了應用入侵檢測、漏洞評估作為信息源，NAM設備能夠結合以下的檢測機制，以有效阻止那些不必要的設備的網絡接入：

因為現有的大多數網絡已經非常龐大和複雜，NAM設備提供多種自動註冊客户端或設備的方法。

對設備網絡接入時間範圍可以通過參數的配置加以控制。它可以是一個絕對的日期（如“2012年3月28日星期三”），一個範圍（如“從第一次網絡接入的四個星期內”）或是當設備變為非活躍狀態30分鐘後失效。當準入失效時，註冊設備就變為未註冊設備。也可以設備類別為基礎來實現這一控制。准入期限也可以在每個節點上手動編輯。

NAM設備可以自動跟蹤網絡上設備的帶寬佔用總量。它能通過內置的隔離支持，保證或者改變那些在某一時間段內消耗帶寬較多的設備的准入級別。NAM設備能提供帶寬消耗數據報告。

移動網絡設備是指在你的網絡內移動的可以接入到交換機或無線接入點（AP）的網絡設備。一旦配置合適，NAM設備將識別你的移動網絡設備並配置相應的允許多種VLAN和多個的MAC地址接入口。在這一點上，移動網絡設備可以通過或者不通過NAM設備實現網絡接入。一旦該設備斷開與NAM設備的連接，它將會重新回到其初始配置。

NAM設備可以使用多種協議/標準給您的用户提供認證。這使得您可以在您的環境中集成NAM設備，而無需要求用户記住另一個用户名和密碼。已知的認證源：

微軟的Active Directory

Novell公司的eDirectory

思科的ACS

RADIUS (FreeRADIUS, Radiator, etc.)

本地用户文件

NAM設備的架構允許通過路由器工作。服務器可以放置在數據中心，但仍然可以有效地保護分支機構。

由於網絡訪問控制的可侵入性，NAM設備在部署時，發展成為能夠很精細的控制每一個網絡接口。不管NAM設備是否履行其職責，你可預先自動登記節點，但你也可以控制每一個交換機的每一個端口的水平。這使你能夠以你希望的速度在每一個交換機，每一個樓層，每一個位置進行部署。

NAM設備可配置節點訪問特定的資源，甚至是節點被隔離時。這使你可以提供用户訪問特定的網絡資源的通道，如系統補丁、強制安裝軟件或者工具。

高可用性始終是NAM設備的研發重點。

在我們所有部署中，無論是使用主動或者被動部署模式，都證明了NAM設備的高可用性。在我們的管理員手冊中，詳細記載瞭如何配置NAM設備以及如何使其高效穩定運轉。

NAM設備支持多個網絡供應商及其各種網絡硬件。具體硬件支持請參照第四部分硬件支持。

NAM設備採用多種開放的標準，以避免廠商技術封鎖。我們的支持和使用的標準，主要有：

802.1X

簡單網絡管理協議（SNMP）

標準的SNMP管理信息庫（MIB），如BRIDGE-MIB、Q-BRIDGE-MIB、IF-MIB、IEEE8021-PAE-MIB

RADIUS

NetFlow/ IPFIX

無線ISP漫遊（WISPR）

在經過多次代碼重構，NAM產品提供豐富的易於理解的API和詳盡的二次開發樣例，在各個功能模塊第三方廠家均可可快速的進行二次開發，極大的滿足了用户各種不同需求。

部署方案：

1.採用旁路部署，VLAN隔離。

2.用户區劃分為：員工VLAN、隔離VLAN、BYOD（Bring Your Owner Device）設備VLAN、來訪者VLAN。

3.用户採用本地帳户管理，來訪者採用郵件申請註冊。

4.服務區劃分為：外部服務區VLAN、內部服務區VLAN。

5.隔離區：P2P下載、即時聊天QQ軟件，終端未升級系統及指定軟件補丁。

6.BYOD區主要包含智能手機及平板電腦。

部署方案：

1.採用旁路部署，隔離方式VLAN。

2.邏輯層次分為中央（總部）、省級（分支）、市級（銷售點）。

3.上下級設備實時數據同步，執行統一安全策略。

4.用户採用本地帳户與域帳户管理相結合，來訪者採用短信（SMS）註冊並管理員審核。

部署方案：

1.採用串聯部署，網絡層隔離。

2.用户採用本地帳户管理，來訪者採用短信及郵件申請並審核。

3.隔離區：終端未升級系統及指定軟件補丁。

安全問題：

內網較混亂，終端型號及系統複雜，發生內網掃描及內網入侵服務器等安全事件。

部署方案：

1.採用串聯部署，網絡層隔離。

2.部署NAM設備從網絡層保護服務區僅允許授權用户訪問。

3.授權用户採用本地帳户、郵件賬户管理，臨時用户採用申請並審核。

4.訪問時間嚴格限制，避免非授權用户接觸服務區。