拓帆終端準入控制解決方案缸石家莊拓帆模網絡科技有圣限公司TIME\@"yyyy'年'M'月'd'日'"樂2023年餐4月19日目錄概述理隨著我國信蠻息系統建設眼的普及和成圓熟，企業的獵信息系統和偽網絡變得越孩來越復雜。方企業常常無蠻法控制和了武解內部網絡方的情嘴況，聰無法知道有驕什么人、什竟么終端、從離什么地方接被入到內部網織絡中，更無寶法對接入內雅部網絡的人率、終端進行紛訪問控制的漿規范管理。辦美國著名調烤研機落構綱Gartn廈er威尸研究表明，課鑒于終端的肉非法使用和麻病毒泛濫，賞美濫國赤80旁%潔的受訪企業敬想要采用網帥絡準入控制巖（霉TFS脖T缸）。短對于內部網狗絡缺乏規范牧管理，各個績廠家都沒有寇提出系統的艷解決方案。兩各個廠家經姐常會以網絡著準入控制解虎決部分內網地管理的問題悔。醋當今世界上視的網絡準入姿方案大致來穩自于兩類廠鄭家。一：澆內網管理廠相家觸；二：交換毅機廠家；突內網管理廠浙家徒需要先安裝暈客戶端軟件哨，再實現準焰入控制。對俱于不安裝軟齊件的終端，籮只能初新增凳網關設備，晨對出外網的濃訪問進行檢脹查。而對于娛內部網絡的框接入，只能傭依賴于交換龍機進行準入湊控制。但由遭于低端交換馳機和老舊交楚換機不支持栗準入控制，節因此企業靠厘這兩種解決刊方案無法實員現全網的準留入控制。悟拓帆科技蒸提出一種新竊的、不同于島以上兩種的五網絡準入控連制押（滴TFS按T想）方案。這磚種新方案將視常見的兩種亡準入控制技胸術融入進來殃，并進行創左新，解決了集無法保證網倉絡邊界完整太和與企業老緣舊設備和系謀統兼容的問傳題。使得企們業在不用更勻新網絡設備魄、不用改變劣網絡結構、趙不用安裝客釀戶端的情況假下，實現網敏絡實名制準魔入控制。餅拓帆科技恒在實名準入解控制的基礎柱上，提出一保套完整的內礎網規廁范管理的系擋統，實現了錦對內部網絡鴨的人、終端俗、蘇I胞P海、設備的統糾一規范管理觀，實現了我曬國信息系統棵等級保護中肝對網絡邊界灰保護、訪問拜控制、身份露認證等的要盆求。同時，社也有效地解旗決了目前各欄大企事業單資位普遍存在謠的非法外聯慢、無法保證菠網絡邊界完煤整、無法做輕到網絡出口獅唯一、無法陡做謹到趴IP旋千地址中心下逝發、統一管芽控、無法做懸到內部網絡校實名制等一額系列的問題丟。虜內網急需安誓全準入控制遲我們將目前愛存在的網絡仆層安全問題燃歸納如下：漿內網管理混闖亂的問題管非法外聯的只問題額保證內、外烤網隔離的問巖題蹤保證網絡邊振界完整的問樂題冷防止私改網幣址吧，固IP濟瀉網址無法可紫控的問題稅核心詞系統安全保潛障的問題俘內網無法實貸名制的問題爐保證終端設胃備合規性和箭安全性的問勿題棚細粒度網絡恥訪問控制權賤限可實現的劈問題融無法支持移添動辦公的問憂題旗內網管理混粱亂的問題輩由于缺乏乏姑“我內網規范管寶理彩”回的系統，企濾業內部網絡奮常常處于管尊理混亂的狀鏡態。企業不倒知道目前有村什么人、有承多少人、有槳多少終端正型在使用企業氏內部網絡；課不知道終端棚是否安裝了庭要求的終端哪軟件、是否繼使用了外來墨的終端設備薦進入內部網老絡；不知道校內部網絡中推有多鋪少傅I漸P廣，每厲個雹IP身齊的使用人；暢不知道是否勿有外部的網距絡設備（如漿：私帶的路欺由器、無妻線摔A震P死、等）正在附本單位的內承部網絡運行刃。狀保證內鏟、外唱網隔離的問坊題遭目前，大多放數重要企業闖都進行了物冊理隔離。但嗚這種物理隔屯離僅限于網謎絡的基礎結斜構的物理隔租離。對接入悄內網和外網潛的終端并沒驟有進行很好善的管控。如參何保證內網迎與外網不發次生互聯，如搖何保證內、忌外網終端和紹筆記本不發吼生誤接和混冊接，是各大偉企業急需解灌決的問題。像防止私改網摧址天，零IP爺墨網址無法可浮控的問題臂我國企業，睛尤其是保密堡或涉密單位阿，目前多采際用掀IP命泛網絡統一規鍵劃，終端單濟獨設罩置瓜IP化繭地址的方法識來管理網絡柏。這種管法些的優點在于丙，可以通攝過根IP麥免和人關聯，盤實現對用戶塊的網絡行為英進行管理和按審計。但是抬，隨著網卡洞管理技術的膨普及，越來精越多村的人框知道如何重江新設置網卡茂的鐵IP壺酸地址習和全MAC朋鄰地址。由于濕，企業授權經每個用戶可身以自己設證置拴IP來鴨地址，因此叢常常發生用筆戶將自己柳的安I內P垃地址設為他傅人慮的挪IP庸拆地址，造成豎網絡管理和本安全問題。浙同時，允許扛私設和私表改蛙IP/MA旬C渾辛地址，就無丹法根兔除厲ARP剩你病毒。拳要解決私設剛和私蘿改六IP/MA票C匙乎地址的問題沉，要徹底根偉除辛ARP威誰病毒，就必甩須從根本上洋改變允許終堆端用戶自己途設仿置宮IP古出的問題。而賞采龜取駱IP疾差網址中心下囑發，統一管胡理的新技術成和新的管理罰方法。油核心系統安區全保障的問吐題案隨著我國各由大企業業務烘大集中的發途展，各單位沸將重要的應增用都集中在削集團的伯信息寇中心，從而反達到應用共孫享，提高工渴作效率的目唇的。系統的國大集中對系座統的安全提麥出了更高的吃要求。企業聾需要保證能容夠對系統進偷行訪問的人攀和終端必須剩是經過授權壁的、安全的聽人和終端。衣由于各大企庸業管理是分循級授權管理善，因此許多皮企業集團無廢法直接管理甚到各個下級盤單位的網絡棄管理和使用摸。類如何保證從某進入集團的你網絡訪問是鳳來自于被授飾權的下級單漫位，來自于保被授權的終茫端和員工，歷并且使用終茅端是符合應睜用系統要求新的，就是企遼業急需解決升的問題。同邀時，集中的誤核心系統安站全存在這短富板效應，一激旦有一個下夾級單位的一楊個終端發生謹問題，就會錦使整個系統萌面臨威脅。姻這個問題解抱決愚不好昂，就會影響擺到整個集團料的內網信息沫安全。濾內網無法實哭名制的問題姓企業管乘理菜IP嶄朽網址的方法鎮，通常愿有達DHCP怠墓和靜瘦態乒IP鵲僅兩種管理方籠法。但兩種喊方法都無法芽保億證耍IP隱愧地址實名管阻理和審計的吊問題。破在孝DHCP槍致環境下，由圈于卸IP繁腸地址動態分貸配，無法保刻證指定終端深永遠獲得同找一型個隸IP護博地址。就更響無法確芝定香IP糞欣地址使用者駝的身份。播在靜青態處IP亮席的環境下，所由于無法很沫好地解決私跟改、私濃設進IP觸降地址的問題圖，因此也無瞞法確坊定訴IP雁盼使用者的唯刮一性。售保證終端設售備合規性和春安全性的問番題眼大多數企業昂沒有很好的川技術手段，裙配合相應政違策，保證所條有終端在甩接入蠢辦公內網前唐，安裝和運薄行了規定的燭桌面軟件、唐殺病毒軟件休和必須的控遼制軟件。仔另外，企業閣也很難保證運終端進行了與必要的補丁神更新。也無壤法保證所有勤進入網絡的傅終端進行了伶必要的補丁焰更新。顛無法支持移虎動辦公的問腹題課隨著計算機伴的普及，隨奴著筆記本電醬腦的越來越廚多，企業有享移動辦公的附需求。由于真，企業常常邪采用的桑是寄IP煙喬端口綁定的廢方法，就無忽法支持員工辛進行移動辦秧公。畝拓帆內網終侍端準入控制絞解決方案再目前的網絡為準入控制解谷決方案大致策有兩類。候以婚Cisco墾高為代表的。灘要求用戶購笨置新的網絡名接入設備，挎安裝新的客膝戶端軟件。獄以堵Syman萍tec犬錢為代表呼的。據要求用戶購等買新的客戶矮端，改變用答戶網絡結構脹，加裝在線諒設備。午這兩種方案昨都是有條件符的實現了網駝絡準入控制伯。這些方案芹是一種要求態企業將從客伏戶端到網絡龍接入設備都瘋進行更新，剃支持新塘的撞802.1醬x涂運協議的縱向厘解決方案。音這種縱向解蘇決方案有利侵于廠家推進候老舊產品的憑更新換代，挽保證現有廠棕家的收入。屑但對企業來夕說，則存在跪著重復投入搖、系統兼容金等問題。即靈浪費了資金逃，又存在著母部分老舊交欺換機和老舊祝終端無法實瓦現網絡準入律控制的問題斯。勝為了解決縱流向解決方案干的問題，蠶拓帆科技顧提出一種新吊的橫向解決仔方案。這種掘的橫向解決熟方案就是一益定囊括所有興的準入控制釘解決方振案，簡能夠對不同薄廠家、不同爬年代、不同射類型的網絡哥設備都進行仆支持，對不獅同操作系統祖，不同版本來的終端也都飛能夠進行支落持的準入控踏制解決方案臘。尸這種解決方欲案的優點在街于即可以充抄分發揮新協暴議、新的網貼絡接入設備豪的技術優點站，也可以兼搏容老舊設備插，最大限度側地實現網絡炊準入控制。耐內網終端準鈴入控制克部署與拓樸忍結構箏拓帆科技流公司猜提出了股將以上五種灑技術集成在蘭一起，并有共機地融合起群來，這樣可胃以滿足不同嬸網絡結構和銅用戶需求。偵系統由三部夾份組成：昏1嚴、準入網關激采用旁路部鹿署方式，可狂放置在核心灰交換機上；塵分支機構可減配置多臺準凱入網關，集敬中管理。奏支持雙機熱具備，豪具有貼可靠的逃生挪方案惕DHCP姜鋒準入模塊，鋸根據安全策堆略為終端分峽配合法的動柏態悔I狼P砌地址艱SNM蹈P獲準入模塊，頃自矛動螺/擴手動掃描可爸管理型交換謝機端口信息遲，阻止非法命接入句收集網絡內惜的管理對盡象話I區P葡地址的數據衡包并將收集設到的數據包是信息傳送給生準入控制換臺酒播菜執行網絡管浮理者設置的明策躁略匆鍛良根據策略產褲生的事件日肯志發送給準秘入控制針臺桂妻燃支亮持萬IEEE物802.1齒QTru軌nk苗顫協議從而管乘理腰VLAN險實時監控污各蘋VLA貸N友廣播域中接辟入主看機廣P委C由；2、控制臺營管理員績和翼IP/MA不C柳準入網關的婆用戶接口營對收集的數嫂據進行加工唐，并保存到遙數據庫制支持一個阿準入劉網關的多個圍網絡接口（報多廣播域）午的控制這同一控制臺副可管理多個棵準入網關蔽執矛行油IP/MA儀C所網絡管理策屢略娃通過報表系政統工具，分戲析網絡當前剖狀態及歷史穗數據3、數據庫猾數據存儲伍、猜IP/MA磚C掙埋地址表、策丈略、變更日株志駛、誘IP快自沖突、用戶間數據、事件蛋日志。浸支雜持雨ACCE丹S蛛S足、恨SQLS江ERVER渡2000地/2003墓/2005縮摧部署拓樸結勻構系統部署圖鳳終端入網摟準入北流程村接入主機可墨以設置成固忍定粱I弓P銹地址槐或訂DHC負P桐動態獲瘦得消I采P游地址，一般揚建議服務器敬或特權主機椒設定為固鄙定狼I踏P允地址，其他禍主機動態分熄配啟I防P職地址。王對于固旋定背I船P姿地黎址的貢主機，系統娛檢查戰其隨MA武C買地址眾、踐I守P愈地址、主機酬名、網卡類剃型、對應交斯換機端口等變信息，如果蛛是非法主機膊，系統將阻陷止其入網。舍此類主機無觸需實名認證幼，無需健康臘檢查。唉對營于估DHC藏P梅動態獲甘取托I鉛P赴地址的主機幸，首先系統瑞會臨時分配永一個隔離網選段粒I愧P還地址，允許聞它訪問隔離雕網段服務器辮（例如：殺診毒服務器、陵補丁服務器曠、實名認證摧服務器等）災系統如果啟型動了實名認騾證模塊，接各入主機獲取恭動埋態連I貨P劍地址后，打夢開嶼I肉E融瀏覽器訪問剖外網時，系抓統會自動推琴送實名認證密網頁，要求握其輸入管理浮員分配的用凈戶名及密碼虎，如果身份斯認證未通過轉，系統將不倒會分配內烤網脾I厚P英地址，其無結法訪問內課網任截何資源。如跟果身份認證杏通過，并且立系統沒有啟嗎動健康檢查遙模塊，接入縫主機將獲取熄管理員分配摔的內網合兆法緊I榆P子地址，接入判主機被允許割訪問內網應嚇用服務器資輛源。磚系統如果啟脈動了健康檢粥查嘩/摧桌面管理模能塊，接入主顯機實名認證呆通過后，系觸統在其打仔開羊I份E抓瀏覽器訪問脫外網時，會申自動推送健臣康檢膽查屑/早桌面管理客闖戶端下載網劃頁，當其安餅裝完健康檢婦查獄/吳桌面管理客熔戶端后，接抗入主機將獲促取管理員分蜂配的內網合至法岸I襲P攏地址，接入棉主機被允許農訪問內網應遙用服務器資食源。傲系統運行過葉程中，將自梁動收集當前歲限制主機、文允許主機、菜離線主機、被在線主機列繩表，每臺主木機當前使祖用藝MA槳C聽地址岔、獎IP遷地址盞、組耍名智/依主機名、部惑門塔/遺用戶名、接覆入交換機及垮端口號、接尺入時間等待仁信息，管理酬員可實時查伴看到對應交隆換機上接入膀主機的信息浮，并可手叢動皇/攤自動關閉其示端口，完全珍隔離非法主臂機。水流程圖如下口所示：遺終端準入認姑證流程押拓帆內網終濾端準入控制樹主要功能嚇4.3.跟1響、內網設備銷資源管理功滑能鳳臨網絡資源自梳動收集功能私將所有連接讓在網絡祥的金I畫P落資源櫻（偶I園P懷、丈MA到C陰、域追名毫/乳組名、用戶胸名、接入主咸機網卡類型吧、最近網絡哥接入事件等墾）按照設置序好的周期自屆動收集嚼。輛抓收集交換機陣信息及管理表通過收集在若管理范圍內拐的網絡中注權冊的交換機歌的盡SNM伍P辰的信哀息，普可以實時收匙集交換機的吉狀態信息，底可以收集端夠口狀態，并宗且可以自遺動挽/敢手動對指定芳的交換機端洞口進行阻殃止脫/計解除管理。翼此功能在網陽絡中主機發打出有害數據鑼包時，可以談完全的阻止客網絡連接羨。宗和針對網絡的些有效地分組專管理剝在靜功態嗎I接P狡地址環境中努可以基紐于根I彎P卡地址進行分蒸組管理，在爬動吧態檔I替P元地址環境中銜可以基江于敬MA絕C蔬地址管咐理虧I玻P攝使用情況和移主機策略情另況逢。滋挺提供周期性潑的資源使用領情況塊黃竭溝網絡臨時連后接終端或是買為了短期使辜用了分配押的員I搬P飲地址，長時伙間沒有連接漂網絡在離線旦狀態時，可望以將購其新I顯P融釋放為可使柿用暴的錫I廁P動地址進行管稿理，從而做跟到有效虛的甜I撕P裳資源管理蓬。決汁4.3.榆2萬、強有力的析阻止功能豈啄阻止非授權朵的蹤I溜P俊和晝MA督C循用戶崇對使用非授促權辣的般I劇P丈和辟MA療C映地址的用戶料進行自動或腐手動阻止，匙從而防止因利非授權用戶拒引起的網絡恨故嫂障固.流引入網絡實污名來管理主陵機名稱押DHC位P貫引入實名認爛證模塊，只零有實名認證祖通過后，才雅能獲取內網造合法毅的鞏I賠P漲地址。漆收導集織I墓P饑用戶的主機認名桑（恥NetBI隨OSNam杠e比），可以對瞞各網絡主機讀要求使用指腐定的正確的稼主機名，否竊則不行入網掀。乓收殘集恩I損P悉用戶的域賀名丹/度組名，可以搜對網絡主機蒼要求登陸域敞，否則不行鳳入網。已I仁P矛地址沖突保未護策略餅使片用座MAC歪萍綁定策略，布對于只能使頑用特齒定儀I戒P淺地址的主機秒固定行其退I岡P部地址（一個虹或多豪個叔I典P寄），從而防碑止其他主機正盜用芒其帥I滿P踢地址，并且資可以避免隆因滑I于P讀沖突而引起樸的網絡故障者。根日4.3.扮3熔、對網絡設灑備及服務端陳口管理功能津候交換機端口傅管理及控制速功能五可以監控管怎理范圍內的值主機所連接馳的可管理型錦交換機的端龍口，并且可淚以自動收集淹和手動阻賞止伸/座遷解除端口。牛當非法主機激與合法網絡廢設備發效生百I銳P訓沖突時，可魂以自動切斷略相應的交換悔機端口，從駕而防止網絡醒故障。抄系統監控主些界面懲實名認證設為置界面痕健康檢揮查鉛/伸桌面管理設爆置主界面陡I籃P姿地址使用情誤況分配表余交換柿機端口接入信主機分布與乳管理隊拓帆內網終還端準入控制臘解決方案結的優勢昨拓帆光802.1狂x調斧準入控制的界優勢時技術總是在悶不斷進步的對，尤其是像氧網絡準入控阻制這種新興派的技術，更暫是不斷的變彼化。網絡準成入控制的設糟備廠家在實方現新技術和席新協議的時暢候，實現起留來會有差異漏。同時，各昆廠家又會根怪據自己設備端的特點加入蝕一些特有的翁功能。蛛由于竭拓帆科技澡的網絡準入棕系統建立了摸統一準入平說臺，就可以脹通過對不同渴廠家編寫不照同的驅動，糊保證最大限別度地支持各量廠家的交換益機設備，實笑現其他交換笑機廠家無法嫁實現的兼容呼性。袍對于探在給802.1提x坦源交換機下假掛圣Hub粱糟和二層交換除機的情況，攪拓旬帆科技送的準入控制革平臺可以通括過肅拓帆科技況實現的其泄他感4不酸種準入控制牛技術對終端血接入實現準厭入控制。汽拓帆政DHCP祥帽準入控制的哈優勢頁拓帆科技惰的蓋DHCP幻襖準入控制能崗夠通些過罷IP販咽的下發實現貝終端的準入作控制。誼拓帆科技槽的結DHCP游允準入控制可雀以實現固政定賠I虎P卻、中心下發槍。這樣，在運保證仇了直IP勢呀綁定的同時醋，還做到貴了敘I晌P鵝使用的可控頓性。算拓帆唐網關型準入緩控制的優勢屋目前國際上算大部分網關板型準入控制鋸都是由軟件湖廠家或防火清墻廠設計生棒產的。網關報型準入控制愁通過對穿越遠網關的流量突進行檢查，懶彈著出理Web椒恥認證界面，淹完成對穿越晌網關的終端識進行主機健誰康檢查。踢但軟件疊廠家缺少防拍火墻廠家的款經驗，因此太他們生產的皆網關型準入夜控制常常出臘現性能問題儉。同樣，由轟于防火墻廠惡家采用傻的使CPU堡更性能較差、款內存較少，日不可能像服哀務器一樣具仿有處理大待量儀http信嘗訪問的能力糖，因此常常雁造成大量用丙戶認證時，糧網絡出現瓶頃頸效應，造奶成宕機，發扎生斷網事故班。毛拓帆科技膛的網關型準打入控制采用監特有的包處雕理技術，對深一般網絡數患據包實現透假明轉發，同啦時將未經認繭證的電腦咱的扮http盛瓣數據包直接食推送認證頁緞面，發起認財證請求關，旅提供用戶鳴實名認證或們準入軟件下賺載跑服務。震拓帆憂SNMP類搶準入控制的額優勢碎拓帆科技懂SNMP懶獲準入控制可狗以通喬過左SNMP晉災協襖議了解終端泰接入的位置悅，同時幫助元網管人員對反終端實現阻姑斷。顛不同于傳統磚的網管軟件肅，遲拓帆科技糧的準入控制糾將網絡管理師的范圍從網老絡設備的管簽理延伸到接滑入網絡的終腰端、終端綱的廁IP飛擔和終端使用婆的人。使得黃網絡人員能侍夠更加全面也地了解網絡權和網絡使用錦的終端及其解使用者。揚拓帆伏ARP漆涂準入控制的片優勢泰傳統找的申ARP趴窩準入控制多裳是炎PC說捷軟件廠家實接現島的門ARP槽梯準入控制。柿它們的原理浸是通過裝我有責PC萬腳軟件的終端掩對周圍沒有伴安磁裝胖PC付四軟件的終端同發冬起犯ARP債郊攻擊。但這味種實現方法姥有以下問題燭：牛當子網中沒邀有裝氧有六PC岡率軟件的終端盜時，無法對敞非法終端實夢行播ARP請堪攻外擊；銅當子網中裝申有舉PC聾參軟件的終端盛沒有開機時序，無法對非放法終端實腳行毅ARP竟粒攻擊；鴿當所賴有絡PC稈賣軟件都發箭起桐ARP聾啦攻擊時，網姑絡會由稱于足ARP芽檢包過多，造費成網絡癱瘓旗；誰PC鋒畜軟件無法跨唯網段實襪現箱ARP模囑攻擊；呈一旦終端安頸裝更了桂ARP報刻防火墻匠，饒ARP喝業攻擊無法起發到阻斷作用瞎；定拓帆恭的棉ARP盼籃準入控制是誠基于硬件平愉臺明的艦ARP欺乓準入控制。枕由于腸拓帆閉的準入控制挎平臺是一款殖硬件網絡設貿備，她可以仁實現：猶7*24太淹小時保證在宋網絡中運行工；竟不需要其他并終端開機和耗實農施頌ARP洲厭攻擊；恒對非法終端受實現的連是隱1若痰對濤1附項的咳ARP帝共單播攻擊，擠不會造成大授量射AR幅P頁緒流量；侮硬件網絡設點備支持跨網村絡進行行兼ARP筍朗準入控制；究與多噴家內ARP殼賴防火墻廠家氣進行了合作蹄和整合，保聯證能夠穿帥越嬌ARP謹燙防火墻，實步現準入控制么。瘦兼容不同廠尺家、不同年悟代的網絡接五入設備馳由于企業在劇進行信息化圾建設時，總莖會有一個過灘程。這就使顧得企業的信仗息系統會有捕不同時代的溪網絡設備并流存。另一方呆面，由于各訴個廠家的設側備各有所長翠，一個企業匠的信息系統瓜常常會有多蹈家設備共存耕。墨要想做到對病所有信息系呀統的邊界設栗備進行網絡紅準入控制，洋不但要考慮殃到與同廠家擺、不同時代絹的設備進行爛兼容，同時呢也要考慮到膊與不同廠家倒的設備做到省兼容。淺要做到這一跳點，網屈絡準入控制紛平臺就必須鉆做到符合標忘準網絡協議靈。同時，靈蜂活地運用網泄絡協議，對哈終端通過網誼絡接入設備李的接入進行辱準入控制。住目前的信息注系統經常會漲有多種網絡瓜接入種類的割設備。其中畏包括：網絡辛交換機宜，相Hu觀b大，無垮線湯A艇P倦，屑VPN匙拖接入，防火肚墻穿越，撥橫號上網等。信兼容不同的造操作系統的在企業中，當終端設備多賭以微近軟脹Windo駕ws霸聚為主。但同童一企業中，瞞常常存在這填不同版本禾的嘉Windo革w量s秧，如尸：潤Win9餃8拴，脾Win2桌00臂0木，皆WinX蘆P歲，煮Wind焦owsV般ista遭皇等。不同版抄本的操作系孫統所帶的軟群件不同。在猶一個企業中浮，也常會出漫現蘋果操作倒系統凡，忙L縫inu暑x償，肆Unix村鳴等。蠅要想做到對僻這些操作系順統兼容，只漁有用操作系央統自帶的游陽覽器豬作裝為客戶端。堪所以，一個協好的網絡準肯入控制平臺富，應該支持掙不需要安裝棉客戶端軟件粘，而可以用烈游覽器做為艦客戶端完成應接入控制。艘利燭用共IP沙標中心下發技蝦術，建立網化絡隔離區被要滿足以上繩的要求，一礦個方法就是屈利膏用亂IP普膠中心下發技把術，建立網支絡接入隔離拘區。當一個落未經確認和冬判斷的終端影接入網絡時會，首先對這杠個終端分配榜一個隔離區嗽的懲IP冠投網址。隔離疏區的網段與志辦公區的網觀段不同，網謝絡通訊互不假相通，這就援做到了網絡群的三層隔離跌。萄當隔離網與乏辦公網實現挽了三層隔離算后，不明終宣端膨就無法通辭過喚TCP/I統P沈協議進行網胳絡訪問。無去法訪問各種室應用服務器蹈，如：郵件聯服務器，財撕務服務器，修數據庫，文警件服務器等蜻。靈對于一些功次能較強的交研換器，不但蒙可以做到三誕層網絡，還暫可以實現網亭絡的二層隔東離，即殺：蓋VLAN躬黑隔離。這樣盆進一步保證昌了辦公網的閣網絡隔離和暗安全。傻在隔離網中酒，網絡準入的控制平臺會昌對接入的不若明終端推送沈認證頁面。海當用戶輸入雨用戶名和密屈碼后，網絡騎準入控制平牲臺會鑒別用豎戶身份和權催限，對用戶爹使用的終端曠分配辦公網畢的膨I拆P陡網址。儲見配合接入設頂備，防止私梢改鈔IP班光網址臭私膠改枝IP傷妹的情況多發匯生于固浸定翁IP示廊的網絡中。內國內一些部撿門，遠為了能及時幣確駝定江IP確將的使用者，郊常常對每個防人使用的終仍端指已定催IP座困網址。但是拼由于缺乏靜疊態曬I啊P翼、中心下發理的技術，因睜此多采用在此終端上設置匙并綁輸定竄IP除牽網址。誰讓每一蠶個重用戶學會設就置沾IP圖繼網址是一件陸耗時耗力的離事情。同時鞏，一旦用戶涉學會了如何削設理置膽IP離約網址，就總覽會有用戶因隱為各種各樣臉的原因，自君己私贈改疼IP閑引網址。圾網管人員常面常采用加裝測客戶端軟件邀，防止用戶顧私憶改炮IP歉下網址。但是捐，病毒也是難軟件，病毒樹也能改變終拜端室的嬸IP榜霜網址。同時享，網管人員秀無法控制沒張有安裝客戶嘆端軟件的終馬端私黑設騾IP贊管后接入網絡趣。蛇要想從根本糾上解決這一貿問題，只有雁采取靜如態建IP曉、中心下發切的策略。中直心唉IP塑喪下發可以通沸過蠢DHCP范腹協議實現。夾其實腦，矩DHCP針湊協議只是一嫌種中心下發守的協議。與綢綁定終端錘與麥IP祥卡網址并不矛居盾。比較熟紀悉娃D