宝界终端准入控制系统与桌面管理软件结合解决方案.doc

《宝界终端准入控制系统与桌面管理软件结合解决方案.doc》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、宝界终端准入控制系统与桌面管理软件结合解决方案一、应用背景在IDC对全世界企业网络使用情况的调查中发现，对企业网络造成危害的最大的因素不是外网攻击，是内部企业员工的恶意或违规的操作。为此很多企业安装了桌面管理软件，但部署后又面临如下问题：·需要大量手动安装客户端，工作量大。即使是远程批量安装或推动安装也因客户端环境复杂而成功率很低。·安装客户端后，被管控客户端想方设法卸载或屏蔽，甚至硬盘格式化，造成客户端丢失，应用效果大打折扣。·网管无法主动防御和发现客户端的卸载，造成网管人员的工作量不降反升，到处求人装客户端，疲于奔命。·对笔记本不能做IP/MAC地址绑定，因为笔记本一旦要带出局域网，IP

2、地址不能更改，带来很多不便·用户要求入网就要检查桌面客户端是否安装，如果不装，不能入局域网·非授权主机可随意进局域网，桌面管理无法阻止其入网二、宝界解决方案通过采用宝界局域网准入网关产品可以解决以上问题：1、宝界局域网准入网关实现的功能·对用户按组、按部门、按人实现IP地址管理·对用户的IP地址实现实名制的分发和管理·强制安装对入网主机安装桌面管理客户端·固定IP的管理·兼容老旧网络（兼容非802.1x交换机、hub等），实现实名IP地址管理·对IP地址的改变进行监管，防止非法篡改IP地址·新接入IP地址的侦测和自动收集·IP地址的实名查找·多网段的IP分配和管理2、产品部署拓朴图系统部署图

3、3、局域PC入网流程图①　接入主机可以设置成固定IP地址或DHCP动态获得IP地址，一般建议服务器或特权主机设定为固定IP地址，其他主机动态分配IP地址。②　对于固定IP地址的主机，系统检查其MAC地址、IP地址、主机名、网卡类型、对应交换机端口等信息，如果是非法主机，系统将阻止其入网。此类主机无需实名认证，无需健康检查。③　对于DHCP动态获取IP地址的主机，首先系统会临时分配一个隔离网段IP地址，允许它访问隔离网段服务器（例如：杀毒服务器、补丁服务器、实名认证服务器等）④　系统如果启动了实名认证模块，接入主机获取动态IP地址后，打开IE浏览器访问外网时，系统会自动推送实名认证网页，要求其

4、输入管理员分配的用户名及密码，如果身份认证未通过，系统将不会分配内网IP地址，其无法访问内网任何资源。如果身份认证通过，并且系统没有启动健康检查模块，接入主机将获取管理员分配的内网合法IP地址，接入主机被允许访问内网应用服务器资源。①　系统如果启动了健康检查/桌面管理模块，接入主机实名认证通过后，系统在其打开IE浏览器访问外网时，会自动推送健康检查/桌面管理客户端下载网页，当其安装完健康检查/桌面管理客户端后，接入主机将获取管理员分配的内网合法IP地址，接入主机被允许访问内网应用服务器资源。②　系统运行过程中，将自动收集当前限制主机、允许主机、离线主机、在线主机列表，每台主机当前使用MAC地

5、址、IP地址、组名/主机名、部门/用户名、接入交换机及端口号、接入时间等待信息，管理员可实时查看到对应交换机上接入主机的信息，并可手动/自动关闭其端口，完全隔离非法主机。终端准入认证流程三、解决方案价值·自动强制安装桌面管理客户端·加强企业内网控制，做到了实名登陆局域网，非授权主机不能进入局域网；·加强内网IP地址管理，防止了IP地址随意修改，服务器与客户端IP地址冲突；