傳統的終端準入控制解決方案為保證對終端進(jìn)行管理和控制，要求全部終端均安裝有客戶(hù)端軟件，并通過(guò)客戶(hù)端代理完成用戶(hù)的網(wǎng)絡(luò )認證、終端檢查和管理等功能。但是，對于外來(lái)訪(fǎng)客等臨時(shí)訪(fǎng)問(wèn)網(wǎng)絡(luò )的終端，無(wú)法要求其必須安裝客戶(hù)端軟件；尤其是在一些大規模部署或終端設備上自身軟件情況復雜等應用場(chǎng)景中，安裝客戶(hù)端軟件的開(kāi)銷(xiāo)較大；另外客戶(hù)端的個(gè)人操作系統越來(lái)越多樣化，單純對微軟Windows客戶(hù)端進(jìn)行控制已經(jīng)滿(mǎn)足不了需求。

如何對臨時(shí)訪(fǎng)問(wèn)網(wǎng)絡(luò )的終端設備進(jìn)行更好的控制和管理，如何更方便地部署終端管理系統，如何滿(mǎn)足多種客戶(hù)端操作系統用戶(hù)的接入需求，成為網(wǎng)絡(luò )IT管理的一個(gè)重大課題。

一、插件方案

用戶(hù)上網(wǎng)時(shí)，在終端的IE地址欄上輸入網(wǎng)頁(yè)URL地址后，IE就會(huì )向聯(lián)動(dòng)設備發(fā)送HTTP請求，如果用戶(hù)沒(méi)有安裝客戶(hù)端或者想訪(fǎng)問(wèn)受限資源，聯(lián)動(dòng)設備就會(huì )向終端返回一個(gè)指向Portal認證頁(yè)的HTTP重定向回應報文，將用戶(hù)訪(fǎng)問(wèn)轉向Portal認證門(mén)戶(hù)網(wǎng)頁(yè)。

在第一次使用時(shí)，IE將自動(dòng)下載并運行JRE（JAVA運行環(huán)境）和JAVA客戶(hù)端，然后將安裝文件緩存在本地，以便加快下次客戶(hù)登錄的進(jìn)行。用戶(hù)在進(jìn)行登錄操作時(shí)，JAVA客戶(hù)端直接和Portal 服務(wù)器進(jìn)行通信，從而完成身份認證過(guò)程。認證通過(guò)后，JAVA客戶(hù)端將向策略服務(wù)器發(fā)起安全請求，進(jìn)行病毒、補丁等檢查。對于通過(guò)安全檢查的終端用戶(hù)，準入服務(wù)器會(huì )通知網(wǎng)絡(luò )設備為其開(kāi)放訪(fǎng)問(wèn)權限，至此終端用戶(hù)就可以對受限資源進(jìn)行訪(fǎng)問(wèn)。

插件無(wú)客戶(hù)端方案通過(guò)JAVA技術(shù)來(lái)驅動(dòng)客戶(hù)端的下載及自動(dòng)運行，使用過(guò)程非常簡(jiǎn)單。同時(shí)由于JAVA技術(shù)具有操作系統無(wú)關(guān)性的特點(diǎn)，除了Windows外，Linux和Mac OS用戶(hù)也可以安裝JAVA客戶(hù)端，進(jìn)行身份認證和訪(fǎng)問(wèn)網(wǎng)絡(luò )，靈活性強、部署簡(jiǎn)便、輕量小巧。

優(yōu)點(diǎn)：不安裝客戶(hù)端，減輕工作量和維護任務(wù)

缺點(diǎn)：JAVA版本不統一，加載過(guò)程可能不順利

二、Web+ Portal方案

Portal認證的基本過(guò)程是：客戶(hù)機首先通過(guò)DHCP協(xié)議獲取到IP地址（也可以使用靜態(tài)IP地址），但是客戶(hù)使用獲取到的IP地址并不能登上Internet，在認證通過(guò)前只能訪(fǎng)問(wèn)特定的IP地址，這個(gè)地址通常是PORTAL服務(wù)器的IP地址。采用Portal認證的接入設備必須具備這個(gè)能力。一般通過(guò)修改接入設備的訪(fǎng)問(wèn)控制表（ACL）可以做到。

用戶(hù)登錄到Portal Server后，可以瀏覽上面的內容，比如廣告、新聞等免費信息，同時(shí)用戶(hù)還可以在網(wǎng)頁(yè)上輸入用戶(hù)名和密碼，它們會(huì )被WEB客戶(hù)端應用程序傳給 Portal Server，再由Portal Server與NAS之間交互來(lái)實(shí)現用戶(hù)的認證。Portal Server在獲得用戶(hù)的用戶(hù)名和密碼外，還會(huì )得到用戶(hù)的IP地址，以它為索引來(lái)標識用戶(hù)。然后Portal Server 與NAS之間用Portal協(xié)議直接通信，而NAS又與RADIUS 服務(wù)器直接通信完成用戶(hù)的認證和上線(xiàn)過(guò)程。因為安全問(wèn)題，通常支持安全性較強的CHAP式認證。

優(yōu)點(diǎn)：

1、不需要特殊的客戶(hù)端軟件，降低網(wǎng)絡(luò )維護工作量

2、可以提供Portal等業(yè)務(wù)認證

缺點(diǎn)：

1、WEB承載在7層協(xié)議上，對于設備的要求較高，建網(wǎng)成本高；

2、用戶(hù)連接性差，不容易檢測用戶(hù)離線(xiàn)，基于時(shí)間的計費較難實(shí)現；

3、易用性不夠好，用戶(hù)在訪(fǎng)問(wèn)網(wǎng)絡(luò )前，不管是 TELNET、FTP還是其它業(yè)務(wù)，必須使用瀏覽器進(jìn)行WEB認證；

4、IP地址的分配在用戶(hù)認證前，如果用戶(hù)不是上網(wǎng)用戶(hù)，則會(huì )造成地址的浪費，而且不便于多ISP的支持。

5、認證前后業(yè)務(wù)流和數據流無(wú)法區分。

三、微信認證

微信作為一種通訊手段，已經(jīng)廣泛應用于個(gè)人和企業(yè)的通訊中。隨著(zhù)無(wú)線(xiàn)網(wǎng)絡(luò )傳輸技術(shù)的不斷發(fā)展，以及智能移動(dòng)終端的日漸普及，在機場(chǎng)、銀行營(yíng)業(yè)廳、展廳、商場(chǎng)超市、酒店、餐廳等場(chǎng)景均部署了無(wú)線(xiàn)網(wǎng)絡(luò )，給客人提供免費的網(wǎng)絡(luò )接入服務(wù)?？墒?，無(wú)線(xiàn)網(wǎng)絡(luò )僅僅是給客人提供免費上網(wǎng)，這必然是一種隱性的浪費。

因此，很多企業(yè)將營(yíng)銷(xiāo)與無(wú)線(xiàn)網(wǎng)絡(luò )結合在一起，成為業(yè)務(wù)推廣的新方向。微信準入控制應運而生。

優(yōu)點(diǎn)：

1、可以推廣微信平臺。

2、營(yíng)銷(xiāo)成本低，定位準確。

缺點(diǎn)：

1、依托騰訊平臺，每年都需要繳費（約600元rmb）。

2、僅適用于訪(fǎng)客，不適用于內部員工。

四、用戶(hù)無(wú)感知認證

在傳統的PC時(shí)代，用戶(hù)登錄網(wǎng)絡(luò )是，需要輸入用戶(hù)名和密碼，則可以使用鍵盤(pán)方便的輸入，但在移動(dòng)終端時(shí)代，更多的員工使用移動(dòng)智能終端進(jìn)行網(wǎng)絡(luò )的接入，如果使用智能手機或PAD軟鍵盤(pán)輸入用戶(hù)名和密碼，則體驗非常差。

根據Gartner的調查顯示覆蓋范圍內，76%的用戶(hù)排斥使用智能終端，反復的輸入網(wǎng)絡(luò )準入信息，體驗比較差。

無(wú)感知認證，可以實(shí)現首次接入網(wǎng)絡(luò )時(shí)，用戶(hù)輸入用戶(hù)名密碼，系統會(huì )采集設備指紋信息，后續只要用戶(hù)的終端再使用網(wǎng)絡(luò )，就會(huì )自動(dòng)認證，這一切都用戶(hù)都是透明無(wú)感知的，體驗被大大提升。

優(yōu)點(diǎn)：

1、用戶(hù)感知好，無(wú)須輸入用戶(hù)名密碼，連上就可以使用。

2、自動(dòng)采集感知元素。

3、極少廠(chǎng)商能定位用戶(hù)發(fā)布的信息內容屬于什么用戶(hù)（目前聯(lián)軟公司可以做到）

缺點(diǎn)：

在安全要求非常嚴格的情況下無(wú)法滿(mǎn)足，安全性不及有客戶(hù)端準入認證。

選擇最適合的

聯(lián)軟無(wú)客戶(hù)端準入控制支持以上4種準入控制技術(shù)，可根據客戶(hù)實(shí)際網(wǎng)絡(luò )環(huán)境和業(yè)務(wù)需求，定制最佳的認證方案，揚長(cháng)避短，充分利用各類(lèi)無(wú)客戶(hù)端準入控制技術(shù)的優(yōu)勢，為企業(yè)的網(wǎng)絡(luò )安全提供最好的安全保障。

不僅如此，聯(lián)軟還可以和有客戶(hù)端準入控制相結合，在同一個(gè)管理后臺實(shí)現pc和移動(dòng)設備的統一管理，展現企業(yè)內部網(wǎng)絡(luò )、設備的全景畫(huà)像，大幅提升工作效率和管理價(jià)值。