终端接入控制主流技术优势比较

   终端接入控制系统能够强制提升企业网络终端的接入安全，保证企业网络保护机制不被间断，使网络安全得到更有效提升。 传统的终端准入控制系统的实现一般采用了以下四种技术： 

   802.1X协议 

   是一种基于端口的网络接入控制协议。基于端口的网络接入控制，是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。缺点是不兼容老旧交换机，必须重新更换新的交换机；同时，交换机下接不启用802.1x功能的交换机时，无法对终端进行准入控制。 

   网关型准入控制 

   在接入终端和网络资源(如：服务器/互联网出口)之间，设置一个网关，终端只有通过网关的验证和检查后，才能访问网关后面的资源;实际上网关准入控制只是防火墙功能的一个扩展，可以认为是网络准入控制中的一种特殊形式，绝大多少传统的防火墙厂商都提供该类解决方案。网关型准入控制没有对终端接入网络进行控制，而只是对终端出外网进行了控制。同时，网关型准入控制会造成出口宕掉的瓶颈效应。 

   DHCP准入控制 

   终端连接到网络时，DHCP服务器给终端分配一个临时的IP和路由，使得终端只能访问有限的资源，终端通过安全检查之后，重新获取一个IP，此时可以正常访问网络。DHCP的准入控制的优点是兼容老旧交换机。缺点是不如802.1x协议的控制力度强。 

   ARP抑制准入控制 

   通过ARP底层协议，实时发现接入设备，并根据规则进行准入控制。部署方便，无需调整网络结构，适用于所有规模的网络用户。 

   通过以上对比，我们发现这几种主流技术各有优势，那么有没有控制方式简便，扩充性和兼容性好,支持多vlan和动态dhcp网络环境，能够实现在极少量管理人员的情况下实现大规模网络管理的方法呢？下面小编就为大家推荐一种低成本、易实施、好管理、高可靠的安全解决方案。 

   安州科技终端接入控制系统严密配合国家权威机构提出的相关法规，对于内网接入控制的各种管理规范，从多个层面对终端设备进行全方位的安全防护。具体包括全网设备自动发现、接入设备自动甄别、违规设备自动定位并阻断、全网信息事件审计等多种安全功能于一体,从外部到内部,形成一套立体化的纵深安全防御体系。系统通过统一的图形化管理界面，实现了资产统计、安全防护、审计的全部功能。 

   主要功能 

   设备发现 

   自动发现全网设备，并可区分出终端类型，包括：终端操作系统、IoT设备类型等,方便管理人员进行分类管理； 

   在设备第一次入网时，采用设备指纹技术，给每一个设备生成唯一标识，为设备的准入提供验证依据； 

   支持设备主动发现功能，发现过程不需在原有设备中安装任何程序，发现过程不对网络造成影响； 

   通过多维度的发现分析，实现网络全面可视化。 

   接入防 

   采用SNMP、ICMP、ARP协议等多种协议对接入层面进行抑制，同时可联动安全网关进行网关层面的抑制，形成多级防护体系； 

   外来访客，划入访客专网，同企业内网逻辑隔离。同时可设置临时准入，并控制访客网络访问权限。 

   精准定位 

   显示交换机所有端口使用状况，如：有无终端通信、端口下接几个终端、各自的IP地址/MAC/用户帐号等。定位IP接入网络的交换机及端口； 

   生成交换机网络拓扑图，通过可视化设备看板对网内设备位置准确掌控。 

   主要价值 

   自动发现网络资产，帮助管理员了解网络的真实情况； 

   适应各种复杂网络环境，防止外部或内部不安全的设备接入网络； 

   自动发现网络、设备及连接关系，清晰展现全网线上资产与安全状态； 

   可视化的网络拓扑、面板管理，全网终端快速定位; 

   部署快速、维护简单，提高安全接入能力同时提高运维效率。