宝界无线准入网关20140606

1、宝界科技出品宝界无线准入网关国内最专业的准入厂家宝界准入产品体系宝界准入产品系列终端准入实现接入准入智能交换机联动八大准入技术应用准入关键应用准入上网行为管理网络流量控制无线准入无线路由管理无线实名认证无线三层交换.三大准入产品适应所有准入需求目录需求背景产品功能产品优势成功案例01020304没有无线准入的安全隐患私接路由器 私接无线路由器 现有的无线路由使用共享简单密码，极易泄漏 无法区分无线用户是外来访客还是内部员工 访客可随意访问公司内部应用服务器 难以保证无线接入用户是否安装杀毒软件 无法对无线入网终端保留入网日志危险!围墙外非法无线接入用户未经授权外来访客内部员工游离在上网行为管理

2、之外没有无线准入的安全隐患病毒木马黑客攻击恶意破坏网速减慢数据泄露带来的问题 运维部门只能干着急! 开放式网络-网络准入控制 目前大多数企业构建的还是开放式的网络，虽然在互联网接入层部署了防火墙等安全防护设施，但从内网的接入层，却依然采用开放式的网络架构，这种开放性给企业业务开展确实能够带来便捷，但随着IT技术的快速发展，各种网络应用的日益增多，病毒、木马、蠕虫、网络钓鱼以及黑客程序等等不断从内网带来威胁并入侵企业内部网络资源，使得企业网络的安全边界迅速缩小，开放的内部网络访问严重影响了企业IT基础设施的安全和稳定，因此必须构建新一代的内部网络安全防御体系，即网络准入控制系统。信息安全相关法案

3、、标准目录需求背景产品功能产品优势成功案例01020304宝界无线准入网关无线接入无线安全无线营销产品部署拓朴-无线AP连接分散在多台交换机Internet宝界无线准入网关员工VLAN接入终端路由器三层交换机无线AP设置相同的SSID无线路由关闭DHCP设置相同的SSID无线VLAN无线VLAN应用服务器群服务器访客可以上网但不能访问内网关键服务器外来访客分配隔离网段地址内部员工分配内网工作地址上网行为流量控制DHCP服务实名认证终端准入无线VLAN员工VLAN内网口外网口员工VLAN接入终端产品部署拓朴-无线AP连接集中到一台交换机Internet宝界无线准入网关内网有线接入终端路由器三层交

4、换机无线AP设置相同的SSID应用服务器群服务器访客可以上网但不能访问内网关键服务器外来访客分配隔离网段地址内部员工分配内网工作地址上网行为流量控制防火墙DHCP服务实名认证终端准入宝界无线准入网关部署说明支持多种部署方式：路由网关模式、透明桥接模式、策略路由模式；无线准入网关有一个外网口，多个有独立的具备三层管理功能的内网口、支持连接三层交换机的TRUNK口，支持在各VLAN设置独立内网子接口，支持跨路由部署；所有的无线路由或AP转换成无线交换模式（不接WAN口）、设置成相同的SSID、并关闭DHCP服务；在各内网口对应网段启用双地址池的DHCP服务，为外来访客分配隔离网段DHCP地址，网关

5、指向准入设备；为内部员工分配工作网段DHCP地址，网关指向三层交换机；可为内部员工分配固定的IP地址；在各网段，可根据管理要求决定是否启用实名认证服务；在各网段，可根据管理要求决定是否启用强制安装第三方安全软件；主动扫描接入内网的终端，建立内部可信终端的白名单列表，管理员可为不同的终端设置不同的安全策略；宝界无线准入管理流程你是谁？合法终端你安全吗？单位内网终端审计检测终端是否安装第三方桌管、杀毒、加密软件，未安装禁止入网安全检查合法终端非法终端拒绝入网身份检查接入请求访客员工互联网DHCP地址分配、员工访客访问权限不同申请实名入网账号等待审核员工访客宝界无线准入网关主要功能强制安装第三方安全

6、软件网页方式的实名认证智能流量控制网络应用协议过滤VPN远程访问防火墙功能日志分析系统非法终端扫描、阻断、审计全网DHCP服务主要功能-针对无线网络提供DHCP准入可提供实名认证的DHCP服务主要功能 在不同的网段可启用各自的DHCP服务； 用户首次入网获取隔离网段的IP地址，经过网页实名认证后再获得工作网段的IP地址； 可以与微软域管理或企业管理系统帐号无缝整合，共享登陆帐号库，实现统一身份认证； 可为入网终端分配白名单节点中绑定的IP地址，方便管理； 隔离网段与工作网段之间可自定义包过滤策略。主要功能- DHCP服务二次分配地址身份认证未通过前DHCP分配隔离网段IP身份认证通过后DHCP

7、分配内网指定节点IPDHCP为终端分配固定的IP主要功能实名认证模块主要功能 日志对应到人：实名认证模块可实现即便是无线网络DHCP环境、IP地址不固定的情况，终端访问日志、流量日志也能对应到人；多因素的组合认证：可对实名用户定义有效期、限定MAC地址、及部门属性，可导入导出实名用户列表；灵活的实名登陆策略：支持自定义WEB认证网页；对特权主机可排除不做实名认证；对特定的应用服务器的访问可不做实名认证。 主要功能- 实名认证无客户端WEB方式身份认证主要功能- 实名认证帐号与域帐号集成自动与域帐号同步实名用户绑定MAC、限制入网时间主要功能- 实名认证 -用户自注册及审核功能主要功能- 实名认

8、证-证书方式认证过程主要功能-强制安装桌面管理软件应用准入模块主要功能 通过网页自动重定向，对不合规的终端，进行个性化的友好提示，发送执行合规管理的客户端软件，真正实现了最终用户“自助式”的客户端部署，不仅大幅度减少网络维护人员的工作量，也极大减少用户的厌烦和抵触行为，有效保证网络版杀毒软件，或内网管理软件的全网布署。主要功能-强制安装桌面管理软件应用准入模块主要功能1、可分网段分步实施应用准入控制；2、对特定的接入主机可不做应用准入控制；3、对特定的应用服务器的访问可不做应用准入控制；4、可定义终端入网后指定的时间段后再做应用准入控制；5、可定义终端准入控制检测周期时间；主要功能-强制安装桌

9、面管理软件强制安装桌面管理软件或杀毒软件通过循环扫描客户端端口判断是否安装安全客户端软件 主要功能- 快速判断是否安装桌管客户端直接读取内网桌面管理软件的数据库，判断是否已经安装桌管客户端主要功能-非法终端扫描、阻断、审计入网终端实时扫描，定义合法入网节点主要功能 快速发现终端信息 采用SNMP、telnet、ARP 监控和ARP 扫描等技术快速发现接入内网的各类终端；自动检测终端信息 自动收集各接入终端的IP地址、MAC地址、主机名、组名、网卡型号等信息实时检测IP地址使用情况实时监测固定IP地址和动态分配IP地址使用状态； 快速定义白名单节点管理员可单个或批量的定义合法终端节点名单主要功能

10、- 快速扫描各网段入网终端信息快捷菜单白名单当前在线终端包过滤安全策略主要功能-多种快速发现入网主机的机制实时监听入网终端的ARP数据包通过ARP主动扫描不同网段的终端信息通过SNMP或telnet读取三层交换机或路由器的IP/MAC列表通过SNMP读取接入交换机或路由器的MAC地址分布多种机制并用，保证快速发现非法终端入网行为动态读取交换机、路由器IP/MAC列表主要功能- 主机白名单节点定义自动收集 IP、 MAC、主机名、工作组名、手动指定准入起止时间，并根据此条件做接入控制针对指定终端定义安全策略,要不要实名认证，要不要安装桌面管理软件或网络版杀毒软件主要功能-SNMP协议自动收集PC

11、接入交换机的端口实时显示指定交换机所接入主机信息，并可自动/手动阻断端口通讯 图形化显示接入终端在那台交换机那个端口下，或内网指定的交换机下接了那些终端，用户可对交换机指定的端口做UP/DOWN的操作。主要功能-主机类型扫描自动判断终端类型：PC、路由器、交换机、防火墙、生产厂家主要功能- IP地址管理IP/MAC地址有序集中管理主要功能固定IP，管理员统一分配IP地址 在固定IP环境下，由管理员统一分配IP地址，管理员可实时查看网段内IP地址占用情况，为IP地址分配管理提供依据；动态IP，定位到人 在动态IP环境下，可实时显示DHCP分配的IP地址对应终端的用户名称，方便管理员做内网行为审计

12、；主要功能- IP 地址使用情况显示IP地址使用分配列表，网络管理员，对空闲IP地址一目了然。主要功能智能流量控制模块主要功能 通过对上网终端的连接数及上网流量的智能管理解决非工作应用严重占用企业出口带宽问题 客户端连接数控制； 针对单个IP地址/IP地址段主机设置带宽； 根据当前在线用户数量，智能动态分配各 客户端的流量； 当有多余带宽，允许突破限制，充分利用带宽 ；可指定应用协议数据流量不做流量控制；主要功能-智能流控主要功能-智能流控单机策略网络策略地址段策略网络内每单台PC终端的流量网段内所有PC终端合计流量更多带宽的值在外网出口中设置主要功能网络上网行为管理功能主要功能 通过对网络应

13、用协议阻断、网址黑名单过滤等技术手段，减少终端用户在上班时间做与工作无关的事情。 只有许可的QQ/MSN帐号才能在内网登陆； 只有许可的邮件帐号才能在内网发送邮件； 可禁止接入终端在BBS上发贴或上传文件； 支持域名关键字黑白名单过滤； 可限制P2P软件（BT、电驴等）数据流量； 封堵游戏、远程控制软件、VOIP等非法软件； 所有应用协议封堵均支持时间段，例外用户策略； 支持封堵的应用协议自动升级。主要功能-上网行为管理主要功能IPSEC/SSL VPN远程访问模块主要功能 简单易用的应用发布系统：针对不同VPN用户有不同的内部应用访问权限； VPN访问应用加速功能：通过内置的智能加速技术，大

14、大提高ERP等大数据量应用的访问速度； 线路自动跳转加速功能：可以智能选择电信、网通、铁通等线路，让电信用户访问电信线路，网通用户访问网通线路； 多种身份认证方式：远程用户除可使用用户名、密码验证外，还支持用户名密码USB Key、用户名密码客户端PC硬件绑定、用户名密码数字证书等多种双因子认证方式，企业可根据不同用户角色来选择各种认证，多种组合可搭配选择，以此实现数据的安全访问；主要功能防火墙功能模块主要功能 图形化管理：操作界面充分利用面向对象的特性，使用户直接拖拽鼠标即可完成复杂的防火墙策略定制； 多外网链路负载均衡：最高支持三条外网线路接入，智能实现带宽聚合、线路备份、负载均衡。支持电

15、信、联通、教育网的智能策略路由，实现电信流量走电信、联通流量走联通，可免费升级智能路由策略库； 灵活的应用发布：支持全地址映射功能；支持连续端口映射WEB跳转功能：根据网站访问者IP来源（电信、网通、铁通、移动教育）网关自动将其访问的域名跳转到对应域名； ARP病毒防御：可采用内网PPPoE拨号上网,彻底化解ARP欺骗；通过自动扫描IP/MAC列表，实现双向绑定，防范ARP病毒；可防御内网PC与网关IP地址冲突。主要功能日志分析系统主要功能日志分析系统：实时显示外网线路总流量、上网流量的协议分布、网关的CPU内存占用、各接口地址状态、在线的实名用户名称、安全准入IP地址、ARP事件、SSL V

16、PN在线用户列表、内网主机实时上下行流量。日志数据可直接存储到SQLSERVER/MYSQL数据库，方便与第三方系统联动；支持发送至第三方SYSLOG服务器。主要功能-日志分析与审计目录需求背景产品功能产品优势成功案例01020304产品优势省钱产品优势多功能防非法外联功能安全兼容可控易操作防非法外联功能日志全面联动产品优势-省钱无线覆盖工程成本降低70%产品优势 使用价廉的家用无线路由器即实现无线覆盖； 华为思科无线AP价格10003000元/个、DLINK、TP-LINK无线路由仅50元/个，可覆盖50100平方的空间无线准入网关不限制下接无线路由的数量产品优势-兼容兼容所有厂家的无线设备

17、产品优势 兼容所有厂家的无线路由器、无线AP；网络可以有多个厂家，多个型号路由器或AP; 只需将所有无线路由改成相同的SSID，就可实现无线接入用户无缝自动切换无线接入点； 对交换机功能要求低，无需支持策略路由、EOU、802.1X，非法终端访问阻断功能可在准入网关上实现；产品优势-多功能应用准入、终端准入二合一产品优势 同时具备应用准入和终端准入二方面的功能 同时支持有线、无线二种环境的准入控制 在无线准入基础上，对入网终端进一步实现上网行为管理及流量控制功能产品优势-联动强制安装第三方安全软件产品优势 与杀毒软件联动 ：卡巴斯基、趋势、赛门铁克、瑞星、金山 与内网桌面管理软件联动： 360

18、企业版、北信源、LANDESK 与加密软件联动：所有加密软件产品优势-安全强化对无线入网终端的安全设置产品优势 针对无线接入用户的包过滤防火墙策略 网址黑白名单过滤功能 QQ号、MSN帐号、EMAIL账号管理 无线准入网关具有三层交换的功能，可以对各VLAN网段主机做安全访问控制产品优势-可控安全策略对应到人产品优势 每个终端可与MAC地址、IP地址、主机名、组名、交换机、交换机端口号绑定 可设置终端是否需要实名认证 可设置终端是否需要安装第三方安全软件 可针对实名用户做流量控制 流量日志对应到人 上网日志对应到人产品优势-易操作面向对象的中文图形化界面产品优势 中文图形化界面，操作使用简单，配置灵活方便快速。界面充分利用面向对象的特性，所有网络对象、服务对象、时间对象、时间对象都直接使用鼠标拖拽，来完成复杂的安全策略定义产品优势-日志全面全面日志审计产品优势 终端入网日志，在线主机、离线主机、限制主机 终端上网日志 全网IP地址使用状态 终端交换机及端口分布 终端入网实名日志 终端安装第三方安全软件日志日志数据可直接存储到外置数据库，方便与第三方系统联动支持发送至第三方SYSLOG服务器。目