20190众锐于的参考学习-认证计费

企业零感知·办公信息安全解决方案报告人：崔旭宇日期:2018/12/26与场景亲密接触做方案创新专家客户需求场景描述01一个个真实的故事解决方案描述02中大企业/政府/公共安全/金融等行业尖刀方案竞争分析03一剑封喉SMP+/ESS+产品设计介绍04新进的设计理念目录contents01客户需求场景描述一个个真实的故事4客户的需求1：防止终端大规模感染病毒影响企业效率故事二：ARP病毒欺骗影响生产某大型企业，因为终端向外发送大量ARP欺骗报文，导致生成三天里不断出现问题，严重影响生产，网络中心负责人，每日每夜排查，分析报文，查找问题来源；客户由不敢开启交换机的限制arp报文数量，因为这样会导致生产线上正常的ARP也会受到影响故事一：代码管理服务器中勒索病毒某中型企业，因为终端中勒索病毒，甚至后来感染了代码服务器，服务器代码文件全加密，索性的是，备用服务器没有中毒，才避免一场灾难5办公网···终端1终端2终端n1终端n2桌管软件①通过客户端软件检测终端安全信息上报桌管软件②桌管软件下发终端安全策略客户的需求1：防止终端大规模感染病毒影响企业效率现有解法：使用客户端保证终端合规桌管软件带来的麻烦：客户端的分发、安装、占用终端资源、导致南屏、死机、上不了网故障，兼容性问题，升级维护问题故事一：客户端推行失败某大型企业，使用H厂家的客户端，拿着高管的红头文件，历时半年之久才推到了全公司；号称客户端是静默安装，我们在现场连续装2台电脑，客户都要不断点击下一步，但都装失败了，为了避免客户难堪，第三台电脑，我说自己安装，让客户去忙，安装结果依然失败故事二：客户端运维人员数量惊人某中型企业，使用LR厂家的客户端，为了运维客户端，在每一个分厂都放置1-2个客户端运维人员，总计达到12个人；故事三：客户端遭员工抵制某大型企业，在终端安全管理上，曾经采购思科NAC，但是客户端安装繁琐，合规等待时间太长等原因，导致“怨声载道”，员工大量投诉，最终废弃6客户需求2：防止企业核心数据从终端泄漏出去故事一：报价清单泄漏某中型企业，刚刚发布的报价清单，2小时候就达到了竞争对手手里，无法追溯；现在有的企业，就直接实现内网网隔离，如果你要上网，只能直接通过公用机去上网查资料等办法；故事二：制造数据泄漏某中型企业，从x企业化数百万购买了一批制造核心数据，被员工通过U盘直接拷贝转手廉价卖给竞争对手；企业发现后，因员工无赔偿能力，认错态度较好，最后，放弃追究民事责任，只做了除名处理亲历的痛：还记得ZZ-portal/ZZ-OS7客户需求2：防止企业核心数据从终端泄漏出去现有解法：使用云桌面云桌面带来的麻烦：1、终端用户抵制（抵制理由：自己要自由安装办公所需软件，否则影响办公效率等）2、企业每年新增终端预算完全不够购买云桌面3、信息中心运维负担过重故事一：云桌面推行失败某大型企业，为了解决数据泄露问题，直接上了h厂家的云桌面，但最终因为终端用户抵制（抵制理由：自己要自由安装办公所需软件，否则影响办公效率等），信息中心也因为疲于应付各种终端用户的需求不断修改配置，导致巨大的工作量而放弃8客户需求3：防止盗版软件损失故事一：无法举证自己企业究竟有多少终端安装了盗版软件某大型企业，法务部经常接受到一些正版软件厂家的法律传票，要求赔偿，赔偿金额由正版软件厂家提出，该企业法务部觉得赔偿金额巨大，找信息中心要数据，结果信息中心拿不出相应证据，只好按照正版软件厂家的要求进行赔偿；9客户需求4：实现网络准入认证故事一：通过acl实现网络准入某中型医药企业，网络准入认证都没有，员工出差需要访问内网资源时也没有通过软件来管理，管接入交换机的人就配置接入交换机，搞点acl，懂核心的就配置配置核心，搞点acl，懂防火墙的就配置防火墙，懂出口的就配置出口，配置多了后，傻了，也不知道哪个对应那个人的业务；于是，定期组织团队所有人在一起回顾，将不需要的acl删除，有时候几个月一次，有时候半年一次，需要花几天时间来处理，通常还会删错，导致得罪同事，麻烦领导，领导怪罪下来，又没有手段来限制员工长时间违规使用网络；故事二：离职、换岗，网络权限回收不及时某中型企业，网络准入认证没有，离职员工回到公司附近，连接无线信号，获取企业信息（由于业务系统账号没有及时注销）直接应用到竞争对手的产品中。Radius-serverAD/DC业务系统服务区深信服思科华为h3carubaRadius-client华为arubaacl2arubaRadius-clientacl1acl3Radius-client高管员工服务商访客Radius-serverAD/DC业务系统服务区深信服思科华为h3carubaRadius-client华为arubaacl2arubaRadius-clientacl1acl3Radius-client高管员工服务商离职员工10客户需求5：需要兼容现有设备，及利旧处理故事一：被绑架购买设备某大型企业，早期采购了有线思科设备/无线aruba设备，随着国产设备的功能性能逐步满足企业的需求后，加之国家政策的倾向性，企业逐步采购国产设备，

导致国外产品在中国销量下滑，服务质量也因此下滑，导致企业经常找不到国外产品的支持，另外，国外认证产品绑定自己的设备销售，价格也很贵，搞的企业很被动；故事二：SMP+/ESS+面临兼容因为锐捷18年正式进入企业，认证计费产品所面临的事情就是对现有设备的兼容问题，如何更好、更快的兼容企业现有的设备。11客户需求6：身份的真实性故事一：员工抵赖某大型快递企业，由于员工安全意识不强，将自己的账号密码借用给他人，出现相关订单信息泄露，以账号被盗或者系统中毒为由，推卸责任，需要把使用者与账号密码关联起来，导致安全问题，担心领导问责。12客户需求7：单AD、多AD身份、父子AD、主备AD等多身份支持故事一：多个身份系统某大型电器互联网企业，因为收购了许多小型企业，小型企业有自己的身份AD系统，这些身份信息由很难整合，但网络建设又是统一构建的，客户提出，认证系统必须同时支持到多个身份系统进行认证，校验身份。注：企业通常使用AD来存储账号、密码等组织信息；单AD多AD父子AD主备AD13客户需求8：有线网络移动办公会客厅食堂办公区财务区会议室研发区员工家里/出差宾馆RG-SMP+arubaarubaarubaarubaarubaaruba华为h3c华为华为h3c华为华为h3c华为arubaarubaaruba研发数据：代码服务器财务数据：财务系统普通办公：OA/邮件系统/软件/DNS/DHCP安全区：补丁/病毒库数据中心娱乐资源办公资源RG-UAC高级办公：ftp/生产信息故事一：物理划分网络，变动时，要么跳线，要么改配置某中型汽车制造企业，由于销售人员经常出差（为了充分利用工位，所以采用移动办公），组织结构也会出现调整，办公室也会出现更换，每次更换办公地点，客户就要去机房跳线，或者去更改交换机的配置，使得对应身份在对应地点访问对应的有线网络权限。14客户需求9：防止病毒通过终端作为跳板攻击数据中心故事一：终端中毒，先断数据中心某中型企业，终端没有做任何防护，勒索病毒期间，其研究院出现几台终端中毒，有蔓延趋势，信息资源部做法是，直接把数据中心断网，给服务器打补丁，扫描病毒等操作，确定安全后，再去处理终端中毒事情，然后再恢复网络；故事二：被乌云黑了某大型企业，服务商去机房操作，导致服务器中毒了，其数据库被乌云发布到了网上，让企业去赎回；该事件惊动了当地警方，直接将服务商抓了起来15客户需求9：防止病毒通过终端作为跳板攻击数据中心现有解法：人肉打补丁、开启防火墙等加固操作人肉带来的麻烦：不科学/不及时故事一：人肉打补丁某大型企业，为了保证服务器安全，特定制定了服务器维护标准，标准明确要求3个月定期巡检服务器是否需要打补丁，防火墙是否开启等；非常麻烦；16客户需求10：为新建厂房/办公大楼/分公司提供建设依据故事一：网络建设依据某中型企业，需要在江西建设一个新的研发基地，知道大概人数，但不知道办公网络建设大概多少个AP，多少出口等，客户告诉我，我现在的办法是在SMP查，看看用户一般有多少个终端，毛估一下，需要多少AP、出口等；=x平均一个人多少终端多少人推算出多少AP、多少出口等17客户需求11：过等保资质要求/企业ISO资质要求故事一：资质要求（1）、企业在竞标中，资质要求；（2）、参与国家机关项目，必须过军密资质；（3）、企业上市，要求上述资质01在无客户端桌管软件情况下，防止终端病毒大规模爆发，影响企业办公效率02防止企业核心数据从终端的U盘、串口、光盘等形式泄漏0308统计终端安装盗版软件数量，防止正版软件厂家通过法律传票超额勒索；兼容企业现有设备，及利旧处理0504网络实名准入认证基于身份的策略随行，实现基于身份的网络权限接入来实现移动办公06多因素认证，确保身份的真实性，从而确保身份安全企业需求终端合规增值需求网络准入网络准出防止病毒通过终端作为跳板攻击数据中心；为新建厂房/办公大楼/分公司提供建设依据07单AD、多AD身份、父子AD、主备AD等多身份支持过等保资质要求/企业ISO资质要求09101102解决方案描述中大企业/政府/公共安全/金融等行业尖刀方案企业零感知·办公信息安全2.0解决方案·场景1会客厅食堂办公区财务区会议室研发区员工家里/出差宾馆RG-SMP+/ESS+arubaarubaarubaarubaarubaaruba华为h3c华为华为h3c华为华为h3c华为arubaarubaaruba研发数据：代码服务器财务数据：财务系统普通办公：OA/邮件系统/软件/DNS/DHCP安全区：补丁/病毒库应用系统娱乐资源办公资源AD/DC机器名：RJ001域账号：.cn密码：sh2008@xx运行一个bat脚本/exe，配置开机自动完成1x认证RG-UAC管理员账号：domainadmin密码；shyfzx@333④绑定机器名：RJ001与如下域账号域账号：.cn密码：sh2008@xx①预装：安装操作系统/杀毒软件等②使administrator

登录操作系统，设置机器名：RJ001③使用域账号.cn将终端加域管理员员工:cuixuyu⑤登录操作系统高级办公：ftp/生产信息业务目标：1、准入（接入交换机准入）网络认证2、实名认证3、终端合规检测部署条件：1、接入交换机支持1x认证2、企业要有AD域控，终端由管理员加入域控，并配置登录操作系统后，自动触发1x认证根据终端的合规结果，动态调整它能访问的网络权限完成操作系统登录，并自动完成1x认证，使用的也是域账号放通接入交换机，允许接入内网发起对终端合规检测，如果不合规，下发合规策略到终端，完成合规处理注：1x认证，是认证后获取ip的，所以，合规检测只能在认证完成之后

上网终端接入交换机策略设备RG-SMP+/ESS+企业零感知·办公信息安全2.0解决方案·场景1AD/DC管理员登录将终端加入域控，运行一个bat脚本，配置登录操作系统，并自动完成1x认证员工使用域控账号登录操作系统操作系统自动使用域账号发起1x认证Radius认证读取终端信息（包括账号等）、对终端进行合规性检测/策略下发（如安装杀毒软件/禁止使用U盘/开启防火墙/给操作系统打补丁/安装企业要求软件等）根据终端的合规结果，动态调整用户能访问的网络权限告知终端可以访问的网络权限定时同步所有的应用系统的资源情况反馈已经放行定时对终端进行合规性检测，如果不合规，就将用户踢下线处理并在终端访问任意网址时，会弹出界面告知终端情况；也可以ARP/DHCP报文中发现终端也可以ARP/DHCP报文中发现终端放通网络内网接入权限企业零感知·办公信息安全2.0解决方案·场景2会客厅食堂办公区财务区会议室研发区员工家里/出差宾馆RG-SMP+/ESS+arubaarubaarubaarubaarubaaruba华为h3c华为华为h3c华为华为h3c华为arubaarubaaruba研发数据：代码服务器财务数据：财务系统普通办公：OA/邮件系统/软件/DNS/DHCP安全区：补丁/病毒库应用系统娱乐资源办公资源AD/DC机器名：RJ001域账号：.cn密码：sh2008@xxRG-UAC管理员账号：domainadmin密码；shyfzx@333④绑定机器名：RJ001与如下域账号域账号：.cn密码：sh2008@xx①预装：安装操作系统/杀毒软件等②使administrator

登录操作系统，设置机器名：RJ001③使用域账号.cn将终端加域管理员员工:cuixuyu⑤登录操作系统高级办公：ftp/生产信息业务目标：1、终端合规后，才能准入（接入交换机准入）网络2、实名认证部署条件：1、接入交换机支持二代portal协议2、企业要有AD域控，终端由管理员加入域控合规可以在认证前也可以在认证后完成输入任意网址重定向到SRG-SMP+告知终端正在合规性检测检测后结果，以及能是否放通内网的权限放通可上网的权限注：合规可以在认证前也可以在认证后完成

上网终端接入交换机策略设备RG-SMP+/ESS+企业零感知·办公信息安全2.0解决方案·场景2AD/DC管理员登录将终端加入域控员工使用域控账号登录操作系统员工输入任意网址重定向至SMP对终端进行合规性检测/策略下发（如安装杀毒软件/禁止使用U盘/开启防火墙/给操作系统打补丁/安装企业要求软件等）根据合规结果，告知策略设备，动态调整用户可以访问的业务系统权限告知终端可以访问的网络权限定时同步所有的应用系统的资源情况反馈已经放行定时对终端进行合规性检测，如果不合规，就将用户踢下线处理并在终端访问任意网址时，会弹出界面告知终端情况；也可以ARP/DHCP报文中发现终端也可以ARP/DHCP报文中发现终端可以根据合规结果，决定是否允许接入内网（由管理端配置决定）企业零感知·办公信息安全2.0解决方案·场景3会客厅食堂办公区财务区会议室研发区员工家里/出差宾馆RG-SMP+/ESS+arubaarubaarubaarubaarubaaruba华为h3c华为华为h3c华为华为h3c华为arubaarubaaruba研发数据：代码服务器财务数据：财务系统普通办公：OA/邮件系统/软件/DNS/DHCP安全区：补丁/病毒库应用系统娱乐资源办公资源RG-UAC高级办公：ftp/生产信息业务目标：1、终端合规后，才能准入（接入交换机准入）网络2、实名认证部署条件：1、接入交换机支持二代portal协议2、企业要没有AD域控输入任意网址重定向到SMP+浏览器上运行网络护航模式插件，只执行一次，后续上网不需要运行企业零感知·办公信息安全2.0解决方案·场景3企业零感知·办公信息安全2.0解决方案·场景4会客厅食堂办公区财务区会议室研发区员工家里/出差宾馆RG-SMP+arubaarubaarubaarubaarubaaruba华为h3c华为华为h3c华为华为h3c华为arubaarubaaruba研发数据：代码服务器财务数据：财务系统普通办公：OA/邮件系统/软件/DNS/DHCP安全区：补丁/病毒库应用系统娱乐资源办公资源AD/DC机器名：RJ001域账号：.cn密码：sh2008@xx运行一个bat脚本/exe，配置开机自动完成1x认证RG-UAC管理员账号：domainadmin密码；shyfzx@333④绑定机器名：RJ001与如下域账号域账号：.cn密码：sh2008@xx①预装：安装操作系统/杀毒软件等②使administrator

登录操作系统，设置机器名：RJ001③使用域账号.cn将终端加域管理员员工:cuixuyu⑤登录操作系统高级办公：ftp/生产信息业务目标：1、实名网络准入认证2、合规动作，动态调整vlan，以及可以访问的业务系统权限3、移动办公部署条件：1、企业要有AD域控，终端由管理员加入域控2、设备支持1x认证/radius属性实现vlan跳转，从而实现移动办公使用域账号登录操作系统后，自动触发1x认证下发一个隔离vlan只能访问隔离权限资源发对终端进行合规处理将用户进行下线处理，要求终端重新1x认证终端再次发起1x认证通过radius属性下发vlan终端用户进而获得新的ip根据认证结果和合规结果，动态调整权限注：既要实现1x认证、又要实现移动办公（策略随行），必须进行两次1x认证

上网终端接入交换机策略设备RG-SMP+企业零感知·办公信息安全2.0解决方案·场景4AD/DC管理员登录将终端加入域控员工使用域控账号登录操作系统终端触发1x认证进行radius认证读取终端信息（包括账号等）对终端进行合规性检测/策略下发根据合规结果，告知策略设备，用户可以访问的网络权限告知终端可以访问的网络权限定时同步所有的应用系统的资源情况反馈已经放行定时对终端进行合规性检测，如果不合规，就将用户踢下线处理并在终端访问任意网址时，会弹出界面告知终端情况；下发隔离vlan，终端获取到隔离vlan的IP通过踢下线来实现重定向，所以需要踢下线接口踢用户下线通过命令，触发终端触发1x认证进行radius认证下发用户vlan终端会从dhcp上获取到对应vlanip，从而实现移动办公（策略随行）根据合规结果，告知策略设备，用户可以访问的网络权限企业零感知·办公信息安全2.0解决方案·场景5会客厅食堂办公区财务区会议室研发区员工家里/出差宾馆RG-SMP+arubaarubaarubaarubaarubaaruba华为h3c华为华为h3c华为华为h3c华为arubaarubaaruba研发数据：代码服务器财务数据：财务系统普通办公：OA/邮件系统/软件/DNS/DHCP安全区：补丁/病毒库应用系统娱乐资源办公资源RG-UAC员工:cuixuyu高级办公：ftp/生产信息业务目标：1、终端合规后，才能准入（接入交换机准入）网络2、实名认证3、移动办公部署条件：1、企业要没有AD域控，终端由管理员加入域控2、设备支持web认证/支持vlan修改配置设备隔离vlan、dhcp地址池、vlan接口的vrrp，所有用户接入都是默认隔离vlan触发web认证下发开启终端网络护航模式插件终端用户运行插件，并触发合规性检测SMP下发命令到终端，释放ip，重新获取ip，直到获取到新的ip为止,SMP通过telnet给设备下发切换valn的命令放通对应的网络权限,通过终端命令触发1x认证，或MAC快速认证注：在有AD的情况下，也能使用web认证，流程上会少“下发开启终端网络护航模式插件终端用户运行插件”步骤，使得体验更加好一些；

上网终端接入交换机策略设备RG-SMP+企业零感知·办公信息安全2.0解决方案·场景5AD/DC管理员登录将终端加入域控员工使用域控账号登录操作系统触发web认证进行web认证下发开启终端网络护航模式插件，终端用户运行插件，并触发合规性检测，对终端进行合规性检测/策略下发定时同步所有的应用系统的资源情况SMP配置交换机，让所有端口都到默认隔离vlanSMP通过telnet给设备下发切换valn的命令SMP下发命令到终端，释放ip，重新获取ip，直到获取到新的ip为止,合规后后，告知策略设备，用户可以访问的网络权限告知终端可以访问的网络权限反馈已经放行定时对终端进行合规性检测，如果不合规，就将用户踢下线处理并在终端访问任意网址时，会弹出界面告知终端情况；通过踢下线来实现重定向，所以需要踢下线接口通过终端命令触发1x认证/web认证进行1x/mac快速认证会客厅食堂办公区财务区会议室研发区员工家里/出差宾馆RG-SMP+arubaarubaarubaarubaarubaaruba华为h3c华为华为h3c华为华为h3c华为arubaarubaaruba娱乐资源办公资源AD/DCRG-UAC终端入网无感知员工:cuixuyu研发数据：代码服务器财务数据：财务系统普通办公：OA/邮件系统/软件/DNS/DHCP安全区：补丁/病毒库应用系统高级办公：ftp/生产信息数据流到RG-UAC上传终端信息：Ip：75Mac：xx:xx:xx:xx终端信息：Ip：75Mac：xx:xx:xx:xx使用nmap/NBTScan探测终端信息&安全信息返回终端信息Ip：75Mac：xx:xx:xx:xx终端安全信息/终端指纹等该终端第一次接入，请开启web认证使用ie访问旁观设备将用户重定向到认证界面实名认证用户名：cuixuyu密码：111Ip：75机器名：RJ001IP:75MAC：XX:YY:ZZ:NN终端指纹：操作系统id等用户名：cuixuyu⑧smp根据安全用户权限、终端安全级别等，授予普通办公用户权限和外网限速限制应用权限⑨数据流企业零感知·办公信息安全2.0解决方案·场景6解决方案·经典场景描述·终端用户第二次以后零感知·非加域终端·准出认证解决方案·经典场景描述·终端用户第二次以后零感知·非加域终端·准出认证会客厅食堂办公区财务区会议室研发区员工家里/出差宾馆RG-SMP+arubaarubaarubaarubaarubaaruba华为h3c华为华为h3c华为华为h3c华为arubaarubaaruba娱乐资源办公资源RG-UAC终端入网无感知员工第二次入网:cuixuyu①终端数据流经过旁挂设备，提取出流表IP:75MAC：XX:YY:ZZ:NN机器名：RJ001IP:75MAC：XX:YY:ZZ:NN终端指纹：操作系统id等通过nmap/NBTScan等协议去探测终端信息以及终端安全信息⑧SMP此时已经知道这个终端是谁的了smp根据安全用户权限、终端安全级别等，授予普通办公用户权限和外网限速限制应用权限⑨数据流研发数据：代码服务器财务数据：财务系统普通办公：OA/邮件系统/软件/DNS/DHCP安全区：补丁/病毒库应用系统高级办公：ftp/生产信息企业零感知·办公信息安全2.0解决方案·场景6解决方案·经典场景描述·终端用户零感知·非加域终端·销售场景会客厅食堂办公区财务区会议室研发区员工家里/出差宾馆RG-SMP+arubaarubaarubaarubaarubaaruba华为h3c华为华为h3c华为华为h3c华为arubaarubaaruba娱乐资源办公资源AD/DCRG-UAC终端入网无感知员工:cuixuyu研发数据：代码服务器财务数据：财务系统普通办公：OA/邮件系统/软件/DNS/DHCP安全区：补丁/病毒库应用系统高级办公：ftp/生产信息Vpn认证：账号：cuixuyu密码：111终端ip：75MAC：xx：xx：xx：xx⑧smp根据安全用户权限、终端安全级别等，授予普通办公用户权限和外网限速限制应用权限使用nmap/NBTScan探测终端信息和安全信息返回终端信息和安全信息终端ip：75MAC：xx：xx：xx：xx终端指纹企业零感知·办公信息安全2.0解决方案·场景7解决方案·经典场景描述·访客场景·准出认证会客厅食堂办公区财务区会议室研发区员工家里/出差宾馆RG-SMP+arubaarubaarubaarubaarubaaruba华为h3c华为华为h3c华为华为h3c华为arubaarubaaruba娱乐资源办公资源AD/DCRG-UAC终端入网无感知研发数据：代码服务器财务数据：财务系统普通办公：OA/邮件系统/软件/DNS/DHCP安全区：补丁/病毒库应用系统高级办公：ftp/生产信息访客访问任意网址，重定向到二维码界面上访客:guset内部员工：cuixuy，用已经登录的手机扫描其二维码，及可授权访客访问外网完整权限访问外网完整权限企业零感知·办公信息安全2.0解决方案·场景8解决方案·解决方案一栏用户角色网络管理员高管普通员工内部访客长期服务商短期服务商外部临时访客终端类型Windows台式机Windows笔记本MAC笔记本IOS-PADIOS-手机安卓手机哑终端终端是否加域是否终端安全级别终端信息安全级别终端网络安全级别用户IDSMP上的账号、密码AD域控上的账号、密码微信/企业号ID钉钉ID动态验证码手机短信码生物ID证书ID卡ID接入位置会客厅食堂办公区域财务区域研发区域会议室公司外部接入方式有线无线接入协议1xweb微信连wifi二维码MAB认证网络权限完整外网权限限速限应用外网权限内网完整权限专网权限（财务网/研发网）普通办公权限(访问邮件/OA等)安全区（下载安装软件权限/DNS解析+DHCP+病毒库+系统补丁更新权限）用户使用某ID拥有X角色在Y终端（是否加域、其安全级别）

在Z地方

使用M接入方式使用N接入协议拥有W网络权限用列：1、张三使用AD域控上的账号，该具有普通员工角色，在windows加域终端，检测终端安全级别很高，且在办公区域，使用有线接入，无需使用任何接入协议，即可以接入网络；具有内网完整权限和外网限速限应用权限（比如不允许上qq、微信等）2、李四是个普通员工，在自己带来的windows终端（没有加域，且检测安全级别很低）上，在办公区域，使用web接入网络；SMP重定向一个带有开启终端网络护航模式的插件界面，用户仅需运行一次后（后续上网不需要再运行）；SMP给李四授予内网完整权限和外网限速限应用权限（比如不允许上qq、微信等）；5、王五是个普通员工，在自己带来的MAC终端（没有加域，且检测安全级别很低）上，在办公区域，使用web认证，使用域账号进行登录；具有内网完整权限和外网限速限应用权限（比如不允许上qq、微信等）4、田六是个销售，使用AD域控上的账号，在自己购买的MAC终端（没有加域，且检测安全级别很低）上，在公司外部，使用VPN接入；SMP给田六授予普通办公权限（访问邮箱/OA等）；3、孙七是个临时访客，在IOS-手机（不加域终端，检测安全级别低）上，在会客厅，张三扫描孙七提供的二维码，使用无线web接入，给孙七只授予完整外网访问权限；03竞争分析一剑封喉主要对比项网络权限集中管控（30%）终端安全管控功能（20%）终端检测无感知（30%）用户入网无感知（20%）结论宁盾ND-ACE网络接入权限在ND-ACE中配置，由ND-ACE的vFW执行；vFW支持四层控制。权限执行设备存在性能与不稳定性问题。4分ND-ACE可以通过部分技术手段进行主动终端信息获取与流量分析，技术运用上偏窄，终端模型没有建立对于终端安全，管控的功能非常弱，并且没有模型。3分加域场景下无客户端实现，非加域场景下可以不使用客户端支持部分功能，尚未发行客户端。7分与ND-AM配置，支持在入网无感知的情况下，记录用户身份，支持Mac白名单。6分5.1分ForeScoutCounterACT网络接入权限在CounterACT中配置，由CounterACT的vFW执行；vFW支持四层控制。没有身份与认证，所以网络接入权限其实是不完备的。5分对于终端，ForeScout能做出丰富安全管控功能，包括通知，杀进程、启动杀毒软件等。对于屏保这类，需要借助于AD去完成，防截屏功能不具备，仅支持加域Windows。对终端进行建模与合规性分析。但存在缺失身份以及历史数据回溯的问题。7分加域场景下无客户端实现，非AD场景下可以不使用客户端支持部分功能，也可以使用客户端（Windows、Linux、MacOS），客户端重定向页面下发，用户一键安装，客户端没有认证功能。9分CounterACT本身不做用户入网认证，需要依赖于AD或者第三方Radius来做。支持Mac白名单。4分6.4分新华三EAD新华三采用NFV，成本可控，扩展性强，策略执行分布式带宽可能有瓶颈支持策略随行成本较低8分iNode能够进行杀毒软件检测、补丁维护、远程协助等常用管控，但不具备注册表修改、屏保、防截屏等功能5分新华三采用iNode客户端进行终端检测，检测项较丰富，并进行合规性分析与修复。需要安装、维护客户端。5分支持多种方式的无感知认证，主推VxLAN（存在设备异构问题），计算机名无感认证存在一些问题。7分6.3分华为AC-Campus华为采用service-chain，核心节点集中控制，策略执行是分布式，支持策略随行；不支持异构设备。成本较高7分华为采用360贴牌客户端能够支持常规的杀毒软件检测、注册表维护、进程保护等管控，也能进行屏保设置、防截屏等、文件检测、安全配置等功能。8分华为采用TSM/AnyOffice/360贴牌客户端进行终端检测，检测项较丰富，并进行合规性分析与修复。需要安装、维护客户端。6分支持多种方式的无感知认证，支持策略随行。7分6.9分第一阶段版本与竞品相比我们的优势主要对比项网络权限集中管控（30%）终端安全管控功能（20%）终端检测无感知（30%）用户入网无感知（20%）结论联软UniAccess内置虚拟防火墙（四层），自定义访问控制列表，自定义触发场景，网络流量统计及网络异常检测。非传统网络厂商。5分终端入网自动发现，自动收集终端软硬件资产信息，设备快速定位；桌面壁纸屏保统一设置，终端漫游管理；补丁管理、安全基线、权限管控，U盘、外联检测、主机监控、上网审计、文件操作管控等，强桌管，对于终端信息安全与网络安全力度较强。Linux与MacOS版本支持部分功能。9分有Windows、Linux、MacOS客户端，客户端支持多级部署架构，策略统一下发，数据统一汇总，终端统一升级6分UniNAC主要支持1x