全网准入

用户价值：在不改变现有网络架构基础上，以无客户端的形式实现内网终端强制身份认证。

1      免客户端实名认证

※     Web界面强制认证，兼容任何终端类型（PC、笔记本、智能手机）和操作系统（WINDOWS、LINUX、UNIX）

2      可以与AD域/企业管理系统帐号无缝整合

※     可以与AD域或企业内部管理系统共享登陆帐号库，实现统一身份认证。

3     兼容现有网络，支持各种设备和方法的准入控制

※     支持现有各种网络设备（802.1X交换机、可网管交换机、普通交换机、无线路由）的接入控制。支持802.1x接入控制、DHCP接入控制和SNMP接入控制。

※     支持对非法接入终端直接关闭其连接的交换机端口。

4     不改变网络结构的准入控制

※     旁路部署，可跨VLAN、跨路由部署与管理。

动态的“网络隔离”

用户价值：根据用户帐号，按人、按部门划分虚拟子网或VLAN，控制用户访问权限。

1      兼容802.1x和非802.1x网络

※     在普通二层交换机环境，将不同的终端按部门划入不同“虚拟子网”。

※     支持CISCO VMPS 服务，动态设置接入终端的VLAN，

u  访客自动进入隔离VLAN。

※     支持SNMP扫描与SNMP TRAP服务，动态设置接入终端的VLAN，访客自动进入隔离VLAN。

2      支持移动办公

※     当终端和人员变动办公位置后，依然可以被置于相同的虚拟子网或VLAN。

u  按人、按部门划分“虚拟子网”

※     动态地按人、按部门、分配IP，IP网段及VLAN，并可设置“虚拟子网”之间的访问控制策略。

※     支持针对不同终端个性化设置：一个MAC地址对应多个IP、入网时间段、是否需要实名认证、是否需要安装桌面软件。

IP集中管控、日志到人

用户价值：监控由DHCP分配的IP地址所在交换机端口位置，便于对网络审计进行追踪管理

1     固定IP，中心下发，统一管理

※     对固定IP实行中心下发的管理方式，可以防止用户私改IP私设IP。

2     动态IP，定位到人

※     在动态IP环境下，可随时定位到人。对每个人不同时间获得的IP进行审计。

3     定位终端接入网络的物理位置

※     图形化显示交换机所有端口使用状况，如：有无终端通信、端口下接几个终端、各自的IP地址/MAC/用户帐号等

※     定位IP接入网络的交换机及端口。

4     系统日志支持第三方数据库

※     可将系统日志直接转储到第三方数据库中，支持微软SQLSERVER、MYSQL、POSTGRESQL、ORACLE。支持标准的SYSLOG日志服务器。支持声音报警、邮件报警。

员工 / 访客区别对待

用户价值：为访客提供不受物理位置限制、不影响内网安全的接入机制

1    随时随地登录

※     外来访客或临时工作者不受物理位置的限制，可以从任意端口接入来宾访客网。但其访问权限被严格控制。

2    内部员工准入

※     内部 “员工”，经过实名认证或桌面准入认证后，自动划入员工对应部门专网。

3   访客入网隔离

※     外来“访客”，自动划入访客专网，同企业内网逻辑隔离访客隔离网权限控制

※     安全设备根据访客网段IP地址设立单独的访问权限，如：只能访问Internet、只能收发邮件等。

私改IP地址的监控

用户价值：监控IP地址使用状况，杜绝私改IP的行为，防止IP地址冲突

1  自动收集终端信息

※     自动收集网内IP-MAC地址等网络信息，无需人工添加

2  IP地址使用监控

※     实时监测所有固定地址和动态分配地址使用状态。

3  及时阻断非法终端

※     发现私改IP行为立即予以阻断，不影响其他终端设备正常使用。

4  非法行为记录

※     记录非法操作用户ID、IP地址、MAC信息和时间，方便追查。

与神盾内网安全软件整合

用户价值：实现符合企业网络管理规范的终端设备，才允许接入网络

1  强制推行

※     终端首次接入网络时，强制下载神盾内网桌面管理软件客户端或第三方主机健康检查插件（360安全卫士、各类杀毒软件客户端）。

2  入网扫描

※     只有安装了规定的安全软件, 终端才能接入办公内网。

3  安全隔离

※     对不合规终端放入隔离区，禁止与办公内网通讯。

4  正式准入

※     完全符合要求的终端才能入网