1.1  企业网络面临的问题 

要建立一套完善的企业安全体系需要在产品技术上和管理制度上做到万无一失，当前企业为了保障网络正常运行，购置和部署了很多网络安全产品，但仍然存在很多令网络管理员头疼的问题，突出问题如下： 

1.1.1 私有设备接入网络 

很多企业员工为了方便，将自己私人笔记本、手机、PAD 等设备接入企业办公网络，而由于私人终端的互联网属性，很可能携带了木马病毒等，对企业内网产生一定的冲击，同时还可能造成企业内网数据的泄漏，企业网络管理员如何管理非企业内部终端私自接入网络问题一直是棘手的问题。 

1.1.2 私接网络设备 

有些企业员工为了方便上网，私自接 HUB、无线 AP 等网络设备，然后将违规的私人终端通过这些 HUB、无线 AP 等接入企业网络，从而绕过很多安全产品的检查。另外，由于个人无线 AP 的不安全属性，其在某些政府单位是严格禁止的，很容易造成无线数据被监听和攻击。 

1.1.3 主机规范不落地 

目前各政府机关、企事业单位都建立一套自己的网络安全规范，来要求企业机器必须安装杀毒软件等，防止病毒、木马等在企业网络中传播，但是很多时候这些要求并没有真正落地，很多人对这些要求视而不见，或者是应付检查，没有全生命周期的保障这些规范实时生效，究其原因就是缺乏有效的技术手段来规范入网机器。 

1.1.4 责任不能定位到人 

现在的网络是基于 IP 管理的，所有的安全设备，比如 IDS/IPS、桌面安全、漏洞扫描、行为分析等都是基于 IP 地址工作的，但 IP 地址的修改和伪造是很容易的，一般人员都可以实现。当 IPS 发生告警后，一般提示某个 IP 地址发生了某个安全事件，但管理员真正需要的是责任到人，找到真正的机器使用人。 

1.1.5 设备非法外联 

很多保密企业的企业内网是严格禁止访问互联网的，但是很多员工为了方便内网和互联网的切换工作，从而在内网机器上插 3G/4G 网卡，或者通过代理、VPN 绕过上网限制。非法外联给企业安全埋下了巨大的安全隐患，一旦发生就会造成整体内网与外网连通，使得内外网隔离的巨大投入全部化为乌有。 

1.1.6 仿冒问题 

很多企业为了管理考虑一般采用统一的 IP 地址规划，然后设置防火墙 ACL 等访问控制类系统来严格控制 IP 地址的访问权限。但是随着计算机的普及以及人们技术能力的提升，修改 IP 地址变得轻而易举，甚至于有些员工为了逃避管理而修改 MAC 地址、使用 AP 克隆 MAC 地址等手段进行非法接入。 

1.1.7  IT资产管理混乱 

由于历史原因，网络管理员很难统计企业内部网络上的终端台账，比如企业网络中有多少台终端，各是什么类型的终端（笔记本、台式机、服务器、手机等），每个终端的操作系统是什么（windows、Linux、Android、iOS 等），系统的硬件资产（CPU、内存、主板、硬盘等），每个主机安装的软件等，这些统计工作跟人口普查一样异常艰难，而且极其容易出错。 

1.1.8 外部人员随意访问网络 

当前每个企业越来越依赖于信息化建设，为了维护基础的信息化设施，访问企业网络的人员越来越复杂，比如除了员工外还有第三方支持人员，为了安全起见他们应当严格限制网络权限，只能访问指定的维护设备；另外，还有临时访客需要接入网络的需求，他们应当禁止访问企业内部网络，但是可以利用企业内部网络访问互联网查看邮件、浏览网页等。这对网络管理人员来说是一项极为复杂的工作，很多企业干脆将权限放开，让第三方支持人员以及访客拥有跟员工一样的网络权限，这极大的增加了网络安全风险。 

1.1.9 缺少物理位置定位 

当终端出现问题或者异常的时候，管理员往往无法定位终端的物理位置，而只能登陆交换机采用命令行方式一层层往下查找，然后配合网线布局图、Excel 登记表等才能定位到终端的物理位置，工作效率很低。 

1.1.10  桌面客户端与日俱增 

为了保证桌面安全，以及运维的便利性，企业中一台 Windows 主机上面往往安装了杀毒软件、清理软件、三合一系统、水印系统、远程维护、补丁管理系统、软件下发系统、台账管理系统、即时通信软件等等很多客户端，这些客户端之间有时候会产生冲突，并且从企业用户角度容易产生抗拒心理。 

1.2  解决问题方案 

综合上面常见的网络问题，主要原因在于没有对网络边界进行管理，没有对网络接入进行控制，没有对使用终端的人进行定位，这正是网络接入控制 NAC（Network  AccessControl）系统产生的基础。借助 NAC，客户可以只允许合法的、值得信任的端点设备（例如 PC、服务器、PDA）接入网络，而不允许其它设备接入。NAC 是终端安全、网络边界安全和用户身份识别的综合应用：  

简单的说 NAC 就是“使用网络准入策略，确保进入网络的设备符合策略” ，是网络的第一道门槛，也是整个网络安全大厦的基石，没有NAC的网络安体系全如同浮沙上建立的大厦，NAC 主要解决以下几个问题： 

1.3  如何选择合适产品 

如何选择一款适合自己的单位性质、安全需求和网络实际环境的产品需要考虑很多问题： 

1.3.1 是否影响网络结构 

对于企业而言，网络准入是控制终端和用户的入网行为，属于网络安全相关产品，其不能影响网络正常运行，不能影响网络性能以及增加网络不稳定性，所以不能串联部署与网络中，比如桥接、策略路由等工作方式， 由于不是专业硬件交换或者路由（通常采用软件形式），这种串接方式首先最大问题是影响企业网络数据流量；其次是容易形成单点失效，即使有容灾方案，也会有一定时间的断网影响。所以一款好的网络准入产品必须旁路部署，不能修改或者影响当前企业的网络结构。 

——画方的 NAM 是完全旁路部署设备，不修改企业当前网络结构，数据流量不流经 NAM设备，不会形成性能影响以及单点失效问题。 

1.3.2 是否适应不同网络设备 

由于企业基础网络建设周期原因，存在多厂商的网络设备，比如 Cisco、华为、H3C、MOUU、迈普等，而且不同厂商存在很多型号，比如 Cisco3950、2960、2950 等，甚至于有些企业存在不可网管的交换机、HUB 设备等，所以作为选择准入产品的最先考虑的是否能够适应不同的网络结构、不同的网络设备。 

——画方 NAM 支持多种网络准入技术，并且能够混合部署使用，为用户提供方案灵活多变解决方案，具有极强的网络环境适应能力： 

?  支持 3 层交换网络（有核心 Trunk 点），也支持 3 层路由网； ?  可以与网络设备无关，原则上支持任何网络设备，包括不可网管的 HUB 等；                    

?  同一台设备既可以支持有线接入控制，也支持无线接入控制； 

?  可以与操作系统无关，支持任何操作系统，包括 Android、iOS 等移动设备以及瘦客户机等裁剪版的系统； 

?  支持有客户端准入模式，也支持无客户端准入模式； 

?  支持静态 IP 地址环境，也支持 DHCP 动态 IP 地址环境； 

1.3.3 是否能够快速部署 

网络准入控制产品最令用户头疼的问题就是部署时间长， 在部署阶段需要修改网络结构，修改网络设备配置，比如 802.1X 方案部署一个 1000 终端的网络往往需要一周甚至更长时间。所以在选择产品时，看是否能够快速部署，是否能够提供友好的管理界面，是否能够自动学习网络。 

——画方 NAM 可以采用灵活的准入技术，独特的秒级部署方式，友好的 Web 管理界面，丰富的导入导出，从而极大程度上加快了产品部署进度。 

1.3.4 是否易于日常维护 

网络准入控制产品属于网络安全范畴，产品的应用肯定会增加网络管理员在运维上的工作量，区别在于如何尽量少的进行维护，如何减少对企业用户的影响，当出现网络问题的时候如何快速定位，当系统出现异常的时候如何快速恢复等。一款好的产品一定需要在易用性上满足管理员需要，对管理员屏蔽技术细节，无需了解技术细节即可以通过可视化管理界面很容易管理网络。 

——画方 NAM 采用了数据融合技术，将很多准入技术细节进行屏蔽，管理员通过友好的可视化管理界面对网络进行管理，并且 NAM 对管理员待办事件进行突出提示，每天管理员 只需要处理待办事件即可完成日常维护。 

1.3.5 是否有很好的可扩展性 

当前信息时代瞬息万变，国家、政府企事业单位等在网络建设上的政策也随之变化，比如，有些保密单位现阶段不允许建设无线网，但随着无线安全标准的制定，可能很快就将建设无线网络。所以选择一款好的网络准入产品，需要考虑未来的扩展能力，能够很好的适应未来发展方向。 

——画方 NAM 由于在准入技术上的特殊优势，所以可以做到与网络设备无关、与操作系统无关、与接入方式无关等，不管未来是升级网络设备、国产化操作系统、建立私有云平台等，画方 NAM 都能很好的适应并提供网络准入方面的支持。 

1.3.6 是否具有高附加值的功能 

网络准入控制是介于网络安全和网络运维管理之间的产品，单纯的网络准入只包括终端规范检查和用户身份认证。如果一套网络准入控制产品能够提供除本职准入外其它帮助管理员提升运维工作效率，降低企业其它产品的购置成本，则应该是企业优先考虑的。——画方 NAM 在准入管理的基础上提供了可视化 IP 地址管理、网络交换机管理、AAA 服务器、台账管理、补丁管理、 软件下发、 消息发送、 系统优化加速等很多很多高附加值功能，为用户提供一体化管理，实现对整个网络的监控和智能联动。 

1.3.7 是否具有专业性 

当前网络安全是一个细分为王的时代，要解决专业的网络准入问题，一定要找专业的网络准入控制厂商产品。因为网络准入问题的解决涉及到网络运维和网络安全两个部门，是一个复杂的系统性问题，在项目初期针对于企业网络环境提出最适合的解决方案，在实施阶段 有一套完整的项目建设制度，在产品运维阶段有一套快速及时的响应支持服务。 

——画方科技是一个专业的网络准入产品生产商，拥有多名准入行业 10+经验的研发、销售、技术支持人员，具有 4 年网络准入项目实施和维护经验，产品在金融、军工、学校、医院等各行业稳定运行案例。 

2. 产品介绍 

画方科技通过多年的市场调研，深入的与用户沟通，积累了丰富的客户需求。同时，依靠长期的技术积累，研发出了完全自主知识产权的网络准入管理系统 NAM，为用户提供软硬件一体的网络接入整体解决方案， 该产品支持当前主要的准入技术， 采用纯旁路部署方式，严格管理网络边界接入，对非法终端进行隔离修复，真正的做到了“事前控制、事中监控、事后审计”的全生命周期管理： 

2.1  产品构成 

NAM 是一套软硬件一体的产品，为用户提供 B/S 结构的系统管理平台，供用户对系统进行全访问的配置和管理。针对于需要安装客户端的客户，NAM 提供了 Windows、Android、iOS 三个操作系统客户端，其中 Windows 客户端支持 Windows XP 以及以后的版本。同时，NAM 还为用户提供工具集，包括 DHCP 容灾工具、桌面事件收集器、手机动态 Token 等诸多实用性的工具，方便管理员对整个网络进行维护管理。 

2.2  产品结构 

一个网络安全产品要保证功能的前提下一定要保障自身安全，否则很容易成为网络攻击的目标，容易造成信息泄露，在自身安全方面 NAM 进行了详细的考虑和设计。首先  NAM采用专有操作系统 HFOS，最大程度上保障了系统自身安全性。还充分考虑了系统性能和数据持久化，设计了复杂的 4 层存储架构，从数据库、缓存、共享内存、内存等多级进行存储，最大程度上保证了数据的完整性以及服务性能。NAM 系统结构图如下所示： 

2.3  产品功能 

作为用户网络准入管理系统，NAM 可以帮企业实现下列功能（详细功能列表见附件）： 

2.4  产品部署 

NAM 所有部署都是采用纯旁路模式，针对于不同的网络结构，NAM 可以支持不同的旁路部署方式，基本可以分为：Trunk 部署、Access 部署以及镜像部署。 

2.4.1 交换网部署 

如果企业网络是一个简单的二层网络（不划分 VLAN），或者是一个三层交换网络，有一个核心交换机作为路由交换，核心与汇聚、接入之间使用 VLAN  Trunk 连接，则针对于这种网络，NAM 可以部署在任何一个交换机的 Trunk 口上，

如下图：

2.4.2 路由网部署 

如果一个企业的网络分为几个汇聚点，每个汇聚点之间是通过3层路由进行数据转发，

在这种网络中 NAM 可以部署在网络的任何位置，唯一要求是 NAM 在这个网络位置通过其

IP 地址能够访问到网络其它地方，也就是说 NAM 此时与网络中一台普通的PC 没有任何区

别，如下图所示： 

2.4.3 镜像口部署 

根据用户需求，有些企业只是对企业出口、入口或者关键安全域进行管理，则 NAM 可

是部署在这些位置的镜像口上，通过交换机的镜像功能将数据流量镜像到 NAM 上，NAM

对数据进行分析，阻断非法网络访问，同时能够审计所有终端的 Web、Mail 等网络行为，

如下图所示： 

2.4.4 分布式部署 

根据网络结构和部署规模不同，NAM 还支持高可用性的双机热备功能（High  A 

vailability），分布式部署，进行分级管理，NAM 支持无限级管理，如下图：        

3. 优势与特点 

3.1  易用性 ：3.1.1 秒级部署 ，3.1.2 无客户端方案 ，3.1.3 统一准入策略 ，3.1.4 Portal引导准入 

3.2  智能化：3.2.1 智能识别：3.2.2 智能修复 

3.3  可视化 

3.4  灵活性 

3.4.1 混合准入技术 

3.4.2 无限维度管理 

3.5  功能丰富 

4案例介绍：

根据相关规定，某军事学院的网络中的所有终端均采用手设固定 IP 地址的形式，教师及学员使用终端电脑可以访问学院内部网络及解放军军网。在网络管理中，有以下几个问题：  

?  网络边界的保护，网络边界的接入设备类型较多，各种类型的交换机、HUB 及未知的无线 AP 等，需要加强对接入设备的管理，所有网络终端接入都需要进行认证，未经认证的终端不允许接入到网络中。 

?  为了加强终端安全，学院按总装要求购买了杀毒软件、标签系统及水印系统，但是始终有部分终端未按要求安装，如何保证未按要求安装软件的终端的安全性？如何保证接入终端的病毒库已经更新到要求的版本？ 

?  学院所有电脑的硬盘均经过保密部门核实并记录在案，如何保证未经过保密部门核实及记录的硬盘被随意使用，如何保证废弃硬盘被及时交回保密部门。 

?  加强的网址管理，网络中各种访问策略大都是根据 IP 地址进行设置的，因此，IP 地址的使用和分配情况极为重要，通过按部门、按人员、按角色划分权限，要求每个 IP 对应一个使用人，禁止终端私自更改 IP；

?  提高故障排查效率，各种业务系统需要保证其运行顺畅，如出现影响网络的主机，需及时有效的定位，确定主机的位置，及时的进行处理，保证网络数据传输的顺畅； 

4.2.2 解决方案 网络拓扑图如下： 

?  网络边界的保护：兼容各种接入设备，终端通过任意交换机、HUB、无线 AP 等接入都需强制认证，未通过认证的终端将其隔离，不允许访问网络中的资源，未许可的终端试图接入网络，将进行报警并及时自动对其阻断； 

?  软件黑白名单的检查： 检查终端已安装软件是否符合管理员要求，如果符合则正常入网，如果不符合则根据管理员设置要求其安装软件或者进行病毒库更新。 

?   IP、MAC、硬盘绑定：根据需要自由组合 IP、MAC、硬盘及使用人绑定，发现异常则报警或者根据配置自动对其阻断。 

?  网址的管理：制定根据部门、用户、角色下发 IP 地址，指定某人使用哪个 IP，各 IP 的分配均由管理员统一分配，用户私改 IP 后对其报警并阻断。IP 地址的使用情况管理员可方便查询，提高了管理员对 IP 地址的管理工作。可扩展绑定某用户只能使用哪个终端接入，防止其私带个人终端接入到网络中。            ?  准确定位主机位置：通过与交换机的结合，能清楚的确定主机的位置。如网络中某台病毒机不断向网络中发送数据影响网络的正常使用，管理员发现该机的物理地址，通过该地址可在接入交换机中找出是从哪个交换机的哪个端口上接入的，而后采取相关的处理动作。 

5.1  有了桌面安全产品是否还需要NAM？ 

桌面安全主要是保护主机层面的安全，它侧重的是主机安全，而 NAM 是网络准入管理系统，侧重的是网络层面的安全接入，所以两者不但不冲突，还能相辅相成的工作。比如企业要求入网主机上必须安装了“杀毒软件 A”，如果安装了则能保证主机不受病毒攻击，但是很多人在没有安装此软件前提下将机器接入网络，或者私自将个人笔记本接入企业网络，从而增加了网络安全风险，如何保证只有企业内部的机器，并且安装了杀毒软件 A 后才能接入企业网呢？ 

加入 NAM 系统，则可以在网络层面保证没有安装杀毒软件 A 的机器不能接入网络，只能进入隔离区进行修复安装杀毒软件 A，当修复以后并且得到管理员的允许才能接入企业网络。也就是说 NAM 是企业网络的第一道门，只有符合企业规范的设备才能接入网络，当接入网络并登录桌面以后的主机层面安全则由桌面安全软件来保证。 

5.2  用了Windows AD 域是否还需要NAM？ 

Windows 域控主要是给 Windows 操作系统使用，加入域的 Windows 主机将受域策略的控制，从而管理员可以集中管理主机管理和安全策略，并且集中管理登录账号，对每一台 Windows 主机进行权限方面的细粒度控制，在这个方面域控是有特殊优势的，很多企业也因此选择了使用域控对企业内部的 Windows 主机进行集中管理。 但是域控最大的问题就是： 

?  只能对 Windows 操作系统进行管理，它不能管理其他操作系统；

?  只能对加入域的 Windows 机器进行管理，不能管理没有加入域的主机；                                        

?  只能对 Windows 操作系统的一些安全选项、策略进行管理，不能灵活的检查软件、病毒库、补丁、硬件变动等等信息； 

?  只是主机层面的管理，缺少网络相关控制，比如违规外联检查、一机双用检查等；NAM 能够很好的和域进行结合，两者协同工作，帮助企业解决主机和网络层面的安全问题。NAM 来保证接入网络的主机必须加入 Windows 域，如果没有加入域控则禁止其接入网络，然后再协助域组策略来保证主机在系统、软件、网络等方面符合企业规范。 

5.3  在交换机上用了 IP/MAC/端口绑定是否还需要NAM？ 

很多企业为了保证只有企业内部的机器才能接入企业网络，则在网络接入层交换机上进行了 MAC 和交换机端口的绑定；为了保证员工不私自修改 IP 地址，则在核心交换机上对IP 和MAC 进行了绑定，这种管理方式存在的弊端如下： 

?  使用命令行对交换机进行管理，并且所有 MAC/Port 绑定分散在大量接入交换机上，要查找和修改一个绑定十分复杂； 

?  IP/MAC 绑定关系一般使用 Execl 表维护，查找、修改、统计等工作十分不方便； 

?  不能防止修改 MAC 或者克隆 MAC 的情况，在 Windows 下修改MAC 或者利用小路由器的克隆 MAC 都很容易； 

总的来说， 这种管理方式工作效率低下， 管理方式落后并且不安全。在 NAM 系统的协助下，可以很好的解决这些问题，NAM 为管理员提供了可视化网络管理功能，使用拓扑图、交换机面板视图、IP 地址视图等方式对网络进行管理，轻松的完成网络接入控制和网络管理的

功能，并且提供审计和报表，大幅提高网络运维效率。  

5.4  企业使用了云办公是否还需要NAM？ 

随着信息化的发展，现在很多企业已经开始使用企业私有云办公，或者正在规划使用私有云，那么在私有云、虚拟化或者瘦客户机环境中，只是将用户桌面（数据层面）进行了集中管理，对桌面安全的需求大幅降低，因为桌面都是集中进行了管理，由镜像系统统一负责，但是在这种网络环境下，仍然存在企业网络和操作终端（可能是瘦客户机），那么仍然需要对网络的管理和对入网终端进行控制，而 NAM 重点管理的就是企业网络以及入网终端，所

以不管是否私有云网络环境，企业都需要 NAM 来为企业的网络安全保驾护航，具体而言NAM 在私有云环境能够实现的功能如下： 

?  保证只有瘦客户机才能接入网络； 

?  对瘦客户机进行指纹保护，防止普通 PC 仿冒瘦客户机接入网络； 

?  对非瘦客户机进行网络准入管理； 

?  在网络运维方面为管理员提供可视化的管理手段； 

5.5  企业将静态 IP 地址管理改为 DHCP 有哪些好处和缺点？ 

对 IP 地址的管理现在分两大阵营，DHCP 和静态 IP，一些保密企业使用静态 IP 地址管理，而一般性企业或者政府机关使用 DHCP 对 IP 地址进行管理，使用静态 IP 地址的企业一般考虑如下： 

?  政策规定，必须使用静态 IP 地址； 

?  认为 DHCP 分配 IP 地址是变化的，不能固定为一个PC 分配一个 IP； 

?  DHCP 服务器如果出现异常那么所有终端不能获得 IP 地址，不能正常访问网络； 

其实上面 3 个 DHCP 的问题都是用户的认识方面的误区，相对于静态 IP 地址管理 DHCP 有很大的优势，NAM-DHCP 能够实现： 

?  集中管理 IP 地址，轻松对 IP 分配、在线、保留等进行统计查询，丢弃落后低效的Excel文件维护工作； 

?  对IP/MAC绑定， 固定下发IP地址给固定的MAC地址，集中控制每台设备的IP地址，无需电话或者现场修改； 

?  不安装客户端前提下防止修改主机名； 

?  不安装客户端的前提下防止 MAC 仿冒； 

?  NAM-DHCP 很好的做到了自防护，防止DOS/DDOS 攻击； 

?  NAM-DHCP 做到了多级容灾的功能，防止 DHCP 服务器出现异常后全网不能工作的情况；总的来说，DHCP 只会让企业网络地址维护变得更方便、更合理、更安全。 

5.6  已经上了其它厂商的网络准入是否还需要NAM？ 

当前有很多厂商提供网络准入的解决方案和产品，比如基于策略路由的技术，基于透明网桥的技术，基于镜像口的技术等等，这种方案都或多或少的存在很多问题，比如不能管理到网络边界，只能制定基于 IP 地址的策略等等，在这种环境中，NAM 能够更安全的管理网络边界，可以协助当前基于出口流量的准入设备更好的管理网络；另外，比如企业使用了基于 802.1X 的准入，那么会将大量精力都陷在部署和运维上，这种情况下，NAM 能够很好的替换当前准入控制系统，使用更灵活更先进的技术来解决准入问题，将网络管理员从繁重的运维工作中解放出来。 

 6. 总结 

从上文的分析来看，网络准入控制是非常重要和关键的。但由于现在网络安全厂商缺少深入了解用户需求，传统安全产品的技术惰性和技术能力的限制，常常提供单一死板的解决方案，改变企业网络环境，修改网络设备配置，安装多个客户端软件，配置多台服务器等，造成了网络准入系统实施难度大，维护复杂，产品不稳定的问题。 北京融汇画方科技有限公司推出的 NAM 系统是专门为企业提供高性能的网络准入控制产品，该产品采用旁路部署方式，对部署的网络环境几乎没有要求，兼容各种网络环境，兼容各种网络设备，兼容各种操作系统等。NAM 支持有客户端/无客户端准入，支持DHCP模式/静态 IP 准入，支持无线/有线准入，支持传统/BOYD（Bring Your Own Device）移动准入，支持个人终端/虚拟桌面准入等。NAM 是网络准入控制市场中部署最为灵活、方

便，准入控制技术最为全面，性能最高的产品，是各大企业在网络准入控制方面最为理想的选择。