傳統(tǒng)的終端準(zhǔn)入控制解決方案為保證對終端進(jìn)行管理和控制，要求全部終端均安裝有客戶端軟件，并通過客戶端代理完成用戶的網(wǎng)絡(luò)認(rèn)證、終端檢查和管理等功能。但是，對于外來訪客等臨時訪問網(wǎng)絡(luò)的終端，無法要求其必須安裝客戶端軟件；尤其是在一些大規(guī)模部署或終端設(shè)備上自身軟件情況復(fù)雜等應(yīng)用場景中，安裝客戶端軟件的開銷較大；另外客戶端的個人操作系統(tǒng)越來越多樣化，單純對微軟Windows客戶端進(jìn)行控制已經(jīng)滿足不了需求。

如何對臨時訪問網(wǎng)絡(luò)的終端設(shè)備進(jìn)行更好的控制和管理，如何更方便地部署終端管理系統(tǒng)，如何滿足多種客戶端操作系統(tǒng)用戶的接入需求，成為網(wǎng)絡(luò)IT管理的一個重大課題。

一、插件方案

用戶上網(wǎng)時，在終端的IE地址欄上輸入網(wǎng)頁URL地址后，IE就會向聯(lián)動設(shè)備發(fā)送HTTP請求，如果用戶沒有安裝客戶端或者想訪問受限資源，聯(lián)動設(shè)備就會向終端返回一個指向Portal認(rèn)證頁的HTTP重定向回應(yīng)報文，將用戶訪問轉(zhuǎn)向Portal認(rèn)證門戶網(wǎng)頁。

在第一次使用時，IE將自動下載并運行JRE（JAVA運行環(huán)境）和JAVA客戶端，然后將安裝文件緩存在本地，以便加快下次客戶登錄的進(jìn)行。用戶在進(jìn)行登錄操作時，JAVA客戶端直接和Portal 服務(wù)器進(jìn)行通信，從而完成身份認(rèn)證過程。認(rèn)證通過后，JAVA客戶端將向策略服務(wù)器發(fā)起安全請求，進(jìn)行病毒、補丁等檢查。對于通過安全檢查的終端用戶，準(zhǔn)入服務(wù)器會通知網(wǎng)絡(luò)設(shè)備為其開放訪問權(quán)限，至此終端用戶就可以對受限資源進(jìn)行訪問。

插件無客戶端方案通過JAVA技術(shù)來驅(qū)動客戶端的下載及自動運行，使用過程非常簡單。同時由于JAVA技術(shù)具有操作系統(tǒng)無關(guān)性的特點，除了Windows外，Linux和Mac OS用戶也可以安裝JAVA客戶端，進(jìn)行身份認(rèn)證和訪問網(wǎng)絡(luò)，靈活性強、部署簡便、輕量小巧。

優(yōu)點：不安裝客戶端，減輕工作量和維護(hù)任務(wù)

缺點：JAVA版本不統(tǒng)一，加載過程可能不順利

二、Web+ Portal方案

Portal認(rèn)證的基本過程是：客戶機首先通過DHCP協(xié)議獲取到IP地址（也可以使用靜態(tài)IP地址），但是客戶使用獲取到的IP地址并不能登上Internet，在認(rèn)證通過前只能訪問特定的IP地址，這個地址通常是PORTAL服務(wù)器的IP地址。采用Portal認(rèn)證的接入設(shè)備必須具備這個能力。一般通過修改接入設(shè)備的訪問控制表（ACL）可以做到。

用戶登錄到Portal Server后，可以瀏覽上面的內(nèi)容，比如廣告、新聞等免費信息，同時用戶還可以在網(wǎng)頁上輸入用戶名和密碼，它們會被WEB客戶端應(yīng)用程序傳給 Portal Server，再由Portal Server與NAS之間交互來實現(xiàn)用戶的認(rèn)證。Portal Server在獲得用戶的用戶名和密碼外，還會得到用戶的IP地址，以它為索引來標(biāo)識用戶。然后Portal Server 與NAS之間用Portal協(xié)議直接通信，而NAS又與RADIUS 服務(wù)器直接通信完成用戶的認(rèn)證和上線過程。因為安全問題，通常支持安全性較強的CHAP式認(rèn)證。

優(yōu)點：

1、不需要特殊的客戶端軟件，降低網(wǎng)絡(luò)維護(hù)工作量

2、可以提供Portal等業(yè)務(wù)認(rèn)證

缺點：

1、WEB承載在7層協(xié)議上，對于設(shè)備的要求較高，建網(wǎng)成本高；

2、用戶連接性差，不容易檢測用戶離線，基于時間的計費較難實現(xiàn)；

3、易用性不夠好，用戶在訪問網(wǎng)絡(luò)前，不管是 TELNET、FTP還是其它業(yè)務(wù)，必須使用瀏覽器進(jìn)行WEB認(rèn)證；

4、IP地址的分配在用戶認(rèn)證前，如果用戶不是上網(wǎng)用戶，則會造成地址的浪費，而且不便于多ISP的支持。

5、認(rèn)證前后業(yè)務(wù)流和數(shù)據(jù)流無法區(qū)分。

三、微信認(rèn)證

微信作為一種通訊手段，已經(jīng)廣泛應(yīng)用于個人和企業(yè)的通訊中。隨著無線網(wǎng)絡(luò)傳輸技術(shù)的不斷發(fā)展，以及智能移動終端的日漸普及，在機場、銀行營業(yè)廳、展廳、商場超市、酒店、餐廳等場景均部署了無線網(wǎng)絡(luò)，給客人提供免費的網(wǎng)絡(luò)接入服務(wù)?？墒?，無線網(wǎng)絡(luò)僅僅是給客人提供免費上網(wǎng)，這必然是一種隱性的浪費。

因此，很多企業(yè)將營銷與無線網(wǎng)絡(luò)結(jié)合在一起，成為業(yè)務(wù)推廣的新方向。微信準(zhǔn)入控制應(yīng)運而生。

優(yōu)點：

1、可以推廣微信平臺。

2、營銷成本低，定位準(zhǔn)確。

缺點：

1、依托騰訊平臺，每年都需要繳費（約600元rmb）。

2、僅適用于訪客，不適用于內(nèi)部員工。

四、用戶無感知認(rèn)證

在傳統(tǒng)的PC時代，用戶登錄網(wǎng)絡(luò)是，需要輸入用戶名和密碼，則可以使用鍵盤方便的輸入，但在移動終端時代，更多的員工使用移動智能終端進(jìn)行網(wǎng)絡(luò)的接入，如果使用智能手機或PAD軟鍵盤輸入用戶名和密碼，則體驗非常差。

根據(jù)Gartner的調(diào)查顯示覆蓋范圍內(nèi)，76%的用戶排斥使用智能終端，反復(fù)的輸入網(wǎng)絡(luò)準(zhǔn)入信息，體驗比較差。

無感知認(rèn)證，可以實現(xiàn)首次接入網(wǎng)絡(luò)時，用戶輸入用戶名密碼，系統(tǒng)會采集設(shè)備指紋信息，后續(xù)只要用戶的終端再使用網(wǎng)絡(luò)，就會自動認(rèn)證，這一切都用戶都是透明無感知的，體驗被大大提升。

優(yōu)點：

1、用戶感知好，無須輸入用戶名密碼，連上就可以使用。

2、自動采集感知元素。

3、極少廠商能定位用戶發(fā)布的信息內(nèi)容屬于什么用戶（目前聯(lián)軟公司可以做到）

缺點：

在安全要求非常嚴(yán)格的情況下無法滿足，安全性不及有客戶端準(zhǔn)入認(rèn)證。

選擇最適合的

聯(lián)軟無客戶端準(zhǔn)入控制支持以上4種準(zhǔn)入控制技術(shù)，可根據(jù)客戶實際網(wǎng)絡(luò)環(huán)境和業(yè)務(wù)需求，定制最佳的認(rèn)證方案，揚長避短，充分利用各類無客戶端準(zhǔn)入控制技術(shù)的優(yōu)勢，為企業(yè)的網(wǎng)絡(luò)安全提供最好的安全保障。

不僅如此，聯(lián)軟還可以和有客戶端準(zhǔn)入控制相結(jié)合，在同一個管理后臺實現(xiàn)pc和移動設(shè)備的統(tǒng)一管理，展現(xiàn)企業(yè)內(nèi)部網(wǎng)絡(luò)、設(shè)備的全景畫像，大幅提升工作效率和管理價值。