基于网关设备准入类

　　网关型准入控制简单的来说就是通过网络限制，网关认证等方式授权客户端访问网络。此类产品通常由防火墙厂家推出。通常所说的Portal认证、WEB认证等都属于网关设备准入技术类产品。

　　该类产品特点是维护比较方便，无需调试下面的交换机，部分厂商可以不用部署客户端，实施方便。

　　使用此类产品的主要考虑的问题有1.容灾性;2.并发认证及稳定性;3.网络吞吐量;4.网络结构是否改变。

　　干扰型准入类

　　ARP干扰准入产品

　　通过对不合规的终端进行ARP欺骗和干扰实现网络阻断。ARP欺骗和干扰本来就是攻击行为，容易造成网络瘫痪，后期会加重管理员的维护任务，且此技术漏洞太大，随便一个ARP防火墙就能轻松绕过阻断，所以此类产品现在基本不做考虑。

　　DHCP准入产品

　　通过对接入网络的终端下发临时IP地址和VLAN，临时地址仅能访问有限的服务器资源，当认证通过后，能够进行正常网络访问。此类产品可以与现有的网络兼容性较好，部分厂商采用一体化DHCP准入控制，能够很好地解决802.1x和普通DHCP准入控制的问题。

　　该类产品不适合于大型网络准入，部分厂商对特殊设备(如打印机)处理不够好。若产品的DHCP服务器与准入控制装置分离的话，实施起来会比较困难。

　　下面主要对以上几种技术类的产品进行对比，简要对比分析

▲

　　有客户端准入和无客户端准入

　　准入控制产品可以分为无客户端或者有客户端，现将两种方式的优劣势进行对比。

▲

　　天融信网络准入系统-TopNac

　　其中北京天融信公司自主研发的硬件一体化网络安全准入系统(TopNac)，它集802.1x准入、网关准入和DHCP型准入为一体，能够多种网络准入解决方案，满足不同网络环境下的网络准入，支持双机热备、AD联动等功能，且能够北京天融信自主研发的安全终端管理系统(TopDesk)、网络审计系统(TA-DB)及安全无线管理系统(TopAC&AP)进行联动。

　　下面是天融信网络安全准入系统(TopNac)不同的准入方式：

　　n TopNac使用802.1x准入

　　使用802.1x准入方式时，需要接入层交换机支持802.1x，可以实现双机热备、AD联动等功能。

　　n TopNac网关准入

　　使用网关准入方式时，可以同时采用WEB认证和基于客户端的认证，设备稳定、吞吐性能高，支持硬件bypass功能。

　　n TopNac采用DHCP准入

　　TopNac将DHCP服务器和准入控制器集中到一个设备中，无需安装客户端，对特殊设备添加黑白名单，进行永久禁用/放行。