閘道器認證 yingaogui

從簡單的cisco的埠安全到介面eou認證，再到dot1x認證在終端安全領域不斷的交替更新。隨著社會的不斷發展，安全性的要求不斷提公升。終端規範化這種趨勢在默默的進行著，同時入侵手段也是同步發展，使這個終端安全行業不斷地發展。

在中國，無現金支付已經成為潮流，能把這樣乙個系統做成潮流，也算是改變了生活的方式。在這樣的乙個環境中，無線的發展成為了乙個啟動器，推動著這個風車不斷的轉動。它將企業的安全帶到了外面，讓每個人的安全意識得到了有力的提高。有人說網路的價值，是資訊的交換，但是現在看來變成了一種習慣，一種生活習慣。

就最近工作中的瑣事，發表一些看法。總是從事終端安全工作，給我的感受就是坑。網上有句話說的好，甲方的桌面運維就是修電腦的，乙方的實施就是幫助甲方修電腦的。下面就802.1x認證和閘道器認證做乙個案例結合目前企業底層網路形勢進行分析。

客戶需求：

1、內網使用者裝置必須符合內部規範要求。

2、不合規裝置禁止入網，需要有審計記錄，並且需要讓該裝置跳轉指定url。

3、防止埠終端裝置仿冒接入。

4、針對外部人員以訪客模式進行限制許可權進行放行。

5、移動端裝置使用無線收發簡訊驗證方式登入企業外網。

分析：1、裝置規範，這個是個蛋疼的問題。要規範就必須檢測，要檢測，就要裝軟體，裝軟體就意味著有一波處理問題，還好有外包去裝，這都不是問題。

2、有了第一條規範，跳轉url就不是問題了。檢測不規範，拒絕接入網路，這就用到了閘道器認證，需要讓伺服器下發乙個指定的url，讓使用者的登入http時跳轉，這個http我就不多說了，不能自定義的產品，那就放棄吧。

3、好了，第三條就比較坑了，這個裝置仿冒，這麼多年了，連我自己都經常該ip，改mac測試這個問題。然後沒有什麼卵用。對於終端pc ,裝有agent裝置，做到繫結，是沒啥問題的，機器碼+mac+ip+介面，這個對應的埠資訊可能需要snmp協議了。對於啞終端裝置，這樣的需求還是放棄，目前沒見過做到的。

4、說到訪客，其實和測試規範化基本一樣，訪客是沒有賬戶的，需要接入內網，登入網頁跳轉url，申請限時賬戶，或者限制訪問。

5、移動認證，大勢所趨。這種認證形勢，從車站到公交站台到酒店商場，基本上無處不在，這種情況的出現讓無線這個產品鏈條爆發性產值增長。全國性的覆蓋wifi，接入網路不在是4g利器。簡訊、微信、***、這些認證形勢都出現在人們的視野裡。不滿足這樣的需求，那就比較悲催了。

結構圖：