傳統(tǒng)的終端準入控制解決方案為保證對終端進行管理和控制，要求全部終端均安裝有客戶端軟件，并通過客戶端代理完成用戶的網(wǎng)絡認證、終端檢查和管理等功能。但是，對于外來訪客等臨時訪問網(wǎng)絡的終端，無法要求其必須安裝客戶端軟件；尤其是在一些大規(guī)模部署或終端設備上自身軟件情況復雜等應用場景中，安裝客戶端軟件的開銷較大；另外客戶端的個人操作系統(tǒng)越來越多樣化，單純對微軟Windows客戶端進行控制已經滿足不了需求。

如何對臨時訪問網(wǎng)絡的終端設備進行更好的控制和管理，如何更方便地部署終端管理系統(tǒng)，如何滿足多種客戶端操作系統(tǒng)用戶的接入需求，成為網(wǎng)絡IT管理的一個重大課題。

一、插件方案

用戶上網(wǎng)時，在終端的IE地址欄上輸入網(wǎng)頁URL地址后，IE就會向聯(lián)動設備發(fā)送HTTP請求，如果用戶沒有安裝客戶端或者想訪問受限資源，聯(lián)動設備就會向終端返回一個指向Portal認證頁的HTTP重定向回應報文，將用戶訪問轉向Portal認證門戶網(wǎng)頁。

在第一次使用時，IE將自動下載并運行JRE（JAVA運行環(huán)境）和JAVA客戶端，然后將安裝文件緩存在本地，以便加快下次客戶登錄的進行。用戶在進行登錄操作時，JAVA客戶端直接和Portal 服務器進行通信，從而完成身份認證過程。認證通過后，JAVA客戶端將向策略服務器發(fā)起安全請求，進行病毒、補丁等檢查。對于通過安全檢查的終端用戶，準入服務器會通知網(wǎng)絡設備為其開放訪問權限，至此終端用戶就可以對受限資源進行訪問。

插件無客戶端方案通過JAVA技術來驅動客戶端的下載及自動運行，使用過程非常簡單。同時由于JAVA技術具有操作系統(tǒng)無關性的特點，除了Windows外，Linux和Mac OS用戶也可以安裝JAVA客戶端，進行身份認證和訪問網(wǎng)絡，靈活性強、部署簡便、輕量小巧。

優(yōu)點：不安裝客戶端，減輕工作量和維護任務

缺點：JAVA版本不統(tǒng)一，加載過程可能不順利

二、Web+ Portal方案

Portal認證的基本過程是：客戶機首先通過DHCP協(xié)議獲取到IP地址（也可以使用靜態(tài)IP地址），但是客戶使用獲取到的IP地址并不能登上Internet，在認證通過前只能訪問特定的IP地址，這個地址通常是PORTAL服務器的IP地址。采用Portal認證的接入設備必須具備這個能力。一般通過修改接入設備的訪問控制表（ACL）可以做到。

用戶登錄到Portal Server后，可以瀏覽上面的內容，比如廣告、新聞等免費信息，同時用戶還可以在網(wǎng)頁上輸入用戶名和密碼，它們會被WEB客戶端應用程序傳給 Portal Server，再由Portal Server與NAS之間交互來實現(xiàn)用戶的認證。Portal Server在獲得用戶的用戶名和密碼外，還會得到用戶的IP地址，以它為索引來標識用戶。然后Portal Server 與NAS之間用Portal協(xié)議直接通信，而NAS又與RADIUS 服務器直接通信完成用戶的認證和上線過程。因為安全問題，通常支持安全性較強的CHAP式認證。

優(yōu)點：

1、不需要特殊的客戶端軟件，降低網(wǎng)絡維護工作量

2、可以提供Portal等業(yè)務認證

缺點：

1、WEB承載在7層協(xié)議上，對于設備的要求較高，建網(wǎng)成本高；

2、用戶連接性差，不容易檢測用戶離線，基于時間的計費較難實現(xiàn)；

3、易用性不夠好，用戶在訪問網(wǎng)絡前，不管是 TELNET、FTP還是其它業(yè)務，必須使用瀏覽器進行WEB認證；

4、IP地址的分配在用戶認證前，如果用戶不是上網(wǎng)用戶，則會造成地址的浪費，而且不便于多ISP的支持。

5、認證前后業(yè)務流和數(shù)據(jù)流無法區(qū)分。

三、微信認證

微信作為一種通訊手段，已經廣泛應用于個人和企業(yè)的通訊中。隨著無線網(wǎng)絡傳輸技術的不斷發(fā)展，以及智能移動終端的日漸普及，在機場、銀行營業(yè)廳、展廳、商場超市、酒店、餐廳等場景均部署了無線網(wǎng)絡，給客人提供免費的網(wǎng)絡接入服務。可是，無線網(wǎng)絡僅僅是給客人提供免費上網(wǎng)，這必然是一種隱性的浪費。

因此，很多企業(yè)將營銷與無線網(wǎng)絡結合在一起，成為業(yè)務推廣的新方向。微信準入控制應運而生。

優(yōu)點：

1、可以推廣微信平臺。

2、營銷成本低，定位準確。

缺點：

1、依托騰訊平臺，每年都需要繳費（約600元rmb）。

2、僅適用于訪客，不適用于內部員工。

四、用戶無感知認證

在傳統(tǒng)的PC時代，用戶登錄網(wǎng)絡是，需要輸入用戶名和密碼，則可以使用鍵盤方便的輸入，但在移動終端時代，更多的員工使用移動智能終端進行網(wǎng)絡的接入，如果使用智能手機或PAD軟鍵盤輸入用戶名和密碼，則體驗非常差。

根據(jù)Gartner的調查顯示覆蓋范圍內，76%的用戶排斥使用智能終端，反復的輸入網(wǎng)絡準入信息，體驗比較差。

無感知認證，可以實現(xiàn)首次接入網(wǎng)絡時，用戶輸入用戶名密碼，系統(tǒng)會采集設備指紋信息，后續(xù)只要用戶的終端再使用網(wǎng)絡，就會自動認證，這一切都用戶都是透明無感知的，體驗被大大提升。

優(yōu)點：

1、用戶感知好，無須輸入用戶名密碼，連上就可以使用。

2、自動采集感知元素。

3、極少廠商能定位用戶發(fā)布的信息內容屬于什么用戶（目前聯(lián)軟公司可以做到）

缺點：

在安全要求非常嚴格的情況下無法滿足，安全性不及有客戶端準入認證。

選擇最適合的

聯(lián)軟無客戶端準入控制支持以上4種準入控制技術，可根據(jù)客戶實際網(wǎng)絡環(huán)境和業(yè)務需求，定制最佳的認證方案，揚長避短，充分利用各類無客戶端準入控制技術的優(yōu)勢，為企業(yè)的網(wǎng)絡安全提供最好的安全保障。

不僅如此，聯(lián)軟還可以和有客戶端準入控制相結合，在同一個管理后臺實現(xiàn)pc和移動設備的統(tǒng)一管理，展現(xiàn)企業(yè)內部網(wǎng)絡、設備的全景畫像，大幅提升工作效率和管理價值。