某政數(shù)局為解決電子政務外網(wǎng)聯(lián)網(wǎng)設備不清、無法實名制管理、網(wǎng)絡邊界模糊、IP地址私配亂用等問題，經(jīng)過多輪測試與實際使用，最終選用畫方網(wǎng)絡準入管理系統(tǒng)，覆蓋全區(qū)8個街道辦、特殊單位紀委區(qū)委以及其他樓外單位，終端規(guī)模近40000臺。

客戶需求

解決方案

畫方網(wǎng)絡準入管理系統(tǒng)完全滿足上述客戶需求，具體方案如下：

如圖所示，用戶網(wǎng)絡環(huán)境為路由網(wǎng)結(jié)構(gòu)，由多個匯聚網(wǎng)關(guān)交換機共同組成，網(wǎng)絡環(huán)境龐大且復雜。畫方科技秉承“越靠近底層控制力度越嚴格”的部署原則，在不修改現(xiàn)有網(wǎng)絡結(jié)構(gòu)，不改變現(xiàn)有交換機配置的基礎上，采用了1+N的部署模式，基于旁路干擾+的混合準入技術(shù)方案，不依賴鏡像流量技術(shù)手段規(guī)避大流量現(xiàn)狀，打造網(wǎng)絡鏈路級阻斷控制效果。

方案優(yōu)勢

NO.1更安全

相對比鏡像流量方式的“南北向”管理，本方案采用的“端到端”橫向阻斷控制方案，更安全。即使違規(guī)終端接入HUB下，被準入系統(tǒng)發(fā)現(xiàn)并阻斷后，可以使其無法訪問同HUB下的其他合法終端，同時不影響HUB下的合法終端正常用網(wǎng)。

NO.2更兼容

覆蓋街道辦等單位，網(wǎng)絡分布散，且網(wǎng)絡復雜，傳統(tǒng)依賴交換機大量配置的手段無法適用現(xiàn)有環(huán)境。本方案采用不依賴交換機配置、非串聯(lián)、純旁路的“1+N”的部署模式，更兼容當前網(wǎng)絡環(huán)境。

NO.3更快更全

相對比鏡像流量或安裝客戶端的采集方式，本方案采用被動監(jiān)聽與主動探測的多技術(shù)路線，在發(fā)現(xiàn)速度與全面性方面，更快、更全。可以秒級發(fā)現(xiàn)，可以發(fā)現(xiàn)IP沖突、未規(guī)劃IP或私設IP。

NO.4附加值高

系統(tǒng)不僅提供必要的準入控制能力，還提供資產(chǎn)管理、IP地址全生命周期管理及網(wǎng)絡設備端口可視化管理等功能，為用戶日常運營提供網(wǎng)絡利器，附加能力更高。

方案效果

NO.1聯(lián)網(wǎng)設備動態(tài)資產(chǎn)一本賬管理

全方位無死角動態(tài)采集聯(lián)網(wǎng)資產(chǎn)，構(gòu)建聯(lián)網(wǎng)設備一本賬可視化基礎管理平臺，提供多維度多視角便捷查詢，助力某政數(shù)局日常運營工作。

NO.2滿足網(wǎng)絡實名制管理要求

通過強制入網(wǎng)登記審批的規(guī)范化流程，梳理出人機實名制關(guān)聯(lián)關(guān)系，可基于IP或MAC查詢對應使用人，便于責任人定位，滿足網(wǎng)絡實名制管理要求。

NO.3橫向管控，非鏡像偽準入

不基于鏡像流量準入技術(shù)，規(guī)避大流量與橫向無管理等弊端，基于網(wǎng)絡層旁路干擾+混合準入技術(shù)，構(gòu)建橫向“端到端”的網(wǎng)絡鏈路層管控效果，構(gòu)建真正意義上的準入控制。

NO.4泛終端非客戶端控制

全程無需安裝客戶端，純網(wǎng)絡層，兼容各種類型的接入設備，泛終端管理理念，基于類型區(qū)分管控，分別構(gòu)建有交互類的引導入網(wǎng)，與無交互類的網(wǎng)絡監(jiān)測，實現(xiàn)全方位泛終端網(wǎng)絡層準入控制。

NO.5網(wǎng)絡邊界完整性管理

網(wǎng)絡層鑒別雙網(wǎng)互聯(lián)或誤聯(lián)事件，快速預警與鎖定，及時切斷此類隱蔽性途徑，杜絕由此引發(fā)的泄密事件。

NO.6網(wǎng)絡可視化運營管理

提供IP地址全生命周期管理，可視化呈現(xiàn)IP使用情況，有依據(jù)的提供空閑地址分配，上下線監(jiān)控對離線IP建立動態(tài)逾期回收機制。建立網(wǎng)絡層、物理層及時間關(guān)系，構(gòu)建網(wǎng)絡歷史溯源平臺，當出現(xiàn)問題時，可基于平臺快速溯源指定時間節(jié)點下終端網(wǎng)絡層接入位置及物理對應關(guān)系。