一、应用背景

  杀毒软件单机版免费已经成为杀毒行业的趋势，但对企业来说会面临如下问题：

• 网络版杀毒软件太贵，每年还要升级费，单机版又不能集中监控
• 不能保证所有局域网中的电脑都装了统一的杀毒软件
• 员工电脑虽然装了统一的杀毒软件，但并不了解他们的电脑目前的安全状态
• 外来的笔记本电脑，随意接入局域网，带入病毒，在局域网中传播
• 不能对全网电脑统一打补丁
• 内外网是隔离的，无法统一升级病毒库，打补丁
• 暴发ARP病毒时无法准确定位病毒源

二、宝界解决方案

通过采用宝界局域网准入网关产品结合免费的360安全卫士企业定制版（免费）可以解决以上问题：

1、宝界局域网准入网关实现的功能

• 对用户按组、按部门、按人实现IP地址管理
• 对用户的IP地址实现实名制的分发和管理
• 强制安装360安全卫士企业定制版客户端
• 固定IP的管理
• 兼容老旧网络（兼容非802.1x交换机、hub 等），实现实名IP地址管理
• 对IP地址的改变进行监管，防止非法篡改IP地址
• 新接入IP地址的侦测和自动收集
• IP地址的实名查找
• 多网段的IP分配和管理

2、360安全卫士企业定制版（免费）实现的功能

• 永久免费，使用专业的企业级安全产品再无负担。
• 通过控制台集中管理360安全卫士，全面监控企业内网流量、终端软件安装状况。
• 一键轻松完成全网查杀木马、扫描插件、修复漏洞、轻松掌控企业内网安全。
• 每天开机对终端电脑进行安全体检，自动生成内网安全体检报告，安全风险尽在掌握。

打补丁省带宽：一键集中全网打补丁，节省企业带宽，减少用户干扰

统一管理安全卫士：全网自动实时体检，统一下发安全策略，快速修复危险项

全网病毒木马查杀：国际领先多引擎查杀技术，全面清除病毒木马，企业再无安全隐患

企业流量监控：应用流量实时监控，明晰企业网络流量占用，远离网速问题困扰详尽

3、产品部署拓朴图

系统部署图

4、局域网PC入网流程图

1. 接入主机可以设置成固定IP地址或DHCP动态获得IP地址，一般建议服务器或特权主机设定为固定IP地址，其他主机动态分配IP地址。
2. 对于固定IP地址的主机，系统检查其MAC地址、IP地址、主机名、网卡类型、对应交换机端口等信息，如果是非法主机，系统将阻止其入网。此类主机无需实名认证，无需健康检查。
3. 对于DHCP动态获取IP地址的主机，首先系统会临时分配一个隔离网段IP地址，允许它访问隔离网段服务器（例如：杀毒服务器、补丁服务器、实名认证服务器等）
4. 系统如果启动了实名认证模块，接入主机获取动态IP地址后，打开IE浏览器访问外网时，系统会自动推送实名认证网页，要求其输入管理员分配的用户名及密码，如果身份认证未通过，系统将不会分配内网IP地址，其无法访问内网任何资源。如果身份认证通过，并且系统没有启动健康检查模块，接入主机将获取管理员分配的内网合法IP地址，接入主机被允许访问内网应用服务器资源。
5. 系统如果启动了健康检查/桌面管理模块，接入主机实名认证通过后，系统在其打开IE浏览器访问外网时，会自动推送健康检查/桌面管理客户端下载网页，当其安装完健康检查/桌面管理客户端后，接入主机将获取管理员分配的内网合法IP地址，接入主机被允许访问内网应用服务器资源。
6. 系统运行过程中，将自动收集当前限制主机、允许主机、离线主机、在线主机列表，每台主机当前使用MAC地址、IP地址、组名/主机名、部门/用户名、接入交换机及端口号、接入时间等待信息，管理员可实时查看到对应交换机上接入主机的信息，并可手动/自动关闭其端口，完全隔离非法主机。

终端准入认证流程

三、解决方案价值

• 加强企业内网控制，做到了实名登陆局域网，非授权主机不能进入局域网；
• 加强内网IP地址管理，防止了IP地址随意修改，服务器与客户端IP地址冲突；
• 进入局域网的主机强制安装360安全卫士企业版（免费），集中查杀病毒木马，集中打补丁，保证了局域网安全

联系方式

无锡宝界科技有限公司
联系人：吴希
电话：0510-81018130
传真：0510-81018135
手机：15152215959
QQ：2570848574
网站：www.oursec.com