寧盾物聯網終端准入之防私接解決方案

企業移動化程序中，因缺乏管理工具，員工私開熱點、私接路由現象屢禁不止，不僅給企業運維造成管理負擔，還增加了企業資訊資產洩漏的風險。私接路由及非法熱點可導致：

占用網路頻寬，員工上網速度變慢；

無法驗證私接終端的合規及安全性，威脅企業網路安全；

私接路由發射的無線訊號與企業原網路訊號相互干擾，原網路速度變慢；

非技術人員還可因錯誤連線而導致網路癱瘓。

私接情況主要分為兩類：路由私接和私開熱點蹭網。寧盾新一代終端准入方案可通過視覺化發現並識別接入網路的一切ip終端，通過自動化檢測－控制－隔離，自動過濾私接的路由裝置或開啟熱點的終端，幫助企業自動防私接，實現透明可視的自動化終端管理。

寧盾終端准入主動探測並識別接入網路的各種電腦、手機、switch、rooter、printer、camera等等，並以直觀或摺疊的方式將其展示於nd ace中颱。在未經准入策略隔離的情況下，私接路由、私開熱點的終端因存在多個作業系統而無法被識別，因此以unknown的形式存在。

經過對私接路由、私開熱點及****蹭網的分析，虛擬網絡卡和作業系統的多樣性是區分私接裝置與正常終端的主要因素。因此寧盾終端准入主動檢測終端是否開啟虛擬網絡卡，檢測終端作業系統是否唯一，以此確認終端是否為私接裝置。

1、虛擬網絡卡檢測：檢測終端是否開啟虛擬網絡卡；

2、作業系統多樣性檢測：通過user agent，寧盾終端准入主動探測終端的作業系統型別，正常情況下，乙個ip終端只有乙個作業系統，合規路由、交換機裝置可存在多個作業系統。私接路由因橋接於網路中，掛在某個網口處，所以會出現乙個ip下多個作業系統共存的狀態。

如下圖，我們可以看到寧盾終端准入裝置檢測到某私接裝置的user agent的作業系統包括：mac os、 windows、iphone os（ios）等多個作業系統。

設定終端准入策略，在規定網段內，如果開啟虛擬網絡卡或user agent出現windows、linux／unix、macos、ios、android等作業系統的兩個及兩個以上，則認為該裝置為私接裝置。

一旦終端准入引擎確認私接裝置後，便呼叫vlan、virtual firewall等安全措施對私接路由、終端進行自動隔離斷網操作，同時通知使用者「關閉熱點或拔掉私接路由」。

防私接的前三步「檢測、控制、隔離」可通過一體化自動實現。另外還可通過視覺化網路布局，及時定位私接路由及終端的位置，確定位於那個switch的哪個ac的哪個埠或vlan，依此確認位於哪個部門的什麼位置，並給予通告及處分處理。

與傳統運維手段相比，寧盾終端准入可通過自動處理私接及蹭網現象，主動遮蔽byod及非法終端的接入，節約運維管理成本，提公升整體辦公效率，實現終端的視覺化管理和合規性准入。更多終端管理解決方案可在寧盾**檢視和諮詢。