应用背景

在当前准入产品厂商中，大家都有相应内网控制策略，员工的认证、授权、控制，准入产品都有完善的体系。但是只对内网员工进行准入是不能满足多种业务需要的，外来人员、合作伙伴随着不同业务都有接入到内网的需求。那么此时在对内网员工进行准入管理的同时，仍需要兼顾外来人员的访问控制。为了不跟员工网络混合在一起，所以需要为外来宾客开辟单独的控制实现，访客网应运而生。

什么是访客网络

 访客网：对非内部员工（外来访客等）的一种控制手段和方法，并且区别于员工网络，独立存在。

以上说到的独立是从认证方式、接入实现到授权。

艾科网信准入产品在访客网的特点

ACK厂商的IDNac系列产品在访客准入环境下有一整套的接入控制流程，使得在减轻管理员配置的情况下又能严谨的控制访客的接入，下面从几方面看看IDNac在访客准入下特点。

•  灵活多样的认证方式

IDNac产品提供多种灵活的认证授权方式，比如账号授权、授权码授权、二维码扫描授权。以上多种认证方式可以适应于不同需求下的准入环境。

Ø  账号授权

账号授权是使用一些指定的员工账号，这些账号被允许了授权访客的权限。

这种方式的优点是集成在了原有的数据基础上，不用做多余的操作即可授权访客终端，省去了管理员建立认证依据的工作。

Ø  授权码授权

 首先，授权码是一串数字，可以通过管理员在产品上创建；员工也可以通过自服务去创建授权码（哪些员工账号可以创建都经过授权的）。

 此认证方法的最大优点是授权码及时生效、规定时间后失效，便于管理维护，每个授权码能设置共享人数。

另外，授权码可以通过访客自注册操作里获得的邮箱地址或者手机号为媒介，将授权码发送给访客，这样在很大程度上减少了管理员配合的工作量（想想在一个大的企事业单位里，访客次数很频繁的情况下，管理员需要大把时间耗费在准入凭证的分发）。

其次，根据访客的注册信息可以获取访客个体、访客接待原因、以及接待人等相关联的必要信息，这样一来也少了人为线下的手工记录这些信息带来的工作量。

Ø  二维码授权

 一种情况下，访客无法提供phone、e-mail信息时，并且单位不准备把内部员工的认证凭证透露给外来人员。这时，员工账号授权、授权码授权再此环境下显示不那么适应。没关系，IDNac产品提供了二维码扫描授权方式。

这种授权方式是通过员工手机来扫描确认访客终端入网的，看似简易的入网流程却能关联访客终端和授权人信息，授权审计，完善安全机制。

• 多层次的访问时段管控和免认证机制

 在某些企业单位，不同时间段应用不同业务，这就限制访客准入时段。在不允许的时间段入网，即便有合法的准入凭据也是禁止的。既然现实中有这样的需求环境，那么IDNac同样提供了相应管控机制，

模式一：时间段（细致到每天的不同时间段）

模式二：绝对时间（入网持续指定的时间长度后，自动被退网限制）。另外IDNac提供了持续情况下的再次免认证机制（这项功能可以减少接待人员、访客的多余操作）。

•  严格的访问权限管理

 在大部分应用环境下，外来人员的网络可访问权限是要严格控制的，比如内部文件共享服务器的访问、某些网站的访问，以及访问员工的电脑等，这些一般情况下是不可能开放给访客的，所以大范围来看，很多网络节点都是禁止访客访问的。

以上要求实现，技术上需要识别访客来源流，并且可以加以限制或者特定的开放。实现以上两点不难，在内部数通设备开出额外虚拟逻辑节点、安全设备ACL的限制基本也能达到以上目的。但是这样的操作无意会扰乱内部设备的配置，管理起来也费劲。而IDNac系列产品通过实体子网虚拟出多层次子子网的方法轻松绕过在其他设备多余配置的任务，并能成功的识别员工流和访客流。再放开访客访问互联网的前提下也能严格控制访问内部网络行为，两全其美。

•  全面的审计机制

一个完善的产品，不仅在准入、授权上面面俱到，在审计上也马虎不得，IDNac系列产品的审计记录也比较全面，从认证时间到认证方式都会有。

ACK产品优势

 针对访客网功能，ACK产品在简易部署下可以实现多种多样的认证授权方式、灵活的访问时段限制、以及严格的权限控制、和完善的审计机制。对比其他厂商，ACK产品优势如下：