企业如何杜绝员工私开热点、私接路由现象？

随着企业移动化办公需求增加，网络终端准入类型越来越复杂化。因缺乏管理工具，员工私开热点、私接路由现象屡禁不止，不仅给企业运维造成管理负担，还增加了企业信息资产泄漏的风险。

以下是私接路由及非法热点对企业造成的影响：

1. 占用网络带宽，员工上网速度变慢；
2. 无法验证私接终端的合规及安全性，威胁企业网络安全；
3. 私接路由发射的无线信号与企业原网络信号相互干扰，原网络速度变慢；
4. 非技术人员还可能因错误连接而导致网络瘫痪。

私接情况主要分为两类：路由私接和私开热点蹭网。

宁盾终端准入“防私接”方案可通过可视化发现并识别接入网络的一切IP终端，通过自动化，自动过滤私接的路由设备或开启热点的终端，帮助企业自动防私接，实现透明可视的自动化终端管理。通俗来讲就是可视发现，检测识别，控制隔离，警告处理。

可视化识别并发现终端

宁盾终端准入主动探测并识别接入网络的各种电脑、手机、switch、rooter、printer、camera等等，并以直观或折叠的方式将其展示于ND ACE界面中。在未经准入策略隔离的情况下，私接路由、私开热点的终端因存在多个操作系统而无法被识别，因此以Unknown的形式存在。

图源：ND ACE界面

主动检测识别设备

经过对私接路由、私开热点及万能钥匙蹭网工具的流量分析，虚拟网卡和操作系统的多样性是区分私接设备与正常终端的主要因素。因此宁盾终端准入主动检测终端是否开启虚拟网卡，检测终端操作系统是否唯一，以此确认终端是否为私接设备。

1. 虚拟网卡检测：检测终端是否开启虚拟网卡；
2. 无法操作系统多样性检测：通过User Agent，宁盾终端准入主动探测终端的操作系统类型，正常情况下，一个IP终端只有一个操作系统，合规路由、交换机设备可能存在多个操作系统。私接路由因桥接于网络中，所以会出现一个IP下多个操作系统共存的状态。

如下图，我们可以看到宁盾终端准入设备检测到某私接设备的User Agent的操作系统包括：Mac OS、 windows、iPhone OS（iOS）等多个操作系统。这种情况下判定为网络中的私接设备。

图源：ND ACE界面

设置防私接控制策略

发现并识别了不合规的终端，那么就是设置终端准入策略，在规定网段内，如果开启虚拟网卡或User Agent出现windows、Linux／unix、MacOS、iOS、Android等操作系统的两个及两个以上，则认为该设备为私接设备。

图源：ND ACE界面

一旦终端准入引擎确认私接设备后，便调用Vlan、Virtual Firewall等安全措施对私接路由、终端进行自动隔离断网操作，同时通知用户“关闭热点或拔掉私接路由”。

图源：ND ACE界面

及时定位 警告处理

前面几步已经做到了发现、检测、控制，那么接下来就是通过可视化网络布局，及时定位私接路由及终端的位置，确定不合规终端位于哪个交换机或者接入设备的哪个端口或Vlan，通过可视化拓扑，定位终端位置并将其处理。

图源：ND ACE界面

以上就是宁盾终端准入的“防私接”解决方案。与传统运维手段相比，宁盾终端准入可通过自动处理私接及蹭网现象，主动屏蔽BYOD及非法终端的接入，节约运维管理成本，提升整体办公效率，实现终端的可视化管理和合规性准入。