宁盾某互联网客户网络准入案例分享

一、客户背景随着信息技术快速发展，某互联网客户企业网络规模越来越大，接入网络的终端越来越多，现阶段内网接入层采用开放式网络模式，任何设备或者人员都可以随意进出，不受任何限制。此模式势必会给企业内网带来一系列网络安全隐患。针对现有开放式接入网络，为提高企业网络的安全性，可管理性，可实施网络准入控制(NetworkAdmissionControl---NAC)。目前该企业内部网络约有8000余台计算机及相关设备，但负责运维的网络安全从业人员仅有4名。企业急需满足合规条件的低成本运维方案。目前主流网络准入控制方案大体分为两类：第一大类，通过认证方式控制终端关联用户实名认证，访问公司内网；第二大类，通过对终端设备的识别，在接入网络设备上做相应的端口安全策略，以达到拒绝非法终端的随意接入。简单讲，就是做到把控设备的身份属性和安全属性。二、项目需求有线/无线场景下终端合法性准入需求设备自动识别并进行相应归类；加域Windows终端入网实现单点登录，对未加域Windows终端阻断网络访问;MacOS终端需要经过域账号身份验证通过后方可入网，未经过身份验证阻断网络访问；检查接入有线终端是否符合公司安全条例（是否安装Symantec.LANDesk、DLP）;加域Windows终端不符合公司安全条例，只允许访问外网，访问内网弹出bbb通知页面提示引导安装缺省软件；通过身份验证MacOS终端不符合公司安全条例，只允许访问外网，访问内网弹出bbb通知页面提示引导安装缺省软件。三、解决方案为解决客户最紧迫的运维成本问题，对比传统802.1X认证解决方案才提供轻量化客户端准入方案Windows终端无需安装客户端，准入系统部署于核心交换机，免去接入交换机的配置性问题。外网访客身份认证；核心交换机流量镜像实时发现并识别终端合规性状态，并对终端进行归类；Windows终端采用无客户端AD域检测的方式检测入网终端的身份合规性及终端安全性；MacOS、Linux终端采用轻量化客户端检测入网终端的安全性，联动身份认证平台对用户身份进行校验。准入控制，及时发现非合规终端，结合网络准入手段对非合规终端进行隔离。

访客协助扫码身份认证访客接入企业Wi-Fi后，终端自动弹出portal认证页面，被访人扫码授权并提交访客实名信息，改方案的好处在于帮助企业审计访客与被访人关系。员工外网AD账号密码身份认证员工在接入有线、无线Wi-Fi后，终端自动弹出portal页面，或登录bbb网址直到弹出员工用户吗密码身份认证页面，完成认证后，拥有外网访问使用权限。

内网终端准入合规将NDACE部署于核心交换机基于流量镜像+WindowsAD域无客户端的方案检测终端是否加入AD域及是否安装杀毒软件，以确保只有合规的终端准入。MAC和MAC和Linux终端需安装轻量化客户端实现合规准入，并且联动身份认证系统（DKEYAM）进行认证校验。ifrwaiy-可视化终端管理及自动归类可视化接入网络的终端类型、安全合规状态，并根据预设条件对终端进行自动分类，比如将Windows类型的终端归为一类，MacOS、Linux终端归为一类。四、网络拓扑五、方案价值入网用户实名认证，且根据认证方式划分网络使用权限；可视化终端未知及终端类型，并可根据企业需求对终端进行自动归类;核心交换机部署，轻量化/零客户端网络准入，降低运维成本；实时检测入网终端的合规性，及时将非合规终端以虚拟防火墙、SwitchVLAN等网络管控的方式对入网终端进行隔离，直到修复成功自动恢复；管理过程自动化强，实时性高，避免周期性检测的安全隐患。智能安全接入，从宁盾开始。宁盾成立以来专注于动态密码双因素认证市场，并以技术为导向，于2013年正式上线网络认证系统，形成一体化身份认证与访问管理解决方案。为了应对企业组织、应用的移动化及云发展趋势，宁盾不断创新身份与访问安全管理技术，形成了融合智能多因素认证、终端与网络准入控制管理、智能访客管理、统一身份管理