一、客戶背景隨著信息技術快速發展，某互聯網客戶企業網絡規模越來越大，接入網絡的終端越來越多，現階段內網接入層采用開放式網絡模式，任何設備或者人員都可以隨意進出，不受任何限制。此模式勢必會給企業內網帶來一系列網絡安全隱患。針對現有開放式接入網絡，為提高企業網絡的安全性，可管理性，可實施網絡準入控制(NetworkAdmissionControl---NAC)。目前該企業內部網絡約有8000余臺計算機及相關設備，但負責運維的網絡安全從業人員僅有4名。企業急需滿足合規條件的低成本運維方案。目前主流網絡準入控制方案大體分為兩類：第一大類，通過認證方式控制終端關聯用戶實名認證，訪問公司內網；第二大類，通過對終端設備的識別，在接入網絡設備上做相應的端口安全策略，以達到拒絕非法終端的隨意接入。簡單講，就是做到把控設備的身份屬性和安全屬性。二、項目需求有線/無線場景下終端合法性準入需求設備自動識別并進行相應歸類；加域Windows終端入網實現單點登錄，對未加域Windows終端阻斷網絡訪問;MacOS終端需要經過域賬號身份驗證通過后方可入網，未經過身份驗證阻斷網絡訪問；檢查接入有線終端是否符合公司安全條例（是否安裝Symantec.LANDesk、DLP）;加域Windows終端不符合公司安全條例，只允許訪問外網，訪問內網彈出bbb通知頁面提示引導安裝缺省軟件；通過身份驗證MacOS終端不符合公司安全條例，只允許訪問外網，訪問內網彈出bbb通知頁面提示引導安裝缺省軟件。三、解決方案為解決客戶最緊迫的運維成本問題，對比傳統802.1X認證解決方案才提供輕量化客戶端準入方案Windows終端無需安裝客戶端，準入系統部署于核心交換機，免去接入交換機的配置性問題。外網訪客身份認證；核心交換機流量鏡像實時發現并識別終端合規性狀態，并對終端進行歸類；Windows終端采用無客戶端AD域檢測的方式檢測入網終端的身份合規性及終端安全性；MacOS、Linux終端采用輕量化客戶端檢測入網終端的安全性，聯動身份認證平臺對用戶身份進行校驗。準入控制，及時發現非合規終端，結合網絡準入手段對非合規終端進行隔離。

訪客協助掃碼身份認證訪客接入企業Wi-Fi后，終端自動彈出portal認證頁面，被訪人掃碼授權并提交訪客實名信息，改方案的好處在于幫助企業審計訪客與被訪人關系。員工外網AD賬號密碼身份認證員工在接入有線、無線Wi-Fi后，終端自動彈出portal頁面，或登錄bbb網址直到彈出員工用戶嗎密碼身份認證頁面，完成認證后，擁有外網訪問使用權限。

內網終端準入合規將NDACE部署于核心交換機基于流量鏡像+WindowsAD域無客戶端的方案檢測終端是否加入AD域及是否安裝殺毒軟件，以確保只有合規的終端準入。MAC和MAC和Linux終端需安裝輕量化客戶端實現合規準入，并且聯動身份認證系統（DKEYAM）進行認證校驗。ifrwaiy-可視化終端管理及自動歸類可視化接入網絡的終端類型、安全合規狀態，并根據預設條件對終端進行自動分類，比如將Windows類型的終端歸為一類，MacOS、Linux終端歸為一類。四、網絡拓撲五、方案價值入網用戶實名認證，且根據認證方式劃分網絡使用權限；可視化終端未知及終端類型，并可根據企業需求對終端進行自動歸類;核心交換機部署，輕量化/零客戶端網絡準入，降低運維成本；實時檢測入網終端的合規性，及時將非合規終端以虛擬防火墻、SwitchVLAN等網絡管控的方式對入網終端進行隔離，直到修復成功自動恢復；管理過程自動化強，實時性高，避免周期性檢測的安全隱患。智能安全接入，從寧盾開始。寧盾成立以來專注于動態密碼雙因素認證市場，并以技術為導向，于2013年正式上線網絡認證系統，形成一體化身份認證與訪問管理解決方案。為了應對企業組織、應用的移動化及云發展趨勢，寧盾不斷創新身份與訪問安全管理技術，形成了融合智能多因素認證、終端與網絡準入控制管理、智能訪客管理、統一身份管理