一、 對比802.1X，“流量鏡像及Windows域開發(fā)”準(zhǔn)入優(yōu)勢：

a. 交換機(jī)流量鏡像的方式無需在接入交換機(jī)配置802.1X 認(rèn)證，減輕運(yùn)維成本；

b. Windows AD域底層運(yùn)行方式，用戶無需安裝802.1X客戶端，終端合規(guī)性檢測處于無感狀態(tài)；

c. 通過檢測是否加入AD域的方式，驗(yàn)證終端身份，用戶無需登錄認(rèn)證；

d. 基于合規(guī)性條件動態(tài)終端網(wǎng)絡(luò)使用權(quán)限，提升入網(wǎng)終端安全性，用戶在完成修復(fù)后自動恢復(fù)到網(wǎng)絡(luò)，無需重復(fù)認(rèn)證； e. 基于交換機(jī)的鏡像流量檢測，普適于多分支網(wǎng)絡(luò)架構(gòu)。

因此，從核心交換機(jī)鏡像流量，同時(shí)基于Windows AD 域檢測，網(wǎng)絡(luò)準(zhǔn)入產(chǎn)品（NDACE）主動發(fā)現(xiàn)和識別接入網(wǎng)絡(luò)的終端設(shè)備，實(shí)時(shí)監(jiān)控運(yùn)行于網(wǎng)絡(luò)中的終端，以及時(shí)將非合規(guī)終端隔離。 方案價(jià)值：

a. 發(fā)現(xiàn)并識別各種類型的電腦、BYOD及IoT設(shè)備； b. 自動檢測入網(wǎng)終端合規(guī)性，降低人為檢查誤區(qū)；

c. 持續(xù)監(jiān)控運(yùn)行在網(wǎng)絡(luò)中的終端合規(guī)性，避免周期性掃描的盲點(diǎn)； d. 基于網(wǎng)絡(luò)策略建立動態(tài)防御機(jī)制，及時(shí)隔離風(fēng)險(xiǎn)性終端； e. 統(tǒng)一安全：跨越多分支企業(yè)；

f. 可視化終端網(wǎng)絡(luò)拓?fù)浼吧舷挛模焖俣ㄎ唤K端位置，降低終端排障時(shí)間；

g. 自動化清點(diǎn)終端網(wǎng)絡(luò)資產(chǎn)并實(shí)時(shí)更新終端資產(chǎn)狀態(tài)。

二、多分支終端及網(wǎng)絡(luò)準(zhǔn)入方案概要

1. 終端身份驗(yàn)證：Windows無客戶端檢測并采集AD域身份信息

與傳統(tǒng)身份認(rèn)證方式相比，NDACE 主動探測終端AD域身份，采集并記錄終端MAC所對應(yīng)的用戶名、用戶角色、用戶組、郵箱手機(jī)號、等用戶身份信息。

2．終端合規(guī)性檢測：Windows無客戶端域控檢測終端安全項(xiàng)

NDACE基于對Windows 域控的二次開發(fā)，在網(wǎng)絡(luò)層實(shí)現(xiàn)對終端的底層的合規(guī)性檢測，包括是否安裝殺毒軟件，是否更新30天內(nèi)的高危漏洞，當(dāng)前運(yùn)行的進(jìn)程等等，整個(gè)過程，員工處于無感狀態(tài)，用戶無需安裝客戶端，同時(shí)免除運(yùn)維人員的安裝維護(hù)成本，用戶體驗(yàn)更好。

3．動態(tài)管控：基于合規(guī)性條件的動態(tài)網(wǎng)絡(luò)

自定義終端合規(guī)條件，如是否加入AD域，是否安裝Symantec殺毒軟件，是否更新30天內(nèi)高危補(bǔ)丁等。實(shí)時(shí)檢測申請入網(wǎng)及運(yùn)行于網(wǎng)絡(luò)中的終端，及時(shí)發(fā)現(xiàn)非合規(guī)終端并對其進(jìn)行隔離。常用網(wǎng)絡(luò)方式包括Virtual Firewall、Switch VLAN、DACL等。

4、Mac/Linux終端合規(guī)性：身份認(rèn)證+輕量化客戶端檢測 Mac/Linux電腦因?yàn)闆]有AD域身份，當(dāng)NDACE檢測到終端類型為Mac或Linux終端時(shí)，在不符合AD域檢測的情況下，為終端提供認(rèn)證界面，允許終端通過身份認(rèn)證的方式與終端實(shí)現(xiàn)綁定。 同時(shí)，在檢測是否安裝殺毒軟件、運(yùn)行的進(jìn)程等服務(wù)時(shí)，要求Mac/Linux終端安裝輕量化客戶端（User Connector）?？傮w來說，Mac/Linux在企業(yè)的占比較少，所以運(yùn)維成本相對較低。

5.多分支架構(gòu)，運(yùn)維人員如何坐鎮(zhèn)總部，指點(diǎn)全局？

由于網(wǎng)絡(luò)準(zhǔn)入產(chǎn)品旁路部署于核心交換機(jī)，通過鏡像的方式獲取終端流量，依據(jù)準(zhǔn)入條件進(jìn)行阻斷或方行。面向企業(yè)多分支架構(gòu)，部署方式總結(jié)總部部署及多分支分別部署兩種情況： a．

總部部署：如果企業(yè)多分支架構(gòu)共用一張網(wǎng)絡(luò)，可以將NDACE

部署于核心交換機(jī)以獲取全部終端通信流量； b．

多分支部署：如果企業(yè)多分支屬于網(wǎng)絡(luò)，可以在每一個(gè)獨(dú)

立的網(wǎng)絡(luò)中進(jìn)行部署，以達(dá)到終端入網(wǎng)動態(tài)的目的。

總結(jié)：對比802.1X方式準(zhǔn)入，交換機(jī)流量鏡像及Windows域開發(fā)在部署上無需與接入交換機(jī)對接；用戶終端基于Windows AD檢測，無需安裝客戶端，整個(gè)過程處于無感狀態(tài)。同時(shí)，運(yùn)維人員無需再為用戶安裝客戶端，節(jié)省更多勞動成本，讓運(yùn)維人員有更多的時(shí)間做更

有意義的事。本文講解終端及身份的合規(guī)性網(wǎng)絡(luò)準(zhǔn)入的部分使用場景，對于可視化及其他介紹較少。了解更多，可關(guān)注節(jié)后文章哦！

智能安全接入，從寧盾開始。寧盾成立以來專注于動態(tài)密碼雙因素認(rèn)證市場，并以技術(shù)為導(dǎo)向，于2013年正式上線網(wǎng)絡(luò)認(rèn)證系統(tǒng)，形成一體化身份認(rèn)證與訪問管理解決方案。為了應(yīng)對企業(yè)組織、應(yīng)用的移動化及云發(fā)展趨勢，寧盾不斷創(chuàng)新身份與訪問安全管理技術(shù)，形成了融合智能多因素認(rèn)證、終端與網(wǎng)絡(luò)準(zhǔn)入控制管理、智能訪客管理、統(tǒng)一身份管理與單點(diǎn)登錄、網(wǎng)絡(luò)設(shè)備AAA授權(quán)管理、大型商業(yè)WiFi認(rèn)證管理等多個(gè)產(chǎn)品線于一體的全場景解決方案。