上准入控制系统，要安全还是要便利？宁盾网络准入：我全都要！

背景

某高科技企业在全国有多个分支子公司，对生产、研发和办公等场景有较高安全要求。在终端入网合规方面，之前曾采用过国内某厂商产品，但使用效果并不理想。现希望重新调研终端准入方案，先在部分分支做试点，效果达到预期之后再全面推广。

客户需求

1. 终端入网身份认证，能够做到多分支间员工互访，外部访客认证审计；

2. 终端合规性管理软件，如杀毒软件、加域状态等，禁止外来设备随意入网；

3. 移动设备入网管理，如平板、手机、PDA；

4. 访问权限控制，不同人员在不同位置可以灵活自动设置权限。

客户当前面临的问题

1. 用产品功能做规划而非企业使用场景，导致准入产品用不起来。

准入项目规划的第一维度是使用场景，如生产、研发、办公，第二维度才是功能实现。同样的需求在不同场景下，使用的功能也是不同的。例如，平板电脑的管理，在生产场景应当用基于MAB的白名单严控，在办公场景则应根据设备类型和登录用户自动规划权限。

2. 未规划安全、便利、合规的优先级，使用体验不佳，影响办公。

安全和便利是一对矛盾，如果所有场景使用同一套策略，往往无法调和业务连续性和安全之间的矛盾。事实上不同场景对安全和便利的要求是不同的，比如研发场景需要高安全性，管控手段可以使用802.1x，虽然偶尔出现使用体验问题，但因为人数不多，不会造成大范围负面反馈；而办公场景对便利要求高，应优先使用无客户端探测方式，Windows登录后自动认证，静默做合规性检测，提高业务效率。

3. 没有充分利用既有IT投资，在使用效果和安全性上有提升空间。

该企业是AD的深度用户，完全可以利用AD的能力提高便利性，如无客户端合规性检查，静默免密认证。各分支部署了上网行为管理，员工、访客的认证信息也应和上网行为管理设备联动实现实名审计。

4. 身份认证和终端合规没有分离，跨园区访问不便。

身份认证管理人的信息，终端合规管理端的信息，人的身份是集中的，端的信息是分散的。传统准入方案将人和端的管理集成在一台台设备里，身份认证信息无法互通，难以实现跨园区漫游和统一管理。

宁盾网络准入建设目标

宁盾网络准入区别于传统网络准入控制系统，以无客户端/轻量化准入为突出优势。两种方案在客户端模式、设备兼容性、部署和运维、认证和策略管理等方面均有明显不同。传统准入依赖客户端进行终端识别、执行策略、管控终端，在面对大体量终端设备时，客户端的安装、升级和后期维护工作将会给企业 IT 部门带来沉重负担，且对各类型的终端设备的适配兼容性上，也有较大提升空间。而宁盾网络准入在终端识别、准入控制、策略执行上均由服务端进行，降低了对客户端的依赖，具有更高的灵活性和个性化配置能力。

经过对该企业当前面临问题的剖析后，宁盾根据每个场景对准入的目标进行梳理，明确了整体建设目标。

1. 为严管区、非严管区和生产场景分别做准入规划，兼顾安全合规与业务连续性。

宁盾将研发、办公、生产分为三大场景：严管区（研发）、非严管区（办公）和生产。根据每个场景上对准入的需求（安全性、便利性、连续性）合理规划解决方案，从而实现安全合规的同时保障业务连续性。

2. 准入轻量化，结合AD域实现无客户端准入，免密认证。

加域环境下，以无客户端方式扫描PC，并通过组策略推送802.1X认证策略，加域电脑免密认证登录，未加域电脑则以Portal认证方式验证用户身份。

3. 认证和准入分离，提高跨园区使用体验，为访客设置可追溯的认证方式。

当员工跨园区访问网络时，宁盾也能让员工快速认证入网，实现认证漫游。而访客则可通过自助申请或协助扫码等方式认证入网。访客入网后，被访人和访客信息自动发送至行为管理设备，形成可追溯访问记录。

4. 部署架构在技术原理上具有高可用性和良好的逃生机制。

宁盾网络准入采用旁路部署，针对严管区、非严管区、生产区的实际情况，可结合多种手段进行（不）主动阻断，可靠性高，设备故障自动逃生，确保每个场景下对安全、便利、连续性的100%执行。

以上是宁盾针对该多分支高科技企业设计的网络准入方案，获得了企业的高度认可。若您在网络准入控制方面，遇到了安全和便利无法调和的困境，欢迎后台私信或咨询400-658-2855获取针对性的解决方案。