中大型金融客户,宁盾Windows无客户端网络准入实践.pdfVIP

一、客户背景：

1.网安运维人员紧缺，不到10人的网安团队需要负责全公司约两万员工的网

络安全状态；

2.传统802.1X认证的准入方式需要安装802.1X客户端，而且需要大量的配置

交换机，部署周期长，运维成本高；

3.对比当前市场的终端准入的方式，主要以8021.X客户端准入和Windows

AD域二次开发为主。相比于前者，WindowsAD域检测的用户无需安装客

户端，结合交换机镜像，省去接入交换机的操作配置。从部署周期、维护成

本及用户体验上来说，提供的WindowsAD域无客户端实现网络准入的方

式明显更适合用户场景。

二、客户需求：

1.可视化接入网络的终端设备，自动识别设备类型并进行自动归类；

2.入网终端身份验证，默认网络阻断，认证通过后运行访问外网；

a．Windows终端基于AD域的方式检测用户身份；

b．Mac/Linux终端通过身份认证的方式完成终端身份校验；

3.终端合规性检测，默认访问外网，满足公司安全条例（合规）的情况允许访

问内网；

a.WindowsAD域用户无客户端的情况下检测其是否安装Symantec、

LANDesk、DLP等软件；

b.Mac/Linux终端在安装轻量化客户端的情况下检测否安装Symantec、

LANDesk、DLP软件；

4.特权用户MAC地址白名单接入，默认访问内网。

5.满足多分支统一认证和终端准入需求；

三、产品介绍

方案中用到的两款产品：终端准入引擎（NDACE）和认证服务器（DKEYAM）；

a.NDACE：硬件设备，部署于核心交换，通过流量镜像的方式可视化运行于网

络终端的终端，并通过网络方式控制终端的准入；

b.DKEYAM：与NDACE联动，为Mac/Linux电脑提供身份认证服务；

c.WindowsAD域检测，附属于NDACE的软件服务端，通过AD域的方式检

测Windows终端的合规性；

d.Mac/Linux轻量化客户端（UserConnector）用于检测终端合规性；

四、网络拓扑：

在总部数据中心核心交换机处部署终端准入引擎（NDACE）和认证服务器

（DKEYAM），如果分支流量无法传递到总部可在分支系统部署NDACE，实现

多分支统一准入。

五、解决方案

1、终端资产可视化管理及自动分类

以流量检测和WindowsAD域的方式，NDACE可视化接入网络的终端。

结合企业需求，NDACE根据终端类型自动将终端划分为办公电脑、手机及

BYOD、IoT终端三大类。

分类标准：

a.办公电脑：将终端类型为windows、Mac、Linux类型的终端归为一类；

b.手机及BYOD：将终端类型为iPhone、Android、Windowsphone类型的

终端归为一类；

c.IoT：除上面的其他终端类型归为一类，比如camera、printer、switch、

rooter等等；

2、入网身份认证，身份确认之后仅允许访问外网

前面已经多次提到，因为WindowsAD域的特殊性可以通过终端检测其是否加

入AD域的方式检测终端身份，而Mac/Linux电脑则需要采用身份认证的进行

验证。

a.Windows无客户端AD域身份检测

b.Mac/Linux电脑身份认证：除传统用户名密码认证外，还可提供企业微信/

钉钉“扫一扫”免密认证或动态密码账号加固，提升网络认证安全。

3、终端合规性检测，身份确认且合规之后允许访问内网资源

a.windows电脑AD域无客户端检测：根据