宁盾科技+宝胜国际 | 宁盾一体化认证 助力完善网络构架 满足多场景应用需求 – 作者:宁盾nington

一、方案背景

宝胜国际（控股）有限公司是中国最大的运动服飾产品零售商及代理商之一，是具有超过二十年经营运动用品及生活休闲产品的专业公司。宝胜国际于2008年在香港上市，目前拥有二万多员工和经营管理八千多家各类型销售门店和通路渠道，业务覆盖整个中国大陆及台、港地区。

目前宝胜国际在上海范围内的网络架构并不完善，存在一定的安全风险。为保障企业网络安全，宝胜国际需对网络架构进行整改升级，宁盾科技为其提供入网准入认证部分的解决方案。

二、解决方案

宁盾科技在了解过宝胜国际上海区域的网络架构、整改需求后，决定从不同的使用场景入手，解决宝胜国际的入网准入认证安全问题。

图|方案拓扑图

1 、无线员工认证

1.1.员工电脑端PS-Office

客户方对入网终端的要求较为严格，只开放一个针对PC端的无线信号，且当前信号只提供给MAC白名单的终端入网，因此针对当前需求的实现方式，宁盾科技将ldap中的用户和MAC的绑定关系并导入在宁盾的用户源中，以此达到了客户的要求。

1.2.员工移动端PS-Moblie

宝胜国际对IOT设备接入公司网络的要求是员工仅可使用Moblie设备连接名为PS_Moblie的无线信号，认证方式为用户名认证和MAC免认证的方式，且只允许绑定一台设备。因此宁盾科技在DKEY AM平台配置相关策略以及权限，对员工接入网络和绑定设备数量进行了限制。

图|针对员工移动端的策略配置

2 、无线访客认证

2.1.访客认证PS-Guest

客户方将访客大致分为两类：临时访客及参会访客。宁盾科技对两种访客设置了不同的入网方式。临时访客采用协助扫码的方式入网，员工通过访客的入网申请后，访客才能接入网络；参会访客则是通过用户名密码进行联网。

2.2 .驻场运维人员PS-Vender

宝胜国际经常有驻场人员需要接入公司网络，针对这一需求，宁盾科技配置策略是驻场人员通过BPMS提需求申请单，绑定厂商的MAC进行认证。

三、方案价值

1、实现了对入网用户进行身份认证。员工、驻场人员、访客，不同身份采用不同的入网认证方式，发生安全事件，可立即实名追溯，保障了入网用户身份的安全可靠。

2、实现了入网终端进行身份认证。从移动端、电脑端两个方面对入网终端进行认证，确保终端的安全可靠。

3、审计联动，宁盾入网认证系统可与深信服AC审计联动，日志统一可追溯。

来源：freebuf.com 2020-11-26 14:41:05 by: 宁盾nington