宁盾（NAC）网络准入 – 作者:宁盾nington

随着企业移动化转型及物联网设备、云应用的大量涌入，“云、网、端”的连接方式打破了以防火墙为边界的内网安全保护屏障。传统以防火墙和防入侵系统为主的防御方式难以抵御来自企业内网的攻击。未受管控的人、终端、设备成为企业网络盲点及高风险地带。如：

1.   企业访客:自带计算机的访客和外包人员访问企业网络资源带来的风险。

2.   无线和移动(BYOD)终端:员工私带个人智能手机、平板电脑和笔记本电脑上班带来的风险。

3.   恶意软件和僵尸网络:一旦您的网络受到威胁,联网设备的数据面临被窃取的风险。 

4.   私接热点:造成网络不稳定以及漏洞。

二、产品介绍

 宁盾终端与网络准入解决方案是针对企业内部网络盲点及安全风险而定制的无边界企业网络安全核心部件。以“身份+终端”的联合防御为核心，以“主动防御”理念为基础，可视化网络环境中的用户、终端、应用及设备等。运用主动检测（软件进程，补丁版本…）和安全隔离技术,在不改变使用者习惯的前提下,只允许授权的终端和用户连接企业的网络环境，并与第三方联动修复，确保人与终端的安全性及合规性。

1.   可视化网络资产：发现连接到企业内部PC、手机、物联网设备、网络设备等，包括受信及非受信；

2.   轻量化安全检测：Windows无客户端AD域合规检测；MAC/Linux轻量化客户端检测；

3.   自动化准入控制：基于终端及身份安全属性的灵活权限，自动响应实施策略，自动隔离非合规终端；

4.   联动其他安全设备，实现安全防护与修复。

1、可视化资产管理

运用多种技术动态识别和评估网络终端以及应用程序状态。可视化接入网络的电脑、BYOD及IoT设备的设备类型、用户及安全属性等。

A、可视化接入网络的终端、设备类型、用户身份、操作系统、杀毒软件、补丁应用、外接设备等；

B、自动化归类，根据预设的归类条件对终端自动化归类；

C、实时定位及监控，监控终端处于那台交换机的哪个端口，或对应的AP、AC，方便运维人员快速找到目标设备。

 

2、轻量化合规检测

对比传统的802.1X客户端检测，宁盾终端准入针对底层AD二次开发，实现基于AD域的Windows无客户端准入检测。用户无需安装客户端，运维人员更无需对客户端进行维护，尤其适用于网安人员紧缺的企业。

a、Windows无客户端准入：基于AD域，用户无需客户端即可检测Windows终端杀毒软件、合规应用、运行进程等安全准入条件。

b、Mac OS/Linux终端轻量化网络准入

对比Windows终端，Mac 及Linux终端的使用数量占比较小，可借助轻量化客户端检测终端的安全合规状态。同时结合网络层身份认证实现终端及身份的安全管控。

 

3、自动化准入控制

a、动态检测，对比定期人工检测，宁盾 NDACE每隔固定时间对入网终端检测一次，并及时隔离非合规终端；

b、自定义准入条件，根据客户实际环境，宁盾NDACE 为终端及网络准入提供多重灵活的准入合规组合，更贴近企业业务；

c、网络阻断方案：提供虚拟防火墙、switch VLAN、DACL等方式对非合规终端进行自动隔离，待用户修复后自动入网，整个过程用户无需重新认证，用户体验更好。

 

4、多种身份认证方式

a、访客无线网络接入：既提供短信、一键认证等自助式认证方案，又提供“协助扫码”“邮件审批”等授权认证方案；

b、员工有线无线网络身份认证：既提供802.1X认证，还提供Portal用户名密码认证，同时联动802.1X与终端准入策略，实现物理层的动态认证和访问控制。

三、部署环境

在不改变现有网络架构的基础上增加宁盾准入控制引擎（ND ACE），ND ACE旁挂在核心交换机上，通过两个端口与核心交换机互联，其中一个为交换机的镜像口，核心交换机将所有终端访问应用系统的业务数据镜像给ND ACE，ND ACE通过此接口嗅探、识别、学习终端的合规性；另外一个接口为交换机的接入口，ND ACE通过此接口来阻断不合规的终端。

四、产品组成

宁盾终端准入控制引擎（ND ACE）硬件n套；宁盾身份管理软件平台（DKEY AM）（按需部署）一套；

 

五、产品价值：

1.   多分支异构部署：支持国内外主流的无线有线网络品牌，支持与第三方联动，实现快速部署。

2.   多种的认证方式：支持802.1X、portal（用户名密码、短信、微信等）多种认证方式，还可与宁盾双因素认证结合，实现账号密码加固。

3.   网络资产可见：监测其他解决方案无法看到的设备: 台式电脑、笔记本电脑、服务器、路由器、智能手机和平板电脑 ／有线/无线LAN 和打印机／IoT 设备(投影仪、工业控制、医疗保健、制造、POS 设备等) 。

4.   轻量化合规准入：无客户端，减轻后期运维客户端安装、后期维护、兼容性上的时间成本。

5.   安全自动隔离隔离： 根据设备情况和安全策略授予、拒绝或限制网络访问，隔离并修复恶意/高风险端点快速实现价值。

6.   多维联动：与杀毒软件、漏洞补丁、文件管理、桌面管理等安全厂商联动，赋能安全厂商网络准入能力的同时，打破企业安全管理孤岛，帮助企业“人+端”的一体化安全准入。

来源：freebuf.com 2020-03-24 00:54:05 by: 宁盾nington