802.1X准入与宁盾敏捷终端准入方案对比
作者: 日期:2021年12月31日 阅:2,941

传统802.1X准入方案

传统的802.1X认证方案,在网络内部部署一台Radius服务器,将认证指向Radius服务器。终端在接入网络时,会先验证用户的身份信息,其次会对通过身份认证接入的终端进行管理,进行动态VLAN、ACL下发,对用户终端网络访问权限进行管控。

传统802.1X实施运维

由于802.1X认证需要使用到客户端程序,所以需要为每台终端安装客户端软件,在加域的状态下,可以通过域控进行Windows 802.1X客户端的批量配置,但实际环境中,终端未加入域的情况很多,需要技术人员对每台终端进行802.1X客户端的配置安装和启用,消耗大量的人力成本。

宁盾敏捷终端准入方案

宁盾敏捷终端准入(NDACE)是通过镜像流量的旁路部署模式不影响网络拓扑架构。敏捷终端准入将需要进行管理的终端IP网段添加到NDACE管理范围之内,当终端的IP数据包镜像到数据分析口时,敏捷终端准入上会解析出相应的会话信息,并对该IP会话终端进行合规性检查,包括但不限于:

  • 终端是否加域;
  • 终端是否安装杀毒软件及补丁包;
  • 终端是否运行某些程序等;

基于这些条件进行策略执行,针对需要进行网络访问权限控制的终端,宁盾敏捷终端准入可建立基于TCP的虚拟防火墙,对终端的TCP会话进行阻断。

宁盾敏捷终端准入实施运维

采用镜像流量方式旁路部署,通过Web Portal的方式进行身份验证,终端兼容性、用户体验性非常好,而且身份验证的方式不仅仅基于用户名密码,可通过用户名密码+动态口令进行安全加固,也可通过应用APP进行扫码验证。在终端加入域的环境下,还能够基于无客户端模式对终端进行安全性检查,在终端无感知的情况下能够有效的保证接入终端的安全性。

优劣势对比

1.802.1X认证部署需要安装客户端软件,实现客户端的相关配置,进行终端的认证及准入;宁盾敏捷终端准入部署简单轻便,采用轻量级技术,无需安装客户端,无需对终端做任何改动。

2.在802.1X认证部署场景下,若Radius Server出现宕机时,对生产业务有一定影响;宁盾敏捷终端准入采用旁路镜像部署方式,不影响原有网络架构,网络可达,同时Bypass功能能够保障在出现异常的情况下,不影响正常业务。

3.802.1X准入管理范围强,能够管理到内网入口,能够验证用户身份信息,需要验证用户身份信息通过后进行接入;宁盾敏捷终端准入对TCP应用有很好的管理控制效果,可动态调整策略,实现基于域名的访问控制。

4.宁盾敏捷终端准入可以与宁盾AM认证系统进行联动,实现有线/无线网络准入,其次能够基于Web Portal定制多种策略对终端/用户进行授权控制。

关键词:


相关文章