一、面临挑战

企业网络从有线向无线转型的过程中，为保障网络安全，需实现有线无线一体化准入。而单一的解决方案，不能满足复杂网络环境下的多样化准入控制需求：

多用户角色：传统的网络环境下，主要应用对象为企业员工，但在移动办公场景下，应用对象可扩展至访客、领导、VIP会员等多种用户角色，需基于用户角色在访问权限上做区别；

多分支异构：多分支机构中网络架构也会存在差异，如何做统一地接入管理，实现一体化认证，是一项重大的技术挑战；

多终端接入：传统网络主要使用PC连接，随着移动终端的普及，终端的数量及类型也随之增多，用户的体验要求也越来越高，同时也带来了更多安全上的挑战。

二、解决方案

1.华为网络准入控制及终端安全方案概述

宁盾网络准入控制及终端安全方案基于对终端风险以及用户身份的真实性进行双重验证，判断是否准入网络以及获得访问权限，实现接入网络终端及用户身份的双重可信，提升网络安全。

其安全管理逻辑是先对接入内网终端进行合规性检查，并确认接入网络用户身份的真实性，根据终端风险以及用户角色动态赋予访问权限，并和第三方网络审计以及态势感知平台联动，实现内上网实名审计以及主动防御。

在此方案中，华为无线WLC开启portal认证，认证服务器指向宁盾认证服务平台，有线部分通过ND ACE结合AM做portal的统一准入，最终实现有线无线的一体化准入控制。

2.身份认证方式

2.1员工场景

①用户名密码认证，用户名密码可以创建，也可以与AD、LDAP同步帐号信息；

②支持802.1X认证；

③支持802.1x+portal认证；

④支持802.1x+portal+动态码认证。

2.2访客场景

①短信认证，可设定短信内容模版、短信验证码有效期及长度等；

②微信认证，通过关注微信公众号进行认证连接上网；

③支持二次无感知认证，可设定有效期，超过有效期的访客须通过其他认证方式登录；

④支持协助扫码认证，快速授权上网，实现访客与被访人之间可追溯；

⑤支持访客自助申请认证，由指定人员审批申请信息，加强内访问安全控制； 

⑥支持邮箱认证，访客可以通过邮箱认证接入网络。

三、方案价值

1.用户+终端安全：基于终端风险及用户角色，实现动态网络访问权限分配，终端安全评估（是否AD成员主机、是否安装杀毒软件以及及时更新等），加之基于用户角色做策略，实现不同角色访问权限的控制，从而提升网络安全；

2. 认证方式：支持多种认证方式，可一种或多种同时使用，满足不同企业不同用户的网络准入控制需求；

3.多分支接入：支持多分支统一接入管理，实现单点认证，全网无缝漫游，避免出网二次认证登陆；

4.实名审计：通过与上网行为设备或者内网应用防火墙联动，实现基于用户的上网行为实名审计，并通过与宁盾既有用户身份数据联动，完成对异常上网的实名追索，避免异常上网对企业造成的法律及安全风险；

5.防私接：支持防非法私接功能，防止非法路由器及设备网络，如随身WIFI插入网络形成热点，对内网安全造成隐患；

6.账号安全：可结合宁盾双因素认证方案，通过动态密码技术，双重保障终端用户准入网络身份安全。下载本文