网络认证准入过程通常由入网终端、网络设备、RADIUS 认证服务器三部分构成,在前期关于 AD 域国产化替代的方案里,我们曾指出NPS(Windows Server 系统中实现 RADIUS 协议的核心服务组件)同样面临国产化替换需求——这一分析是基于 RADIUS 认证服务器的角度展开。随着信创战略的深入推进,企业单位在网络准入层面采用自主可控方案已成必然趋势,以本土化 RADIUS 服务适配国产 CPU 芯片和服务器运行环境,构建安全可信的底层支撑。
与此前的技术视角不同,本期信创网络准入方案将从入网终端角度切入。当前,统信、麒麟等国产操作系统计算机已逐步规模化部署,其对网络准入机制提出了差异化要求;与此同时,传统终端设备与国产终端设备长期并存的混合环境下,如何实现多类型设备的统一接管并提供一致的入网体验,成为组织单位面临的关键挑战。
宁盾信创网络准入方案针对组织单位内网终端信创替代进程中的实际需求,围绕“人+端”双重可信准入逻辑,为内网接入人员(员工、访客等)与终端(电脑、手机、IoT设备、BYOD等)提供全流程身份验证与动态合规授权服务,确保只有通过双重核验的主体方可访问网络资源。
方案提供了以下能力:
1.全场景统一接入管理
兼容不同厂商、不同品牌的有线/无线网络实现统一接入管理,支持多分支/多站点统一认证、授权、审计及漫游需求,为跨区域、跨网络类型的接入行为提供标准化管理框架。
2.多源身份集成与差异化身份认证
(1)深度集成国产域控、AD、LDAP、OA、CRM、现有 IAM 等多种身份源。
(2)针对员工、访客、外包人员、临时用户、合作伙伴等不同身份主体,提供 802.1X账密/证书认证、Portal 账密认证、企微/飞书/钉钉扫码认证、协助扫码、自注册审批认证、短信认证、邮箱认证等多种类型认证方式,并可结合网络权限策略动态下发。
(3)认证策略支持基于OU、Group、账号、角色、设备属性等多维度条件的组合配置,支持策略复用、反选及优先级排序,充分适配企业复杂业务场景与不同职场的安全管控需求。
(4)同时支持与上网行为管理设备联动,实现实名审计合规。
3.泛终端统一管控和准入
(1)支持 Windows、macOS、Linux、统信、麒麟、IoT等多样化终端类型,有效解决混合环境下泛终端统一管控与入网认证难题。
(2)在泛终端混合环境下,既可采用无客户端入网认证以减轻运维压力,还可以借助宁盾轻量级客户端实现终端合规性准入,客户端准入方案可结合宁盾域管批量化下发计算机配置策略,方便运维。
(3)泛终端网络准入通过可视化和自动化技术实时检测入网终端的合规性,对于不合规的终端给予最小化访问权限,对于合规终端给予放行,并持续检测终端合规情况。
(4)泛终端网络准入,除应用于常规内网环境,还可延伸至异地办公、协同办公、多分支等远程办公场景,通过宁盾域实现对外网 VPN、SD-WAN 接入终端的合规性基线检查。
(5)针对不合规终端及用户,支持切换 VLAN、虚拟防火墙、告警提醒、自助修复等多种管控手段,实现有效阻断、安全隔离,并持续性地实施终端合规状态监控,提升内网合规基线,保障企业网络安全。
4.解决802.1X重认证致域账户被锁问题
企业在使用 Windows NPS 或者其他准入产品时,在进行 RADIUS 认证时通常存在一个棘手的问题,如用户的 AD 域账号密码一旦过期或被修改后,配置了 802.1X 认证的电脑会自动重连,出现用户 AD 域账号被锁定的问题,无法连网无法办公。具体解决方案可访问宁盾官网博客了解。
热门跟贴