一、客户背景：1.网安运维人员紧缺，不到10人的网安团队需要负责全公司约两万员工的网络安全状态；2.传统802.1X认证的准入方式需要安装802.1X客户端，而且需要大量的配置交换机，部署周期长，运维成本高；3.对比当前市场的终端准入的方式，主要以8021.X客户端准入和WindowsAD域二次开发为主。相比于前者，WindowsAD域检测的用户无需安装客户端，结合交换机镜像，省去接入交换机的操作配置。从部署周期、维护成本及用户体验上来说，提供的WindowsAD域无客户端实现网络准入的方式明显更适合用户场景。二、客户需求：1.可视化接入网络的终端设备，自动识别设备类型并进行自动归类；2.入网终端身份验证，默认网络阻断，认证通过后运行访问外网；a．Windows终端基于AD域的方式检测用户身份；b．Mac/Linux终端通过身份认证的方式完成终端身份校验；3.终端合规性检测，默认访问外网，满足公司安全条例（合规）的情况允许访问内网；a.WindowsAD域用户无客户端的情况下检测其是否安装Symantec、LANDesk、DLP等软件；b.Mac/Linux终端在安装轻量化客户端的情况下检测否安装Symantec、LANDesk、DLP软件；4.特权用户MAC地址白名单接入，默认访问内网。5.满足多分支统一认证和终端准入需求；三、产品介绍方案中用到的两款产品：终端准入引擎（NDACE）和认证服务器（DKEYAM）；a.NDACE：硬件设备，部署于核心交换，通过流量镜像的方式可视化运行于网络终端的终端，并通过网络方式控制终端的准入；b.DKEYAM：与NDACE联动，为Mac/Linux电脑提供身份认证服务；c.WindowsAD域检测，附属于NDACE的软件服务端，通过AD域的方式检测Windows终端的合规性；d.Mac/Linux轻量化客户端（UserConnector）用于检测终端合规性；四、网络拓扑：在总部数据中心核心交换机处部署终端准入引擎（NDACE）和认证服务器（DKEYAM），如果分支流量无法传递到总部可在分支系统部署NDACE，实现多分支统一准入。五、解决方案1、终端资产可视化管理及自动分类以流量检测和WindowsAD域的方式，NDACE可视化接入网络的终端。结合企业需求，NDACE根据终端类型自动将终端划分为办公电脑、手机及BYOD、IoT终端三大类。分类标准：a.办公电脑：将终端类型为windows、Mac、Linux类型的终端归为一类；b.手机及BYOD：将终端类型为iPhone、Android、Windowsphone类型的终端归为一类；c.IoT：除上面的其他终端类型归为一类，比如camera、printer、switch、rooter等等；2、入网身份认证，身份确认之后仅允许访问外网前面已经多次提到，因为WindowsAD域的特殊性可以通过终端检测其是否加入AD域的方式检测终端身份，而Mac/Linux电脑则需要采用身份认证的进行验证。a.Windows无客户端AD域身份检测b.Mac/Linux电脑身份认证：除传统用户名密码认证外，还可提供企业微信/钉钉“扫一扫”免密认证或动态密码账号加固，提升网络认证安全。3、终端合规性检测，身份确认且合规之后允许访问内网资源a.windows电脑AD域无客户端检测：根据企业实际需求，检测终端是否安装Symantec、LANDesk、DLP等软件，并对非合规终端进行过滤，非合规终端仅允许访问外网。b.Mac/Linux电脑轻量化客户端检测：为Mac/Linux电脑安装客户端并检测终端是否安装Symantec、LANDesk、DLP，确保只有合规的电脑才允许访问内网。Mac/Linux终端所占比例较少，且用户完全可以自助安装客户端，这部分并没有给运维人员带来太大工作量。4、特权用户MAC地址百名单对于某些特殊用户，比如高层领导或不允许使用网络控制的终端，支持以白名单的形式不对其进网络控制，默认其访问内网，但是在其终端非合规的情况下仍要对其发出告警提示。五、方案价值a.终端资产可视化：采用主动+被动的方式可视化入网终端并实现终端自动归类，降低企业运维操作成本；b.提升网络边界安全：基于“身份”+“终端”的双重校验，验证终端及身份的合规性，确保入网终端安全可信，提升网络边界安全；c.主动防御战略：采用主动防御的方式，提前设