802.1x协议起源于802.11协议,后者是IEEE的无线局域网协议, 制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题。后来也用于终端网络准入,即配合一定的终端准入检测方式,通过认证断网的方式对非合规终端进行隔离。一般情况下,企业为员工安装802.1X客户端,当用户入网时,需要先完成身份验证才可入网。并且如果终端非合规,后台通过802.1X认证断开网络连接,待终端修复后,用户重新认证才能重新获取网络使用权限。但是客户端出现问题、配置错误或终端非合规状态都会导致用户网络使用终端。802.1X实现网络安全准入的同时也面临着用户体验不好、运维成本太高等问题。
随着用户体验意识的提升,无论是身份认证还是终端合规准入上,用户更期望有简单易用、低成本运维的替代方法,今天我们来讲几种常见的简单的替代方案。
1、企业微信/钉钉“扫一扫”身份认证 + 动态ACL 网络准入控制 企业微信/钉钉扫码免密认证实际是对三层Portal认证的再开发,即通过扫码的形式免除账号密码的验证过程,实现用户入网身份的安全鉴别。企业微信/钉钉扫码的好处包括:
a) 用户不用再记忆帐号密码,不用输入账号密码,更不用担心账号密码被盗的问题;
b) 功能即取即用,仅需在企业微信/钉钉内授权即可实现; c) 用户无需安装客户端,扫码认证的用户体验更好;
d) 三层Portal认证无需与接入层交换机进行配置,缩短部署周期,降低运维成本。
同时,配合用户用户组/角色,配合动态ACL实现基于终端/身份的权限准入控制;
如上图:导入终端MAC地址
如上图:为终端绑定DACL策略
2、Windows AD 域无客户端检测 + 虚拟防火墙网络准入控制
与802.1X客户端网络准入方式对比,Windows AD域检测+旁路镜像的方式对于用户而言无需安装客户端,对于运维而言无需配置接入交换机。通过对Windows AD 域的二次开发鉴别用户的AD域
账号身份、检测终端合规性,同时借助Virtual Firewall、Switch VLAN等方式实现终端准入控制。
3、NDACE 轻量化客户端检测 + 动态ACL 网络准入控制
NDACE 轻量化客户端检测是对1和2 的集成,面对复杂的客户环境和使用要求的时候,不仅仅需要用户Windows AD域 无客户端准入,对于Mac/Linux等不支持AD域检测的终端提供轻量化客户端检测方案。同时关于这些终端的用户身份鉴别可以使用企业微信扫码认证。
并且还可通过与身份认证联动(DKEY AM),实现基于终端/身份的动态ACL管控。
总结:
对比802.1X身份认证,在保证用户身份鉴别安全的前提下,扫码免密认证省略了用户账号密码输入的环节;Windows AD域检测无需安装客户端,检测运行于系统底层,用户处于无感状态,用户体验更好;同时NDACE 旁路镜像的方式无需与接入交换机配置,缩短部署周期,节省运维成本,对于网络架构调整的适应能力更强。准入策略上可以完全通过网络手段实现隔离,待用户终端恢复后自动归入网络,再也不用重复频繁的认证了。
智能安全接入,从宁盾开始。宁盾成立以来专注于动态密码双因素认证市场,并以技术为导向,于2013年正式上线网络认证系统,形成一体化身份认证与访问管理解决方案。为了应对企业组织、应用的移动化及云发展趋势,宁盾不断创新身份与访问安全管理技术,形成了融合智能多因素认证、终端与网络准入控制管理、智能访客管理、统一身份管理与单点登录、网络设备AAA授权管理、大型商业WiFi认证管理等多个产品线于一体的全场景解决方案。