企业内网终端安全无客户端准入控制技术实践

终端无代理/无客户端准入控制技术因其良好的用户体验而倍受创新企业的青睐。无代理/无客户端准入控制技术，顾名思义，是一种在网络中对终端实施访问控制的方法，无需依赖特定的客户端软件。

不同于银行、医院等传统行业的终端准入控制需求，芯片半导体、生物制药、互联网科技等以科技驱动创新为导向的新型企业追求用户体验优先，采用无客户端准入控制产品/方案来保障内网终端资产的合规性。

无代理/无客户端准入控制技术优势主要体现在以下几个方面：

• 设备兼容性：无客户端准入控制技术可以适用于不同设备，包括Windows操作系统，监控、打印机等IoT物联网设备。
• 简化配置和部署：通过消除对客户端软件的依赖，无客户端准入控制技术可以简化配置和部署过程。管理员只需配置并管理网络设备上的访问控制策略，而无需为每个设备安装和配置额外的客户端软件。
• 降低运维成本：无客户端准入控制技术减少了维护大量客户端软件的工作负担。IT 管理员只需专注于配置相关策略，无需考虑不同操作系统和设备上的客户端软件兼容性问题。
• 更好的用户体验：由于无需额外安装客户端软件，用户可以更方便地访问资源，避免了客户端软件可能带来的性能问题或用户体验的限制。这样可以提高用户满意度和工作效率。

无客户端准入控制技术与Windows AD域结合使用效果更佳。以下是某汽车零部件配套供应商采用宁盾无客户端准入控制技术的最佳实践。

客户案例：

项目背景：

某汽车零部件配套供应商主要生产汽车电器系统、检测设备等，主要客户有奔驰、宝马、大众、通用汽车公司等，生产、研发实力雄厚。为了提高自身信息安全，为车企提供放心、安全的产品与服务，该公司拟对办公网段的设备资产进行识别与合规检测，以确保企业内网设备满足安全性需求。

客户需求：

以办公网段内的Windows电脑为主，检查入网电脑是否加域、是否运行赛门铁克杀毒软件。

1. 发现网络内接入的终端

2. 识别终端的设备类型以及是否加域

3. 主动探测终端运行的杀毒软件，进程，补丁，安装软件等信息

4. 不合规的电脑阻断TCP流量，通过HTTP重定向方式提示不合规内容

宁盾方案及拓扑：

宁盾准入引擎（NDACE）旁挂在客户核心交换机上，并将测试用户的流量镜像到宁盾准入引擎的分析端口。

宁盾准入引擎通过镜像流量分析，发现网络内所有设备的IP信息，通过SNMP或DHCP获取终端IP与MAC的绑定关系。

之后通过嗅探器扫描终端的设备类型，是否为加域的设备，加域电脑通过主动检测，扫描到终端安装的软件，运行的进程，杀毒软件等。

拿到终端的信息后对终端分类并作准入策略。

配置策略：

 

策略解读：

● 加域检测：针对内网网段扫描，过滤掉上线10分钟内的终端，过滤掉非Windows系统终端，检测终端是否有域身份，得到结果打上对应标签；

● 杀毒软件检测：针对上一步已经加域的终端检测，满足已运行赛门铁克或有赛门铁克进程的为合规，反之为不合规；

● 网页告警：针对不合规的终端，阻断其TCP流量（可配置白名单放行关键业务，比如放行到域控的IP），通过http流量重定向网页给用户告知不合规内容。

该方案为无客户端准入，在AD域环境下更好推进，效果也更明显。用户侧全程无感知，且不需要安装客户端，运维压力骤减。

（本文来源于宁盾，仅供学习和参考，未经授权禁止转载和复制。如欲了解更多内容，可前往宁盾官网博客解锁更多干货）