零信任網絡訪問控制（Zero Trust Network Access，ZTNA，文中零信任皆指 ZTNA）基于“永不信任，持續驗證”的理念，打破了企業基于傳統網絡邊界進行防護的固有模式。在當前日趨復雜的網絡環境下，內部威脅與外部攻擊加劇，零信任能夠為企業構建一個動態的安全訪問體系。通過持續身份驗證、權限動態調整等機制，確保合法用戶在安全的環境下訪問企業資源，有效防止未授權訪問與數據泄露，提升企業整體信息安全水平。

零信任產品在靈活性上存在局限

零信任為企業帶來了便利的同時，也引發其他安全管控問題。各業務部門或集團子公司業務需求不一樣，安全保護的訴求也不一樣，零信任產品在許多場景里無法面面俱到。例如：

1. 某互聯網公司在不同樓層有不同交換機，想將不合規終端在不同樓層分配到不同 VLAN 網段。

如果只用零信任產品則無法實現這一訴求。原因在于，零信任產品的 RADIUS 認證服務能力略顯單薄，無法基于 RADIUS 屬性來定制組合策略，在應對多樣化場景時，模板化的認證策略配置存在局限性。

2. 當公司里有大量 IoT 設備時，通常采用 MAC 地址白名單方式進行網絡認證。攻擊者通過偽造 MAC 地址繞過認證即可接入網絡，非法獲取網絡資源、竊取數據、傳播惡意軟件或發起釣魚攻擊等。

IoT 設備無法安裝零信任客戶端，零信任產品只能通過 MAC 地址白名單實現低安全性的管控，無法防范 MAC 地址偽造帶來的安全問題。

3. 當網絡架構較為復雜且 IT 運維團隊人員不足、技術能力薄弱時，若采用 802.1X 進行準入控制，會給 IT 產生較大壓力。

零信任產品依賴 802.1X 進行內網認證和管控，且需要對企業現有網絡架構進行改造，涉及到復雜的交換機配置、網段劃分等操作，對 IT 運維團隊的技術實力有一定要求。

零信任×寧盾泛終端網絡準入，精細化管控網絡訪問

寧盾泛終端網絡準入以“輕量級、泛終端、內外網一體化管控”為核心競爭力，支持「無客戶端」或「輕量化客戶端」的部署方式，深受互聯網、高科技、先進制造企業的青睞。在多個大型客戶中，零信任產品結合寧盾泛終端網絡準入方案成功落地上線，讓網絡訪問策略精準貼合具體業務需求、不同職場安全訴求。

零信任產品與寧盾泛終端網絡準入聯合，增強了零信任在復雜安全訴求、IoT設備及管控手段上的應對能力。部分優勢如下所示：

1. 增強零信任RADIUS認證場景與能力

寧盾在 RADIUS 認證場景上的能力與創新得益于 16 年的技術沉淀與豐富的設備兼容適配經驗。首先，寧盾支持根據 RADIUS 會話屬性來自定義策略，如OU、Group、賬號、角色、設備屬性等，除了能夠靈活自定義策略，還可多種條件組合、復用、反選以及按照優先級排序等，更契合不同業務/安全訴求。其次，市面上主流設備，寧盾幾乎都有對接經驗與方案，為 RADIUS 認證策略設計提供了大量樣本。因此，寧盾泛終端網絡準入與零信任結合，能夠讓零信任在 RADIUS 認證策略上更加豐富靈活、游刃有余，應對企業復雜多樣的認證場景需求。

2. 提升IoT設備管控，多重策略賦能安全

寧盾可通過流量指紋識別 IoT 設備類型，便于客戶進行資產管理。同時，對 IoT 設備進行 MAC 地址認證，并結合動態驗證、加密通信和策略聯動等能力，解決了零信任對 IoT 設備低安全性管控的問題，有力保障 IoT 設備接入企業網絡的安全性。

3. 更柔性的管控手段，不改動網絡架構

寧盾泛終端網絡準入能夠提供多樣化的管控手段，如虛擬防火墻、ACL管控等，在零信任 802.1X 準入管控手段之外，提供更加柔性的選擇。另外，結合寧盾泛終端網絡準入，客戶不必改動現有網絡架構，即可實現合規管控，進一步提升網絡訪問的安全性與靈活性。

4. 可借用零信任客戶端，避免方案過重

寧盾泛終端網絡準入無需安裝客戶端，員工計算機上只需安裝零信任的客戶端，既避免多個客戶端之間沖突，又避免因安裝多個客戶端導致方案過重，優化了方案部署和運維體驗。

成功案例

某互聯網大廠：寧盾泛終端網絡準入結合某零信任產品

終端規模：10000點以上

項目背景及需求：

某互聯網大廠在全國設有多個分支，終端規模在 10000 點以上。受移動辦公、云計算、物聯網等新興技術影響，大量 PC、BYOD、IoT 等終端涌入企業有線和無線網絡，內網安全防線亟待規范管理。因此，該廠欲借助零信任產品及網絡準入方案對訪問內網的終端進行安全管控，以提高網絡訪問的安全性與可控性。

解決方案：

（1）用戶首次接入有線網絡時，需按照引導頁面安裝零信任客戶端后進行802.1X認證，獲得網絡訪問權限；

（2）若用戶退出或注銷客戶端，或基線檢測不合規，終端將自動下線，引導用戶至客戶端下載或修復頁面；

（3）用戶接入無線網絡時進行802.1X認證，寧盾泛終端網絡準入引擎與零信任產品聯動，獲取零信任客戶端登錄狀態，未登錄用戶訪問網頁時，寧盾準入將其重定向至客戶端安裝頁面；

（4）登錄零信任客戶端后，寧盾放行網絡訪問。若終端基線不合規，寧盾攔截并引導用戶至修復頁面；

（5）啞終端通過MAC地址認證接入網絡，并基于OU、安全組、本地自定義角色，動態下發VLAN，滿足不同職場的網絡隔離需求。

寧盾泛終端網絡準入既可以作為獨立安全產品存在，也可以嵌入零信任網絡接入系統框架內，雙方相互結合，優勢互補，滿足企業不同業務需求、不同分支公司具體安全訴求。使網絡訪問管控自動隨需求而變，精準貼合具體業務場景，助力企業打造更為堅固的信息安全防線。