几种常见网络认证方式的对比和分析

认证方式：免认证

认证类型：终端准入检测

传输加密：— —

账号安全性：免密认证，高安全性

部署难度：低

功能亮点：阻止员工BYOD、访客进入企业内网，只允许企业派发AD域终端进入企业

终端安全性：与其他终端准入条件联合，实现身份与终端的双重信任。

二、常规网络身份认证的应用场景

1、自助式访客认证

短信、微信认证：适用于对外开放式网络服务场景，访客自助连接企业网络并进行认证；

前：短信认证 后：微信认证

2、授权式访客认证

协助扫码认证：适用于限制访客接入企业网络的场景，访客只有在企业授权后才允许访问企业网络资源。

邮件审批认证：适用于长时间使用企业网络的外包人员。用户在认证前先需要向企业提交网络使用申请，企业审核后并将网络账号及密码发送至用户手机供用户上网认证。避免重复性认证及授权次数。

前：协助扫码 后：邮件审批

3、员工认证

802.1X认证：因8021.X 在win7及以下操作系统的配置较为复杂，所以该认证方式适用于办公设备以win10 操作系统为主的网络环境，同时802.1X 在Android、iOS的兼容性较好，也可适用于BYOD 认证场景。

用户名密码Portal认证：员工通过Portal认证的方式接入企业网络，为避免弱账号密码、账号密码共享的现象，可在账号密码的基础上增加动态密码进行加固。

前：802.1x认证 后：Portal用户名密码认证

4、终端AD域检测

如果说Portal认证的不同认证方式可以帮助企业区分员工与访客身份，那么终端AD域检测则可用于区分员工BYOD及企业派发设备。

通过宁盾终端准入引擎（ND ACE）检测终端是否加入AD域，并通过Virtual Firewall 、Vlan、自定义Tag技术将非合规终端隔离至外网，实现终端及身份的自动合规准入。

AD域检测条件

准入控制手段

5、终端及身份的安全性扩展

Forrest认为：“零”信任模型应建立在假设任何访问组织数据的人或设备对企业构成威胁的基础上的，即我们不应该信任网络中任何未经合规性检测的身份及终端。一般情况下，企业可以通过网络身份认证实现身份的校验。宁盾新一代终端准入引擎（ND ACE）主要用于实现终端的安全性、合规性准入，通过与网络身份认证集成，实现企业对访问业务的终端及身份的双重信任。

比如，将没有安装杀毒软件的终端隔离至外网；

比如，将没有更新WannaCry补丁的终端隔离至外网；

被攻击的终端往往是由于终端安全环境较弱所导致的，企业除了保证入网身份的合规性，同时还应该加强终端安全合规性管理，更多终端安全功能请访问www.nington.com返回搜狐，查看更多