传统802.1X准入方案

传统的802.1X认证方案，在网络内部部署一台Radius服务器，将认证指向Radius服务器。终端在接入网络时，会先验证用户的身份信息，其次会对通过身份认证接入的终端进行管理，进行动态VLAN、ACL下发，对用户终端网络访问权限进行管控。

传统802.1X实施运维

由于802.1X认证需要使用到客户端程序，所以需要为每台终端安装客户端软件，在加域的状态下，可以通过域控进行Windows 802.1X客户端的批量配置，但实际环境中，终端未加入域的情况很多，需要技术人员对每台终端进行802.1X客户端的配置安装和启用，消耗大量的人力成本。

宁盾敏捷终端准入方案

宁盾敏捷终端准入（NDACE）是通过镜像流量的旁路部署模式，不影响网络拓扑架构。敏捷终端准入将需要进行管理的终端IP网段添加到NDACE管理范围之内，当终端的IP数据包镜像到数据分析口时，敏捷终端准入上会解析出相应的会话信息，并对该IP会话终端进行合规性检查，包括但不限于：

• 终端是否加域；
• 终端是否安装杀毒软件及补丁包；
• 终端是否运行某些程序等；

基于这些条件进行策略执行，针对需要进行网络访问权限控制的终端，宁盾敏捷终端准入可建立基于TCP的虚拟防火墙，对终端的TCP会话进行阻断。

宁盾敏捷终端准入实施运维

采用镜像流量方式旁路部署，通过Web Portal的方式进行身份验证，终端兼容性、用户体验性非常好，而且身份验证的方式不仅仅基于用户名密码，可通过用户名密码+动态口令进行安全加固，也可通过应用APP进行扫码验证。在终端加入域的环境下，还能够基于无客户端模式对终端进行安全性检查，在终端无感知的情况下能够有效的保证接入终端的安全性。

优劣势对比

1.802.1X认证部署需要安装客户端软件，实现客户端的相关配置，进行终端的认证及准入；宁盾敏捷终端准入部署简单轻便，采用轻量级技术，无需安装客户端，无需对终端做任何改动。

2.在802.1X认证部署场景下，若Radius Server出现宕机时，对生产业务有一定影响；宁盾敏捷终端准入采用旁路镜像部署方式，不影响原有网络架构，网络可达，同时Bypass功能能够保障在出现异常的情况下，不影响正常业务。

3.802.1X准入管理范围强，能够管理到内网入口，能够验证用户身份信息，需要验证用户身份信息通过后进行接入；宁盾敏捷终端准入对TCP应用有很好的管理控制效果，可动态调整策略，实现基于域名的访问控制。

4.宁盾敏捷终端准入可以与宁盾AM认证系统进行联动，实现有线/无线网络准入，其次能够基于Web Portal定制多种策略对终端/用户进行授权控制。