需求分析
公司內外存在各種各樣的終端設備（員工終端、訪客終端、啞終端、IOT終端等），這些終端設備沒有經過可信認證就隨意接入內網或無線網絡；并且這些終端本身可能存在一些安全隱患，給內網安全帶來了極大的隱患，如攜帶病毒接入導致病毒蔓延等威脅。
同時，這些終端接入網絡后訪問權限缺乏管控，員工和訪客對訪問權限沒有區別管控，訪問了哪些業務系統不可見，給業務系統帶來了極大的威脅，出現事故也無法追溯！
因此，需要一種既能做到可信接入內網，又能對終端進行有效管理，能確保不可信、不合規的終端不能接入網絡；同時，能夠管控用戶訪問業務的權限，并記錄用戶訪問業務的行為，以便事后追溯。
一方面確保內網環境安全、用戶身份得到驗證、業務訪問最小化、業務訪問行為記錄事后可追溯；另一方面滿足國家標準GB/T 22239-2008信息安全技術 《信息系統安全等級保護基本要求》。

產品簡介
廣州銘冠信息深信服AC-網絡準入控制系統，不僅僅是入網控制和終端安全檢查，更側重于業務訪問安全管控。強調以人為中心業務訪問控制，入網只是關鍵的一步，保障業務安全才是最終的目的。
深信服AC-網絡準入控制系統，通過對接HR、AD域等系統同步用戶源，校驗接入用戶身份的合法性，檢查接入終端的安全性；基于用戶組、用戶屬性、用戶角色、位置、時間等多維度業務訪問，確保業務訪問權限最小化；同時，記錄業務訪問的所有行為、以及訪問行為分析和追溯。

功能特點
終端安全檢查
1、支持補丁檢查、殺毒軟件安裝檢查、操作系統檢查、文件要求檢查、注冊表項檢查、軟件配置檢查等；并且可設定檢查不通過的終端不能接入網絡，同時提醒終端客戶即時進行修復；
2、可根據需求編寫腳本，并通過控制臺下發執行，擴展實現各種個性化需求。

接入認證（準入）
1、二層接入認證，支持802.1x認證、MAB認證；
2、三層接入認證，支持本地密碼認證、第三方認證、短信認證、微信認證、二維碼認證等多種認證方式；
3、可覆蓋正式員工認證、啞終端認證、訪客認證。

用戶管理
1、支持對接多種用戶源，包含內置賬戶、AD域用戶、郵件服務器用戶驗證、LDAP服務器用戶驗證、RADIUS服務器、數據庫服務器、POP3服務器、H3C CAMS服務器、第三方認證系統（CAS）；
2、可做為統一身份管理中心，提供API接口將用戶信息對接給第三方設備，提供LADP接口將用戶信息對接給第三方設備，達到全網身份統一管理的目的。

業務訪問行為控制
1、支持基于用戶組訪問業務；
2、支持基于用戶屬性訪問業務；
3、支持基于位置訪問業務。

業務訪問行為審計
1、支持業務訪問行為審計，審計信息包含域名、URL、頁面標題、頁面內容等信息；
2、支持多種運維協議審計，如ftp、ssh、telnet協議訪問行為審計。

 日志中心
1、發生安全事件的時候，安全管理員可以登錄到日志中心去搜索查找事件發生時，審計下來的用戶行為，從而定位追溯到責任人；
2、提供豐富的報表內容，從用戶、業務、位置等角度多維度進行審計數據的分析和呈現。

做為身份管理中心
1、可對接多種系統，如HR、AD域等同步用戶源；
2、支持提供API接口，將用戶信息對接給第三方設備；
3、支持提供LADP接口，將用戶信息對接給第三方設備。

產品優勢
認證方式多樣化，支持802.1x認證、MAB認證、支持本地密碼認證、第三方認證、短信認證、微信認證、二維碼認證等多種認證方式
 除了入網控制和終端安全檢查，深信服AC-網絡準入控制系統更側重于業務訪問安全，強調以人為中心業務訪問控制，入網只是關鍵的一步，保障業務安全才是最終的目的。（1）通過業務訪問控制，支持基于用戶組、用戶屬性、用戶角色、位置、時間等多維度業務訪問，確保業務訪問權限最小化；（2）通過業務訪問審計，支持記錄業務訪問的所有行為、以及訪問行為分析和追溯。
深信服AC-網絡準入控制系統，可對接多種用戶源，統一管理用戶，并以服務的方式對外提供API接口，可對接多種網絡設備，形成全網身份統一管理。

部署模式（拓撲圖）
1）旁路部署
2）串接部署
3）多分支統一認證部署（多個控制點）
用戶價值
終端接入安全
通過對接入內網的終端進行合規性檢查，如是否打了補丁，是否安全殺毒軟件等，檢查通過后方可接入網絡，有效的保障了內網環境的安全，避免終端給內網帶來威脅。
用戶身份安全
通過對接入內網的用戶進行身份認證，確保接入內網的終端和人都是可信的，并且對其之后的行為進行記錄，方便后續分析和追溯。
業務訪問安全
以人為中心的業務訪問，基于用戶組、用戶角色、位置、時間等多維度對訪問業務進行控制；同時記錄所有業務訪問行為，提供日志分析、追溯功能。
PS：合規的終端、合法的用戶身份、且才能訪問業務，更好的保障內網安全、業務安全性。