
PART 1
一栋大楼里的"粗放式"网络
清晨八点半,十七楼的电话来了。几位海外合作方急着接入内网调资料,折腾了半小时,还是连不上。
"要么干脆连不上,要么连上了也不知道能访问什么。项目资料就摆在那儿,急用。"
信息中心不是第一次接到这类电话。
这家企业是某大型央企旗下上市公司,业务遍布全球数十个国家。
但回到自己的办公大楼,网络管理却粗放得惊人:十多个楼层同一套权限,访客接入折腾半小时,外来设备插上网线就能进内网——看起来是"内网",实际上谁都能进来。
PART 2
四个卡点,每一个都指向"门没锁好"
终端合规的"裸奔"状态
内网中大量终端安全状态无人管控——没装杀毒、没打补丁、策略不达标的设备,照样接入网络、访问业务系统。一台"带病"终端被攻破,整个内网都有横向渗透的风险。
一把钥匙开所有门
总部大楼十多个楼层,业务属性各不相同。但现有网络"平铺式"架构——任何楼层接入,权限几乎一致。研发参数、投标文件、财务数据全在同一张网里。
访客管理的灰色地带
几乎每天都有合作方、供应商、外籍专家来访。过去只有一个办法:要么不给网,要么给"全通"。不给影响协作,给了怕泄露。手动配置、手动撤销,管理员疲于奔命。
设备的"身份模糊"
只要插上网线或连上Wi-Fi就能自动获取IP接入内网。任何人带着笔记本在任意楼层接入,系统无法判断设备是否合规。这种"信任一切"的模式无异于城门大开。
PART 3
一场"层层设防、精细入微"的准入变革
这几个问题加在一起,不是缺工具,是缺"门"——设备随便进、权限不分层、访客管不住。最终落地的,是一套覆盖全场景的网络准入方案,从"谁能连"到"连了能看什么",层层管控。
01终端合规基线——违规不入网,入网必合规
以前终端有没有装杀毒、打没打补丁,全靠人工抽查。漏掉一台,整个内网就多一个隐患。新方案把检查放到了入口——设备接入时自动扫描杀毒软件、补丁、安全策略是否达标。不合格的挡在门外,引导到隔离修复区修好再进。无需人工逐个检查,从源头堵住"带病终端"。
02三层认证体系——覆盖所有接入场景
针对多楼层、多终端、多角色的环境,设计了三种认证方式:
有线电脑 客户端认证。每个楼层办公电脑统一部署轻量化客户端。设备接入时系统验证设备身份(MAC、IP)和用户身份(AD账号),双重验证通过才能访问内网资源。
无线设备 802.1x认证。移动办公场景下,无线终端通过客户端连接802.1x信号进行认证,实现用户身份与设备身份的双重验证。
访客设备 Portal自助认证。专门为访客设置独立的Portal信号。来访人员通过手机号验证或扫码方式自助入网,系统自动分配临时权限,限制其只能访问互联网或特定业务系统,与内网资源严格隔离。
三种方式按场景组合:办公终端强认证、移动终端便捷认证、访客终端隔离认证,每个接入场景都有对应的管控策略。
03楼层级精细化管理——不同楼层、不同权限
楼层管控是方案里最考验落地能力的一环——不同楼层接入要看到不同的资源,网络架构和认证逻辑需要同时发力。
网络层面:每个楼层部署独立交换机和无线控制器(AC),先按楼层物理分区。
认证层面:通过MAC地址绑定和端口定位,设备认证时自动识别它接入了哪个楼层、哪个交换机端口。
权限层面:同一个员工,在研发中心只能访问研发资源,到了财务楼层只能访问财务系统。"人随楼动、权限随行"——不同楼层,不同网络权限。
04MAC地址白名单——精确到二层的准入控制
有线和无线接入均支持MAC地址白名单,实现二层准入控制。只有管理员授权的设备才能入网。
未授权设备(笔记本、手机、路由器等)一旦连接,系统立即阻断并告警。即使物理接入交换机端口,也无法获得网络访问权。
PART 4
从一期落地到全生命周期规划
一期上线后,核心目标已经落地。但团队还在规划下一步:
双机热备——为生产环境提供高可用保障
计划部署双机热备,主备服务器自动切换,保证管理平台7×24小时不间断运行。对于跨时区的国际化业务,系统不掉线是刚性要求。
桌管功能拓展——从"准入"到"全生命周期管理"
在准入基础上进一步拓展桌面管理能力:统一推送补丁、审计网络连接行为(满足等保2.0日志留存要求)、管理软件资产。从"只管进门"走向"全程管理"。
联软科技 UniNAC + UniAccess:网络准入与终端管理核心能力拆解
覆盖终端合规、三层认证、楼层权限、MAC白名单的一体化方案
终端安全基线检查,违规不入网
接入时自动检测杀毒软件、补丁、安全策略是否达标
不合规终端自动阻断或引导至隔离修复区
修复后自动放行,全程无需人工干预
三种认证方式覆盖所有接入场景
有线客户端认证:设备+用户双重验证
无线802.1x认证:移动场景双重验证
访客Portal认证:临时权限,内外网隔离
楼层级精细化管理
独立接入交换机+AC,物理/逻辑网络分区
MAC绑定+端口定位,自动识别接入楼层
同一用户不同楼层不同权限
MAC白名单二层准入
只有授权设备可接入,未授权自动阻断
精确到二层,个人设备即插即拦
物理接入交换机端口也无法获得访问权
桌面管理拓展,从准入走向全生命周期
补丁统一推送、网络连接策略审计、软件资产管理
满足等保2.0日志留存≥6个月合规要求
本文案例技术方案基于联软UniNAC + UniAccess实施
适用场景
终端合规基线缺失、需自动检查杀毒/补丁的单位
访客接待频繁、需自助入网+内外网隔离的团队
对设备接入"零信任"、需MAC白名单的企业
需满足等保2.0合规、走向全生命周期管理的组织
多区域办公,需员工分区分域授权的企业
一把钥匙开所有门的时代,结束了。
一栋十多层的大楼,每个楼层装的不只是工位,更是不同密级的业务数据。现在每一层有每一层的锁、每一台设备有每一台设备的身份。网络准入不是装个系统就结束——管好、管住、管精细,才是真正落到了实处。
当每一台终端的接入都经过认证、每一个楼层的权限都严格隔离、每一位访客的网络访问都自动管控——"层层设防"才真正落到了"精细入微"。
如果大楼里的网络还是"一把钥匙开所有门"——多楼层、多终端、多角色的准入与权限隔离,不妨了解这套层层设防的一体化方案。