需求分析
公司内外存在各种各样的终端设备（员工终端、访客终端、哑终端、IOT终端等），这些终端设备没有经过可信认证就随意接入内网或无线网络；并且这些终端本身可能存在一些安全隐患，给内网安全带来了极大的隐患，如携带病毒接入导致病毒蔓延等威胁。
同时，这些终端接入网络后访问权限缺乏管控，员工和访客对访问权限没有区别管控，访问了哪些业务系统不可见，给业务系统带来了极大的威胁，出现事故也无法追溯！
因此，需要一种既能做到可信接入内网，又能对终端进行有效管理，能确保不可信、不合规的终端不能接入网络；同时，能够管控用户访问业务的权限，并记录用户访问业务的行为，以便事后追溯。
一方面确保内网环境安全、用户身份得到验证、业务访问最小化、业务访问行为记录事后可追溯；另一方面满足国家标准GB/T 22239-2008信息安全技术 《信息系统安全等级保护基本要求》。

产品简介
广州铭冠信息深信服AC-网络准入控制系统，不仅仅是入网控制和终端安全检查，更侧重于业务访问安全管控。强调以人为中心业务访问控制，入网只是关键的一步，保障业务安全才是最终的目的。
深信服AC-网络准入控制系统，通过对接HR、AD域等系统同步用户源，校验接入用户身份的合法性，检查接入终端的安全性；基于用户组、用户属性、用户角色、位置、时间等多维度业务访问，确保业务访问权限最小化；同时，记录业务访问的所有行为、以及访问行为分析和追溯。

功能特点
 终端安全检查
1、支持补丁检查、杀毒软件安装检查、操作系统检查、文件要求检查、注册表项检查、软件配置检查等；并且可设定检查不通过的终端不能接入网络，同时提醒终端客户即时进行修复；
2、可根据需求编写脚本，并通过控制台下发执行，扩展实现各种个性化需求。

 接入认证（准入）
1、二层接入认证，支持802.1x认证、MAB认证；
2、三层接入认证，支持本地密码认证、第三方认证、短信认证、微信认证、二维码认证等多种认证方式；
3、可覆盖正式员工认证、哑终端认证、访客认证。

 用户管理
1、支持对接多种用户源，包含内置账户、AD域用户、邮件服务器用户验证、LDAP服务器用户验证、RADIUS服务器、数据库服务器、POP3服务器、H3C CAMS服务器、第三方认证系统（CAS）；
2、可做为统一身份管理中心，提供API接口将用户信息对接给第三方设备，提供LADP接口将用户信息对接给第三方设备，达到全网身份统一管理的目的。

 业务访问行为控制
1、支持基于用户组访问业务；
2、支持基于用户属性访问业务；
3、支持基于位置访问业务。

 业务访问行为审计
1、支持业务访问行为审计，审计信息包含域名、URL、页面标题、页面内容等信息；
2、支持多种运维协议审计，如ftp、ssh、telnet协议访问行为审计。

 日志中心
1、发生安全事件的时候，安全管理员可以登录到日志中心去搜索查找事件发生时，审计下来的用户行为，从而定位追溯到责任人；
2、提供丰富的报表内容，从用户、业务、位置等角度多维度进行审计数据的分析和呈现。

 做为身份管理中心
1、可对接多种系统，如HR、AD域等同步用户源；
2、支持提供API接口，将用户信息对接给第三方设备；
3、支持提供LADP接口，将用户信息对接给第三方设备。
产品优势
 认证方式多样化，支持802.1x认证、MAB认证、支持本地密码认证、第三方认证、短信认证、微信认证、二维码认证等多种认证方式
 除了入网控制和终端安全检查，深信服AC-网络准入控制系统更侧重于业务访问安全，强调以人为中心业务访问控制，入网只是关键的一步，保障业务安全才是最终的目的。（1）通过业务访问控制，支持基于用户组、用户属性、用户角色、位置、时间等多维度业务访问，确保业务访问权限最小化；（2）通过业务访问审计，支持记录业务访问的所有行为、以及访问行为分析和追溯。
 深信服AC-网络准入控制系统，可对接多种用户源，统一管理用户，并以服务的方式对外提供API接口，可对接多种网络设备，形成全网身份统一管理。

部署模式（拓扑图）
1）旁路部署

2）串接部署

3）多分支统一认证部署（多个控制点）

用户价值
 终端接入安全
通过对接入内网的终端进行合规性检查，如是否打了补丁，是否安全杀毒软件等，检查通过后方可接入网络，有效的保障了内网环境的安全，避免终端给内网带来威胁。
 用户身份安全
通过对接入内网的用户进行身份认证，确保接入内网的终端和人都是可信的，并且对其之后的行为进行记录，方便后续分析和追溯。
 业务访问安全
以人为中心的业务访问，基于用户组、用户角色、位置、时间等多维度对访问业务进行控制；同时记录所有业务访问行为，提供日志分析、追溯功能。
PS：合规的终端、合法的用户身份、且才能访问业务，更好的保障内网安全、业务安全性。

部分典型客户