零信任网络访问控制（Zero Trust Network Access，ZTNA，文中零信任皆指 ZTNA）基于“永不信任，持续验证”的理念，打破了企业基于传统网络边界进行防护的固有模式。在当前日趋复杂的网络环境下，内部威胁与外部攻击加剧，零信任能够为企业构建一个动态的安全访问体系。通过持续身份验证、权限动态调整等机制，确保合法用户在安全的环境下访问企业资源，有效防止未授权访问与数据泄露，提升企业整体信息安全水平。

零信任产品在灵活性上存在局限

零信任为企业带来了便利的同时，也引发其他安全管控问题。各业务部门或集团子公司业务需求不一样，安全保护的诉求也不一样，零信任产品在许多场景里无法面面俱到。例如：

1. 某互联网公司在不同楼层有不同交换机，想将不合规终端在不同楼层分配到不同 VLAN 网段。

如果只用零信任产品则无法实现这一诉求。原因在于，零信任产品的 RADIUS 认证服务能力略显单薄，无法基于 RADIUS 属性来定制组合策略，在应对多样化场景时，模板化的认证策略配置存在局限性。

2. 当公司里有大量 IoT 设备时，通常采用 MAC 地址白名单方式进行网络认证。攻击者通过伪造 MAC 地址绕过认证即可接入网络，非法获取网络资源、窃取数据、传播恶意软件或发起钓鱼攻击等。

IoT 设备无法安装零信任客户端，零信任产品只能通过 MAC 地址白名单实现低安全性的管控，无法防范 MAC 地址伪造带来的安全问题。

3. 当网络架构较为复杂且 IT 运维团队人员不足、技术能力薄弱时，若采用 802.1X 进行准入控制，会给 IT 产生较大压力。

零信任产品依赖 802.1X 进行内网认证和管控，且需要对企业现有网络架构进行改造，涉及到复杂的交换机配置、网段划分等操作，对 IT 运维团队的技术实力有一定要求。

零信任×宁盾泛终端网络准入，精细化管控网络访问

宁盾泛终端网络准入以“轻量级、泛终端、内外网一体化管控”为核心竞争力，支持「无客户端」或「轻量化客户端」的部署方式，深受互联网、高科技、先进制造企业的青睐。在多个大型客户中，零信任产品结合宁盾泛终端网络准入方案成功落地上线，让网络访问策略精准贴合具体业务需求、不同职场安全诉求。

零信任产品与宁盾泛终端网络准入联合，增强了零信任在复杂安全诉求、IoT设备及管控手段上的应对能力。部分优势如下所示：

1. 增强零信任RADIUS认证场景与能力

宁盾在 RADIUS 认证场景上的能力与创新得益于 16 年的技术沉淀与丰富的设备兼容适配经验。首先，宁盾支持根据 RADIUS 会话属性来自定义策略，如OU、Group、账号、角色、设备属性等，除了能够灵活自定义策略，还可多种条件组合、复用、反选以及按照优先级排序等，更契合不同业务/安全诉求。其次，市面上主流设备，宁盾几乎都有对接经验与方案，为 RADIUS 认证策略设计提供了大量样本。因此，宁盾泛终端网络准入与零信任结合，能够让零信任在 RADIUS 认证策略上更加丰富灵活、游刃有余，应对企业复杂多样的认证场景需求。