近日，宁盾推出的新一代网络准入控制管理系统ND ACE，采用了无代理方式来解决PC终端准入合规问题。在不改变网络架构的基础上，宁盾ND ACE以最小代价旁路镜像于核心交换机。基于主动检测技术、自动化隔离技术、第三方联动技术，为企业提供可视化网络资产、运维自动化、用户轻体验的安全准入解决方案。

PC终端检测——无客户端主动探测

ND ACE是由宁盾自主研发的无客户端准入控制引擎，以“主动防御”理念为基础，可视化网络环境中的用户、终端、应用及设备。运用自动检测（软件安装进程，补丁版本...）和安全隔离技术，在不改变使用者习惯的前提下，只允许授权的使用者使用安全的设备连接企业的网络环境，确保终端合规入网，实现零信任网络的身份及终端安全准入。

无代理准入、客户端准入区别

安装部署上：

无代理终端准入：轻量级应用，只需终端设备（Windows）加入域，无需安装客户端，即可对终端进行安全检查，实现快速部署。

客户端准入：全部终端均需安装客户端，安装部署耗时、后期维护困难、兼容性匹配弱，部署及运维管理成本大。

检测项上：

二者的检测项基本一样，都包括：

1、杀毒软件：如状态（是否开启）、名称、是否是最新版本；

2、补丁：需要更新的补丁版本号；

3、正在运行的进程；

4、安装了哪些软件（如QQ、微信、360…）；

5、网络私接（例如：员工在计算机上插入猎豹免费WiFi，计算机释放虚拟网卡，进而可以被检测到）；

6、系统信息等。

客户端准入仅在检测安装软件时可检测项相对更全一些。

ND ACE无代理终端准入流程

ND ACE采取多种的检测技术，会主动探测终端与AD的通信协议，监听网络流量，当终端接入网络时可即刻发现，并依据制定的安全政策，以决定此设备的权限是授权用户（员工），还是非授权用户（访客/聘雇人员）。同时，立即扫描此设备是否安装杀毒软件、系统补丁版本是否最新等等，以阻断其引进的威胁事件发生。

依照安全政策，任何设备进入时，ND ACE设备可以马上引导访客设备至适当地网段；而员工设备则可连直接连接到合法环境内。ND ACE会一直持续地监控所有设备，一旦发现员工设备有不安全状况发生（中毒、攻击事件），则即刻将其隔离，以此确保终端合规。

宁盾无代理终端准入优势

ND ACE支持并且大力推荐在身份认证和网络访问控制中使用无代理模式。只要ND ACE在接入端点中拥有访问管理权限，即可在无代理的状态下对终端进行深入的合规检查。

ND ACE采取旁路部署方式，基于角色和终端，对危险终端实施“安全隔离”，且全过程都处于联网状态。与国内厂商友商相比，在安全体验上更具优势：

基于移动化与物联网趋势的无客户端终端检测技术；

无需安装客户端，减轻运维人员操作力度；

不断网隔离控制，不影响用户正常办公；

良好的网络设备兼容性，兼容国内外主流网络设备；

支持与第三方软件联动，主动修复补丁漏洞；

与宁盾自有的一体化身份认证系统DKEY AM联动，可确保入口安全。