現(xiàn)在很多企業(yè)局域網(wǎng)都是全無線覆蓋,給員工和客戶的網(wǎng)絡接入提供了很大的便利。無論在公司或者廠區(qū)的任何位置,都可以很方便的接入到公司局域網(wǎng)和互聯(lián)網(wǎng)。但是這樣也帶來了不可避免的安全性問題:一旦有未經授權的網(wǎng)絡接入,不但會占用寶貴的帶寬資源;而且會帶來病毒、黑客攻擊等局域網(wǎng)安全問題。
所以,局域網(wǎng)在做無線覆蓋的同時,一定要考慮到安全問題。一般來說,可以從兩方面入手:
合理的劃分VLAN。無線接入應當處于單獨的VLAN,并且控制該VLAN對企業(yè)內部資源的訪問。即使有惡意的攻擊,也可以被控制在無線VLAN內部。
對無線上網(wǎng)的設備進行用戶認證。
對無線上網(wǎng)的設備進行ip-mac綁定。
記錄無線上網(wǎng)的上網(wǎng)記錄,包括ip地址、mac地址、網(wǎng)站訪問等信息。供需要時查詢。
本文中,我將重點介紹WFilter NGF中的用戶Web認證部分。對于無線設備來說,最適合的就是"Web認證"(Portal認證)。Web認證的方便之處在于,無需額外的配置,直接通過瀏覽器輸入用戶名密碼就可以完成認證。IOS系統(tǒng)和windows系統(tǒng)甚至可以自動彈出認證頁面。具體介紹如下:
1. “Web認證”之“用戶名認證”
如圖,輸入用戶名密碼進行認證。該認證頁面可以自定義。
支持本地認證、郵箱認證、LDAP認證、Radius認證多種認證方式??梢詫崿F(xiàn):
如果企業(yè)已經有域控,可以直接基于域控的用戶名密碼進行認證。
如果有企業(yè)郵箱,那么用企業(yè)郵箱的用戶名密碼進行認證,也是可以很方便的管理手段。
也可以在WFilter中創(chuàng)建本地用戶進行認證。
搭建第三方的Radius認證服務器,也是一個重要的認證手段。
認證完成后,即可在實時流量圖中看到認證成功的用戶名,可以基于用戶配置上網(wǎng)策略,記錄上網(wǎng)行為,查看上網(wǎng)統(tǒng)計報表。如下圖:
2. “Web認證”之“營銷認證”
為了滿足企業(yè)的市場需要,WFilter的“Web認證”還集成了營銷認證的方案,默認就可以支持“微信Wifi”(關注公眾號上網(wǎng))和“Facebook WiFi”的營銷方案。還可以支持自定義營銷認證方案。以國內用的比較多的“微信WiFi”為例,需要在微信公眾號中做相關配置,然后到WFilter中啟用即可。
微信wifi的具體使用,請參考我們的另外一篇博客:微信關注即可連接WIFI,介紹WFilter的“微信Wifi”和“營銷認證”功能
總而言之,無線接入的安全不可忽視,用戶認證只是安全保障的一個方面,還需要和其他管理手段結合使用,才可以取得最好的效果。