現(xiàn)在很多企業(yè)局域網(wǎng)都是全無線覆蓋，給員工和客戶的網(wǎng)絡接入提供了很大的便利。無論在公司或者廠區(qū)的任何位置，都可以很方便的接入到公司局域網(wǎng)和互聯(lián)網(wǎng)。但是這樣也帶來了不可避免的安全性問題：一旦有未經授權的網(wǎng)絡接入，不但會占用寶貴的帶寬資源；而且會帶來病毒、黑客攻擊等局域網(wǎng)安全問題。

所以，局域網(wǎng)在做無線覆蓋的同時，一定要考慮到安全問題。一般來說，可以從兩方面入手：

1. 合理的劃分VLAN。無線接入應當處于單獨的VLAN，并且控制該VLAN對企業(yè)內部資源的訪問。即使有惡意的攻擊，也可以被控制在無線VLAN內部。

2. 對無線上網(wǎng)的設備進行用戶認證。

3. 對無線上網(wǎng)的設備進行ip-mac綁定。

4. 記錄無線上網(wǎng)的上網(wǎng)記錄，包括ip地址、mac地址、網(wǎng)站訪問等信息。供需要時查詢。

本文中，我將重點介紹WFilter NGF中的用戶Web認證部分。對于無線設備來說，最適合的就是"Web認證"（Portal認證）。Web認證的方便之處在于，無需額外的配置，直接通過瀏覽器輸入用戶名密碼就可以完成認證。IOS系統(tǒng)和windows系統(tǒng)甚至可以自動彈出認證頁面。具體介紹如下：

1. “Web認證”之“用戶名認證”

如圖，輸入用戶名密碼進行認證。該認證頁面可以自定義。

支持本地認證、郵箱認證、LDAP認證、Radius認證多種認證方式?？梢詫崿F(xiàn)：

• 如果企業(yè)已經有域控，可以直接基于域控的用戶名密碼進行認證。

• 如果有企業(yè)郵箱，那么用企業(yè)郵箱的用戶名密碼進行認證，也是可以很方便的管理手段。

• 也可以在WFilter中創(chuàng)建本地用戶進行認證。

• 搭建第三方的Radius認證服務器，也是一個重要的認證手段。

認證完成后，即可在實時流量圖中看到認證成功的用戶名，可以基于用戶配置上網(wǎng)策略，記錄上網(wǎng)行為，查看上網(wǎng)統(tǒng)計報表。如下圖：

2. “Web認證”之“營銷認證”

為了滿足企業(yè)的市場需要，WFilter的“Web認證”還集成了營銷認證的方案，默認就可以支持“微信Wifi”（關注公眾號上網(wǎng)）和“Facebook WiFi”的營銷方案。還可以支持自定義營銷認證方案。以國內用的比較多的“微信WiFi”為例，需要在微信公眾號中做相關配置，然后到WFilter中啟用即可。

微信wifi的具體使用，請參考我們的另外一篇博客：微信關注即可連接WIFI，介紹WFilter的“微信Wifi”和“營銷認證”功能

總而言之，無線接入的安全不可忽視，用戶認證只是安全保障的一個方面，還需要和其他管理手段結合使用，才可以取得最好的效果。