現在很多企業局域網都是全無線覆蓋,給員工和客戶的網絡接入提供了很大的便利。無論在公司或者廠區的任何位置,都可以很方便的接入到公司局域網和互聯網。但是這樣也帶來了不可避免的安全性問題:一旦有未經授權的網絡接入,不但會占用寶貴的帶寬資源;而且會帶來病毒、黑客攻擊等局域網安全問題。
所以,局域網在做無線覆蓋的同時,一定要考慮到安全問題。一般來說,可以從兩方面入手:
合理的劃分VLAN。無線接入應當處于單獨的VLAN,并且控制該VLAN對企業內部資源的訪問。即使有惡意的攻擊,也可以被控制在無線VLAN內部。
對無線上網的設備進行用戶認證。
對無線上網的設備進行ip-mac綁定。
記錄無線上網的上網記錄,包括ip地址、mac地址、網站訪問等信息。供需要時查詢。
本文中,我將重點介紹WFilter NGF中的用戶Web認證部分。對于無線設備來說,最適合的就是"Web認證"(Portal認證)。Web認證的方便之處在于,無需額外的配置,直接通過瀏覽器輸入用戶名密碼就可以完成認證。IOS系統和windows系統甚至可以自動彈出認證頁面。具體介紹如下:
1. “Web認證”之“用戶名認證”
如圖,輸入用戶名密碼進行認證。該認證頁面可以自定義。
支持本地認證、郵箱認證、LDAP認證、Radius認證多種認證方式。可以實現:
如果企業已經有域控,可以直接基于域控的用戶名密碼進行認證。
如果有企業郵箱,那么用企業郵箱的用戶名密碼進行認證,也是可以很方便的管理手段。
也可以在WFilter中創建本地用戶進行認證。
搭建第三方的Radius認證服務器,也是一個重要的認證手段。
認證完成后,即可在實時流量圖中看到認證成功的用戶名,可以基于用戶配置上網策略,記錄上網行為,查看上網統計報表。如下圖:
2. “Web認證”之“營銷認證”
為了滿足企業的市場需要,WFilter的“Web認證”還集成了營銷認證的方案,默認就可以支持“微信Wifi”(關注公眾號上網)和“Facebook WiFi”的營銷方案。還可以支持自定義營銷認證方案。以國內用的比較多的“微信WiFi”為例,需要在微信公眾號中做相關配置,然后到WFilter中啟用即可。
微信wifi的具體使用,請參考我們的另外一篇博客:微信關注即可連接WIFI,介紹WFilter的“微信Wifi”和“營銷認證”功能
總而言之,無線接入的安全不可忽視,用戶認證只是安全保障的一個方面,還需要和其他管理手段結合使用,才可以取得最好的效果。
