所以,局域网在做无线覆盖的同时,一定要考虑到安全问题。一般来说,可以从两方面入手:

  1. 合理的划分VLAN。无线接入应当处于单独的VLAN,并且控制该VLAN对企业内部资源的访问。即使有恶意的攻击,也可以被控制在无线VLAN内部。

  2. 对无线上网的设备进行用户认证。

  3. 对无线上网的设备进行ip-mac绑定。

  4. 记录无线上网的上网记录,包括ip地址、mac地址、网站访问等信息。供需要时查询。

wifi_auth_solution01.png

本文中,我将重点介绍 NGF中的用户Web认证部分。对于无线设备来说,最适合的就是"Web认证"(Portal认证)。Web认证的方便之处在于,无需额外的配置,直接通过浏览器输入用户名密码就可以完成认证。IOS系统和windows系统甚至可以自动弹出认证页面。具体介绍如下:

1. “Web认证”之“用户名认证”

如图,输入用户名密码进行认证。该认证页面可以自定义。

201708141502692755507875.png

支持本地认证、邮箱认证、LDAP认证、Radius认证多种认证方式。可以实现:

  • 如果企业已经有域控,可以直接基于域控的用户名密码进行认证。

  • 如果有企业邮箱,那么用企业邮箱的用户名密码进行认证,也是可以很方便的管理手段。

  • 也可以在创建本地用户进行认证。

  • 搭建第三方的Radius认证服务器,也是一个重要的认证手段。

201708141502692958570003.png

认证完成后,即可在实时流量图中看到认证成功的用户名,可以基于用户配置上网策略,记录上网行为,查看上网统计报表。如下图:

800px-Faq_account002.png

800px-Faq_account003.png

2. “Web认证”之“营销认证”

为了满足企业的市场需要,时讯无线的“Web认证”还集成了营销认证的方案,默认就可以支持“微信Wifi”(关注公众号上网)和“Facebook WiFi”的营销方案。还可以支持自定义营销认证方案。以国内用的比较多的“微信WiFi”为例,需要在微信公众号中做相关配置,然后到无线平台中启用即可。

201708141502693565278495.png

总而言之,无线接入的安全不可忽视,用户认证只是安全保障的一个方面,还需要和其他管理手段结合使用,才可以取得最好的效果。