笨驴信息(IMFirewall)博客

为了网络安全的需要，很多企事业单位都在局域网内部署了上网认证系统。但是怎样来选择一套适合自己的上网认证系统呢？我建议从以下方面来考虑：

1. 可选择的多种认证手段。需要和对内部员工、来访人员提供不同的认证手段。
   

2. 认证方式的选择。如果是企业内部员工认证，建议用户名密码认证。如果是流动人员或者访客，建议使用短信认证（记录手机号）

3. 可以和认证集成的上网审计系统。做了认证但是不记录上网日志是没有意义的。必须要部署和认证系统集成的上网审计系统，能把上网记录和认证的用户名关联到一起，做到有据可查。这才是认证的意义所在。

上网认证是网络安全的基础，只有认证后的终端才允许接入。对于企事业的局域网来说，比较常见的网络认证方案包括802.1X、Web Portal认证，还有基于企业微信、钉钉等第三方的app认证。由于802.1X的认证方式需要支持802.1X的交换机设备，且配置比较复杂，对于大部分用户来说并不适用。本文中，我将介绍利用WSG上网行为管理网关的Web Portal认证、第三方认证、访客认证等功能。

WSG的访客认证主要包括三种认证方式：

1. 短信认证；通过短信平台发送短信来验证用户手机号，从而实现实名认证的需要。

2. 微信小程序认证；终端需要在微信小程序中授权获取手机号，从而记录手机号实名上网。

3. 二维码认证；终端需要把二维码提供给审核人员，审核人员人工审核后上网。

WSG的短信认证可以对网络内部终端进行实名上网认证，短信认证的配置截图如下：

企业在规划网络架构时，一般都会区分员工网络和访客网络，并且实现不同的上网认证方式，比如员工采用用户名密码认证，访客采用短信实名认证。但是有些网络由于设计缺陷，不区分内部员工和访客，为了实现上网认证，需要对同一个网段同时启用短信认证和用户名认证。本文中，我将介绍如何同时启用短信认证和用户名认证。

WSG上网行为管理的“IP-MAC绑定”功能非常强大，可以实现IP-MAC绑定、ARP绑定、分配静态IP等功能。但是配置IP-MAC绑定需要预先收集mac地址并且分配IP，还是有一定的工作量的。在本文中，我将介绍基于用户认证的IP-MAC绑定功能，其实现原理是：“用户一旦认证成功就会自动配置IP-MAC绑定”，这样不但实现了用户认证，而且固定了IP和mac地址；可以说是IP-MAC绑定的一个有效功能补充。具体的步骤如下：

根据《中华人民共和国网络安全法》（第十条、第二十一条、第二十四条）、《中华人民共和国反恐怖主义法》（第十九条、第二十一条）、《计算机信息网络国际联网安全保护管理办法》(第十条、第十一条、第十二条、第十七条)、《互联网安全保护技术措施规定》(第七条、第八条、第十一条)等相关法律规定：

1. 提供WiFi上网服务的公共场所，必须落实上网实名认证。

2. 提供上网服务的公共场所，必须至少保存六十天的上网记录备份。

短信实名认证是目前最稳定、最普遍的实名认证方案。对于绝大部分WiFi网络而言，只需要在网络出口处部署一台WSG上网行为管理设备，就可以同时实现短信认证和上网记录的功能，满足网络安全法的安全要求。WSG上网行为管理的WiFi短信认证方案，具备如下优势：

1. 一台设备就可以满足认证+审计+安全的功能需求。
   

2. 对内网的网络设备没有要求，不需要更改现有的无线方案。

3. 透明部署、即插即用。

网络拓扑图如下：

采用钉钉做上网实名认证存在很多优势，比如：

1. 可以直接利用钉钉中现有的组织架构，不需要另行创建认证的账号。
   

2. 和短信认证相比，不会产生费用。

3. 电脑和手机都可以支持。

4. 可以自动获取并记录钉钉的员工姓名。

5. 可以基于钉钉员工姓名配置上网策略和统计。

在“域账号”中，我们介绍了在server 2003/2008下如何设置adclient登录注销脚本。如果您用的是server 2016之后的windows系统，配置步骤略有差异。本文将介绍如何在server 2016下配置登录注销脚本。具体步骤如下：

1. 打开组策略编辑器

右键点击“组策略管理”中域的“组策略对象”下面的“Default Domain Policy”。

本文将介绍如何用阿里云的短信服务来实现WiFi上网实名认证。

1. 申请阿里云账号并完成实名认证

首先你要申请一个阿里云账号，因为短信服务是需要审核的，所以账号最好要用企业为主体并且完成实名认证。如果是个人账号，那么申请短信签名和模板时，流程会复杂一些。企业主体完成实名认证后，界面是这样的：

2. 申请短信服务

然后在“产品和服务”中选择“短信服务”，并且购买适合的套餐。

采用企业微信做上网实名认证存在很多优势，比如：

1. 可以直接利用企业微信中现有的组织架构，不需要另行创建认证的账号。
   

2. 和短信认证相比，不会产生费用。

3. 电脑和手机都可以支持。

4. 可以自动获取并记录企业微信的员工姓名。

5. 可以基于企业微信员工姓名配置上网策略和统计。

WSG上网行为管理网关的“短信认证”功能，可以对网内的终端进行短信实名认证，记录手机号以及对应的上网内容。在有些情况下，用户需要指定短信认证的手机号，未授权的手机号不允许做短信认证。在本文中，我将结合WSG的短信认证功能，来介绍如何限制认证的手机号码。

1. 编辑认证页面

在“web认证”-“第三方认证”的短信认证中，点击“编辑认证页面”，可以看到认证页面信息。如下图：

企业的网络环境有很多重要信息，不能被未授权的用户访问到，也不能泄露到外网。所以，很多企业对公司的WiFi使用，都要求手机进行实名认证，只有认证过的手机才可以接入。并且记录上网内容和上网策略。本文中，我将介绍如何用WSG上网行为管理网关来实现内部手机的实名上网。

出于安全目的和相关政策要求，大部分WiFi都需要对WiFi终端进行上网实名认证，并且保留一定时间内终端的上网记录。实名认证目前主要都是通过短信认证来实现。在本文中，我将介绍如何用微信小程序来实现WiFi上网实名认证。微信小程序做上网实名认证具备如下优势：

1. 配置简单快捷。
   

2. 无需依赖其他平台。

3. 不产生任何费用。

相关的配置步骤如下：

酒店和宾馆WiFi出于安全目的和政策要求，需要对WiFi终端进行上网实名认证，并且保留终端上网的上网记录。WSG上网行为管理网关，既可以满足上网日志的记录，又可以实现上网实名认证，是公共WiFi上网行为管理的首选产品。在本文中，我将介绍如何结合客户实际的网络环境来部署WSG上网行为管理网关。主要包括如下步骤：

1. WSG上网行为管理的部署
   

2. 上网日志的保留天数

3. 开启实名认证

4. 制作实名认证的二维码

局域网内部有一些查询资料的公共电脑，一般是多人使用。出于安全考虑，需要记录每个人的上网记录。WFilter NGF（WSG网关）默认配置就可以记录上网内容，但是因为公共电脑人员不固定，所以需要配合Web认证。本文中，我将介绍如何用Web认证来对内网公共电脑进行实名上网记录。

内部的实名认证，主要有如下方式：

1. 用户名密码认证。可以在“账号管理”里面添加账号；如果公司有现成的AD域、企业邮箱、Radius等；也可以配置WSG到域/radius/邮箱认证。
   

2. 钉钉认证、企业微信认证。可以直接用手机钉钉app或者手机微信app扫码认证。

在企事业的WiFi环境中，需要对手机的上网进行实名管理，记录上网内容并且设置一定的管理策略。本文中，我将介绍如何用WSG上网行为管理网关来对WiFi手机上网进行实名管理。

手机的上网实名认证，主要包括如下方法：

1. MAC绑定；把手机的MAC地址绑定到姓名。

2. 短信认证；通过短信认证来获取手机号，基于手机号进行实名。

3. 用户名密码认证；手机上网时需要输入用户名密码，从而认证到每个人。

4. 二维码认证；由审核员扫描二维码进行审核并且录入姓名。

5. 钉钉、企业微信认证；用钉钉app和企业微信app扫码认证上网。
   

6. 微信小程序认证；通过微信小程序获取手机号码，从而实现实名上网。
   

每个方法各有优缺点，用户可以基于实际情况选择合适的认证方式。

企业的无线网络经常会迎来一些访客，如果对访客不进行用户实名认证和上网记录，则会给企业的网络带来一定的风险。WSG的WiFi上网实名认证，可以支持“用户名密码认证”“短信认证”、“钉钉认证”、“企业微信认证”。

WFilter NGF（WSG硬件网关）的“Web认证”模块中，我们新增了“重定向HTTPS”的功能。对于未经认证的HTTPS访问，一样可以重定向到认证地址。具体配置如下图：

之前我们介绍过如何用钉钉认证和企业微信认证来实现企业内部的实名上网认证。此外邮箱认证也是企业进行wifi实名认证的一个有效手段。因为很多企业都给员工开通了企业邮箱，直接让员工输入邮箱账号和密码进行认证上网。配置、使用和维护都相对比较简单。

本文我将介绍企业邮箱进行wifi实名认证的具体步骤。本例中用的是163的企业邮箱。

在本文中，我将介绍如何用WSG上网行为管理网关结合中国移动的10086云MAS平台，来实现局域网WiFi实名认证。

1. 首先要在10086云MAS平台中创建短信接口用户。

“MAC地址认证”通过客户机的MAC地址来对客户端进行身份认证，只有通过认证的客户端设备才可以访问网络以及服务器资源。网络结构图如下：

由于政策要求和网络安全的需要，现在绝大部分的酒店无线WiFi都要求实名认证。只有实名认证过的设备才允许连接酒店的WiFi网络，并且记录和留存该终端的上网内容。

一般来说实名认证都采用短信认证的方式，由于手机号是已经经过实名认证的，记录手机号就等于是实现了实名认证上网。网络结构可以采用如下的部署方式，用一台WSG上网行为管理做主路由（也可以做透明网桥部署）。

不管是企业内网的私有WiFi，还是公共WiFi网络；出于安全性需要以及相关政策法规的要求，都要对WiFi无线上网的用户进行实名认证。本文中，我将结合WSG上网行为管理网关介绍如何实现无线WiFi的实名认证。

1. 微信连WiFi

腾讯从2014年推出的微信WiFi服务，可以用微信扫码进行认证，从而记录微信的openid。不过由于apple公司的接口调整，微信WiFi已经暂停服务。所以通过微信来进行实名认证已经不可行了。

当防火墙检测到某个IP存在病毒攻击或者异常流量时，网管技术人员往往需要到电脑上面进行后续操作。而对于自动获取IP的局域网来说，如何定位IP地址的电脑位置一直是一个技术难题。如果没有好的工具，最笨的办法就是一台一台电脑进行查看，通过比对IP地址和mac地址来定位。那么还有哪些聪明一些的办法呢？

1. 在三层交换机上查看ARP表

有网管交换机时，可以在网管交换机上查看arp表找到该IP地址所在的端口，然后根据端口顺藤摸瓜，从而定位电脑的物理位置。比如，在交换机上执行“disp arp”命令（不同型号的交换机命令不一样），可以得到如下结果：