现在很多企业局域网都是全无线覆盖,给员工和客户的网络接入提供了很大的便利。无论在公司或者厂区的任何位置,都可以很方便的接入到公司局域网和互联网。但是这样也带来了不可避免的安全性问题:一旦有未经授权的网络接入,不但会占用宝贵的带宽资源;而且会带来病毒、黑客攻击等局域网安全问题。
所以,局域网在做无线覆盖的同时,一定要考虑到安全问题。一般来说,可以从两方面入手:
合理的划分VLAN。无线接入应当处于单独的VLAN,并且控制该VLAN对企业内部资源的访问。即使有恶意的攻击,也可以被控制在无线VLAN内部。
对无线上网的设备进行用户认证。
对无线上网的设备进行ip-mac绑定。
记录无线上网的上网记录,包括ip地址、mac地址、网站访问等信息。供需要时查询。
本文中,我将重点介绍WFilter NGF中的用户Web认证部分。对于无线设备来说,最适合的就是"Web认证"(Portal认证)。Web认证的方便之处在于,无需额外的配置,直接通过浏览器输入用户名密码就可以完成认证。IOS系统和windows系统甚至可以自动弹出认证页面。具体介绍如下:
1. “Web认证”之“用户名认证”
如图,输入用户名密码进行认证。该认证页面可以自定义。
支持本地认证、邮箱认证、LDAP认证、Radius认证多种认证方式。可以实现:
如果企业已经有域控,可以直接基于域控的用户名密码进行认证。
如果有企业邮箱,那么用企业邮箱的用户名密码进行认证,也是可以很方便的管理手段。
也可以在WFilter中创建本地用户进行认证。
搭建第三方的Radius认证服务器,也是一个重要的认证手段。
认证完成后,即可在实时流量图中看到认证成功的用户名,可以基于用户配置上网策略,记录上网行为,查看上网统计报表。如下图:
2. “Web认证”之“营销认证”
为了满足企业的市场需要,WFilter的“Web认证”还集成了营销认证的方案,默认就可以支持“微信Wifi”(关注公众号上网)和“Facebook WiFi”的营销方案。还可以支持自定义营销认证方案。以国内用的比较多的“微信WiFi”为例,需要在微信公众号中做相关配置,然后到WFilter中启用即可。
微信wifi的具体使用,请参考我们的另外一篇博客:微信关注即可连接WIFI,介绍WFilter的“微信Wifi”和“营销认证”功能
总而言之,无线接入的安全不可忽视,用户认证只是安全保障的一个方面,还需要和其他管理手段结合使用,才可以取得最好的效果。