06
2023
07

企业网络准入有哪些方案可以选择?

公司网络准入认证方案是网络安全的基础,该方案通过对网络的接入设备进行统一的认证和访问授权管理,以保证内网的网络安全。对于企业局域网来说,比较常见的网络准入认证方案包括802.1X、Portal认证,还有基于企业微信、钉钉等第三方的app认证。

802.1X的认证方式需要支持802.1X的交换机设备,且配置比较复杂,对于大部分用户来说并不适用。本文中,我将介绍利用WSG上网行为管理网关的Portal认证、第三方认证等功能来实现企业网络的准入认证。


1. IP-MAC绑定、MAC认证

最严格的限制就是IP-MAC绑定,只有允许的IP和MAC地址才允许通过。这样限制最严格有效,但是管理和维护的工作量也比较大。所有新增的终端,都需要网管人员配置后才可以放行。

202305151684132879532582.png


2. Portal认证方案

WSG上网行为管理网关的Web认证(Portal认证)支持多种用户名认证方式,包括本地用户(直接在WSG里面创建用户和密码)、AD域、邮箱认证、Radius认证等。如下图:

Faq webauth001.png

开启用户名密码认证后,终端必须要输入正确的用户名密码才可以认证上网。

Faq webauth002.jpg


3. 企业微信、钉钉认证

企业微信和钉钉认证的流程是直接用app扫码认证上网。需要在“企业微信、钉钉开发者平台”中创建扫码登录应用,并且记录AppID和AppSecret等配置。

Faq webauth dingtalk.png

上网时用app扫码即可完成认证并上网。

4. 短信实名认证

对于开放的公共WiFi,您还可以用过短信认证方式,记录手机号和上网记录。如下图:

Faq webauth007.png

5. 二维码扫码认证

对于公司的来访人员,还有一个有效的认证手段就是二维码认证。需要公司的接待人员用手机扫码通过后才可以接入,这种认证方式需要人工参与才可以完成认证过程。如图:

0dd7912397dda144a9322bb036baa2a40cf48688.jpeg


综上所述,要保障企业网络安全,首先要做的就是部署一套网络准入系统,重点考虑以下几点:

1). 对有线办公电脑和服务器可以直接用IP-MAC绑定、MAC认证上网。

2). 如果公司已经有AD域等现有的账号系统,可以采用用户名密码认证的方式。

3). 对内部人员采用企业微信、钉钉的app认证方式。

4). 对流动人员采用短信认证的方式。

5). 对来访人员采用二维码认证的方式。

一般推荐有线、工作无线、来宾无线多VLAN分离,并且采用不同的认证方式。多种准入方式组合使用,从而达到最好的管控效果。



« 上一篇 下一篇 »