上网认证是网络安全的基础,只有认证后的终端才允许接入。对于企事业的局域网来说,比较常见的网络认证方案包括802.1X、Web Portal认证,还有基于企业微信、钉钉等第三方的app认证。由于802.1X的认证方式需要支持802.1X的交换机设备,且配置比较复杂,对于大部分用户来说并不适用。本文中,我将介绍利用WSG上网行为管理网关的Web Portal认证、第三方认证、访客认证等功能。
1. IP-MAC绑定、MAC认证
最严格的限制就是IP-MAC绑定,只有允许的IP和MAC地址才允许通过。这样限制最严格有效,但是管理和维护的工作量也比较大。所有新增的终端,都需要网管人员配置后才可以放行。
2. Web Portal认证方案
WSG上网行为管理网关的Web认证(Portal认证)支持多种用户名认证方式,包括本地用户(直接在WSG里面创建用户和密码)、AD域、邮箱认证、Radius认证等。如下图:
开启用户名密码认证后,终端必须要输入正确的用户名密码才可以认证上网。
3. 企业微信、钉钉认证
企业微信和钉钉认证的流程是直接用app扫码认证上网。需要在“企业微信、钉钉开发者平台”中创建扫码登录应用,并且记录AppID和AppSecret等配置。
上网时用app扫码即可完成认证并上网。
4. 短信实名认证
对于开放的公共WiFi,您还可以用过短信认证方式,记录手机号和上网记录。如下图:
5. 二维码扫码认证
对于公司的来访人员,还有一个有效的认证手段就是二维码认证。需要公司的接待人员用手机扫码通过后才可以接入,这种认证方式需要人工参与才可以完成认证过程。如图:
综上所述,在部署上网认证系统时,重点考虑以下几点:
1). 对有线办公电脑和服务器可以直接用IP-MAC绑定、MAC认证上网。
2). 如果公司已经有AD域等现有的账号系统,可以采用用户名密码认证的方式。
3). 对内部人员采用企业微信、钉钉的app认证方式。
4). 对流动来访人员采用短信认证的方式。
一般推荐有线、工作无线、来宾无线多VLAN分离,并且采用不同的认证方式。多种认证方式组合使用,从而达到最好的管控效果。
