無線AP如何區分來賓(流動)用戶和正常用戶?
無線辦公的需要,比如無線pos機等辦公設備。
員工無線上網的需要。
來賓、客人的無線上網。
這樣就帶來了相關的安全性問題:
來賓有可能通過無線接入到企業內網,導致安全隱患。
員工有可能通過來賓的無線網絡上網,從而繞開公司的行為管理策略,影響工作效率。
目前大部分解決方案都是來賓網絡和內部無線網絡使用不同的無線SSID和密碼。但是實際上這個方案存在很大的漏洞:密碼泄漏。來賓可以直接詢問到內網的無線密碼,甚至很多無線密碼都是公開張貼的。而企業員工更是可以直接通過來賓網絡上網。
本文將結合WFilter NGF的相關功能,來介紹更進階的解決方案。
方案一:IP-mac綁定
該方案的具體策略如下:
來賓網絡和辦公網絡處於不同的VLAN。
登記員工的電腦和手機,配置IP-mac綁定。
對來賓網段不啟用IP-mac綁定。
對辦公網絡和來賓網絡配置不同的帶寬和上網策略。
這樣配置後,來賓連接辦公網絡是獲取不到IP的,從而也無法進入辦公網絡。而員工即使連上了來賓網絡也無法上網。
一些相關的配置截圖如下:
1) VLAN劃分
辦公網絡和來賓網絡劃分不同的VLAN。
2) IP-mac綁定
登記辦公人員的手機和電腦,進行IP-MAC綁定。
對辦公網段嚴格限制,未經綁定的設備既獲取不到IP,也無法上網。
方案二:用戶認證
該方案主要由以下方面組成:
無線用戶上網時,需要輸入用戶名和口令登錄。
辦公人員用自己的用戶名密碼。
來賓用來賓的guest賬號。
這樣配置後,即使來賓知道了辦公網絡的無線密碼,但是由於不知道個人的賬號密碼,所以還是無法使用辦公網絡的無線。但是該方案存在以下缺點:
來賓雖然不能使用辦公無線上網,但是可以連接到辦公的無線網絡,可能會訪問到內網敏感資源。
用戶名密碼仍然存在泄漏的可能。
無法阻止辦公人員使用來賓的無線。
WFilter NGF中的“Web認證”功能,可以對無線網絡進行身份認證,微信Wifi認證、短信認證等。從而認證上網人員的身份,記錄上網內容,並且可以和本地賬號、域賬號、郵箱賬號進行集成。如圖:
綜上所述,“IP-mac綁定”和“Web認證”都可以區分無線AP的來賓用戶和正常用戶。建議您根據自己的管理需要進行選擇。嚴格一些就用IP-mac綁定,否則就用Web認證。
無線AP如何區分來賓(流動)用戶和正常用戶?