重庆分公司,新征程启航
为企业提供网站建设、域名注册、服务器等服务
现在大部分局域网都提供了无线上网的功能。无线主要用于满足以下几种需求:
从网站建设到定制行业解决方案,为提供网站设计制作、做网站服务体系,各种行业企业客户提供网站建设解决方案,助力业务快速发展。创新互联建站将不断加快创新步伐,提供优质的建站服务。无线办公的需要,比如无线pos机等办公设备。
员工无线上网的需要。
来宾、客人的无线上网。
这样就带来了相关的安全性问题:
来宾有可能通过无线接入到企业内网,导致安全隐患。
员工有可能通过来宾的无线网络上网,从而绕开公司的行为管理策略,影响工作效率。
目前大部分解决方案都是来宾网络和内部无线网络使用不同的无线SSID和密码。但是实际上这个方案存在很大的漏洞:密码泄漏。来宾可以直接询问到内网的无线密码,甚至很多无线密码都是公开张贴的。而企业员工更是可以直接通过来宾网络上网。
本文将结合WFilter NGF的相关功能,来介绍更进阶的解决方案。
该方案的具体策略如下:
来宾网络和办公网络处于不同的VLAN。
登记员工的电脑和手机,配置IP-mac绑定。
对来宾网段不启用IP-mac绑定。
对办公网络和来宾网络配置不同的带宽和上网策略。
这样配置后,来宾连接办公网络是获取不到IP的,从而也无法进入办公网络。而员工即使连上了来宾网络也无法上网。
一些相关的配置截图如下:
1) VLAN划分
办公网络和来宾网络划分不同的VLAN。
2) IP-mac绑定
登记办公人员的手机和电脑,进行IP-MAC绑定。
对办公网段严格限制,未经绑定的设备既获取不到IP,也无法上网。
该方案主要由以下方面组成:
无线用户上网时,需要输入用户名和口令登录。
办公人员用自己的用户名密码。
来宾用来宾的guest账号。
这样配置后,即使来宾知道了办公网络的无线密码,但是由于不知道个人的账号密码,所以还是无法使用办公网络的无线。但是该方案存在以下缺点:
来宾虽然不能使用办公无线上网,但是可以连接到办公的无线网络,可能会访问到内网敏感资源。
用户名密码仍然存在泄漏的可能。
无法阻止办公人员使用来宾的无线。
WFilter NGF中的“Web认证”功能,可以对无线网络进行身份认证,微信Wifi认证、短信认证等。从而认证上网人员的身份,记录上网内容,并且可以和本地账号、域账号、邮箱账号进行集成。如图:
综上所述,“IP-mac绑定”和“Web认证”都可以区分无线AP的来宾用户和正常用户。建议您根据自己的管理需要进行选择。严格一些就用IP-mac绑定,否则就用Web认证。
另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。