現(xiàn)在很多企業(yè)局域網(wǎng)都是全無線覆蓋，給員工和客戶的網(wǎng)絡(luò)接入提供了很大的便利。無論在公司或者廠區(qū)的任何位置，都可以很方便的接入到公司局域網(wǎng)和互聯(lián)網(wǎng)。但是這樣也帶來了不可避免的安全性問題：一旦有未經(jīng)授權(quán)的網(wǎng)絡(luò)接入，不但會(huì)占用寶貴的帶寬資源；而且會(huì)帶來病毒、黑客攻擊等局域網(wǎng)安全問題。

所以，局域網(wǎng)在做無線覆蓋的同時(shí)，一定要考慮到安全問題。一般來說，可以從兩方面入手：

1. 合理的劃分VLAN。無線接入應(yīng)當(dāng)處于單獨(dú)的VLAN，并且控制該VLAN對(duì)企業(yè)內(nèi)部資源的訪問。即使有惡意的攻擊，也可以被控制在無線VLAN內(nèi)部。

2. 對(duì)無線上網(wǎng)的設(shè)備進(jìn)行用戶認(rèn)證。

3. 對(duì)無線上網(wǎng)的設(shè)備進(jìn)行ip-mac綁定。

4. 記錄無線上網(wǎng)的上網(wǎng)記錄，包括ip地址、mac地址、網(wǎng)站訪問等信息。供需要時(shí)查詢。

本文中，我將重點(diǎn)介紹WFilter NGF中的用戶Web認(rèn)證部分。對(duì)于無線設(shè)備來說，最適合的就是"Web認(rèn)證"（Portal認(rèn)證）。Web認(rèn)證的方便之處在于，無需額外的配置，直接通過瀏覽器輸入用戶名密碼就可以完成認(rèn)證。IOS系統(tǒng)和windows系統(tǒng)甚至可以自動(dòng)彈出認(rèn)證頁面。具體介紹如下：

1. “Web認(rèn)證”之“用戶名認(rèn)證”

如圖，輸入用戶名密碼進(jìn)行認(rèn)證。該認(rèn)證頁面可以自定義。

支持本地認(rèn)證、郵箱認(rèn)證、LDAP認(rèn)證、Radius認(rèn)證多種認(rèn)證方式?？梢詫?shí)現(xiàn)：

• 如果企業(yè)已經(jīng)有域控，可以直接基于域控的用戶名密碼進(jìn)行認(rèn)證。

• 如果有企業(yè)郵箱，那么用企業(yè)郵箱的用戶名密碼進(jìn)行認(rèn)證，也是可以很方便的管理手段。

• 也可以在WFilter中創(chuàng)建本地用戶進(jìn)行認(rèn)證。

• 搭建第三方的Radius認(rèn)證服務(wù)器，也是一個(gè)重要的認(rèn)證手段。

認(rèn)證完成后，即可在實(shí)時(shí)流量圖中看到認(rèn)證成功的用戶名，可以基于用戶配置上網(wǎng)策略，記錄上網(wǎng)行為，查看上網(wǎng)統(tǒng)計(jì)報(bào)表。如下圖：

2. “Web認(rèn)證”之“營(yíng)銷認(rèn)證”

為了滿足企業(yè)的市場(chǎng)需要，WFilter的“Web認(rèn)證”還集成了營(yíng)銷認(rèn)證的方案，默認(rèn)就可以支持“微信Wifi”（關(guān)注公眾號(hào)上網(wǎng)）和“Facebook WiFi”的營(yíng)銷方案。還可以支持自定義營(yíng)銷認(rèn)證方案。以國(guó)內(nèi)用的比較多的“微信WiFi”為例，需要在微信公眾號(hào)中做相關(guān)配置，然后到WFilter中啟用即可。

微信wifi的具體使用，請(qǐng)參考我們的另外一篇博客：微信關(guān)注即可連接WIFI，介紹WFilter的“微信Wifi”和“營(yíng)銷認(rèn)證”功能

總而言之，無線接入的安全不可忽視，用戶認(rèn)證只是安全保障的一個(gè)方面，還需要和其他管理手段結(jié)合使用，才可以取得最好的效果。