現(xiàn)在大部分局域網(wǎng)都提供了無(wú)線上網(wǎng)的功能。無(wú)線主要用于滿(mǎn)足以下幾種需求：

1. 無(wú)線辦公的需要，比如無(wú)線pos機(jī)等辦公設(shè)備。
   

2. 員工無(wú)線上網(wǎng)的需要。

3. 來(lái)賓、客人的無(wú)線上網(wǎng)。

這樣就帶來(lái)了相關(guān)的安全性問(wèn)題：

1. 來(lái)賓有可能通過(guò)無(wú)線接入到企業(yè)內(nèi)網(wǎng)，導(dǎo)致安全隱患。

2. 員工有可能通過(guò)來(lái)賓的無(wú)線網(wǎng)絡(luò)上網(wǎng)，從而繞開(kāi)公司的行為管理策略，影響工作效率。

目前大部分解決方案都是來(lái)賓網(wǎng)絡(luò)和內(nèi)部無(wú)線網(wǎng)絡(luò)使用不同的無(wú)線SSID和密碼。但是實(shí)際上這個(gè)方案存在很大的漏洞：密碼泄漏。來(lái)賓可以直接詢(xún)問(wèn)到內(nèi)網(wǎng)的無(wú)線密碼，甚至很多無(wú)線密碼都是公開(kāi)張貼的。而企業(yè)員工更是可以直接通過(guò)來(lái)賓網(wǎng)絡(luò)上網(wǎng)。

本文將結(jié)合WFilter NGF的相關(guān)功能，來(lái)介紹更進(jìn)階的解決方案。

方案一：IP-mac綁定

該方案的具體策略如下：

1. 來(lái)賓網(wǎng)絡(luò)和辦公網(wǎng)絡(luò)處于不同的VLAN。
   

2. 登記員工的電腦和手機(jī)，配置IP-mac綁定。

3. 對(duì)來(lái)賓網(wǎng)段不啟用IP-mac綁定。
   

4. 對(duì)辦公網(wǎng)絡(luò)和來(lái)賓網(wǎng)絡(luò)配置不同的帶寬和上網(wǎng)策略。

這樣配置后，來(lái)賓連接辦公網(wǎng)絡(luò)是獲取不到IP的，從而也無(wú)法進(jìn)入辦公網(wǎng)絡(luò)。而員工即使連上了來(lái)賓網(wǎng)絡(luò)也無(wú)法上網(wǎng)。

一些相關(guān)的配置截圖如下：

1)  VLAN劃分

辦公網(wǎng)絡(luò)和來(lái)賓網(wǎng)絡(luò)劃分不同的VLAN。

2) IP-mac綁定

登記辦公人員的手機(jī)和電腦，進(jìn)行IP-MAC綁定。

對(duì)辦公網(wǎng)段嚴(yán)格限制，未經(jīng)綁定的設(shè)備既獲取不到IP，也無(wú)法上網(wǎng)。

方案二：用戶(hù)認(rèn)證

該方案主要由以下方面組成：

1. 無(wú)線用戶(hù)上網(wǎng)時(shí)，需要輸入用戶(hù)名和口令登錄。
   

2. 辦公人員用自己的用戶(hù)名密碼。

3. 來(lái)賓用來(lái)賓的guest賬號(hào)。

這樣配置后，即使來(lái)賓知道了辦公網(wǎng)絡(luò)的無(wú)線密碼，但是由于不知道個(gè)人的賬號(hào)密碼，所以還是無(wú)法使用辦公網(wǎng)絡(luò)的無(wú)線。但是該方案存在以下缺點(diǎn)：

1. 來(lái)賓雖然不能使用辦公無(wú)線上網(wǎng)，但是可以連接到辦公的無(wú)線網(wǎng)絡(luò)，可能會(huì)訪問(wèn)到內(nèi)網(wǎng)敏感資源。

2. 用戶(hù)名密碼仍然存在泄漏的可能。

3. 無(wú)法阻止辦公人員使用來(lái)賓的無(wú)線。
   

WFilter NGF中的“Web認(rèn)證”功能，可以對(duì)無(wú)線網(wǎng)絡(luò)進(jìn)行身份認(rèn)證，微信Wifi認(rèn)證、短信認(rèn)證等。從而認(rèn)證上網(wǎng)人員的身份，記錄上網(wǎng)內(nèi)容，并且可以和本地賬號(hào)、域賬號(hào)、郵箱賬號(hào)進(jìn)行集成。如圖：

綜上所述，“IP-mac綁定”和“Web認(rèn)證”都可以區(qū)分無(wú)線AP的來(lái)賓用戶(hù)和正常用戶(hù)。建議您根據(jù)自己的管理需要進(jìn)行選擇。嚴(yán)格一些就用IP-mac綁定，否則就用Web認(rèn)證。