公司網(wǎng)絡(luò)準(zhǔn)入認(rèn)證方案是網(wǎng)絡(luò)安全的基礎(chǔ)，該方案通過(guò)對(duì)網(wǎng)絡(luò)的接入設(shè)備進(jìn)行統(tǒng)一的認(rèn)證和訪問(wèn)授權(quán)管理，以保證內(nèi)網(wǎng)的網(wǎng)絡(luò)安全。對(duì)于企業(yè)局域網(wǎng)來(lái)說(shuō)，比較常見的網(wǎng)絡(luò)準(zhǔn)入認(rèn)證方案包括802.1X、Portal認(rèn)證，還有基于企業(yè)微信、釘釘?shù)鹊谌降腶pp認(rèn)證。

802.1X的認(rèn)證方式需要支持802.1X的交換機(jī)設(shè)備，且配置比較復(fù)雜，對(duì)于大部分用戶來(lái)說(shuō)并不適用。本文中，我將介紹利用WSG上網(wǎng)行為管理網(wǎng)關(guān)的Portal認(rèn)證、第三方認(rèn)證等功能來(lái)實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)的準(zhǔn)入認(rèn)證。

1. IP-MAC綁定、MAC認(rèn)證

最嚴(yán)格的限制就是IP-MAC綁定，只有允許的IP和MAC地址才允許通過(guò)。這樣限制最嚴(yán)格有效，但是管理和維護(hù)的工作量也比較大。所有新增的終端，都需要網(wǎng)管人員配置后才可以放行。

2. Portal認(rèn)證方案

WSG上網(wǎng)行為管理網(wǎng)關(guān)的Web認(rèn)證（Portal認(rèn)證）支持多種用戶名認(rèn)證方式，包括本地用戶（直接在WSG里面創(chuàng)建用戶和密碼）、AD域、郵箱認(rèn)證、Radius認(rèn)證等。如下圖：

開啟用戶名密碼認(rèn)證后，終端必須要輸入正確的用戶名密碼才可以認(rèn)證上網(wǎng)。

3. 企業(yè)微信、釘釘認(rèn)證

企業(yè)微信和釘釘認(rèn)證的流程是直接用app掃碼認(rèn)證上網(wǎng)。需要在“企業(yè)微信、釘釘開發(fā)者平臺(tái)”中創(chuàng)建掃碼登錄應(yīng)用，并且記錄AppID和AppSecret等配置。

上網(wǎng)時(shí)用app掃碼即可完成認(rèn)證并上網(wǎng)。

4. 短信實(shí)名認(rèn)證

對(duì)于開放的公共WiFi，您還可以用過(guò)短信認(rèn)證方式，記錄手機(jī)號(hào)和上網(wǎng)記錄。如下圖：

5. 二維碼掃碼認(rèn)證

對(duì)于公司的來(lái)訪人員，還有一個(gè)有效的認(rèn)證手段就是二維碼認(rèn)證。需要公司的接待人員用手機(jī)掃碼通過(guò)后才可以接入，這種認(rèn)證方式需要人工參與才可以完成認(rèn)證過(guò)程。如圖：

綜上所述，要保障企業(yè)網(wǎng)絡(luò)安全，首先要做的就是部署一套網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)，重點(diǎn)考慮以下幾點(diǎn)：

1). 對(duì)有線辦公電腦和服務(wù)器可以直接用IP-MAC綁定、MAC認(rèn)證上網(wǎng)。

2). 如果公司已經(jīng)有AD域等現(xiàn)有的賬號(hào)系統(tǒng)，可以采用用戶名密碼認(rèn)證的方式。

3). 對(duì)內(nèi)部人員采用企業(yè)微信、釘釘?shù)腶pp認(rèn)證方式。

4). 對(duì)流動(dòng)人員采用短信認(rèn)證的方式。

5). 對(duì)來(lái)訪人員采用二維碼認(rèn)證的方式。

一般推薦有線、工作無(wú)線、來(lái)賓無(wú)線多VLAN分離，并且采用不同的認(rèn)證方式。多種準(zhǔn)入方式組合使用，從而達(dá)到最好的管控效果。