当前位置: 首页 > 解决方案 > 无线认证准入 > 政企WIFI安全准入方案政企WIFI安全准入方案

政府、企业--无线认证+访客认证+MAC无感知方案

 

一、需求分析

        随着企业信息化的不断发展以及移动办公的趋势,很多企业正原有的有线连接上网的基础上,开始增加更加方便、便捷、移动性强的无线接入网络来满足自身发展的需求。这样企业内部人员和访客都可以方便的通过无线网络在办公和企业园区内随时地接入企业局域网和互联网,来完成各种业务工作的处理。另外建设WLAN无线网络解决以往的有线端口接入限制、硬件维护工作繁琐、线路多、可移动性弱、访客管理难度大等问题。

        但是传统的无线网络的接入方式,用户上网需要得知无线密码或者不需要密码直接接入到无线网络中,不仅对企业的网络安全存在一定的隐患,而且网络运行也不够稳定更不能对接入访客进行管理控制。更重要的是在大型企业中,并没有通过无线网络跟员工和访客建立一种良性互动,没有发挥其应有的作用,使无线网络的效果大打折扣。因此如何部署一套可运营、可管理、可靠高效的无线网络已经成为企业的当务之急。

在企事业的WiFi环境中,需要对手机的上网进行实名管理,记录上网内容并且设置一定的管理策略。

企业的无线网络经常会迎来一些访客,如果对访客不进行用户实名认证和上网记录,则会给企业的网络带来一定的风险。


1、需求:

对无线网络增加上网认证环节。

内部用户进行无线上网需要弹出PORTAL页面,输入帐号密码上网。

所有的内部员工输入帐号密码上网(帐号密码预先录入系统)。

员工上网只需认证一次,以后则采用MAC无感知方式进行认证,在帐号有效期内,无需再次弹出PORTAL页面进行认证。直到帐号失效或是更换过终端。

对于外部访客,则需要进行手机号验证注册后上网。并对用户的上网行为进行审计记录。

二、解决方案:

 蓝海卓越针对目前企业在自身无线网络建设及无线认证中存在的问题,推出适合企业的无线认证解决方案,该方案需要满足以下需求:

        1、支持多种认证方式,包括针对访客的手机短信认证上网,以及针对内部员工的静态用户名密码认证方式;

        2、可以结合企业现有的AD域进行认证,企业员工通过现有的AD域账户进行认证上网;

        3、可以对认证页面、认证成功页面进行高度定制,支持多种网页设计语言,以实现对认证页面自由设计的需求;

        4、企业无线网络分为两个SSID,分别为企业员工使用和访客使用,针对不同的SSID可以推送不同的认证页面;

        5、方便管理,能够实现对接入无线网络中的用户进行上网时间、上传下载速度及认证有效期等方面控制管理,不同的用户属性采取不同de上网策略;

        6、认证成功后可以实现强制跳转至企业官网或其他指定网站,可以有效的进行品牌宣传和推广;

        7、支持二次开发,将来可以对接企业现有的OA、CRM等系统,在OA或其他系统上实现对访客上网权限的授权管理;

        8、部署方便,维护简单,同时对整体设备需要易操作易管理,将来增加覆盖范围和用户数量能够方便的进行扩展升级。




拓扑如下:

XX设计院无线认证+访客认证+MAC无感知方案(图2)

 

说明如下:

Ø NAC设备桥接在防火墙和核心交换机之间

Ø 核心交换机不启用三层功能,使用二层VLAN划分。目前使用3个VLAN(可调)

Ø NAC设备与蓝海卓越认证服务器对接,实现无线用户上网重定向,弹出PORTAL页面功能。

Ø PORTAL页面具备帐号密码和手机验证码登录两个功能,用户可自由切换,如下图所示:

XX设计院无线认证+访客认证+MAC无感知方案(图3) 

Ø 对于所有上网用户的日志,通过蓝海卓越认证服务器与日志服务器对接,实现日志记录。

 

三、使用达到效果:

        1、能正常弹出portal页面

        2、用户输入帐号密码可正常登录上网

        3、用户离开网络,再回来,无需输入帐号密码,即可自动认证上网

        4、用户可以通过认证页面自助修改密码

        5、访客使用手机号获取验证码可正常上网

        6、访客使用帐号有效期一天,凌晨0点自动清除用户上网的记录,并在第二天要求重新认证登录

        7、对公安要求的日志进行记录

 



地址:成都市一环路南一段12号  电话:028-86679789  手机:13980098139
Copyright © 2020-2025 成都星锐蓝海网络科技有限公司 版权所有  ICP备案号:蜀ICP备09030039号-2