有个企业客户跟我说,他们公司WiFi密码是公开的,员工用、访客也用,时间长了发现带宽被访客占满了,员工上网卡得厉害。更麻烦的是,有一次出了安全问题想查日志,发现访客和员工的流量混在一起,根本分不清是谁。
这个问题在很多企业里都存在,只是程度不同。下面说说这类场景下企业无线认证怎么管。
访客用WiFi这件事本身不复杂,但混在员工网络里就会带来几个实际问题:
带宽被挤占。访客看视频、下载大文件,如果不做限速,正常的办公网络会受影响。这是抱怨最多的一种情况,IT被夹在中间,一边是老板说访客接待要方便,一边是员工说网速太慢。
安全边界不清。访客终端和企业内网在协议层是等效的,任何一台访客设备出问题都可能横向扩散到整个内网。笔记本中了木马,理论上可以扫描到同网段的员工电脑——这种风险是真实存在的。
日志追溯不到人。出了安全事件,查到的日志只能到设备层面,不能对应到具体谁在用这台设备。很多企业的WiFi密码是公共密码,访客问前台拿到之后多人共用,根本无法追溯。
把无线网络分成两个SSID:内部SSID给员工用,访客SSID给访客用。这是基础的分法,也是最常见的做法。
内部SSID可以绑定AD域账号或者企业微信认证,员工用自己的账号登录,只有本人在用,出现问题能追溯到人。访客SSID开放或者用短信认证,访客用自己的手机号获取临时密码,登录后走独立的访客策略。
这两个SSID对应的网络在底层是物理隔离的,访客终端访问不到企业内网的任何资源,只能上外网。这是企业无线认证里最基本的一种架构。
访客场景下,短信认证是选择最多的方式。访客输入手机号,系统发验证码,输入后上网。临时账号有有效时长限制,用完自动失效,不需要人工清理。
短信认证的优势是实名——手机号能对应到具体的人,符合大部分企业的监管要求。劣势是需要企业有短信通道,成本每条几分钱,访客量大的场景要算一下这笔账。
访客量不大、安全要求高的场景,可以用访客二维码认证。访客进入网络后需要被访人扫码授权,一对一的确认关系,访客在什么时间接入、离开了没有,都有记录。这种方式体验稍复杂,但追溯性最强。
邮件认证适合外籍访客或者访客数量特别大的场景——不需要短信通道,访客留邮箱地址,系统发授权邮件给他,点击链接就能上网。
访客网络的策略配置通常有几项要关注:
带宽限制。访客下行带宽建议控制在员工通道的30%-50%,不能影响正常办公。但要注意是"每个人限速"还是"整段访客网段共享限速"——后者在访客多的时候感知会比较差。
在线时长。访客账号默认有效期几个小时到几天不等,过期自动失效。有些场景需要给长驻访客开更长的有效期,这要看系统支不支持精细化的时长控制。
访问范围。访客网络只允许访问互联网,不能访问企业内网任何地址段。这个策略要在网络层做隔离,不能只在认证层面做。
终端数量。有的企业需要限制一个访客账号能同时接入几台设备,防止访客把账号分享给很多人用。
访客量大的企业,访客账号会越积越多——临时账号发出去的多,真正回收的少,时间长了后台里堆满了历史账号,谁在用、用多久都是糊涂账。
解决办法是让系统自动清理:临时访客账号72小时或7天后自动失效,不需要人工处理。如果系统不支持自动过期,建议在上线之前就把这个流程明确下来,定时巡检后台清理。
访客和员工的网络分开管,看起来是多了一个步骤,实际上这样做是把两个问题拆开处理——员工侧管账号和权限,访客侧管流量和安全边界,各自独立运维,反而比混在一起简单。
English