Meraki无线网络身份认证方案
一、面临挑战
思科Meraki无线云管控,可在云上集中配置管理所有网络设备及移动终端,有效降低无线运维管理成本,以功能丰富且易于使用而受到青睐。
随着无线技术的全面应用及移动终端的普及,无线开放的访问方式和易接入的特性在带来便捷的同时,也带来极大的安全隐患。无线网络的安全系统要做到有效,必须解决下面这个问题——接入控制,即验证用户并授权他们接入特定的资源,同时拒绝为未经授权的用户提供接入。
大型企业商业通常用户及分支机构众多,跨地域连无线普遍存在的情况下,存在着大量网络安全威胁,实现多分支、多用户、多终端之间的无线统一身份认证及安全访问控制,更有其必要性。
统一的身份鉴别和访问控制应贯穿在Meraki无线云管控的始终,对用户的访问进行身份鉴别,对其访问权限和可操作内容进行有效的管理,实现不同用户角色对应不同的访问权限。
二、解决方案
1. 思科Meraki无线网络身份认证解决方案概述
宁盾一体化认证平台提供健全的无线身份认证访问控制,通过与Meraki云管控对接,实现多分支统一接入管理,只允许合法授权用户的接入。联动Meraki 云端控制器,对合法接入的用户基于其身份做访问权限控制,实现所有类型无线用户集中化认证及管理。还可结合上网行为管理设备,提供上网行为实名审计,及基于用户身份的流量控制。
2. 宁盾一体化无线认证方式
①短信认证,可设定短信内容模版、短信验证码有效期及长度等;
②微信认证,通过关注微信公众号进行认证连接上网;
③用户名密码认证,用户名密码可以创建,也可以与AD或者LDAP同步帐号信息;
④支持二次无感知认证,可设定有效期,超过有效期须通过其他认证方式登录;
⑤支持协助扫码认证,快速授权上网,实现访客与被访人之间可追溯;
⑥支持访客自助申请认证,由指定人员审批申请信息,加强内外网访问安全控制。
三、方案价值
①统一认证:宁盾结合Meraki实现多分支无线用户的统一接入,所有用户通过一套账号体系集中认证及管理;
②认证方式:提供短信、微信、用户名密码、协助扫描、邮件审批、二次无感知等多种认证方式;
③访问策略:动态授权机制,根据用户的不同身份来确定其网络接入权限,在网络资源、带宽、时长、位置、终端数量等权限上作区分,并支持黑白名单;
④Portal页广告:支持Portal页个性化定制,可基于不同的站点推送不同的认证方式不同的广告信息,优化无线上网体验,提升客户形象;
⑤账号保护:结合宁盾双因素认证方案加强用户账号安全,支持AD/LDAP对接认证,还可从OA、ERP、CRM等客户自有系统中同步用户数据;
⑥实名审计:提供清晰的用户信息及完整的上网统计报告,与行为管理设备对接,实现无线认证可实名追溯,提升网络信息安全。
