最近的一項(xiàng)行業(yè)調(diào)查表明，將近75%的員工已經(jīng)使用自有設(shè)備(BYOD：自攜帶設(shè)備)訪問與工作相關(guān)的數(shù)據(jù)。加上無線網(wǎng)絡(luò)的蓬勃發(fā)展， 企業(yè)不得不面臨用戶如何細(xì)分，訪客如何管理的具體問題，保證公司網(wǎng)絡(luò)帶寬的高效使用、員工生產(chǎn)效率的提高與減小數(shù)據(jù)泄漏的風(fēng)險(xiǎn)。

用戶管理的終極目標(biāo)就是做到對(duì)用戶進(jìn)行“Who r U(你是誰)”的查看與確定，由此而達(dá)到管理的透明與可視化?？梢暬馕吨伸`活配置實(shí)施安全策略、流量以及應(yīng)用控制;實(shí)現(xiàn)安全暢游的無線網(wǎng)絡(luò)訪問。

Fortinet的Secure WLAN的無線接入與安全解決方案中對(duì)用戶實(shí)現(xiàn)管理的方法是基于FortiOS 5操作系統(tǒng)，也就是作為無線網(wǎng)絡(luò)控制器AC的FortiGate設(shè)備使用的操作系統(tǒng)， 可實(shí)現(xiàn)對(duì)公司內(nèi)用戶進(jìn)行細(xì)分并對(duì)來訪賓客管理。

對(duì)于公司內(nèi)部BYOD的用戶，可實(shí)施基于以下方式的管理：

BYOD用戶無線認(rèn)證：

1、 開放/WEP64/WEP128/共享。使用這個(gè)選項(xiàng)不需要認(rèn)證和鏈路加密，“開放“選項(xiàng)只用在那些不關(guān)注安全的BYOD流量，或SSL、IPSec VPN 流量，這些在應(yīng)用層安全通訊。

2、 用戶登錄門戶。登錄門戶(Captive portal)是Web認(rèn)證的一項(xiàng)行業(yè)標(biāo)準(zhǔn)術(shù)語，這種模式BYOD用戶類似上面的“開放“方式一樣連接到無線AP，只是在BYOD用戶打開Web瀏覽器之前不允許通訊。一旦Web瀏覽器被打開，所有的站點(diǎn)地址被網(wǎng)關(guān)攔截。只有通過認(rèn)證后，BYOD才能訪問網(wǎng)站資源。

3、 WPA /WPA2 802.11i共享密鑰。無線保護(hù)訪問WPA是為了向后兼容，但所有用戶都應(yīng)該遷移到WPA2，因?yàn)樗峁┝烁踩募用軘?shù)據(jù)。預(yù)共享密鑰允許所有用戶之間共享一個(gè)密碼來連接到無線局域網(wǎng)。這種類型的安全性對(duì)來賓或家用訪問無線是非常有用的，但企業(yè)應(yīng)該給BYOD用戶(包括員工和合作商)提供基于Radius的WPA2認(rèn)證。

4、 Radius后臺(tái)服務(wù)器WPA / WPA2 802.11i認(rèn)證。此模式下用戶名和密碼信息基于后臺(tái)Radius服務(wù)器， 使用802.1X認(rèn)證，這是BYOD用戶無線部署最安全的認(rèn)證方法，也是最佳實(shí)踐。Radius認(rèn)證引擎支持PAP、CHAP、MS-CHAP、MS-CHAP-v2。

BYOD設(shè)備認(rèn)證：

1、 設(shè)備識(shí)別。當(dāng)一個(gè)BYOD設(shè)備接入無線網(wǎng)絡(luò)，F(xiàn)ortiGate先進(jìn)行設(shè)備識(shí)別，識(shí)別技術(shù)具有基于代理和無代理的方式?；诖矸绞紹YOD設(shè)備需要安裝FortiClient，可以部署在任何位置，只要能夠與FortiGate通訊即可。無代理方式可以采用TCP指紋或MAC地址廠商代碼識(shí)別，需要“直接“連接到FortiGate。

2、 訪問控制。根據(jù)識(shí)別的BYOD設(shè)備類型，應(yīng)用恰當(dāng)?shù)陌踩呗?，?duì)于傳統(tǒng)的Windows AD環(huán)境具有更多的控制。不同的安全策略啟用匹配的UTM安全配置表。

3、 設(shè)備登錄門戶。在不同的BYOD設(shè)備策略中啟用登錄門戶，通過HTTP通訊(HTTP User-Agent)強(qiáng)制檢測(cè)設(shè)備，電子郵件收集門戶，當(dāng)電子郵件地址已經(jīng)驗(yàn)證，該設(shè)備就添加到郵件收集的設(shè)備組。

使用上面的無線認(rèn)證及設(shè)備管理方式保護(hù)用戶員工BYOD設(shè)備的安全訪問;對(duì)于訪問公司無線網(wǎng)絡(luò)的來賓用戶，F(xiàn)ortiOS 5 系統(tǒng)中還提供允許非IT員工創(chuàng)建來賓帳號(hào)，分配時(shí)間范圍，生成臨時(shí)密碼，打印，發(fā)郵件或短信給來賓用戶使用。

當(dāng)然也可配合使用FortiAuthenticator 雙因子驗(yàn)證系統(tǒng)，對(duì)安全級(jí)別更高的資源使用更嚴(yán)格的驗(yàn)證。