最近的一項行業(yè)調(diào)查表明，將近75%的員工已經(jīng)使用自有設(shè)備(BYOD：自攜帶設(shè)備)訪問與工作相關(guān)的數(shù)據(jù)。加上無線網(wǎng)絡(luò)的蓬勃發(fā)展， 企業(yè)不得不面臨用戶如何細分，訪客如何管理的具體問題，保證公司網(wǎng)絡(luò)帶寬的高效使用、員工生產(chǎn)效率的提高與減小數(shù)據(jù)泄漏的風險。

用戶管理的終極目標就是做到對用戶進行“Who r U(你是誰)”的查看與確定，由此而達到管理的透明與可視化?？梢暬馕吨伸`活配置實施安全策略、流量以及應用控制;實現(xiàn)安全暢游的無線網(wǎng)絡(luò)訪問。

Fortinet的Secure WLAN的無線接入與安全解決方案中對用戶實現(xiàn)管理的方法是基于FortiOS 5操作系統(tǒng)，也就是作為無線網(wǎng)絡(luò)控制器AC的FortiGate設(shè)備使用的操作系統(tǒng)， 可實現(xiàn)對公司內(nèi)用戶進行細分并對來訪賓客管理。

對于公司內(nèi)部BYOD的用戶，可實施基于以下方式的管理：

BYOD用戶無線認證：

1、 開放/WEP64/WEP128/共享。使用這個選項不需要認證和鏈路加密，“開放“選項只用在那些不關(guān)注安全的BYOD流量，或SSL、IPSec VPN 流量，這些在應用層安全通訊。

2、 用戶登錄門戶。登錄門戶(Captive portal)是Web認證的一項行業(yè)標準術(shù)語，這種模式BYOD用戶類似上面的“開放“方式一樣連接到無線AP，只是在BYOD用戶打開Web瀏覽器之前不允許通訊。一旦Web瀏覽器被打開，所有的站點地址被網(wǎng)關(guān)攔截。只有通過認證后，BYOD才能訪問網(wǎng)站資源。

3、 WPA /WPA2 802.11i共享密鑰。無線保護訪問WPA是為了向后兼容，但所有用戶都應該遷移到WPA2，因為它提供了更安全的加密數(shù)據(jù)。預共享密鑰允許所有用戶之間共享一個密碼來連接到無線局域網(wǎng)。這種類型的安全性對來賓或家用訪問無線是非常有用的，但企業(yè)應該給BYOD用戶(包括員工和合作商)提供基于Radius的WPA2認證。

4、 Radius后臺服務(wù)器WPA / WPA2 802.11i認證。此模式下用戶名和密碼信息基于后臺Radius服務(wù)器， 使用802.1X認證，這是BYOD用戶無線部署最安全的認證方法，也是最佳實踐。Radius認證引擎支持PAP、CHAP、MS-CHAP、MS-CHAP-v2。

BYOD設(shè)備認證：

1、 設(shè)備識別。當一個BYOD設(shè)備接入無線網(wǎng)絡(luò)，F(xiàn)ortiGate先進行設(shè)備識別，識別技術(shù)具有基于代理和無代理的方式?；诖矸绞紹YOD設(shè)備需要安裝FortiClient，可以部署在任何位置，只要能夠與FortiGate通訊即可。無代理方式可以采用TCP指紋或MAC地址廠商代碼識別，需要“直接“連接到FortiGate。

2、 訪問控制。根據(jù)識別的BYOD設(shè)備類型，應用恰當?shù)陌踩呗?，對于傳統(tǒng)的Windows AD環(huán)境具有更多的控制。不同的安全策略啟用匹配的UTM安全配置表。

3、 設(shè)備登錄門戶。在不同的BYOD設(shè)備策略中啟用登錄門戶，通過HTTP通訊(HTTP User-Agent)強制檢測設(shè)備，電子郵件收集門戶，當電子郵件地址已經(jīng)驗證，該設(shè)備就添加到郵件收集的設(shè)備組。

使用上面的無線認證及設(shè)備管理方式保護用戶員工BYOD設(shè)備的安全訪問;對于訪問公司無線網(wǎng)絡(luò)的來賓用戶，F(xiàn)ortiOS 5 系統(tǒng)中還提供允許非IT員工創(chuàng)建來賓帳號，分配時間范圍，生成臨時密碼，打印，發(fā)郵件或短信給來賓用戶使用。

當然也可配合使用FortiAuthenticator 雙因子驗證系統(tǒng)，對安全級別更高的資源使用更嚴格的驗證。