Sundray WLAN v2渠道初级认证培训04 无线认证授权.pptx

无线认证授权;Contents;Contents;无线认证及安全概述;无线认证及安全概述;我司支持认证方式;安全级别分类;使用者分类;开放式认证;WPA（个人）即是PSK预共享密钥认证，连接SSID后弹出安全密钥框，输入正确密钥才能上网。属于二层认证。WPA2 与 WPA 的主要差别在于 WPA2 的加密算法使用 AES，而 WPA 使用 RC4。因此 WPA2 具备更高的安全性，建议使用。 虽然采用了安全的加密算法，但接入密码是管理员统一设定的，因此难于管理并容易泄漏，不适合在大规模的企业无线网络中部署。;连接SSID后，打开网页会弹出Web认证页面，输入用户名密码，通过认证后才可以上网。 主要用来做广告营销，web 认证通常与开放式无线网络一起使用，也就是用户连接无线网络时，不需要任何认证。由于无线网络的流量未加密，因此 web 认证的无线网络，通常只用于非关键性的网络中，例如仅用于访客访问互联网，无法访问企业内部网络。当然，为了保护 web 认证过程中用户的密码，系统以 RSA 非对称加密的方式发送此密码。 ;无线终端在接入无线网络前，需要提供相应的身份证明。 由于采用了用户身份认证，每个用户的凭据信息都由其自身进行管理，有效减少了凭据泄漏的可能性。用户每次接入无线网络后的数据加密密钥都是在认证过程中动态生成的，攻击者很难获取加密密钥，因此极大的提高了网络的安全性，成为高安全无线网络的首选接入方式。;Contents;;Web认证配置;本地用户配置;外部服务器配置;Contents;在部署用于访客使用的无线网络时，为了简化用户体验，通常设置为开放式的无线网络。但单纯的开放式的无线网络，存在无法验证访客身份的问题，因此通常需要设置认证方式。此方式主要部署在公众访问的无线网络中，例如部署在机场，交通枢纽，医院，酒店，商场，学校等地方。;免用户认证是指访问无线网络时，访客无需认证，在广告页面点击登录按钮即可上网。 访客连接无线网络的过程如下： 连接到访客无线网络，例如无线网络名称为：Example-Guest。 打开浏览器，访问任意网站，系统将把用户的浏览器重定向到认证页面。 认证页面中，用户点击登录，直接上网。 免用户认证方式的特点： 认证页面中，可以设置企业的广告等展示信息，提高企业形象。 对于上网用户特别多，简化了访客连接无线网络的体验。 配置简单 无线配置 | 无线网络 访客认证选择免用户认证。;临时访客认证;临时访客认证;临时访客认证配置;二维码审核;二维码审核;二维码审核配置;短信认证;短信认证准备工作;短信认证配置;关于短信模板;关于短信模板;微信认证;认证页面：web 认证的是指用户接入无线网络后，访问任意网站，浏览器将会被重定向到认证页面，要求验证帐户密码后，才能继续访问网络。 系统内置了 web 认证页面的模板，系统允许您在默认模版的基础上，自定义认证页面的标题，背景，LOGO 等。如果您熟悉 web 开发，可以上传自定义的页面。修改完成后可查看。;Contents;在 WPA/WPA2 无线网络中，系统支持的认证方法如下： 基于密码认证：PEAP-MSCHAPv2 RADIUS 中继 RADIUS 中继是指无线接入点把无线客户端认证过程的 EAP 报文直接转发到 RADIUS 服务器中，由 RADIUS 服务器来完成整个认证过程。因此认证方法由 RADIUS 服务器中配置，与无线控制器无关。 基于证书认证：EAP-TLS EAP-TLS 协议是在 EAP 协议框架上，使用 TLS 协议来完成身份认证及密钥交换功能。TLS 协议也是 HTTPS 协议的核心。因此 EAP-TLS 可以视为与 HTTPS 协议具备同等的安全性。 EAP-TLS 协议使用双向证书认证，要求服务器及客户端都使用证书，向对方证明身份，并使用非对称加密方式，在无线客户端及认证服务器间安全地协商数据加密密钥，保证无线数据传输的机密性及完整性。 由于使用了基于证书的身份验证方法，避免了基于密码认证方法所存在的由于密码泄漏，密码强度低等原因导致的密码被猜测或暴力破解的风险。因此 EAP-TLS 提供了目前无线认证中，最安全的认证方法。缺点是所有客户端都需要安装个人证书，部署比较复杂。;WPA（企业）认证配置;WPA（企业）认证配置;部署802.1x认证的企业无线网络，对网络管理员的挑战在于，如何在不同平台，不同类型的计算机或移动终端，都能快速的接入企业无线网络，同时不降低安全性。 此方案提供一个简单的方法来快速布置您的终端，并连接到802.1x认证的企业无线网络中。;一键自动配置工具;Contents;角色是权限的集合和载体，每一个接入无线网络的用户，无线控制器都将依据无线网络属性中所设定的权限分配规则，从上往下匹配，为每个用户分配角色。