Sundray WLAN v3渠道初级认证培训06 无线认证授权.pptx

无线认证授权目录无线认证及安全概述1Web认证2Contents访客认证3WPA（企业）认证4角色授权5目录无线认证及安全概述1Web认证2Contents访客认证3WPA（企业）认证4角色授权5无线认证及安全概述公共传输介质容易被截取非法用户蹭网对内网造成安全隐患墙内墙外如何保护网络通信的安全？无线网络中，保护通信的安全措施由以下几方面构成：认证：接入无线网络前，必须通过身份验证。加密：发送数据包前，必须对数据加密，以保证机密性。数据完整性：发送数据包前，必须在数据包中，包含必要的完整性校验信息，防止数据包在传输过程中被攻击者篡改。无线认证及安全概述授权我司支持认证方式安全级别分类认证方式安全等级加密认证使用场景开放式低无无访客Web认证低无有访客/内部员工WPA（个人）中有有访客/内部员工WPA（企业）高有有内部员工使用者分类推荐认证方式推荐认证方式开放式认证无需输入任何用户名和密码，接入即可上网。网络传输的流量未加密，属于二层认证。对于上网用户特别多，且不需要弹出广告的场景，使用这种方式比较好。WPA（个人）认证WPA（个人）即是PSK预共享密钥认证，连接SSID后弹出安全密钥框，输入正确密钥才能上网。属于二层认证。WPA2 与 WPA 的主要差别在于 WPA2 的加密算法使用 AES，而 WPA 使用 RC4。因此 WPA2 具备更高的安全性，建议使用。虽然采用了安全的加密算法，但接入密码是管理员统一设定的，因此难于管理并容易泄漏，不适合在大规模的企业无线网络中部署。Web认证连接SSID后，打开网页会弹出Web认证页面，输入用户名密码，通过认证后才可以上网。主要用来做广告营销，web 认证通常与开放式无线网络一起使用，也就是用户连接无线网络时，不需要任何认证。由于无线网络的流量未加密，因此 web 认证的无线网络，通常只用于非关键性的网络中，例如仅用于访客访问互联网，无法访问企业内部网络。当然，为了保护 web 认证过程中用户的密码，系统以 RSA 非对称加密的方式发送此密码。WPA（企业）认证无线终端在接入无线网络前，需要提供相应的身份证明。由于采用了用户身份认证，每个用户的凭据信息都由其自身进行管理，有效减少了凭据泄漏的可能性。用户每次接入无线网络后的数据加密密钥都是在认证过程中动态生成的，攻击者很难获取加密密钥，因此极大的提高了网络的安全性，成为高安全无线网络的首选接入方式。目录无线认证及安全概述1Web认证2Contents访客认证3WPA（企业）认证4角色授权5Web认证internet1.用户接入SSID，NAP把接入信息转发给NAC4集中控制器NAC2.NAC给用户登录web页面重定向到portal认证页面13.用户输入用户名密码，并把信息转发到NACPOE交换机34.NAC验证用户信息，认证通过，允许用户上网NAPNAPNAP2后勤办公室营销Web认证配置无线配置 | 无线网络 新增无线网络，认证类型选择开放式+Web认证，认证方式使用账号认证，选择默认广告模板，认证前角色调用只允许DNS的角色，账号认证选择本地用户。认证前只允许DNS，这样才会跳转到认证页面。本地用户配置在未部署集中的帐户数据库或认证服务器的环境中，无线网络的身份验证方法可以设置为本地用户认证。认证授权 | 本地用户 新增本地用户，按客户要求即可。可以批量导入用户。外部服务器配置如果在无线配置 | 无线网络 账号认证选择外部服务器，我们支持Radius和LDAP两种。认证授权 | 外部服务器 新增服务器，根据客户提供的参数填好即可。使用Radius方式认证， Radius服务器必须先添加这台设备作为NAS。目录无线认证及安全概述1Web认证2Contents访客认证3WPA（企业）认证4角色授权5访客认证在部署用于访客使用的无线网络时，为了简化用户体验，通常设置为开放式的无线网络。但单纯的开放式的无线网络，存在无法验证访客身份的问题，因此通常需要设置认证方式。此方式主要部署在公众访问的无线网络中，例如部署在机场，交通枢纽，医院，酒店，商场，学校等地方。免用户认证免用户认证是指访问无线网络时，访客无需认证，在广告页面点击登录按钮即可上网。访客连接无线网络的过程如下：连接到访客无线网络，例如无线网络名称为：Example-Guest。打开浏览器，访问任意网站，系统将把用户的浏览器重定向到认证页面。认证页面中，用户点击登录，直接上网。免用户认证方式的特点：认证页面中，可以设置企业的广告等展示信息，提高企业形象。对于上网用户特别多，简化了访客连接无线网络的体验。配置简单 无线配置 | 无线网络 访客认证选择免用户认证。临时访客认证此方式通常用于企业、酒店的访客无线网络认证，可以在访客登记后，接待人员创建一个临时帐号，并设置帐号的有效期。访客