SANGFOR WLAN v1渠道初级认证培训08 WAC1.8新功能培训.ppt

Thank You！ WAC1.8新功能培训 培训内容 培训目标 WAC1.8新增功能 熟悉1.8版本的新增功能，能够熟练的进行配置 目录 微信认证 应用识别 终端识别 TCP协议栈加速 无线入侵防御系统WIPS 其它 目录 微信认证 何为微信认证？ 无线用户接入WIFI后，关注相应的微信公平号，即可通过认证上网 微信认证流程 1. 首先无线终端连入启用微信认证的SSID，此时无线终端被限制只能访问微信服务，如果访问web页面会被重定向至提示“请关注xxx公众号”的页面，其他服务流量均被阻断 2. 此时用户启动移动终端的微信APP，去关注指定的微信公众号，用户关注成功后，触发微信开发服务器的“用户关注”事件，服务器向用户推送认证链接（或认证图片） 3. 用户通过点击认证链接（或加载认证图片），触发指向无线控制器的认证请求，其中认证URL中包含加密过的用户信息（微信昵称或者MAC地址） 4. 无线控制器收到用户的认证请求后，记录用户信息，使用户通过认证，并下发用户认证后角色 5. 用户终端通过认证，可以正常访问Internet 微信认证部署流程 搭建微信PHP服务器，可以使用云平台，如新浪云、百度云等。 2. 修改代码，并且上传到微信服务器。 3. 申请微信公众号，进入开发者中心，修改相应的参数。 4. 在控制器上配置微信认证。 微信后台服务器配置 【申请新浪账号】- 【创建新应用】-【初始化MySQL】-【上传代码】(代码勿外传） 微信公众号 【订阅号】 1. 普通用户即可申请，需要上传身份证照片进行实名认证 2. 支持消息群发（每天1条），支持开发者模式，支持基本开发接口 不支持自定义菜单 3.认证通过后，获取用户终端MAC地址作为用户名 【认证订阅号】 1.功能与普通订阅号相同，付费后成为认证订阅号，可支持自定义菜单 2.认证通过后，获取用户终端MAC地址作为用户名 ? 【服务号】 1. 开通服务号即需要付费才能开通 2. 支持消息群发（每月4条），支持开发者模式，支持微信开发高级接口，可支持自定义菜单 3.获取用户昵称作为用户名 微信公众平台 进入开发者中心，修改相应的参数，URL及Token（服务号还需要AppID，及AppSecret） 微信认证配置-无线网络配置 【无线配置】- 【无线网络】-【新增无线网络】 微信认证配置-认证页面 目录 微信认证 应用识别 应用识别 务必升级到最新识别库 URL可新增自定义URL，可在应用中调用 应用识别-禁用QQ案例 认证授权菜单下：【新增访问控制】- 【新建应用规则】-【选择应用】-【角色授权】- 【新增角色】-【在无线配置新增无线网络中调用角色规则】 目录 微信认证 应用识别 终端识别 终端识别 三种方式：【终端接入验证】、【不同终端设置不同vlan】、【不同终端设置不同角色】 终端识别案例-不同终端设置不同vlan 【新增无线网络】- 【终端验证】-【vlan设置】-【其它按要求配置】 目录 微信认证 应用识别 终端识别 TCP协议栈加速 TCP协议栈加速介绍 1、协议栈加速支持基于服务器端口的TCP加速，可配置对指定的IP或网段进行加速，解决无线环境丢包导致的TCP速率下降，保证企业办公的核心业务的速度。 2、需要单独的序列号进行授权。 3、通过优化TCP协议，解决一些TCP协议本身的缺陷，来实现加速的效果。核心部分就是对拥塞算法做优化。如慢启动，拥塞避免，快速重传，快速恢复等。 TCP协议栈加速 协议栈加速功能只支持集中转发的无线网络 目录 微信认证 应用识别 终端识别 TCP协议栈加速 无线入侵防御系统WIPS 无线入侵防御系统WIPS 1.钓鱼AP：就是一些AP上面部署了和系统AP上面相同或相似的无线网络去诱导我们接入，在接入这些AP后我们输入的账号和密码就可以轻意的被窃取，钓鱼AP检测和反制功能就是针对这种情况做的。 2.AD-Hoc：是无线网络的一种工作模式，是P2P连接，当无线终端以这种方式相连，通信时就可以无需借助其它设备了，这样很容易导致公司内部资料泄漏，AD-Hoc检测功能可以有效的检测到这种无线网络。 3.干扰的邻居AP：指的是那种没有攻击目，但其信号会对系统AP造成一定干扰的AP，邻居AP检测功能会对这种AP给出一个有效的提示。 4.BSSID冲突：指的是有些AP上建的WLAN的BSSID会和系统AP上WLAN的一样，这样的话就有可能导致系统AP上建的WLAN接入不了，BSSID冲突检测功能可以检测到这种情况，如果已经明确该AP是故意这样做，那就可以用反制钓鱼AP的功能来对其进行反制。 AP工作模式设为Monitor或Hybrid，如果要进行反制， AP工作模式必须设为Monitor。