無線網絡由於安全性比較低,企事業單位的無線組網需要考慮如下因素:
有線網段和無線網段互相隔離。
辦公無線和訪客無線也需要互相隔離。
每個網段的無線終端建議控制在150以內,避免廣播風暴。
員工內網要做接入認證或者設備綁定。
對訪客進行實名認證(可選)
一般採用這樣的網絡結構圖:
由於無線路由器的穩定性不高,所以主路由不推薦用無線設備。可以用一臺有線路由器做網關,後面串接上網行爲管理設備。也可以直接用上網行爲管理或者防火牆做網關。
推薦採用瘦AP的組網方式。通過AC控制器統一管理。
1. 劃分不同的VLAN
有線、辦公無線、訪客無線分別採用不同的VLAN。
配置防火牆策略,禁止訪客無線訪問內網。這樣可以有效的保障企業內網的信息安全,避免來歷不明的非法接入。
2. 綁定有線網段和辦公無線的網絡設備
對內網的訪問設備要進行嚴格的限制,即使無線密碼泄露,也可以避免不安全的設備接入到企業內網。
3. 對來賓的無線網段開啓實名認證
來賓必須經過實名認證纔可以上網,並且留存上網日誌。
綜上所述,這樣的網絡架構既滿足內網安全的需要,又可以對來賓進行實名認證並提供上網記錄審計和行爲管理等功能。