如何加强来宾无线网络的安全管理

今天，大多数企业级的WLAN产品和许多SMB产品都提供了内置的客户管理功能，从简单的强制性网络门户和防火墙过滤到流量整形和独特的客户登录，这些产品可以在没有IT帮助的情况下自动生成。

例如，我们看的企业级WLAN云控制器的Meraki提供客人管理能力。为了创造Meraki客人无线局域网，我们需要开始指令配置一个SSID，如点击或登录页开始。如果开始选择页，用户将被重定向一个自定义的输入和登录输入用户名和密码。

来宾开始创建三个选择：第一，管理员配置来宾帐户。第二，来宾可以添加或删除来宾帐户，但不能进行其他更改。第三、允许客人在入口提示页上使用自己的帐户，并须经管理员批准。

控制用户活动，实现来宾无线局域网的安全性

下一步是控制登录用户的活动。考虑是否强制网络门户需要用户运行杀毒软件，然后设置允许目的地端口和URL，选择性地增加带宽的限制和有线/无线属性。最后，考虑交通需要桥接VLAN或路由网络当本地局域网接入，允许或不允许的。云控制器可以分析交通看到客人使用无线网络。

这些功能通常适用于未加密的无线网络中的客人，但也可以与wpa2-psk.setting了PSK可以减少拒绝服务攻击和防止外部检测加密。然而，传统的PSK是每个用户共享，他们无法跟踪或取消个别客人跟踪。然而，有些产品为每个用户提供动态PSK，如Ruckus DPSK，Aerohive PPSK，解决这样的问题。

例如，Ruckus的无线局域网可以设置为每个客人一个独特的DPSK。谁有权访问企业网络可以申请Ruckus客人允许通过一个Web窗体的任何用户。每个访问者的权限提供了他们的打印指令，包括客人的姓名，客人说，客人只DPSK和到期日期。这些设置，甚至可以自动安装在Windows系统中，OS X和iPhone的客户，有效地避免了手动设置和可能出现的错误。一旦生效，将自动终止或DPSK被取消，不影响其他使用。

来宾无线网络上的设备完整性检查

这些游客管理策略可以提供对无线局域网的良好的可视性和可控的行，包括什么客人可以访问哪些资源可以利用，但是，更需要采取措施防止损坏由客人引起的感染病毒感染。据加特纳说，3 / 4的网络访问控制配置是解决这种威胁。

虽然无线客户端没有阻断感染的来宾无线局域网所需要做的，但客人的设备会造成更大的风险，因为他们没有IT部门的管理，一般不能被强制安装的软件或配置IT部门，甚至不能暂时的完整性检查。例如，强制网络入口可以使用ActiveX控件来快速查看客人是否正在运行一个授权的杀毒软件。然而，ActiveX控件不能查看非Windows客户设备或锁定浏览器。

对一些企业来说，使用Windows的客人的完整性检查是不够的，毕竟，在Windows病毒更为常见，但其他公司可能倾向于停止，不能检查或限制他们的客人（例如，HTTP，不能访问内部网）。第三可以使用NAC或入侵检测产品，如ForeScout的抵消，或者，布拉德福德网络哨兵，他们可以运行的基础checks.nac设备可以集成到现有的无线网络设施提供访客管理网络访问控制策略。如果客户端被病毒威胁或违反策略检测到，它将立即被切断。

总之，企业级客户的网络必须有高效的用户管理控制，使其符合企业标准，他们必须提供解决方案，为突发事件和有效的跟踪方案。这些策略，企业可以安全地和安全地提供网络商、合作伙伴、客户和其他客人的认可而不用担心一切。