AC的幾種安全認證方法

認證方式???????? 安全性 ????????????????????便捷性? ? ? ? ? ? ? 典型應用場景 ?? ????????????????所需配置

Portal認證??????????中 ?????????????????????????????????高? ?????????????訪客網絡、商場、???? ???Portal服務?????????????????????

??????????????????????????????????????????????????????????????????????????????????酒店等公共區域???? ????????器、認證頁面??

802.1X認證??????????高??????????????????????????????????中???????企業、政府、金融機構等 ? RADIUS服務

????????????????????????????????????????????????????????????????????????????對安全要求高的內部網絡 器、客戶端配置

PSK認證????????????????????中? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?高??????小型辦公室、家庭網絡??????預共享密鑰

MAC認證???????????????????低???????????????????????????????中??????設備數量少、對安全性要 MAC地址綁定

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 求不高的場景

WAPI認證??????????????????高??????????????????????????中低?????中國強制標準場景（如??????WAPI證書體系

??????????????????????????????????????????????????????????????????????????????????政府、軍工）

增強無線網絡安全的額外措施

數據加密：無論采用哪種認證，都應啟用強加密協議，如WPA3（首選）或WPA2，并避免使用已過時或不安全的加密方式（如WEP）。

SSID隱藏：雖然不能作為主要安全手段，但隱藏SSID可以降低網絡的可見性。

VLAN劃分：為不同的用戶群體（如員工、訪客、IoT設備）劃分不同的VLAN，并結合防火墻策略進行訪問控制，可以實現網絡隔離，限制潛在威脅的橫向移動。

定期更新固件：保持AC和AP的固件為最新版本，及時修補已知的安全漏洞。

日志與審計：啟用日志記錄功能，定期審計用戶接入行為和網絡事件，以便在發生安全事件時能夠追溯和排查。

Portal認證（門戶認證/captive portal）

用戶設備連接到無線網絡后，會自動彈出一個瀏覽器頁面（即Portal認證頁面）。

用戶需要在該頁面上進行身份驗證。驗證方式多樣：

??短信認證：輸入手機號獲取驗證碼。

??賬號密碼：輸入商家提供的臨時賬號。

??公眾號認證：掃碼關注公眾號后上網。

??點擊同意：只需點擊“同意用戶協議”按鈕。

認證通過后，AC/AP會開放該用戶的網絡訪問權限。

優點：

??用戶體驗友好：無需復雜配置，操作符合大眾上網習慣。

??靈活性強：認證頁面可以定制，用于投放廣告、收集信息、發布公告等。

??易于訪客管理：可以設置上網時長、流量限制等。

缺點：

??安全性較低：通常只用于授權，而非加密。用戶流量在認證前后可能都是明文的（除非結合其他加密方式）。

??依賴額外組件：需要部署Portal服務器。

??適用場景：酒店、機場、商場、咖啡館、校園訪客網絡等需要為訪客提供便捷上網服務的場景。

802.1X認證

802.1X認證（企業級認證）??

這是安全性最高的認證方式，廣泛應用于企業、政府、校園等對安全有嚴格要求的網絡。

工作原理（涉及三個角色）：

??客戶端（Supplicant）：需要接入網絡的用戶設備（如筆記本、手機），需安裝或內置802.1X客戶端（有時需要配置）。

??認證者（Authenticator）：AC/AP本身。它不直接處理認證，而是在客戶端和認證服務器之間轉發認證信息。

??認證服務器（Authentication Server）：通常是RADIUS服務器（如Windows AD、FreeRADIUS）。它存儲著用戶的賬號密碼或證書，并負責驗證用戶身份。

認證流程：

用戶連接SSID后，AC/AP會要求其進行身份驗證。

用戶輸入獨立的個人賬號和密碼（通常是公司域賬號）。

AC/AP將認證信息轉發給RADIUS服務器進行驗證。

RADIUS服務器驗證通過后，通知AC/AP允許該用戶接入。

用戶成功上網。

優點：

??極高的安全性：每個用戶有獨立賬號，支持強密碼和多種認證協議（如EAP-PEAP, EAP-TLS）。

??精細化管理：可以基于用戶或用戶組授權不同的網絡訪問權限（例如，經理和員工的網絡權限可以不同）。

??可審計性：每個用戶的接入行為都有記錄，便于追溯。

缺點：

部署復雜：需要搭建和維護RADIUS服務器。

??用戶體驗稍復雜：首次連接可能需要用戶手動配置認證方式或在電腦上安裝證書。

??適用場景：大中型企業、政府機構、學校、醫院等任何需要對內部員工進行嚴格身份認證和權限劃分的網絡。

PSK認證

PSK認證（預共享密鑰認證）??

這是最常見、最簡單的認證方式，家用Wi-Fi幾乎都采用此種方式。

工作原理：

在AC/AP上設置一個共享密鑰（即Wi-Fi密碼）。

用戶終端連接無線網絡時，輸入相同的密碼。

密碼驗證通過后，即可接入網絡。

優點：

配置簡單：無需額外服務器，只需在AP上設置密碼即可。

用戶易用：用戶只需記住密碼，操作方便。

缺點：

??安全性相對較低：所有用戶使用同一個密碼。密碼一旦泄露，所有設備都會面臨風險，且難以追溯責任人。

??管理困難：若要更改密碼，必須在所有設備上重新輸入，不適合大規模用戶群體。

??適用場景：家庭、小型辦公室、個人熱點等對安全要求不高、用戶可信且數量較少的環境。

MAC認證

工作原理：

網絡管理員提前將合法的終端MAC地址（設備的物理地址）添加到AC或RADIUS服務器的白名單中。

當終端嘗試連接網絡時，AC/AP會檢查其MAC地址是否在白名單內。

如果在，則允許接入；否則，拒絕連接。

優點：

??對用戶無感知：用戶無需輸入任何密碼，連接Wi-Fi后自動通過。

缺點：

??安全性極低：MAC地址極易被偵聽和偽造（MAC地址克隆）。

??管理繁瑣：每臺新設備接入都需要管理員手動錄入MAC地址，工作量巨大。

??適用場景：打印機、投影儀等少量、固定的IoT設備的接入，或對安全要求極低且設備數量很少的場景。一般不用于員工或訪客的認證。