上網(wǎng)認證是網(wǎng)絡安全的基礎，只有認證后的終端才允許接入。對于企事業(yè)的局域網(wǎng)來說，比較常見的網(wǎng)絡認證方案包括802.1X、Web Portal認證，還有基于企業(yè)微信、釘釘?shù)鹊谌降腶pp認證。由于802.1X的認證方式需要支持802.1X的交換機設備，且配置比較復雜，對于大部分用戶來說并不適用。本文中，我將介紹利用WSG上網(wǎng)行為管理網(wǎng)關的Web Portal認證、第三方認證、訪客認證等功能。

1. IP-MAC綁定、MAC認證

最嚴格的限制就是IP-MAC綁定，只有允許的IP和MAC地址才允許通過。這樣限制最嚴格有效，但是管理和維護的工作量也比較大。所有新增的終端，都需要網(wǎng)管人員配置后才可以放行。

2. Web Portal認證方案

WSG上網(wǎng)行為管理網(wǎng)關的Web認證（Portal認證）支持多種用戶名認證方式，包括本地用戶（直接在WSG里面創(chuàng)建用戶和密碼）、AD域、郵箱認證、Radius認證等。如下圖：

開啟用戶名密碼認證后，終端必須要輸入正確的用戶名密碼才可以認證上網(wǎng)。

3. 企業(yè)微信、釘釘認證

企業(yè)微信和釘釘認證的流程是直接用app掃碼認證上網(wǎng)。需要在“企業(yè)微信、釘釘開發(fā)者平臺”中創(chuàng)建掃碼登錄應用，并且記錄AppID和AppSecret等配置。

上網(wǎng)時用app掃碼即可完成認證并上網(wǎng)。

4. 短信實名認證

對于開放的公共WiFi，您還可以用過短信認證方式，記錄手機號和上網(wǎng)記錄。如下圖：

5. 二維碼掃碼認證

對于公司的來訪人員，還有一個有效的認證手段就是二維碼認證。需要公司的接待人員用手機掃碼通過后才可以接入，這種認證方式需要人工參與才可以完成認證過程。如圖：

綜上所述，在部署上網(wǎng)認證系統(tǒng)時，重點考慮以下幾點：

1). 對有線辦公電腦和服務器可以直接用IP-MAC綁定、MAC認證上網(wǎng)。

2). 如果公司已經(jīng)有AD域等現(xiàn)有的賬號系統(tǒng)，可以采用用戶名密碼認證的方式。

3). 對內部人員采用企業(yè)微信、釘釘?shù)腶pp認證方式。

4). 對流動來訪人員采用短信認證的方式。

一般推薦有線、工作無線、來賓無線多VLAN分離，并且采用不同的認證方式。多種認證方式組合使用，從而達到最好的管控效果。