阿里云改版后，AccessKey的管理已經(jīng)移到賬號(hào)的“權(quán)限和安全”中，如下圖：

為了網(wǎng)絡(luò)安全的需要，很多企事業(yè)單位都在局域網(wǎng)內(nèi)部署了上網(wǎng)認(rèn)證系統(tǒng)。但是怎樣來選擇一套適合自己的上網(wǎng)認(rèn)證系統(tǒng)呢？我建議從以下方面來考慮：

1. 可選擇的多種認(rèn)證手段。需要和對(duì)內(nèi)部員工、來訪人員提供不同的認(rèn)證手段。
   

2. 認(rèn)證方式的選擇。如果是企業(yè)內(nèi)部員工認(rèn)證，建議用戶名密碼認(rèn)證。如果是流動(dòng)人員或者訪客，建議使用短信認(rèn)證（記錄手機(jī)號(hào)）

3. 可以和認(rèn)證集成的上網(wǎng)審計(jì)系統(tǒng)。做了認(rèn)證但是不記錄上網(wǎng)日志是沒有意義的。必須要部署和認(rèn)證系統(tǒng)集成的上網(wǎng)審計(jì)系統(tǒng)，能把上網(wǎng)記錄和認(rèn)證的用戶名關(guān)聯(lián)到一起，做到有據(jù)可查。這才是認(rèn)證的意義所在。

上網(wǎng)認(rèn)證是網(wǎng)絡(luò)安全的基礎(chǔ)，只有認(rèn)證后的終端才允許接入。對(duì)于企事業(yè)的局域網(wǎng)來說，比較常見的網(wǎng)絡(luò)認(rèn)證方案包括802.1X、Web Portal認(rèn)證，還有基于企業(yè)微信、釘釘?shù)鹊谌降腶pp認(rèn)證。由于802.1X的認(rèn)證方式需要支持802.1X的交換機(jī)設(shè)備，且配置比較復(fù)雜，對(duì)于大部分用戶來說并不適用。本文中，我將介紹利用WSG上網(wǎng)行為管理網(wǎng)關(guān)的Web Portal認(rèn)證、第三方認(rèn)證、訪客認(rèn)證等功能。

WSG的訪客認(rèn)證主要包括三種認(rèn)證方式：

1. 短信認(rèn)證；通過短信平臺(tái)發(fā)送短信來驗(yàn)證用戶手機(jī)號(hào)，從而實(shí)現(xiàn)實(shí)名認(rèn)證的需要。

2. 微信小程序認(rèn)證；終端需要在微信小程序中授權(quán)獲取手機(jī)號(hào)，從而記錄手機(jī)號(hào)實(shí)名上網(wǎng)。

3. 二維碼認(rèn)證；終端需要把二維碼提供給審核人員，審核人員人工審核后上網(wǎng)。

WSG的短信認(rèn)證可以對(duì)網(wǎng)絡(luò)內(nèi)部終端進(jìn)行實(shí)名上網(wǎng)認(rèn)證，短信認(rèn)證的配置截圖如下：

企業(yè)在規(guī)劃網(wǎng)絡(luò)架構(gòu)時(shí)，一般都會(huì)區(qū)分員工網(wǎng)絡(luò)和訪客網(wǎng)絡(luò)，并且實(shí)現(xiàn)不同的上網(wǎng)認(rèn)證方式，比如員工采用用戶名密碼認(rèn)證，訪客采用短信實(shí)名認(rèn)證。但是有些網(wǎng)絡(luò)由于設(shè)計(jì)缺陷，不區(qū)分內(nèi)部員工和訪客，為了實(shí)現(xiàn)上網(wǎng)認(rèn)證，需要對(duì)同一個(gè)網(wǎng)段同時(shí)啟用短信認(rèn)證和用戶名認(rèn)證。本文中，我將介紹如何同時(shí)啟用短信認(rèn)證和用戶名認(rèn)證。

WSG上網(wǎng)行為管理的“IP-MAC綁定”功能非常強(qiáng)大，可以實(shí)現(xiàn)IP-MAC綁定、ARP綁定、分配靜態(tài)IP等功能。但是配置IP-MAC綁定需要預(yù)先收集mac地址并且分配IP，還是有一定的工作量的。在本文中，我將介紹基于用戶認(rèn)證的IP-MAC綁定功能，其實(shí)現(xiàn)原理是：“用戶一旦認(rèn)證成功就會(huì)自動(dòng)配置IP-MAC綁定”，這樣不但實(shí)現(xiàn)了用戶認(rèn)證，而且固定了IP和mac地址；可以說是IP-MAC綁定的一個(gè)有效功能補(bǔ)充。具體的步驟如下：

根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》（第十條、第二十一條、第二十四條）、《中華人民共和國反恐怖主義法》（第十九條、第二十一條）、《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》(第十條、第十一條、第十二條、第十七條)、《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》(第七條、第八條、第十一條)等相關(guān)法律規(guī)定：

1. 提供WiFi上網(wǎng)服務(wù)的公共場所，必須落實(shí)上網(wǎng)實(shí)名認(rèn)證。

2. 提供上網(wǎng)服務(wù)的公共場所，必須至少保存六十天的上網(wǎng)記錄備份。

短信實(shí)名認(rèn)證是目前最穩(wěn)定、最普遍的實(shí)名認(rèn)證方案。對(duì)于絕大部分WiFi網(wǎng)絡(luò)而言，只需要在網(wǎng)絡(luò)出口處部署一臺(tái)WSG上網(wǎng)行為管理設(shè)備，就可以同時(shí)實(shí)現(xiàn)短信認(rèn)證和上網(wǎng)記錄的功能，滿足網(wǎng)絡(luò)安全法的安全要求。WSG上網(wǎng)行為管理的WiFi短信認(rèn)證方案，具備如下優(yōu)勢：

1. 一臺(tái)設(shè)備就可以滿足認(rèn)證+審計(jì)+安全的功能需求。
   

2. 對(duì)內(nèi)網(wǎng)的網(wǎng)絡(luò)設(shè)備沒有要求，不需要更改現(xiàn)有的無線方案。

3. 透明部署、即插即用。

網(wǎng)絡(luò)拓?fù)鋱D如下：

采用釘釘做上網(wǎng)實(shí)名認(rèn)證存在很多優(yōu)勢，比如：

1. 可以直接利用釘釘中現(xiàn)有的組織架構(gòu)，不需要另行創(chuàng)建認(rèn)證的賬號(hào)。
   

2. 和短信認(rèn)證相比，不會(huì)產(chǎn)生費(fèi)用。

3. 電腦和手機(jī)都可以支持。

4. 可以自動(dòng)獲取并記錄釘釘?shù)膯T工姓名。

5. 可以基于釘釘員工姓名配置上網(wǎng)策略和統(tǒng)計(jì)。

在“域賬號(hào)”中，我們介紹了在server 2003/2008下如何設(shè)置adclient登錄注銷腳本。如果您用的是server 2016之后的windows系統(tǒng)，配置步驟略有差異。本文將介紹如何在server 2016下配置登錄注銷腳本。具體步驟如下：

1. 打開組策略編輯器

右鍵點(diǎn)擊“組策略管理”中域的“組策略對(duì)象”下面的“Default Domain Policy”。

本文將介紹如何用阿里云的短信服務(wù)來實(shí)現(xiàn)WiFi上網(wǎng)實(shí)名認(rèn)證。

1. 申請(qǐng)阿里云賬號(hào)并完成實(shí)名認(rèn)證

首先你要申請(qǐng)一個(gè)阿里云賬號(hào)，因?yàn)槎绦欧?wù)是需要審核的，所以賬號(hào)最好要用企業(yè)為主體并且完成實(shí)名認(rèn)證。如果是個(gè)人賬號(hào)，那么申請(qǐng)短信簽名和模板時(shí)，流程會(huì)復(fù)雜一些。企業(yè)主體完成實(shí)名認(rèn)證后，界面是這樣的：

2. 申請(qǐng)短信服務(wù)

然后在“產(chǎn)品和服務(wù)”中選擇“短信服務(wù)”，并且購買適合的套餐。

采用企業(yè)微信做上網(wǎng)實(shí)名認(rèn)證存在很多優(yōu)勢，比如：

1. 可以直接利用企業(yè)微信中現(xiàn)有的組織架構(gòu)，不需要另行創(chuàng)建認(rèn)證的賬號(hào)。
   

2. 和短信認(rèn)證相比，不會(huì)產(chǎn)生費(fèi)用。

3. 電腦和手機(jī)都可以支持。

4. 可以自動(dòng)獲取并記錄企業(yè)微信的員工姓名。

5. 可以基于企業(yè)微信員工姓名配置上網(wǎng)策略和統(tǒng)計(jì)。

WSG上網(wǎng)行為管理網(wǎng)關(guān)的“短信認(rèn)證”功能，可以對(duì)網(wǎng)內(nèi)的終端進(jìn)行短信實(shí)名認(rèn)證，記錄手機(jī)號(hào)以及對(duì)應(yīng)的上網(wǎng)內(nèi)容。在有些情況下，用戶需要指定短信認(rèn)證的手機(jī)號(hào)，未授權(quán)的手機(jī)號(hào)不允許做短信認(rèn)證。在本文中，我將結(jié)合WSG的短信認(rèn)證功能，來介紹如何限制認(rèn)證的手機(jī)號(hào)碼。

1. 編輯認(rèn)證頁面

在“web認(rèn)證”-“第三方認(rèn)證”的短信認(rèn)證中，點(diǎn)擊“編輯認(rèn)證頁面”，可以看到認(rèn)證頁面信息。如下圖：

企業(yè)的網(wǎng)絡(luò)環(huán)境有很多重要信息，不能被未授權(quán)的用戶訪問到，也不能泄露到外網(wǎng)。所以，很多企業(yè)對(duì)公司的WiFi使用，都要求手機(jī)進(jìn)行實(shí)名認(rèn)證，只有認(rèn)證過的手機(jī)才可以接入。并且記錄上網(wǎng)內(nèi)容和上網(wǎng)策略。本文中，我將介紹如何用WSG上網(wǎng)行為管理網(wǎng)關(guān)來實(shí)現(xiàn)內(nèi)部手機(jī)的實(shí)名上網(wǎng)。

出于安全目的和相關(guān)政策要求，大部分WiFi都需要對(duì)WiFi終端進(jìn)行上網(wǎng)實(shí)名認(rèn)證，并且保留一定時(shí)間內(nèi)終端的上網(wǎng)記錄。實(shí)名認(rèn)證目前主要都是通過短信認(rèn)證來實(shí)現(xiàn)。在本文中，我將介紹如何用微信小程序來實(shí)現(xiàn)WiFi上網(wǎng)實(shí)名認(rèn)證。微信小程序做上網(wǎng)實(shí)名認(rèn)證具備如下優(yōu)勢：

1. 配置簡單快捷。
   

2. 無需依賴其他平臺(tái)。

3. 不產(chǎn)生任何費(fèi)用。

相關(guān)的配置步驟如下：

酒店和賓館WiFi出于安全目的和政策要求，需要對(duì)WiFi終端進(jìn)行上網(wǎng)實(shí)名認(rèn)證，并且保留終端上網(wǎng)的上網(wǎng)記錄。WSG上網(wǎng)行為管理網(wǎng)關(guān)，既可以滿足上網(wǎng)日志的記錄，又可以實(shí)現(xiàn)上網(wǎng)實(shí)名認(rèn)證，是公共WiFi上網(wǎng)行為管理的首選產(chǎn)品。在本文中，我將介紹如何結(jié)合客戶實(shí)際的網(wǎng)絡(luò)環(huán)境來部署WSG上網(wǎng)行為管理網(wǎng)關(guān)。主要包括如下步驟：

1. WSG上網(wǎng)行為管理的部署
   

2. 上網(wǎng)日志的保留天數(shù)

3. 開啟實(shí)名認(rèn)證

4. 制作實(shí)名認(rèn)證的二維碼

局域網(wǎng)內(nèi)部有一些查詢資料的公共電腦，一般是多人使用。出于安全考慮，需要記錄每個(gè)人的上網(wǎng)記錄。WFilter NGF（WSG網(wǎng)關(guān)）默認(rèn)配置就可以記錄上網(wǎng)內(nèi)容，但是因?yàn)楣搽娔X人員不固定，所以需要配合Web認(rèn)證。本文中，我將介紹如何用Web認(rèn)證來對(duì)內(nèi)網(wǎng)公共電腦進(jìn)行實(shí)名上網(wǎng)記錄。

內(nèi)部的實(shí)名認(rèn)證，主要有如下方式：

1. 用戶名密碼認(rèn)證。可以在“賬號(hào)管理”里面添加賬號(hào)；如果公司有現(xiàn)成的AD域、企業(yè)郵箱、Radius等；也可以配置WSG到域/radius/郵箱認(rèn)證。
   

2. 釘釘認(rèn)證、企業(yè)微信認(rèn)證。可以直接用手機(jī)釘釘app或者手機(jī)微信app掃碼認(rèn)證。

在企事業(yè)的WiFi環(huán)境中，需要對(duì)手機(jī)的上網(wǎng)進(jìn)行實(shí)名管理，記錄上網(wǎng)內(nèi)容并且設(shè)置一定的管理策略。本文中，我將介紹如何用WSG上網(wǎng)行為管理網(wǎng)關(guān)來對(duì)WiFi手機(jī)上網(wǎng)進(jìn)行實(shí)名管理。

手機(jī)的上網(wǎng)實(shí)名認(rèn)證，主要包括如下方法：

1. MAC綁定；把手機(jī)的MAC地址綁定到姓名。

2. 短信認(rèn)證；通過短信認(rèn)證來獲取手機(jī)號(hào)，基于手機(jī)號(hào)進(jìn)行實(shí)名。

3. 用戶名密碼認(rèn)證；手機(jī)上網(wǎng)時(shí)需要輸入用戶名密碼，從而認(rèn)證到每個(gè)人。

4. 二維碼認(rèn)證；由審核員掃描二維碼進(jìn)行審核并且錄入姓名。

5. 釘釘、企業(yè)微信認(rèn)證；用釘釘app和企業(yè)微信app掃碼認(rèn)證上網(wǎng)。
   

6. 微信小程序認(rèn)證；通過微信小程序獲取手機(jī)號(hào)碼，從而實(shí)現(xiàn)實(shí)名上網(wǎng)。
   

每個(gè)方法各有優(yōu)缺點(diǎn)，用戶可以基于實(shí)際情況選擇合適的認(rèn)證方式。

企業(yè)的無線網(wǎng)絡(luò)經(jīng)常會(huì)迎來一些訪客，如果對(duì)訪客不進(jìn)行用戶實(shí)名認(rèn)證和上網(wǎng)記錄，則會(huì)給企業(yè)的網(wǎng)絡(luò)帶來一定的風(fēng)險(xiǎn)。WSG的WiFi上網(wǎng)實(shí)名認(rèn)證，可以支持“用戶名密碼認(rèn)證”“短信認(rèn)證”、“釘釘認(rèn)證”、“企業(yè)微信認(rèn)證”。

WFilter NGF（WSG硬件網(wǎng)關(guān)）的“Web認(rèn)證”模塊中，我們新增了“重定向HTTPS”的功能。對(duì)于未經(jīng)認(rèn)證的HTTPS訪問，一樣可以重定向到認(rèn)證地址。具體配置如下圖：

之前我們介紹過如何用釘釘認(rèn)證和企業(yè)微信認(rèn)證來實(shí)現(xiàn)企業(yè)內(nèi)部的實(shí)名上網(wǎng)認(rèn)證。此外郵箱認(rèn)證也是企業(yè)進(jìn)行wifi實(shí)名認(rèn)證的一個(gè)有效手段。因?yàn)楹芏嗥髽I(yè)都給員工開通了企業(yè)郵箱，直接讓員工輸入郵箱賬號(hào)和密碼進(jìn)行認(rèn)證上網(wǎng)。配置、使用和維護(hù)都相對(duì)比較簡單。

本文我將介紹企業(yè)郵箱進(jìn)行wifi實(shí)名認(rèn)證的具體步驟。本例中用的是163的企業(yè)郵箱。

在本文中，我將介紹如何用WSG上網(wǎng)行為管理網(wǎng)關(guān)結(jié)合中國移動(dòng)的10086云MAS平臺(tái)，來實(shí)現(xiàn)局域網(wǎng)WiFi實(shí)名認(rèn)證。

1. 首先要在10086云MAS平臺(tái)中創(chuàng)建短信接口用戶。

“MAC地址認(rèn)證”通過客戶機(jī)的MAC地址來對(duì)客戶端進(jìn)行身份認(rèn)證，只有通過認(rèn)證的客戶端設(shè)備才可以訪問網(wǎng)絡(luò)以及服務(wù)器資源。網(wǎng)絡(luò)結(jié)構(gòu)圖如下：

由于政策要求和網(wǎng)絡(luò)安全的需要，現(xiàn)在絕大部分的酒店無線WiFi都要求實(shí)名認(rèn)證。只有實(shí)名認(rèn)證過的設(shè)備才允許連接酒店的WiFi網(wǎng)絡(luò)，并且記錄和留存該終端的上網(wǎng)內(nèi)容。

一般來說實(shí)名認(rèn)證都采用短信認(rèn)證的方式，由于手機(jī)號(hào)是已經(jīng)經(jīng)過實(shí)名認(rèn)證的，記錄手機(jī)號(hào)就等于是實(shí)現(xiàn)了實(shí)名認(rèn)證上網(wǎng)。網(wǎng)絡(luò)結(jié)構(gòu)可以采用如下的部署方式，用一臺(tái)WSG上網(wǎng)行為管理做主路由（也可以做透明網(wǎng)橋部署）。

不管是企業(yè)內(nèi)網(wǎng)的私有WiFi，還是公共WiFi網(wǎng)絡(luò)；出于安全性需要以及相關(guān)政策法規(guī)的要求，都要對(duì)WiFi無線上網(wǎng)的用戶進(jìn)行實(shí)名認(rèn)證。本文中，我將結(jié)合WSG上網(wǎng)行為管理網(wǎng)關(guān)介紹如何實(shí)現(xiàn)無線WiFi的實(shí)名認(rèn)證。

1. 微信連WiFi

騰訊從2014年推出的微信WiFi服務(wù)，可以用微信掃碼進(jìn)行認(rèn)證，從而記錄微信的openid。不過由于apple公司的接口調(diào)整，微信WiFi已經(jīng)暫停服務(wù)。所以通過微信來進(jìn)行實(shí)名認(rèn)證已經(jīng)不可行了。