AC的几种安全认证方法

认证方式         安全性                     便捷性              典型应用场景                    所需配置

Portal认证        ​​中                                  高               访客网络、商场、        Portal服务                     

                                                                                  酒店等公共区域             器、认证页面  

802.1X认证​         高                                  中       企业、政府、金融机构等   RADIUS服务

                                                                            对安全要求高的内部网络 器、客户端配置

PSK认证​​                  中                               高      小型办公室、家庭网络      预共享密钥

MAC认证​​                 低                               中      设备数量少、对安全性要 MAC地址绑定

                                                                            求不高的场景

WAPI认证​​                高                          中低     中国强制标准场景（如      WAPI证书体系

                                                                                  政府、军工）

增强无线网络安全的额外措施

数据加密：无论采用哪种认证，都应启用强加密协议，如WPA3（首选）或WPA2，并避免使用已过时或不安全的加密方式（如WEP）。

SSID隐藏：虽然不能作为主要安全手段，但隐藏SSID可以降低网络的可见性。

VLAN划分：为不同的用户群体（如员工、访客、IoT设备）划分不同的VLAN，并结合防火墙策略进行访问控制，可以实现网络隔离，限制潜在威胁的横向移动。

定期更新固件：保持AC和AP的固件为最新版本，及时修补已知的安全漏洞。

日志与审计：启用日志记录功能，定期审计用户接入行为和网络事件，以便在发生安全事件时能够追溯和排查。

Portal认证（门户认证/captive portal）

用户设备连接到无线网络后，会自动弹出一个浏览器页面（即Portal认证页面）。

用户需要在该页面上进行身份验证。验证方式多样：

​​短信认证：输入手机号获取验证码。

​​账号密码：输入商家提供的临时账号。

​​公众号认证：扫码关注公众号后上网。

​​点击同意：只需点击“同意用户协议”按钮。

认证通过后，AC/AP会开放该用户的网络访问权限。

优点：

​​用户体验友好：无需复杂配置，操作符合大众上网习惯。

​​灵活性强：认证页面可以定制，用于投放广告、收集信息、发布公告等。

​​易于访客管理：可以设置上网时长、流量限制等。

缺点：

​​安全性较低：通常只用于授权，而非加密。用户流量在认证前后可能都是明文的（除非结合其他加密方式）。

​​依赖额外组件：需要部署Portal服务器。

​​适用场景：酒店、机场、商场、咖啡馆、校园访客网络等需要为访客提供便捷上网服务的场景。

802.1X认证

802.1X认证（企业级认证）​​

这是安全性最高的认证方式，广泛应用于企业、政府、校园等对安全有严格要求的网络。

工作原理（涉及三个角色）：

​​客户端（Supplicant）：需要接入网络的用户设备（如笔记本、手机），需安装或内置802.1X客户端（有时需要配置）。

​​认证者（Authenticator）：AC/AP本身。它不直接处理认证，而是在客户端和认证服务器之间转发认证信息。

​​认证服务器（Authentication Server）：通常是RADIUS服务器（如Windows AD、FreeRADIUS）。它存储着用户的账号密码或证书，并负责验证用户身份。

认证流程：

用户连接SSID后，AC/AP会要求其进行身份验证。

用户输入独立的个人账号和密码（通常是公司域账号）。

AC/AP将认证信息转发给RADIUS服务器进行验证。

RADIUS服务器验证通过后，通知AC/AP允许该用户接入。

用户成功上网。

优点：

​​极高的安全性：每个用户有独立账号，支持强密码和多种认证协议（如EAP-PEAP, EAP-TLS）。

​​精细化管理：可以基于用户或用户组授权不同的网络访问权限（例如，经理和员工的网络权限可以不同）。

​​可审计性：每个用户的接入行为都有记录，便于追溯。

缺点：

部署复杂：需要搭建和维护RADIUS服务器。

​​用户体验稍复杂：首次连接可能需要用户手动配置认证方式或在电脑上安装证书。

​​适用场景：大中型企业、政府机构、学校、医院等任何需要对内部员工进行严格身份认证和权限划分的网络。

PSK认证

PSK认证（预共享密钥认证）​​

这是最常见、最简单的认证方式，家用Wi-Fi几乎都采用此种方式。

工作原理：

在AC/AP上设置一个共享密钥（即Wi-Fi密码）。

用户终端连接无线网络时，输入相同的密码。

密码验证通过后，即可接入网络。

优点：

配置简单：无需额外服务器，只需在AP上设置密码即可。

用户易用：用户只需记住密码，操作方便。

缺点：

​​安全性相对较低：所有用户使用同一个密码。密码一旦泄露，所有设备都会面临风险，且难以追溯责任人。

​​管理困难：若要更改密码，必须在所有设备上重新输入，不适合大规模用户群体。

​​适用场景：家庭、小型办公室、个人热点等对安全要求不高、用户可信且数量较少的环境。

MAC认证

工作原理：

网络管理员提前将合法的终端MAC地址（设备的物理地址）添加到AC或RADIUS服务器的白名单中。

当终端尝试连接网络时，AC/AP会检查其MAC地址是否在白名单内。

如果在，则允许接入；否则，拒绝连接。

优点：

​​对用户无感知：用户无需输入任何密码，连接Wi-Fi后自动通过。

缺点：

​​安全性极低：MAC地址极易被侦听和伪造（MAC地址克隆）。

​​管理繁琐：每台新设备接入都需要管理员手动录入MAC地址，工作量巨大。

​​适用场景：打印机、投影仪等少量、固定的IoT设备的接入，或对安全要求极低且设备数量很少的场景。一般不用于员工或访客的认证。