如果天网将在明天接管,我担心所有尚未将其无线网络接入其用户的移动设备的人们。这些设备将打开您的电源,并且可能因无法访问而怀恨在心。
为帮助您避免先被奴役并用作有机电池,哎呀,对不起,电影专营权... 或让您有机会加入John Connor领导的抵抗力量。我将指出5个组成部分,以为您的WLAN提供BYOD解决方案。
开始任何BYOD实施之前,请先清楚了解您要执行的操作 BYOD政策 是。这意味着确定您将允许谁访问,他们将有权访问哪些设备以及他们将使用哪些设备进行访问。
概述之后,就可以开始将BYOD解决方案与五个建议组件组合在一起。
1. 首先,实施一种身份验证和加密方案,该方案易于部署,易于用户使用并且对网络非常安全。我强烈建议对WPA2-AES加密使用802.1x身份验证。这是迄今为止最安全的身份验证和加密方法,可以设置为使用计算机身份验证和/或用户身份验证来提供对网络的特定访问级别。还可以将MAC身份验证和证书添加到组合中,以实现不同的安全级别。
2. 其次,我建议实施或部署WLAN解决方案,让您 基于角色的访问控制(RBAC)。 RBAC允许您根据设备的身份验证方式为其分配角色。如果使用机器和用户信息对设备进行了身份验证,则会为其分配一个角色,例如员工。如果仅使用用户凭据对设备进行身份验证,则会为其分配另一个角色,例如学生。一旦定义了设备的角色,就可以对其应用访问控制规则。
3. 这带给我第三点建议,那就是为您的WLAN使用适当的BYOD解决方案,即使用带有 集成防火墙。通过将防火墙集成到WLAN解决方案中,您可以为网络上的设备定义访问控制列表。在第二个建议中,我指出了如何定义一个员工而不是一个学生。
定义用户或设备角色后,您将可以对角色应用一组规则。例如,可以授予雇员对网络的全部允许访问权限,因为您知道他们正在使用公司的便携式计算机(机器身份验证),并且您还知道他们是谁(用户身份验证)。
但是,由于学生仅通过了用户身份验证,因此将给予他们不同的访问策略,该策略可能仅允许HTTP / HTTPS访问Internet并拒绝访问校园子网。
4. 对于成功推出BYOD的第四项建议是了解什么 类型 of devices are accessing your network. Device profiling or fingerprinting are functions that will allow you to see the different devices; iPad, Android phone, Kindle Fire, etc… that are on the network as well as the 类型 of OS’es being used; Win7, MacOS. AOS, etc… If you want to block all devices except for iOS devices (iPads, iPods, iPhones) then you are going to want to have device profiling or fingerprinting.
5. 最后,我建议作为对设备及其用户实施某种类型的自动注册的第五条建议。自动注册组件将使您的IT部门不被配置用户设备的请求所淹没。最终用户将使用其设备连接到公司或园区的SSID,并使用其用户凭据登录。
系统将配置设备,将设备注册给用户,然后根据您的BYOD策略将其移至适当的角色。在决定让您的用户使用其个人设备访问网络时,需要考虑许多因素。
我在这里详细介绍的组件将帮助您成功执行这些决定,并使您不再是天网的财产。
如果您正在考虑BYOD, 安全边缘 专门研究当今移动网络基础架构的设计,实施和支持。如果您需要与某人讨论如何处理这些问题,可以 在这里联系我们.