從簡單的cisco的端口安全到接口EOU認證，再到DOT1X認證在終端安全領域不斷的交替更新。 隨著社會的不斷發展，安全性的要求不斷提升。 終端規範化這種趨勢在默默的進行著，同時入侵手段也是同步發展，使這個終端安全行業不斷地發展。

在中國，無現金支付已經成為潮流，能把這樣一個系統做成潮流，也算是改變了生活的方式。 在這樣的一個環境中， 無線的發展成為了一個啟動器，推動著這個風車不斷的轉動。 它將企業的安全帶到了外面，讓每個人的安全意識得到了有力的提高。 有人說網絡的價值，是信息的交換， 但是現在看來變成了一種習慣，一種生活習慣。

就最近工作中的瑣事，發表一些看法。 總是從事終端安全工作，給我的感受就是坑。 網上有句話說的好，甲方的桌面運維就是修電腦的，乙方的實施就是幫助甲方修電腦的。 下面就802.1x認證和網關認證做一個案例結合目前企業底層網絡形勢進行分析。

客戶需求：

1、內網用戶設備必須符合內部規範要求。

2、不合規設備禁止入網，需要有審計記錄，並且需要讓該設備跳轉指定URL。

3、防止端口終端設備仿冒接入。

4、針對外部人員以訪客模式進行限制權限進行放行。

5、移動端設備使用無線收發短信驗證方式登錄企業外網。

分析：

1、設備規範，這個是個蛋疼的問題。 要規範就必須檢測，要檢測，就要裝軟件，裝軟件就意味著有一波處理問題，還好有外包去裝，這都不是問題。

2、有了第一條規範，跳轉URL就不是問題了。檢測不規範，拒絕接入網絡，這就用到了網關認證，需要讓服務器下發一個指定的URL， 讓用戶的登錄http時跳轉，這個http我就不多說了，不能自定義的產品，那就放棄吧。

3、好了，第三條就比較坑了，這個設備仿冒，這麽多年了，連我自己都經常該ip，改MAC測試這個問題。 然後沒有什麽卵用。 對於終端pc ,裝有Agent設備，做到綁定，是沒啥問題的，機器碼+mac+ip+接口， 這個對應的端口信息可能需要SNMP協議了。 對於啞終端設備，這樣的需求還是放棄，目前沒見過做到的。

4、說到訪客，其實和測試規範化基本一樣，訪客是沒有賬戶的，需要接入內網，登錄網頁跳轉url，申請限時賬戶，或者限制訪問。

5、移動認證，大勢所趨。 這種認證形勢，從車站到公交站臺到酒店商場，基本上無處不在，這種情況的出現讓無線這個產品鏈條爆發性產值增長。 全國性的覆蓋wifi，接入網絡不在是4G利器。 短信、微信、二維碼、這些認證形勢都出現在人們的視野裏。 不滿足這樣的需求，那就比較悲催了。

結構圖：

本文出自 “yingaogui” 博客，謝絕轉載！

網關認證