公司网络准入认证方案是网络安全的基础，该方案通过对网络的接入设备进行统一的认证和访问授权管理，以保证内网的网络安全。对于企业局域网来说，比较常见的网络准入认证方案包括802.1X、Portal认证，还有基于企业微信、钉钉等第三方的app认证。

802.1X的认证方式需要支持802.1X的交换机设备，且配置比较复杂，对于大部分用户来说并不适用。本文中，我将介绍利用WSG上网行为管理网关的Portal认证、第三方认证等功能来实现企业网络的准入认证。

1. IP-MAC绑定、MAC认证

最严格的限制就是IP-MAC绑定，只有允许的IP和MAC地址才允许通过。这样限制最严格有效，但是管理和维护的工作量也比较大。所有新增的终端，都需要网管人员配置后才可以放行。

2. Portal认证方案

WSG上网行为管理网关的Web认证（Portal认证）支持多种用户名认证方式，包括本地用户（直接在WSG里面创建用户和密码）、AD域、邮箱认证、Radius认证等。如下图：

开启用户名密码认证后，终端必须要输入正确的用户名密码才可以认证上网。

3. 企业微信、钉钉认证

企业微信和钉钉认证的流程是直接用app扫码认证上网。需要在“企业微信、钉钉开发者平台”中创建扫码登录应用，并且记录AppID和AppSecret等配置。

上网时用app扫码即可完成认证并上网。

4. 短信实名认证

对于开放的公共WiFi，您还可以用过短信认证方式，记录手机号和上网记录。如下图：

5. 二维码扫码认证

对于公司的来访人员，还有一个有效的认证手段就是二维码认证。需要公司的接待人员用手机扫码通过后才可以接入，这种认证方式需要人工参与才可以完成认证过程。如图：

综上所述，要保障企业网络安全，首先要做的就是部署一套网络准入系统，重点考虑以下几点：

1). 对有线办公电脑和服务器可以直接用IP-MAC绑定、MAC认证上网。

2). 如果公司已经有AD域等现有的账号系统，可以采用用户名密码认证的方式。

3). 对内部人员采用企业微信、钉钉的app认证方式。

4). 对流动人员采用短信认证的方式。

5). 对来访人员采用二维码认证的方式。

一般推荐有线、工作无线、来宾无线多VLAN分离，并且采用不同的认证方式。多种准入方式组合使用，从而达到最好的管控效果。