智能安全易用——给BYOD一个港湾(1)(3)

二、Wi-Fi与BYOD结合

IT消费化、云计算、移动互联等诸多技术趋势所带来的生产效率提升、投入成本降低、以及应用多元化等，使得BYOD融入企业网络应用中已经成为不可逆转的必然趋势。企业应用从桌面、内部服务器、Intranet，正在不断向云端迁移。虚拟化、自动化的变革，正在打破应用的边界。如图1所示，BYOD的网络准入者和管理者按照"移动准入、服务提供、实时监管"各司其职，企业内部的员工和外部来宾，携带着多样的智能终端，安全实时的接入到企业所提供的业务精细化管道，并接受必要的监管和审计。

图1BYOD逻辑架构图

Wi-Fi在企业的大规模应用，使得从任意位置根据策略访问桌面，无论使用何种设备或网络成为可能。根据前文的分析，为了解决IT管理人员和用户自身在BYOD实施中的困难和疑惑，Wi-Fi网络应该具备相应的能力如表1所示）。

表1BYOD核心技术点

1.智能

传统用户的准入是通过单一的帐户信息进行鉴权并获得授权信息，但是在移动互联时代，人们往往希望在企业内部单一帐户可以应用到多个终端包括固定和移动的设备）。因此，网络管理者，也必须在这种需求下调整网络准入结构，比如，固定设备进行流量控制，移动设备进行时长控制；固定设备允许进入业务网，移动设备仅允许获得浏览权限等。

移动互联时代，当人们都愿意采用BYOD来进行相关操作时，Wi-Fi作为重要的智能管道，不能简单地沿袭传统有线网络的粗放承载模式，视频、APP、社交媒体等等广泛的使用，管道内的应用明显产生了"高低参差"，对业务的识别，智能的调整业务在管道内传送的优先能力，是网络的管理者非常希望看到的结果。

为达到以上目标，需要进行终端和业务智能识别。以终端识别为例，在进行无线登录时，应该遵从如图32所示的流程。

图2 终端准入流程

SSID检查：

检查关联的SSID是否部署了对应的BYOD策略，同时，该接入位置，是否是用户允许介入的区域。

准入策略检查：

根据帐户对应的权属信息，推送合适的Portal准入页面，或802.1x认证的证书配置。

终端类型检查：

针对准入用户的设备硬件类型、操作系统类型以及安全级别，确定BYOD策略。

针对员工的可能策略：

可以单独配置"可能策略"，它会在准入最后阶段发挥作用，更多的根据安全规范和业务需求而产生的策略，可以集中在此进行部署。