伴随byod的兴起，它已成为助力企业实现无边界移动办公的重要环节。企业部署byod策略后，不仅可以让员工的任意设备在任何时间、地点便捷可控的接入网络，还能为企业间的合作提供高效的沟通平台。

　　byod开放性易引发网络安全风险

　　然而，面对办公和个人业务瞬息切换，个人和企业应用的界限越来越模糊。byod的开放性很容易为企业网络带来不可预知的安全风险。

　　首先，利用byod设备进行网页浏览、收发邮件、应用下载等方式访问企业信息时，常处于无保护状态。移动设备的智能化，集成pc的特性和功能，但缺乏同等级别的数据保护措施，让设备或同样的应用程序，更容易遭受恶意攻击。

　　其次，对于不同级别员工的byod接入，传统的安全策略难以对其行有效区隔，并为之配备上相应的认证策略。这就会导致网络系统的可用性下降，严重时甚至引发企业数据丢失等情况。

　　另外，面对外来访客、业务合作伙伴和潜在客户的接入或数据分享需求，如何保障他们方便、快捷的完成认证，获得与内部员工不同的访问权限，都是考校byod安全策略的实际问题。

　　那么byod作为企业办公环境边界的进一步延伸，如果快速有效地确认网络接入者的身份，是内部员工还是外来访客呢？现在，网康上网行为管理网关（icg）能够提供丰富的认证识别，同时为企业网络制定灵活的接入策略，来保障网络安全。

　　网康icg丰富认证策略应对

　　对byod行为的管理，首先可以从对访问网络的人员身份进行快速认证管理，即从是员工还是访客的认证入手。网康icg提供多种用户认证和识别方式，包括基本的ip/mac绑定、三层网络环境下的ip/mac绑定、网关web认证、ad域透明认证、ldap认证、radius认证、pop3认证、esmtp认证、socks认证、pppoe认证账号识别、第三方用户识别等等。其中更支持多种web认证方法，可以快速区分访客与员工，让他们尽快拥有符合身份的上网权限。

　　首先，网康icg支持web认证自定义。

　　不同于一般上网行为管理设备，网康icg支持web认证自定义功能，企业可以根据自身需要，对pc、平板电脑、手机移动终端等制定更有针对性的自定义策略、登陆界面和认证成功页面等，丰富了应用的多样性。

　　用户可对web认证策略进行自定义调整

　　在“认证策略”中，还可细分为“ip识别”、“mac识别”和“web认证”三种不同的身份确认方式，令认证方式变得更为灵活。更贴心的是，在网康icg里登录界面和认证成功页面也是可以自定义设置的。

　　“登录界面”也可设定

　　网康icg支持web认证自定义功能，包括对不同终端的登陆界面定制

　　同时，web认证自定义功能还可以细分为员工web认证和访客短信认证。

　　1.员工web认证

　　网康icg支持分段/混合认证，通过规划并部署合适的认证方式，可以把互联网访问管理应用到具体用户，实现基于用户身份的访问管理。对于有些企业，仅用ip或网卡mac地址并不能确定一个人的身份，比如dhcp动态分配ip、或多人共用一台设备的时候，就需要其它方式确定用户身份，如网关本地web认证或第三方认证。

　　为了制定差异化的认证方法，需要先进入网康icg的web界面，通过图形界面用户可直观地管理和设置网关设备。在web界面左侧有详细的功能分类选项，选择“用户管理”类别，再点击“认证管理”选项即可对认证方法进行设置。

　　“认证配置”界面（点击看大图）

　　在“认证配置”界面中，可以看到更为详细的多种认证方式配置，包括较为常用的web认证和短信认证方式，而点击其中的“web认证配置”，即可对web认证源进行添加或删除操作了。

　　认证高级配置

　　“组织结构”界面

　　而在“用户管理”界面的“组织结构”中，可以快速建立企业的组织架构，便于为等级不同的领导与员工划分相应的网络权限。

　　第4页：访客短信认证，支持ip/mac识别

　　2.访客短信认证

　　访客与员工的主要区别是访客账号是个临时账号，有时间日期或者上网时长限制；而且访客的账号申请，需要进行审核。对此，网康icg不仅支持访客web认证，更支持快速的短信认证方式，方便了访客的上网，而且令管理更为便捷。

　　网康icg也支持快速的短信认证方式

　　通过网康icg的短信认证方式，管理员也可以设定并分发统一的初始口令，并定义账号缓存的有效时间，保障用户身份的安全，使用户身份的确定与具体上网设备完全无关。

　　其次，网康icg支持简单的ip/mac识别。

　　在有些企业，实行规划合理并且严格执行的ip地址分配制度，那么通过ip地址和网卡mac地址来确定用户身份是可靠的，而网康icg支持简单的ip/mac识别，在“认证策略”中，还可选择“ip识别”、“mac识别”等方式进行认证。

　　可基于ip识别

　　可基于mac进行识别

　　而且根据需要，能够对不同级别的员工进行用户绑定功能，根据他们设备的ip、mac等进行绑定，达到更为简便、有效的管控。

　　网康ni-3000支持用户绑定

　　综上所述，对于当代企业网，访问企业资源必须是安全、可靠和可管理的，与一贯执行的政策，网康icg上网行为管理网关除了具备一般的上网行为监管功能外，更支持丰富的认证策略，因此不仅可以进行简单的ip/mac识别，更能基于员工或访客制定灵活的自定义web认证，为企业用户部署简单、实用、可控的安全网络提供设备支撑。