售前热线:010-82825052 010-82825512,010-82825051
售前支持 (QQ):
973273684 / 1037738460 / 943876988 / 947876927
在线反馈 QQ: 147303015
要彻底禁止外部电脑、手机接入公司内网 WiFi,核心是企业级认证 + 网络隔离 + 接入管控 + 审计,拒绝仅靠密码或简单 MAC 过滤。下面按 “必做→进阶→管理” 给出可直接落地的方案。
当然,对于企事业单位来说,可以直接部署一套专门的网络准入控制软件,如国内流行的“大势至网络准入控制系统”,只需要在公司一台电脑安装就可以实时监测接入公司局域网wifi的设备,如笔记本电脑、手机、平板等,有效保护公司网络带宽资源安全,同时还可以保护公司内网安全,防止未经授权访问公司内部共享文件的行为等。如下图:
图:大势至网络准入控制系统
加密协议:必须用 WPA3-Enterprise(优先)或 WPA2-Enterprise,绝对禁用 WPA/WPA2-PSK(个人版)。
认证方式(二选一,推荐前者):
802.1X + RADIUS:员工用域账号 / AD 账号 / 证书认证,一人一账号,可审计、可随时禁用。
证书认证:给每台公司设备下发唯一证书,无证书无法接入,安全性最高。
关闭危险功能:关闭 WPS/QSS、关闭 SSID 广播(隐藏员工 WiFi)、关闭 AP 隔离(按需)。
员工 SSID:隐藏、仅内部设备可连、可访问内网资源。
访客 SSID:公开、仅能上网、禁止访问内网任何 IP / 端口、限时 / 限带宽 / 限连接数。
防火墙策略:访客网与员工网完全隔离,禁止跨 VLAN 访问。
在 AC / 路由器开启 MAC 地址过滤(白名单模式),仅允许 IT 登记过的设备 MAC 接入。
缺点:MAC 可伪造,适合 100 人以下、安全要求不极高场景。
802.1X + 终端合规检查:接入前验证身份 + 检查设备(是否装杀毒、是否打补丁、是否合规),不合规自动隔离到修复区。
动态 VLAN:认证通过才划入员工 VLAN,未认证划入隔离 VLAN(仅能访问认证页面)。
效果:外来设备连 WiFi 后,即使知道密码也无法获取 IP、无法通信。
实时监控:非法 AP、暴力破解、异常连接、私接随身 WiFi。
自动动作:告警、阻断非法连接、下线未认证设备。
用 NAC / 终端管理软件检测并自动断网 / 禁用热点。
交换机端口 + WiFi 双重管控,防止员工用手机 / 笔记本开热点 “搭桥”。
MDM(移动设备管理):公司手机统一管理,禁止连接非授权 WiFi。
组策略 / EDP:Windows 电脑禁用 WiFi、或仅允许连接指定 SSID。
USB / 蓝牙管控:防止用随身 WiFi、蓝牙共享网络。
记录:谁、什么设备、何时、何地、接入时长。
定期审计:异常连接、未登记设备、长时间离线后重连。
设备入网必须IT 登记 + 审批,未备案设备一律禁止接入。
离职 / 调岗立即禁用账号 / 证书 / 解绑 MAC。
禁止员工将私人设备接入内网 WiFi,违者追责。
隐藏员工 SSID,用 WPA2-Enterprise + 简单 RADIUS(如 FreeRADIUS)。
开启 MAC 白名单,仅允许登记设备接入。
单独访客 SSID,防火墙禁止访客访问内网。
定期改密码、审计连接日志。
企业 AC+AP,802.1X + AD/RADIUS 认证。
部署 NAC 准入,做终端合规检查。
开启 WIDS/WIPS,监控非法接入。
访客 Portal 认证(短信 / 扫码),限时限带宽。
证书认证 + 双因素(2FA),无证书 + 无动态码无法接入。
全网 NAC+VLAN 隔离,核心区域额外物理 / 逻辑隔离。
终端 DLP+EDP,严格管控外设与网络连接。
7×24 小时 安全监控 + 应急响应。
❌ 只用 WPA2-PSK(共享密码):密码一泄露全网络沦陷。
❌ 只隐藏 SSID:可被扫描发现,不是安全措施。
❌ 只靠 MAC 过滤:MAC 易伪造,无法防专业攻击。
✅ 正确思路:认证(是谁)+ 准入(能不能进)+ 隔离(能去哪)+ 审计(干了啥)。
规划:员工 SSID(隐藏)+ 访客 SSID(隔离)。
配置:AC / 路由器开启 WPA3-Enterprise + 802.1X。
登记:收集所有公司设备 MAC / 证书,做白名单。
测试:内部设备正常接入,外部设备无法连接 / 无法访内网。
启用:WIDS/WIPS + 日志审计 + 制度宣贯。