我们有一个 Cisco WLC,我们希望为访客提供一个开放的 SSID。我们有一个登录表格,所以他们可以看到我们的条款,但这不是真正的责任保护。我们如何通过 WLC 或其他技术阻止开放无线连接上的非法活动?
我想在我们的 ASA 上使用鱿鱼 + WCCP,但我不确定这是公司责任保护的最佳方法。还有其他选择可以取代这个吗?如果这是最佳选择,是否有最佳实践?公司通常是否使用 802.1x 轮换访客帐户?
我们有思科防火墙、交换机和无线基础设施。
编辑:特别是我们想阻止种子、站点类别(枪支、赌博、恐怖主义等)和 VPN/代理,它们会绕过我们的限制。
从安全的角度来看,我发现 WLC 本身就很裸露。您可以执行基本的 ACL,但仅此而已。我不认为你会单独找到答案。
您可以将外部网络过滤器与 ASA 结合使用 - http://www.cisco.com/c/en/us/support/docs/security/pix-500-series-security-appliances/97277-pix-asa -url-filtering.html
它需要 Websense 或 N2H2(我猜现在是 McAfee SmartFilter,我猜?),但如果您碰巧已经拥有这两种产品中的任何一种,那么进行类别阻止就变得非常简单。
自制一个基于 Squid 或其他一些缓存/保护软件的解决方案是可行的,但如果您谈论的是法律责任,您必须非常确定该解决方案的功能,以便 Legal 签署它。
除了这些选项之外,您还可以查看 Palo Alto 防火墙之类的东西,它将您的应用程序和 URL 阻止打包到一个包中,您可以将其放在无线客户端和 Internet 之间。
通过为访客网络设置不同的 vlan 或 DSL 线路,将开放的访客网络与企业网络分开。在 Cisco WLC 上设置基于用户角色的防火墙策略,仅允许 http/https 访问。您也应该能够阻止代理服务器访问。还应该有一个撤销网站的选项。在这种情况下,联系 Cisco TAC 将非常有帮助。