規劃你的部門

如果你所在組織已經建立了完善的職能部門和成熟的決策流程，作為網絡的管理者，你也有權利規劃局域網的組織結構。在AC中，我們建議你通過IP組設置來實現。

首先你需要收集局域網中所有IP地址，然后再根據職能部門來劃分用戶組。有些部門由于物理環境的限制無法獲取連續的C類地址（如下圖所示），但這不會影響AC的使用，你需要做的就是繼續添加。對于某些不屬于特定部門的人群，如每周來辦公室工作兩天的股東、新入職的員工，你可以另外給他們建組。記住，不要逃避這個步驟！在后面你會發現，細致的準備會讓你在突發事件來臨時鎮定自若。

圖1

建立身份認證體系

在這里，我們討論一下互聯網訪問的認證機制。

A（認證，授權和審計）是組織安全基礎設施的基礎，將對用戶和內容進行有效的保護和控制。認證對于一個局域網來說主要分為兩個層面，首先是借助應用系統自身的認證，例如OA系統的用戶名/密碼，這可以從一定程度上避免非授權用戶對內網核心資源的訪問；另一層面是借助于網絡部門建立的Radius域認證、微軟LDAP（Lightweight Directory Access Protocol , LDAP）等來對內部用戶進行身份認證管理。然而，基于內網的安全的認證機制還需要進一步完善。試想，如果可信用戶例如一個打算離職的員工把內網中的財務報表通過E-mail發送給好友，或將組織辛苦搜集到的客戶信息打個包上傳到公網的一臺FTP服務器，這些行為對組織的經濟效益將帶來巨大的損失。

所以，我們還需要管理局域網中所有用戶的Internet訪問。上一步驟中，我們已經劃分了用戶組，現在我們需要對用戶組進行認證方式的設置。

在AC中你將切實感受到多種認證方式帶來的方便。身份認證主要有兩種方式，免客戶端認證和客戶端認證，AC中的Web認證屬于前者。Web認證通過瀏覽器即可完成全部認證，即使對計算機操作并不熟悉的用戶也能夠理解和操作，很好提高了操作的互動性和彈性。

Web認證是這樣運行的：內網的用戶第一次開機時，只要在瀏覽器中輸入網址，AC將自動把用戶的訪問頁面重定向到預設的Web認證界面。只有在頁面中正確輸入管理員分配的帳號信息才能正常訪問Internet并獲取相應權限，否則網關將拒絕用戶的所有Internet連接請求。另外，為了避免用戶離開后主機被他人利用，當用戶再一段時間內沒有發生任何網絡流量，AC的Web認證將斷開其網絡連接，直到用戶再次通過Web認證。

AC支持多種認證方式，除了通過用戶名/密碼、IP/Mac認證外， AC的Web認證還可以透明結合Radius、LDAP、POP3等認證服務系統進行用戶身份校驗。IP/Mac認證可以通過AC自帶的局域網掃描功能實現。對于后幾種認證手段，只要在AC中正確填入域、活動目錄和郵件服務器的地址和端口，AC將自動更新用戶列表和策略，這對建立了完善的內網認證體系的用戶非常方便。

圖2

在下一版本的AC中，你還將有機會體驗更多的身份認證機制，這包括PPPOE認證、802.1X認證和USB Key認證。通過給內網用戶頒發隨身攜帶的USB密鑰，用戶的身份認證信息將被存儲到一枚小小的智能鑰匙（Key）中，只要在電腦的USB口插上加密Key就可以正常上網，拔掉Key以后，即使他人能夠有機會使用你的PC或筆記本，他仍然無法獲得互聯網的訪問權限。