问题
使用 MAC 地址列表、SSID 或手动分配的 VLAN 进行静态网络分段,其特点是:
缺乏灵活性,难以扩展
容易遭受欺骗攻击和横向移动
入职和访问权限变更需要大量人工投入
无法识别用户身份和设备信任级别
随着组织采用零信任架构以及 BYOD/远程访问模式,传统的网络分段工具已难以满足需求。
Foxpass 解决方案
Foxpass 通过基于身份的 RADIUS 身份验证,实现了动态 VLAN 分配和网络分段:
将访问权限与目录组成员身份绑定(通过 Google、Okta、Entra ID、OneLogin、LDAP)
在身份验证期间将用户和设备分配到 VLAN
支持 EAP-TTLS(身份/密码)和 EAP-TLS(基于证书的)身份验证
使用 Foxpass RADIUS 在 Wi-Fi、VPN 和有线网络中强制实施网络分段
这有助于 IT 团队落实最小特权原则,并遏制横向移动——无需再按用户或设备手动管理 VLAN。
这个怎么运作
用户连接到 Wi-Fi 或 VPN
Foxpass RADIUS 对用户或设备进行身份验证(通过 EAP-TLS 或 EAP-TTLS)
组成员身份通过同步的身份提供商进行检查(Google、Entra ID 等)
RADIUS 响应包含 VLAN 分配
将用户划分到相应的分段中(例如:访客、管理员、IoT、开发人员、学生)
基于身份的分段优势
在各部门、设备和角色中强制执行最小特权原则
在校园环境中自动隔离学生、教职员工和访客流量
使开发、预发布和生产环境在逻辑上保持隔离
使用基于证书的 VLAN 分配保护 BYOD 和非受管设备安全
支持零信任和合规框架(HIPAA、SOC 2、NIST 800-207)
常见使用场景
使用场景 | 描述 |
|---|---|
教育 | 使用目录组将学生、教职员工和访客划分到不同的 VLAN 中 |
企业 | 将工程/开发环境与财务、人力资源或内部应用隔离开来 |
零售/分支机构地点 | 将销售点、访客 Wi-Fi 和内部后台办公流量分隔开 |
卫生保健 | 将 PHI 与非受监管系统的访问权限分段管理 |
BYOD 网络 | 自动将未受管理的个人设备分配到低信任 VLAN 中 |
相关的 Foxpass 功能
Cloud RADIUS – 支持通过组映射分配 VLAN
目录同步 – 从 Entra ID、Okta、Google Workspace 或 LDAP 拉取用户角色
证书管理 – 使用 EAP-TLS 和 MDM/BYOD 注册来强制建立信任
Cloud LDAP——管理本地部署或混合环境的组逻辑
实时日志记录 – 按 VLAN 和策略跟踪访问尝试
详细了解 Foxpass Cloud RADIUS
