最近的一項行業調查表明，將近75%的員工已經使用自有設備(BYOD：自攜帶設備)訪問與工作相關的數據。加上無線網絡的蓬勃發展， 企業不得不面臨用戶如何細分，訪客如何管理的具體問題，保證公司網絡帶寬的高效使用、員工生產效率的提高與減小數據泄漏的風險。

用戶管理的終極目標就是做到對用戶進行“Who r U(你是誰)”的查看與確定，由此而達到管理的透明與可視化。可視化意味著可靈活配置實施安全策略、流量以及應用控制;實現安全暢游的無線網絡訪問。

Fortinet的Secure WLAN的無線接入與安全解決方案中對用戶實現管理的方法是基于FortiOS 5操作系統，也就是作為無線網絡控制器AC的FortiGate設備使用的操作系統， 可實現對公司內用戶進行細分并對來訪賓客管理。

對于公司內部BYOD的用戶，可實施基于以下方式的管理：

BYOD用戶無線認證：

1、 開放/WEP64/WEP128/共享。使用這個選項不需要認證和鏈路加密，“開放“選項只用在那些不關注安全的BYOD流量，或SSL、IPSec VPN 流量，這些在應用層安全通訊。

2、 用戶登錄門戶。登錄門戶(Captive portal)是Web認證的一項行業標準術語，這種模式BYOD用戶類似上面的“開放“方式一樣連接到無線AP，只是在BYOD用戶打開Web瀏覽器之前不允許通訊。一旦Web瀏覽器被打開，所有的站點地址被網關攔截。只有通過認證后，BYOD才能訪問網站資源。

3、 WPA /WPA2 802.11i共享密鑰。無線保護訪問WPA是為了向后兼容，但所有用戶都應該遷移到WPA2，因為它提供了更安全的加密數據。預共享密鑰允許所有用戶之間共享一個密碼來連接到無線局域網。這種類型的安全性對來賓或家用訪問無線是非常有用的，但企業應該給BYOD用戶(包括員工和合作商)提供基于Radius的WPA2認證。

4、 Radius后臺服務器WPA / WPA2 802.11i認證。此模式下用戶名和密碼信息基于后臺Radius服務器， 使用802.1X認證，這是BYOD用戶無線部署最安全的認證方法，也是最佳實踐。Radius認證引擎支持PAP、CHAP、MS-CHAP、MS-CHAP-v2。

BYOD設備認證：

1、 設備識別。當一個BYOD設備接入無線網絡，FortiGate先進行設備識別，識別技術具有基于代理和無代理的方式。基于代理方式BYOD設備需要安裝FortiClient，可以部署在任何位置，只要能夠與FortiGate通訊即可。無代理方式可以采用TCP指紋或MAC地址廠商代碼識別，需要“直接“連接到FortiGate。

2、 訪問控制。根據識別的BYOD設備類型，應用恰當的安全策略，對于傳統的Windows AD環境具有更多的控制。不同的安全策略啟用匹配的UTM安全配置表。

3、 設備登錄門戶。在不同的BYOD設備策略中啟用登錄門戶，通過HTTP通訊(HTTP User-Agent)強制檢測設備，電子郵件收集門戶，當電子郵件地址已經驗證，該設備就添加到郵件收集的設備組。

使用上面的無線認證及設備管理方式保護用戶員工BYOD設備的安全訪問;對于訪問公司無線網絡的來賓用戶，FortiOS 5 系統中還提供允許非IT員工創建來賓帳號，分配時間范圍，生成臨時密碼，打印，發郵件或短信給來賓用戶使用。

當然也可配合使用FortiAuthenticator 雙因子驗證系統，對安全級別更高的資源使用更嚴格的驗證。