timzaak
commented
2 years ago 如果要加上时髦的宣传点就是: 零信任网络,不过这个心智模型对互联网公司管用,对普通公司来讲,就是个SB。还是讲网络透明可控会比较好。 要解决的问题:
- [ ] radius 服务搭建
- [ ] 802.1x => radius => 控制台
- [ ] 控制台 => SSO
- [ ] 哑设备入网(mac 白名单)控制台
- [ ] radius => 控制台
- [ ] wireguard => 控制台(wireguard 网络 ACL 管理)
- [ ] access remote fortune manager
SSO 单点登录可通过 keycloak 来做。
然后就是 网络准入控制系统的搭建, 目前找到的主要是基于 x802.1、radius 两个协议来做,做到极致应该是 江民科技 的 网络准入系统。如果再极致就是中间人攻击、流量透明分析,这个,哎,可能是要做的。
最后是 vpn,可基于 wireguard 来封装,需要解决的核心问题应该是网络流量分发,局域网走局域网、外网走公网中转节点,能穿透的走穿透。wireguard 功能性问题是 metric(流量统计) 、 帐号管理和网络ACL。
这个项目,开源的没有,只有闭源的有。如果以开源起步去做,那么收费的可能点如下:
参考资料: 使用802.1X+FreeRadius+LDAP实现网络准入方案
802.1x 介绍
keycloak-radius-plugin radius主管WiFi
中国移动WLAN业务PORTAL协议规范介绍
anywifi 一个已经实现wifi认证,但需要刷路由器固件的产品
网络准入认证系统方案评估
802.1X认证基础-华为