访客接入企业网络这件事，说大不大，说小不小。小是因为访客通常不是企业网络的主要使用者，比重不大；大是因为访客一旦可以无限制地访问内网，造成的风险缺口可能比想象的大得多。外包人员、合作伙伴、客户、审计人员……各类访客进进出出，带的设备五花八门，对网络安全来说是典型的盲区。

很多企业在选型网络准入系统的时候，对访客接入的管理设计关注不够。要么觉得访客场景简单，随便管控一下就行；要么认为上了准入系统访客问题自然就解决了。实际上访客接入管理的设计复杂度并不低，如果前期规划不到位，上线后会出现大量"访客接入不受控"的投诉，要么运维团队疲于应对，要么干脆睁一只眼闭一只眼。

这篇文章来聊聊访客接入管理的几个关键设计点。

第一道关：访客账号从哪里来

访客接入企业网络，首先需要解决的是身份问题：访客凭什么接入？

常见的访客身份发放方式有几种：

前台人工发放。访客到访时由前台或者安保登记信息后，在准入系统里创建访客账号，生成密码或者二维码，交给访客使用。这种方式安全性最高，每一个访客账号都有人工记录，可以追溯到具体的来访人信息。但缺点也很明显：前台工作量增加，访客等待时间变长，尤其是在访客多的企业体验很差。

自助注册。访客到达后通过 Portal 页面自主注册，填写姓名、手机号、公司等信息，系统生成临时账号。这种方式减少了前台工作量，但信息真实性难以保证——访客填虚假信息的情况并不少见。而且系统需要有短信验证码或者邮件验证机制来过滤乱填，否则等于没管。

预审批模式。企业员工提前在系统里为访客创建账号，访客到达后直接用预约码激活。这种方式适合有大量固定访客（比如合作伙伴定期来访）的企业，账号管理更规范，但需要员工配合提前操作，实施初期往往配合度不高。

对接第三方身份源。有些企业会使用钉钉、企业微信等办公协作工具，或者用客户管理系统里的客户数据，准入系统直接对接这些系统做身份认证。这种方式体验最好，但对系统集成能力要求高，中小企业不一定有条件做。

访客账号来源的设计是整个访客管理体系的基础。选型阶段就要想清楚：访客数量大概多少、前台有没有精力做人工登记、是否接受自助注册模式、是否有对接现有系统的需求——这几个问题的答案决定了访客身份管理的实现路径。

第二道关：访客能接入什么样的网络

身份认证只是第一步。访客接入网络之后，能访问什么资源，这才是管控的核心。

大多数企业的做法是把访客网络和办公内网物理隔离——访客只能接入专门的访客 WiFi 或者访客 VLAN，这个网络只能访问互联网，不能访问任何内网资源。这是最简单也最安全的做法，很多企业的安全策略里直接规定"访客网络和内网完全隔离"。

但实际场景并不总是这么简单。有些访客（比如审计人员、合作伙伴的技术支持工程师）确实有访问特定内网资源的合理需求。这种情况下就需要在隔离的基础上做一些例外授权：比如访客接入后，只能访问特定的 IP 地址或者端口，或者只能访问特定的业务系统，而且这种访问行为要被完整记录。

这种精细化管控对准入系统的策略能力有要求。入门级的 Portal 准入方案通常只做到"访客认证后全放行"，精细到"访客只能访问指定系统"的方案，需要更高级的策略配置能力和更完整的审计日志支撑。如果企业确实有这个需求，在选型阶段就要评估清楚，不是所有准入系统都能做到这一层。

第三道关：访客行为是否可追溯

访客接入期间的网络行为日志，是很多企业容易忽略但审计时很关键的数据。

如果访客在接入期间做了违规操作（比如扫描内网、访问敏感文件、下载异常数据），企业需要有日志可以追溯。这个日志至少要包含：访客账号、真实身份（姓名、来访事由）、接入时间、下线时间、访问了哪些 IP 地址或者业务系统。

但现实问题是：大多数 Portal 访客认证只要求输入手机号或者姓名，这些信息本身不足以支撑完整的溯源需求。审计报告里如果只有"访客张某在某某时段接入了网络"，但说不清楚这个张某具体是谁、是哪家公司的、来的目的是什么，等于没有实质性的追溯能力。

所以访客行为追溯能力的建设，实际上和访客身份管理的规范程度是绑在一起的。前台登记的信息完整，追溯才有意义；如果前台登记的信息就是走个过场，那日志再完整也是空架子。

第四道关：访客账号的过期机制

访客账号的有效期管理是另一个常见的问题点。

常见的情况是：访客来访当天账号能用，第二天员工走了账号还没失效。这个账号可能三个月后还有效，期间如果密码被其他人获取，就变成一个长期有效的内部网络入口。这种情况不罕见，而且往往在出问题之前不会有人注意到。

所以访客账号必须有过期机制：按来访时间自动失效是最基本的要求，比如当天有效、次日失效，或者按访客预约时间自动设置有效时间窗口。更严格的做法是：访客离开时前台手动注销账号、访客下线后一段时间自动失效、同一访客二次来访需要重新注册。

如果准入系统的访客管理模块没有自动过期机制，就需要通过管理制度来弥补——比如规定前台每天下班前检查一遍当天的访客账号列表，手动清理过期账号。制度能补一时，但长期来看系统自动化的过期机制是必要的。

第五道关：访客设备的持续管控

访客接入网络的那一刻做了认证，但认证通过之后，准入系统对这台设备的管理是否还在持续？

这个问题取决于准入系统的实现方式。有些方案里，访客完成 Portal 认证之后，系统会记录设备 MAC 地址并在后续放行，这类方案在认证之后的管控相对弱化——设备换了 IP 或者做了 ARP 欺骗，系统不一定能检测到。更高级的方案可以做到：访客认证后，系统持续监控设备行为，一旦发现异常行为立即触发告警或者断网。

对于普通访客来说，持续监控的意义可能没那么大；但对于需要访问内网资源的访客，行为监控的必要性就上来了。这类访客的设备虽然认证通过了，但接入后是否有横向扫描行为、是否有异常流量、是否访问了不该访问的系统——这些是访客网络安全的最后一道防线。

说在最后

访客接入管理看起来是网络准入里最边角的部分，实际上设计不好会留下很大的安全缺口。把访客管住，不只是"给个账号让他上网"这么简单，而是从身份来源、访问权限、行为追溯、账号失效、设备管控这几个环节逐一设计清楚。

有几个判断标准可以参考：如果访客账号来源是前台人工登记的，安全基线最高但体验最差；如果用自助注册，体验好了但信息真实性难保证；如果需要精细化管控访问权限，要评估准入系统的策略能力是否匹配；如果要做完整的行为追溯，访客身份登记的规范程度要跟上。

把这些想清楚了，访客管理方案才算真正设计到位。