访客管理是网络准入认证系统里最容易被低估的模块。大多数单位的访客接入方案，要么是直接给访客一个固定 WiFi 密码，要么是接待人员打电话给 IT 人员报名字，IT 人员手动在后台开一个临时账号。这两种方式都有明显问题：前者完全没有准入管控，任何知道密码的人都能接入；后者依赖人工操作，流程繁琐，IT 人员的工作量也不小。本文聊的是访客准入管理在网络准入认证系统里应该怎么设计，以及常见的几个盲点。

访客身份核验的颗粒度问题

访客在接入单位网络时，需要经过某种形式的身份确认。不同场景对身份确认的严格程度要求不同。

在普通企业，访客来访的目的通常是参加会议或者拜访客户，只需要通过手机号短信验证或者扫码绑定微信，就可以获得临时上网权限。这个级别的身份确认对大多数单位来说足够用了。

但在有保密要求的场景，比如政府单位、军工企业、研究机构，访客接入需要提前申请，由内部人员担保，经过审批后才能获得临时权限。这类访客准入通常需要在准入系统里配置完整的申请-审批工作流，或者把访客申请集成到 OA 系统里。

还有一种场景是短期驻场的第三方人员——比如施工人员、设备厂商工程师、外包开发团队。这些人不是访客，但也不是员工，需要有比访客更多的网络访问权限，但比正式员工要少。他们的身份管理需要独立的账号类型和权限模板，而不能套用访客账号或员工账号。

访客 VLAN 的网络隔离是否真正到位

大多数准入系统都声称支持把访客设备划分到访客 VLAN，隔离在员工内网之外。但"划分到访客 VLAN"和"真正做到隔离"之间，有时候存在差距。

访客 VLAN 的隔离效果依赖于几个条件的同时满足：交换机和无线 AC 正确支持 VLAN 动态分配；核心路由或防火墙上对访客 VLAN 有对应的访问控制策略；访客 VLAN 和员工 VLAN 之间没有遗漏的路由路径。

实际项目中，最常见的问题是"访客 VLAN 能上互联网，但也能访问某些内部系统"。原因通常是防火墙规则不完整——只写了"允许访客 VLAN 访问互联网"，没有写"拒绝访客 VLAN 访问内网所有网段"。防火墙规则里有默认允许或者有遗漏的 IP 段，访客流量就从缝隙里溜进来了。

验证方法很简单：用一台访客设备接入访客网络，尝试去 ping 内网的关键服务器（如 AD 域控、文件服务器、数据库服务器），以及尝试访问内部的一些 Web 服务。如果任何一个访问成功，说明隔离没有到位，需要检查防火墙策略。

访客账号的生命周期管理

临时访客账号的生命周期管理是很多单位做得最粗糙的地方。账号到期了有没有自动失效？哪些账号是活跃的，哪些已经用完了还挂在系统里？历史访客记录能不能追溯？

很多准入系统里的访客账号是 IT 人员手工创建的，创建时设了一个到期时间，但如果系统没有自动失效机制，到期的账号可能继续有效。积累时间久了，系统里会有大量"僵尸账号"——账号还在，但对应的人已经走了。如果这些账号里有一个被人盗用，就是安全漏洞。

应该在准入系统里开启账号到期自动失效功能，并且定期（每月至少一次）审查访客账号列表，清理过期账号。如果系统支持，还应该开启超时自动下线功能——访客账号在网络上连续空闲超过一定时间后（比如 30 分钟），自动踢下线，下次访问需要重新认证。

接待人员自助开访客账号的流程设计

把访客账号开通完全交给 IT 人员处理，是一个效率低且容易出错的设计。更合理的方案是让接待人员或者访客的内部联系人，在一个受限的自助平台上为访客开通账号，IT 人员不用介入。

这个自助平台需要满足几个条件：接待人员只能为访客开通有限范围的权限，不能突破预设的最高权限；账号有效期有上限，接待人员可以设置，但不能超过最大值（比如最多 7 天）；每次开账号都有记录，可以追溯到是谁为谁开的，用于审计。

有些准入系统提供了访客管理门户，接待人员输入手机号，系统自动发短信通知访客，访客收到短信后在 Portal 页面激活账号。这个流程把人工干预降到了最低，也减少了 IT 人员的负担。

但这个设计有一个前提：接待人员要能准确判断访客需要什么级别的网络权限。如果接待人员对网络权限没有概念，随便选了一个最高权限的模板，这个系统就失效了。权限模板的名字要直白，避免技术术语——不要用"VLAN 100"，而是用"仅互联网访问"和"访问会议系统"这样的描述。

多次来访的访客账号管理

有些访客是常来的外部合作方——每隔几周就会来一次，每次都需要临时网络访问权限。如果每次都重新创建账号，既浪费时间，也让历史记录变得杂乱。

准入系统应该支持"常驻访客"账号类型——账号长期存在，但每次来访需要重新激活，激活后有效期为 N 天，超期后自动进入休眠状态，下次来访再次激活。这样既保留了历史记录，又不会有账号长期有效的安全风险。

这个功能在大多数准入系统里都是需要额外配置的，默认模板里可能没有。方案设计阶段就应该把这个需求提出来，让厂商确认是否支持以及如何配置。

访客接入的数据安全边界

最后一个问题是访客在接入网络后，他们的流量应该经过哪些安全检查。访客上网期间产生的流量，理论上只应该访问互联网，但这不代表可以完全放任。

访客设备可能是感染了病毒的终端，接入访客 VLAN 后向外发送大量扫描报文或者攻击流量，消耗单位出口带宽，也可能被溯源到单位的公网 IP 地址。因此，访客 VLAN 的出口流量应该配置带宽限制，并且启用基本的上网行为过滤，至少过滤掉已知的恶意域名和威胁情报里的危险 IP。

访客设备的流量是否需要做 SSL 解密？这个问题比较有争议——解密访客的 HTTPS 流量在隐私保护上有问题，但完全不检查又存在风险。常见的折中方案是只对访客流量做威胁情报过滤，不做深度内容检查，把风险降到可接受范围内，同时避免法律和隐私层面的纠纷。

访客管理不是一个大模块，但细节多。让访客顺畅上网，同时不留安全漏洞，这两件事配合好了才算方案设计到位了。