大型(xing)企業(yè)在無(wu)線網(wǎng)絡(luò)(luo)建設(shè)(she)期間要充分考(kao)慮訪(fang)客（領(lǐng)導、客戶(hu)、合作(zuo)伙伴）接(jie)入網(wǎng)(wang)絡(luò)的(de)需求(qiu)。首先從安全(quan)性考慮，訪客網(wǎng)(wang)絡(luò)必(bi)須要和辦(ban)公網(wǎng)絡(luò)分(fen)開，訪(fang)客網(wǎng)絡(luò)單獨提(ti)供給訪客(ke)使用。從用戶體(ti)驗角(jiao)度考慮，訪(fang)客接入網(wǎng)絡(luò)(luo)的驗(yan)證方式(shi)一定要(yao)做到簡(jian)單易(yi)行，繁瑣的驗(yan)證方式會(hui)降低訪客對(dui)企業(yè)(ye)的整體(ti)印象。同(tong)時對于訪(fang)客網(wǎng)絡(luò)，企業(yè)(ye)還需要建立完(wan)善的網(wǎng)絡(luò)安(an)全管理機制(zhi)，避免由于訪客(ke)的網(wǎng)絡(luò)(luo)不良訪問給(gei)企業(yè)帶來的法(fa)律風(feng)險。對于企業(yè)員(yuan)工移動辦公上(shang)網(wǎng)，更需要做(zuo)到可管控(kong)，上網(wǎng)行為做(zuo)到可追溯，企業(yè)(ye)有效的帶(dai)寬資源得到(dao)合理的(de)分配和保證，才(cai)能使企業(yè)(ye)的業(yè)(ye)務(wù)系統(tǒng)正常且(qie)穩(wěn)定高效地(di)運行，同時(shi)保證企業(yè)信息(xi)安全，避(bi)免機(ji)密信息泄露(lu)。

存在(zai)的問題（用(yong)戶需(xu)求）

1、接入不(bu)安全：缺乏(fa)安全可靠的認(ren)證機制(zhi)，企業(yè)無線網(wǎng)(wang)絡(luò)接入不安全(quan)

2、上網(wǎng)權(quán)(quan)限混亂：缺乏(fa)有效的(de)控制策略，員工(gong)上網(wǎng)權(quán)(quan)限不分明(ming)

3、數(shù)據(jù)信息(xi)安全：缺乏(fa)有效的數(shù)據(jù)(ju)加密機制(zhi)，企業(yè)(ye)數(shù)據(jù)被黑客(ke)竊取篡(cuan)改

4、無線信號差(cha)：AP性能(neng)不佳，上網(wǎng)總掉(diao)線，點位(wei)規(guī)劃不(bu)合理，信號盲(mang)區(qū)多(duo)

5、漫游效果(guo)差：不能實現(xiàn)二(er)三層漫游，移(yi)動辦(ban)公時(shi)，業(yè)務(wù)中斷

解決方案：

結(jié)合用戶(hu)無線網(wǎng)(wang)絡(luò)需求情況(kuang)，結(jié)合產(chǎn)品自(zi)身技(ji)術(shù)特點，為了滿(man)足用戶構(gòu)建(jian)一個高速、穩(wěn)定(ding)、安全、可靠、易(yi)于管理(li)的無線接(jie)入網(wǎng)絡(luò)的(de)需求，本設(shè)計(ji)方案按照AP+AC的結(jié)(jie)構(gòu)化無線網(wǎng)(wang)絡(luò)解決方案(an)進行設(shè)計。具體(ti)設(shè)計(ji)為在總(zong)部設(shè)置總部(bu)AC,在大型(xing)分支機(ji)構(gòu)設(shè)置分支(zhi)AC與分(fen)支AP，中型分(fen)支機構(gòu)設(shè)(she)計二級，三級(ji)交換機，分(fen)支AP。小微型(xing)分支機構(gòu)直(zhi)接設(shè)置分(fen)支AP?？偛緼C可(ke)以對大型分(fen)支機構(gòu)的AC進(jin)行管理，當網(wǎng)點(dian)控制器采(cai)用集中管理的(de)模式進入到(dao)中心(xin)端控制器時，會(hui)自動下(xia)載中心端(duan)的公(gong)共配(pei)置，比如IP組(zu)、MAC地址庫(ku)、時間計劃、角色(se)授權(quán)、認(ren)證頁面(mian)等 。總部AC也(ye)可以(yi)直接管理(li)中小型(xing)分支機構(gòu)(gou)的分(fen)支AP，實現(xiàn)統(tǒng)一管(guan)理。

方案(an)設(shè)計：

安全無(wu)線整體解決(jue)方案：

接入前&接入(ru)時進行身(shen)份認(ren)證、安全無線網(wǎng)(wang)卡、賬號綁(bang)定（硬件碼+手機(ji)號），非法(fa)熱點檢(jian)測及(ji)防御、網(wǎng)(wang)絡(luò)攻擊防護(hu)、射頻定(ding)時關(guān)閉及安(an)全加固(gu)。

接入后&上網(wǎng)時(shi)進行(xing)訪問權(quán)限(xian)控制。

上網(wǎng)后(hou)進行上網(wǎng)行(xing)為記錄。

上網(wǎng)用(yong)戶身(shen)份實名認證(zheng)：

無線(xian)辦公網(wǎng)采(cai)用802.1X/Portal/WAPI認證，外置(zhi)AAA和RADIUS+AD用于存儲(chu)用戶賬號密碼(ma)。

每個賬號對應(yīng)(ying)一個員工，包括(kuo)姓名、部(bu)門、性別以(yi)及身份證、手機(ji)號等個人信息(xi)，保證每(mei)個上網(wǎng)的(de)賬號都是(shi)可尋的，便(bian)于安全管理。

用戶輸(shu)入賬(zhang)號密碼(ma)上網(wǎng)驗證時均(jun)采用加密傳輸(shu)，防止黑客(ke)空中攔截，竊(qie)取賬(zhang)號密碼等數(shù)(shu)據(jù)。

上網(wǎng)賬號自(zi)動綁定終(zhong)端：

自動將賬(zhang)號與(yu)終端的硬件(jian)特征碼(ma)進行綁定，防(fang)止賬(zhang)號被他(ta)人使用或者被(bei)盜用。

每臺設(shè)備(bei)的硬件特征(zheng)碼是唯一的，無(wu)法通過(guo)軟件修改。即(ji)使通過(guo)軟件(jian)修改了(le)仍然可以(yi)識別(bie)原始的。

每個賬號最(zui)多可(ke)以綁(bang)定5臺(tai)終端，超過1臺(tai)時需要管(guan)理員審(shen)核。

上網(wǎng)賬號(hao)二次(ci)綁定手機號(hao)碼：

賬號首次登陸(lu)時需(xu)要綁定(ding)手機號(hao)并輸入短信驗(yan)證碼(ma)，當用戶賬(zhang)號在新終端(duan)登陸時（換(huan)終端/被(bei)他用/被盜），不(bu)僅需要輸入(ru)密碼，還需(xu)要輸入短(duan)信驗證(zheng)碼，解決員工(gong)賬號認證(zheng)的安全(quan)問題

綁定手(shou)機號碼的用戶(hu)，可以自助(zhu)重置密碼和修(xiu)改密碼，無需(xu)通過IT管理(li)員。

用戶密碼管理(li)及自助修改：

無需(xu)通過管理員(yuan)即可修改密碼(ma)，提高效率(lv)及減輕管理員(yuan)工作壓力。

通過(guo)口袋(dai)助理、釘釘(ding)、企業(yè)號(hao)等手機MOA類APP軟(ruan)件進行(xing)無線密(mi)碼修改。

若賬(zhang)號綁定了手機(ji)號碼，可通過手(shou)機驗證(zheng)碼自(zi)助修改。

上網(wǎng)(wang)終端合法效(xiao)驗：

采用(yong)安全(quan)無線網(wǎng)(wang)卡接(jie)入無線網(wǎng)絡(luò)，終(zhong)端與AP熱(re)點的雙向驗證(zheng)，提高安(an)全性。

可以將(jiang)無線網(wǎng)絡(luò)(luo)設(shè)置為(wei)只有安裝(zhuang)了安全無線(xian)網(wǎng)卡的終端才(cai)能接(jie)入無線(xian)網(wǎng)絡(luò)(luo)。

支持設(shè)(she)置安全無(wu)線網(wǎng)卡只能連(lian)指定(ding)SSID無線網(wǎng)(wang)絡(luò)，無(wu)法連接非(fei)授權(quán)SSID。

網(wǎng)卡與AP數(shù)據(jù)(ju)傳輸(shu)時自動進行數(shù)(shu)據(jù)加密，保證無(wu)線的空口安(an)全。

無線(xian)熱點掃描及(ji)非法(fa)熱點抑制：

背景：黑客(ke)在附近搭建一(yi)個一模一樣或(huo)者類似(shi)的WIFI名稱(cheng)，誘使用(yong)戶連到虛(xu)假釣(diao)魚WIFI上，黑客(ke)利用分析軟(ruan)件從用戶上(shang)網(wǎng)產(chǎn)生的數(shù)據(jù)(ju)包中分析提(ti)取用戶(hu)隱私信息。

我們通(tong)過WIPS無線(xian)入侵防御系統(tǒng)(tong)實時檢測周圍(wei)無線信號(hao)，當檢測出來(lai)的信號(hao)BSSID、且AP源(yuan)MAC地址不在授(shou)權(quán)列表中(zhong)時，我們向?qū)?dui)應(yīng)的AP和終(zhong)端發(fā)送解除(chu)關(guān)聯(lián)(lian)幀，讓終(zhong)端無(wu)法連上釣魚(yu)WIFI。7×24小時不間(jian)斷監(jiān)測網(wǎng)(wang)絡(luò)。

上網(wǎng)行(xing)為嚴格(ge)控制(zhi)：

強大的(de)管理：通(tong)過應(yīng)用識(shi)別技術(shù)(shu)，可以根據(jù)(ju)應(yīng)用類(lei)型或者具體某(mou)一種(zhong)應(yīng)用進行封(feng)堵，包括視(shi)頻、論壇、游(you)戲、金(jin)融、下載等(deng)2400多種網(wǎng)絡(luò)應(yīng)(ying)用。

通過應(yīng)用識(shi)別技術(shù)，可以根(gen)據(jù)應(yīng)用類型或(huo)者具體(ti)某一(yi)種應(yīng)(ying)用進行封堵，比(bi)如上班時間不(bu)允許炒股，不允(yun)許P2P下(xia)載，不允(yun)許外發(fā)敏感(gan)文件等(deng)； 支持主(zhu)流移(yi)動平臺，可(ke)識別IM、社(she)交、Mail、新(xin)聞、炒股(gu)等應(yīng)用。

無線控(kong)制器內(nèi)置千(qian)萬級(ji)別的URL分類庫(ku)，能夠(gou)對URL進行識別，包(bao)含新聞(wen)、購物、金融(rong)、教育等18個種類(lei)的URL地址； 準(zhun)確識別目前主(zhu)流網(wǎng)站，識別率(lv)高達99.9%，有效實現(xiàn)(xian)網(wǎng)頁過濾。例(li)如禁止(zhi)登陸(lu)非法網(wǎng)(wang)站

通過基于時(shi)間段的訪(fang)問控制策略，實(shi)現(xiàn)不同的時間(jian)段不同的訪問(wen)權(quán)限，比(bi)如上班時間，禁(jin)止訪問網(wǎng)(wang)上銀行、游(you)戲、論(lun)壇貼(tie)吧等與工(gong)作無關(guān)的應(yīng)用(yong)，下班時間則不(bu)受限制。

辦公區(qū)域(yu)內(nèi)，不同辦公(gong)部門總(zong)會有各自專(zhuan)屬的無(wu)線網(wǎng)絡(luò)，并且(qie)不希望部門(men)之外的(de)成員(yuan)使用這(zhe)個網(wǎng)絡(luò)。無線(xian)網(wǎng)絡(luò)控(kong)制器(qi)可以根據(jù)用戶(hu)的屬(shu)性，限制(zhi)禁止非(fei)本部門的用(yong)戶接入。

典型(xing)無線網(wǎng)絡(luò)(luo)攻擊防(fang)護：

對典型的危險(xian)攻擊行為進行(xing)檢測(ce)，當超過設(shè)定的(de)閾值后(hou)自動(dong)將攻擊(ji)者加入(ru)到黑名單中，并(bing)凍結(jié)一定時間(jian)，即時(shi)發(fā)現(xiàn)網(wǎng)(wang)絡(luò)攻(gong)擊并進行防(fang)御。

檢測(ce)的攻擊包(bao)括：DDOS防御、ARP掃描(miao)、IP掃描、端口(kou)掃描防御，禁(jin)止客戶端(duan)私設(shè)IP以及(ji)ARP、網(wǎng)關(guān)欺騙防御(yu)、DHCP請求泛洪(hong)防御。

無線(xian)射頻(pin)定時關(guān)閉開啟(qi)：

通過射頻關(guān)(guan)閉控制策略，可(ke)以指定某SSID網(wǎng)絡(luò)(luo)，定時自動關(guān)(guan)閉和開啟無(wu)線網(wǎng)(wang)絡(luò)的射(she)頻信號(hao)，晚上下班后自(zi)動關(guān)閉無線射(she)頻信號(hao)。

一方面(mian)可以節(jié)(jie)能減排、節(jié)省電(dian)費支出；另一方(fang)面又能防止非(fei)法用(yong)戶利用深夜(ye)時間入侵(qin)無線網(wǎng)絡(luò)，做(zuo)一些非法(fa)的操作。

有線(xian)無線一體(ti)化管理：

NAC的有線無(wu)線一體化，支(zhi)持對有線(xian)用戶的接入(ru)認證、訪問(wen)控制、流量管理(li)、上網(wǎng)行為審計(ji)等，

并提供(gong)統(tǒng)一中文Web管理(li)界面，一站式服(fu)務(wù)，極大的降(jiang)低網(wǎng)絡(luò)建(jian)設(shè)成本。

網(wǎng)絡(luò)分權(quán)分級(ji)管理：

分配(pei)不同的管理員(yuan)分別管理各(ge)自權(quán)限區(qū)(qu)域的無線(xian)AP，可以(yi)精細(xi)到對某AP分組有(you)管理權(quán)限(xian)，該管理員(yuan)可以在該AP分(fen)組上建立無(wu)線網(wǎng)絡(luò)，能夠(gou)激活(huo)、刪除接入(ru)點，能夠?qū)?dui)AP的配置進行(xing)編輯修(xiu)改。

可指定管理(li)員針對每個(ge)頁面的(de)編輯或可(ke)查看權(quán)限(xian)，控制粒度到控(kong)制器上(shang)的各(ge)個頁面，對某(mou)個頁(ye)面沒有讀權(quán)限(xian)則登錄時不顯(xian)示。

移動APP隨時隨地(di)運維管理：

支持(chi)跨互聯(lián)網(wǎng)運(yun)維管理(li)

登陸APP進行維護(hu)管理(li)：不同管(guan)理員，不同(tong)權(quán)限

查看網(wǎng)絡(luò)運行(xing)情況：在線用戶(hu)、在線AP數(shù)量(liang)、實時流量

無線網(wǎng)絡(luò)管理(li)維護(hu)：開啟關(guān)閉SSID、終端(duan)綁定審批、二維(wei)碼上網(wǎng)審(shen)核

故障(zhang)、審批(pi)實時通知(zhi)：AP離線警告、服(fu)務(wù)器離(li)線警告、網(wǎng)絡(luò)攻(gong)擊告(gao)警

方案優(yōu)勢：

1、最豐富的無(wu)線安全機制(zhi)，提供從安全(quan)接入(ru)到安全上(shang)網(wǎng)等端(duan)到端的(de)安全(quan)策略(lve)

2、合理管控工(gong)作人(ren)員上網(wǎng)行為(wei)，提升工(gong)作效率、防(fang)止帶寬浪費(fei)，有線無線雙重(zhong)管控(kong)

3、為會議室，報(bao)告廳(ting)等人員密集區(qū)(qu)域接入網(wǎng)(wang)絡(luò)提(ti)高保證，解(jie)決有線網(wǎng)(wang)口不足的問題(ti)；

4、為企業(yè)員(yuan)工的移動(dong)辦公提供支(zhi)撐，內(nèi)部(bu)員工可通(tong)過無線網(wǎng)(wang)絡(luò)隨(sui)時安全接入(ru)內(nèi)部網(wǎng)絡(luò)，實(shi)現(xiàn)辦公；

5、內(nèi)部員工(gong)賬號及(ji)個人信(xin)息綁定，便于安(an)全管理(li)；

6、內(nèi)部員(yuan)工可通(tong)過自己的(de)辦公設(shè)備(bei)在企業(yè)(ye)大樓內(nèi)快速(su)移動辦公，網(wǎng)(wang)絡(luò)接入更快速(su)，上網(wǎng)行(xing)為管理系統(tǒng)對(dui)員工(gong)上網(wǎng)行為(wei)進行審計與管(guan)控

7、來訪客(ke)戶接入企業(yè)網(wǎng)(wang)絡(luò)，可根據(jù)(ju)不同需求，分(fen)配不同(tong)的上網(wǎng)權(quán)(quan)限，保證了(le)接入的安全(quan)性同時提升群(qun)眾上網(wǎng)的體(ti)驗

8、豐富(fu)的認(ren)證機(ji)制，滿足組(zu)織對(dui)無線網(wǎng)絡(luò)(luo)安全(quan)、快速接入

9、投資成本低(di)，通過部署無(wu)線控制器替(ti)換原(yuan)有網(wǎng)絡(luò)的(de)出口路由、行為(wei)管理以及無(wu)線控制器