大型企業(yè)(ye)在無(wú)線網(wǎng)絡(luò)建(jian)設(shè)期間(jian)要充分考慮訪(fang)客（領(lǐng)導(dǎo)(dao)、客戶、合作伙(huo)伴）接入(ru)網(wǎng)絡(luò)的(de)需求。首(shou)先從安全性(xing)考慮，訪客網(wǎng)絡(luò)(luo)必須要和(he)辦公網(wǎng)絡(luò)分開(kai)，訪客網(wǎng)絡(luò)(luo)單獨(dú)提供給(gei)訪客使(shi)用。從(cong)用戶體驗(yàn)角(jiao)度考慮，訪客接(jie)入網(wǎng)絡(luò)的驗(yàn)(yan)證方式一定(ding)要做到(dao)簡(jiǎn)單易(yi)行，繁瑣的(de)驗(yàn)證方式會(huì)(hui)降低訪客對(duì)(dui)企業(yè)的整體印(yin)象。同時(shí)對(duì)于(yu)訪客網(wǎng)絡(luò)(luo)，企業(yè)還需(xu)要建立完善的(de)網(wǎng)絡(luò)安全(quan)管理機(jī)制，避(bi)免由(you)于訪客的(de)網(wǎng)絡(luò)(luo)不良訪問(wèn)給(gei)企業(yè)帶(dai)來(lái)的法(fa)律風(fēng)險(xiǎn)。對(duì)(dui)于企(qi)業(yè)員(yuan)工移動(dòng)辦(ban)公上網(wǎng)，更(geng)需要做(zuo)到可管控(kong)，上網(wǎng)行為(wei)做到(dao)可追溯，企業(yè)有(you)效的帶(dai)寬資源(yuan)得到合理(li)的分配和(he)保證(zheng)，才能使(shi)企業(yè)的業(yè)(ye)務(wù)系(xi)統(tǒng)正常且(qie)穩(wěn)定高效地運(yùn)(yun)行，同時(shí)(shi)保證企業(yè)信(xin)息安全，避(bi)免機(jī)(ji)密信息(xi)泄露(lu)。

存在的問(wèn)題（用(yong)戶需求）

1、接入不安(an)全：缺(que)乏安全可(ke)靠的認(rèn)證機(jī)制(zhi)，企業(yè)無(wú)(wu)線網(wǎng)絡(luò)接入(ru)不安(an)全

2、上網(wǎng)權(quán)(quan)限混(hun)亂：缺(que)乏有(you)效的控制(zhi)策略，員工上(shang)網(wǎng)權(quán)限不(bu)分明

3、數(shù)據(jù)信息安(an)全：缺乏有效(xiao)的數(shù)據(jù)加(jia)密機(jī)(ji)制，企業(yè)數(shù)(shu)據(jù)被黑(hei)客竊取(qu)篡改

4、無(wú)線信(xin)號(hào)差：AP性能不(bu)佳，上網(wǎng)總(zong)掉線，點(diǎn)位規(guī)劃(hua)不合(he)理，信(xin)號(hào)盲(mang)區(qū)多

5、漫游效果(guo)差：不能實(shí)(shi)現(xiàn)二(er)三層漫游，移動(dòng)(dong)辦公時(shí)，業(yè)務(wù)中(zhong)斷

解決方案：

結(jié)合用戶(hu)無(wú)線網(wǎng)絡(luò)(luo)需求情況(kuang)，結(jié)合產(chǎn)(chan)品自身技(ji)術(shù)特點(diǎn)，為了滿(man)足用戶構(gòu)建一(yi)個(gè)高(gao)速、穩(wěn)定、安(an)全、可(ke)靠、易(yi)于管理的無(wú)(wu)線接入網(wǎng)(wang)絡(luò)的(de)需求(qiu)，本設(shè)計(jì)方(fang)案按照AP+AC的結(jié)(jie)構(gòu)化無(wú)線網(wǎng)絡(luò)(luo)解決方案進(jìn)(jin)行設(shè)(she)計(jì)。具體設(shè)計(jì)(ji)為在總部設(shè)(she)置總(zong)部AC,在(zai)大型分(fen)支機(jī)構(gòu)(gou)設(shè)置分支AC與(yu)分支(zhi)AP，中型分支機(jī)(ji)構(gòu)設(shè)計(jì)(ji)二級(jí)，三級(jí)交換(huan)機(jī)，分支AP。小微型(xing)分支機(jī)(ji)構(gòu)直接設(shè)置分(fen)支AP?？偛?bu)AC可以(yi)對(duì)大型(xing)分支機(jī)構(gòu)(gou)的AC進(jìn)行管理，當(dāng)(dang)網(wǎng)點(diǎn)控制器采(cai)用集中(zhong)管理的(de)模式進(jìn)入到中(zhong)心端控制器時(shí)(shi)，會(huì)自動(dòng)(dong)下載中(zhong)心端的(de)公共(gong)配置，比如(ru)IP組、MAC地址庫(kù)、時(shí)(shi)間計(jì)劃、角色(se)授權(quán)(quan)、認(rèn)證頁(yè)面(mian)等 ?？偛緼C也可以(yi)直接管理(li)中小型(xing)分支機(jī)(ji)構(gòu)的分(fen)支AP，實(shí)現(xiàn)統(tǒng)(tong)一管理。

方案設(shè)計(jì)(ji)：

安全無(wú)線整(zheng)體解(jie)決方案：

接入前(qian)&接入時(shí)(shi)進(jìn)行身份(fen)認(rèn)證、安全(quan)無(wú)線網(wǎng)卡(ka)、賬號(hào)綁定（硬(ying)件碼+手機(jī)號(hào)(hao)），非法熱點(diǎn)檢測(cè)(ce)及防御、網(wǎng)絡(luò)(luo)攻擊防(fang)護(hù)、射頻定時(shí)(shi)關(guān)閉及安(an)全加固。

接入后&上網(wǎng)時(shí)(shi)進(jìn)行訪問(wèn)權(quán)(quan)限控(kong)制。

上網(wǎng)后進(jìn)(jin)行上網(wǎng)(wang)行為記錄。

上網(wǎng)用戶(hu)身份實(shí)名認(rèn)(ren)證：

無(wú)線辦(ban)公網(wǎng)采用(yong)802.1X/Portal/WAPI認(rèn)證，外置(zhi)AAA和RADIUS+AD用于(yu)存儲(chǔ)用戶賬(zhang)號(hào)密碼。

每個(gè)(ge)賬號(hào)對(duì)(dui)應(yīng)一個(gè)員工，包(bao)括姓名、部門、性(xing)別以及(ji)身份(fen)證、手機(jī)號(hào)等個(gè)(ge)人信息，保證(zheng)每個(gè)上(shang)網(wǎng)的賬號(hào)都(dou)是可尋(xun)的，便(bian)于安全管理(li)。

用戶輸(shu)入賬號(hào)密碼上(shang)網(wǎng)驗(yàn)(yan)證時(shí)均采用加(jia)密傳輸(shu)，防止(zhi)黑客空中攔(lan)截，竊取賬號(hào)(hao)密碼(ma)等數(shù)(shu)據(jù)。

上網(wǎng)賬號(hào)自(zi)動(dòng)綁定終端(duan)：

自動(dòng)將(jiang)賬號(hào)與終端(duan)的硬件特征(zheng)碼進(jìn)行(xing)綁定(ding)，防止(zhi)賬號(hào)被他人使(shi)用或者被盜(dao)用。

每臺(tái)設(shè)備的(de)硬件特征碼是(shi)唯一(yi)的，無(wú)法通過(guò)(guo)軟件修改。即使(shi)通過(guò)軟(ruan)件修(xiu)改了仍然可以(yi)識(shí)別原始(shi)的。

每個(gè)賬號(hào)最多(duo)可以綁定5臺(tái)(tai)終端，超(chao)過(guò)1臺(tái)時(shí)需要管(guan)理員(yuan)審核。

上網(wǎng)賬號(hào)二次(ci)綁定手機(jī)號(hào)碼(ma)：

賬號(hào)首次登陸(lu)時(shí)需要(yao)綁定手(shou)機(jī)號(hào)并輸入(ru)短信驗(yàn)證碼(ma)，當(dāng)用(yong)戶賬號(hào)在新終(zhong)端登(deng)陸時(shí)（換終(zhong)端/被(bei)他用/被盜），不僅(jin)需要(yao)輸入密(mi)碼，還(hai)需要輸入(ru)短信(xin)驗(yàn)證(zheng)碼，解決員工賬(zhang)號(hào)認(rèn)證(zheng)的安全問(wèn)(wen)題

綁定(ding)手機(jī)號(hào)碼(ma)的用戶，可(ke)以自助重置(zhi)密碼和修改(gai)密碼，無(wú)需通過(guò)(guo)IT管理員(yuan)。

用戶密碼管(guan)理及自(zi)助修改：

無(wú)需通(tong)過(guò)管理(li)員即可修改密(mi)碼，提(ti)高效率及減(jian)輕管理員工作(zuo)壓力。

通過(guò)(guo)口袋(dai)助理、釘釘、企業(yè)(ye)號(hào)等手機(jī)MOA類(lei)APP軟件進(jìn)行無(wú)(wu)線密(mi)碼修(xiu)改。

若賬號(hào)綁定(ding)了手機(jī)號(hào)(hao)碼，可通過(guò)手機(jī)(ji)驗(yàn)證碼(ma)自助修改。

上網(wǎng)終(zhong)端合法效驗(yàn)：

采用安全無(wú)線(xian)網(wǎng)卡接入(ru)無(wú)線(xian)網(wǎng)絡(luò)(luo)，終端(duan)與AP熱點(diǎn)的(de)雙向驗(yàn)證，提高(gao)安全性。

可以將(jiang)無(wú)線網(wǎng)(wang)絡(luò)設(shè)(she)置為只有(you)安裝(zhuang)了安全無(wú)線(xian)網(wǎng)卡的終端才(cai)能接(jie)入無(wú)線網(wǎng)(wang)絡(luò)。

支持設(shè)置安全(quan)無(wú)線網(wǎng)(wang)卡只(zhi)能連(lian)指定SSID無(wú)線(xian)網(wǎng)絡(luò)(luo)，無(wú)法連(lian)接非授權(quán)SSID。

網(wǎng)卡與AP數(shù)據(jù)傳(chuan)輸時(shí)自(zi)動(dòng)進(jìn)行數(shù)據(jù)(ju)加密，保證無(wú)線(xian)的空(kong)口安全(quan)。

無(wú)線熱點(diǎn)掃描(miao)及非(fei)法熱點(diǎn)抑制：

背景：黑客(ke)在附(fu)近搭建(jian)一個(gè)一模一(yi)樣或者類似(shi)的WIFI名(ming)稱，誘(you)使用戶連到(dao)虛假釣魚WIFI上(shang)，黑客(ke)利用分(fen)析軟(ruan)件從(cong)用戶上網(wǎng)產(chǎn)(chan)生的(de)數(shù)據(jù)包(bao)中分(fen)析提取用戶(hu)隱私信息(xi)。

我們通過(guò)WIPS無(wú)線(xian)入侵防御(yu)系統(tǒng)(tong)實(shí)時(shí)(shi)檢測(cè)周圍(wei)無(wú)線(xian)信號(hào)，當(dāng)檢(jian)測(cè)出來(lái)(lai)的信(xin)號(hào)BSSID、且(qie)AP源MAC地(di)址不(bu)在授權(quán)列表(biao)中時(shí)，我們(men)向?qū)?dui)應(yīng)的AP和終端發(fā)(fa)送解除關(guān)聯(lián)(lian)幀，讓終端(duan)無(wú)法(fa)連上釣魚(yu)WIFI。7×24小時(shí)不間(jian)斷監(jiān)測(cè)網(wǎng)(wang)絡(luò)。

上網(wǎng)(wang)行為嚴(yán)格控(kong)制：

強(qiáng)大(da)的管理(li)：通過(guò)(guo)應(yīng)用識(shí)別技術(shù)(shu)，可以根(gen)據(jù)應(yīng)用類型或(huo)者具(ju)體某一(yi)種應(yīng)用(yong)進(jìn)行封堵(du)，包括視頻(pin)、論壇、游戲(xi)、金融(rong)、下載等(deng)2400多種網(wǎng)絡(luò)(luo)應(yīng)用。

通過(guò)應(yīng)(ying)用識(shí)別(bie)技術(shù)(shu)，可以根據(jù)應(yīng)用(yong)類型(xing)或者具體某一(yi)種應(yīng)用(yong)進(jìn)行封堵(du)，比如上(shang)班時(shí)(shi)間不允許(xu)炒股，不允(yun)許P2P下載，不(bu)允許外發(fā)敏感(gan)文件等(deng)； 支持主(zhu)流移動(dòng)平臺(tái)，可(ke)識(shí)別IM、社交、Mail、新(xin)聞、炒股(gu)等應(yīng)用。

無(wú)線控制器內(nèi)(nei)置千萬(wàn)級(jí)別的(de)URL分類庫(kù)，能夠(gou)對(duì)URL進(jìn)行識(shí)(shi)別，包含新聞(wen)、購(gòu)物、金(jin)融、教育等18個(gè)(ge)種類的URL地址(zhi)； 準(zhǔn)確識(shí)別(bie)目前(qian)主流網(wǎng)(wang)站，識(shí)別率高達(dá)(da)99.9%，有效實(shí)現(xiàn)網(wǎng)頁(yè)(ye)過(guò)濾。例如禁止(zhi)登陸非法網(wǎng)(wang)站

通過(guò)基于(yu)時(shí)間段(duan)的訪問(wèn)控(kong)制策略，實(shí)現(xiàn)(xian)不同(tong)的時(shí)間段不(bu)同的訪問(wèn)(wen)權(quán)限，比(bi)如上班時(shí)間(jian)，禁止訪問(wèn)網(wǎng)上(shang)銀行(xing)、游戲、論壇貼(tie)吧等(deng)與工作無(wú)關(guān)的(de)應(yīng)用(yong)，下班(ban)時(shí)間則不(bu)受限制(zhi)。

辦公區(qū)(qu)域內(nèi)，不同辦公(gong)部門總(zong)會(huì)有各(ge)自專屬(shu)的無(wú)(wu)線網(wǎng)絡(luò)，并(bing)且不希(xi)望部門之(zhi)外的成員使(shi)用這個(gè)(ge)網(wǎng)絡(luò)。無(wú)線(xian)網(wǎng)絡(luò)控制器可(ke)以根據(jù)用(yong)戶的屬(shu)性，限制禁(jin)止非(fei)本部門(men)的用戶(hu)接入。

典型(xing)無(wú)線(xian)網(wǎng)絡(luò)攻擊防(fang)護(hù)：

對(duì)典型的(de)危險(xiǎn)攻擊行為(wei)進(jìn)行(xing)檢測(cè)，當(dāng)超過(guò)設(shè)(she)定的閾值后自(zi)動(dòng)將攻擊(ji)者加入到黑(hei)名單中(zhong)，并凍結(jié)(jie)一定(ding)時(shí)間，即(ji)時(shí)發(fā)現(xiàn)網(wǎng)(wang)絡(luò)攻擊并(bing)進(jìn)行防御。

檢測(cè)的攻擊包(bao)括：DDOS防御、ARP掃描(miao)、IP掃描(miao)、端口掃描防(fang)御，禁(jin)止客(ke)戶端私設(shè)IP以(yi)及ARP、網(wǎng)關(guān)(guan)欺騙防(fang)御、DHCP請(qǐng)求泛洪防(fang)御。

無(wú)線射頻(pin)定時(shí)關(guān)閉開啟(qi)：

通過(guò)射頻關(guān)閉(bi)控制策(ce)略，可以指(zhi)定某SSID網(wǎng)絡(luò)，定(ding)時(shí)自動(dòng)(dong)關(guān)閉和開啟無(wú)(wu)線網(wǎng)(wang)絡(luò)的射頻信(xin)號(hào)，晚上下(xia)班后(hou)自動(dòng)關(guān)閉無(wú)線(xian)射頻(pin)信號(hào)。

一方面可以節(jié)(jie)能減排、節(jié)省電(dian)費(fèi)支出；另一方(fang)面又(you)能防止非法(fa)用戶利用(yong)深夜時(shí)(shi)間入侵無(wú)線網(wǎng)(wang)絡(luò)，做(zuo)一些非法的操(cao)作。

有線無(wú)線一體(ti)化管理：

NAC的有(you)線無(wú)線一體化(hua)，支持對(duì)有線(xian)用戶的接入(ru)認(rèn)證、訪問(wèn)(wen)控制(zhi)、流量管(guan)理、上(shang)網(wǎng)行為審(shen)計(jì)等，

并提供統(tǒng)一(yi)中文Web管理(li)界面，一(yi)站式服務(wù)，極大(da)的降(jiang)低網(wǎng)絡(luò)建設(shè)(she)成本(ben)。

網(wǎng)絡(luò)(luo)分權(quán)分級(jí)管理(li)：

分配不同的(de)管理員分(fen)別管理各(ge)自權(quán)限(xian)區(qū)域(yu)的無(wú)(wu)線AP，可以精細(xì)到(dao)對(duì)某AP分組有(you)管理權(quán)限，該管(guan)理員可以(yi)在該AP分組上建(jian)立無(wú)線(xian)網(wǎng)絡(luò)，能夠激(ji)活、刪(shan)除接入(ru)點(diǎn)，能夠(gou)對(duì)AP的配(pei)置進(jìn)(jin)行編輯修(xiu)改。

可指定管(guan)理員針對(duì)每(mei)個(gè)頁(yè)面的編輯(ji)或可查看權(quán)(quan)限，控制(zhi)粒度(du)到控(kong)制器上的各(ge)個(gè)頁(yè)面，對(duì)某個(gè)(ge)頁(yè)面沒(méi)(mei)有讀權(quán)限則(ze)登錄時(shí)不(bu)顯示。

移動(dòng)APP隨(sui)時(shí)隨地運(yùn)(yun)維管理：

支持跨互(hu)聯(lián)網(wǎng)運(yùn)維管理(li)

登陸APP進(jìn)行維(wei)護(hù)管(guan)理：不(bu)同管理員(yuan)，不同權(quán)限

查看(kan)網(wǎng)絡(luò)運(yùn)(yun)行情況：在(zai)線用戶、在線AP數(shù)(shu)量、實(shí)時(shí)(shi)流量(liang)

無(wú)線網(wǎng)絡(luò)(luo)管理維護(hù)(hu)：開啟關(guān)閉(bi)SSID、終端(duan)綁定審批、二(er)維碼上網(wǎng)(wang)審核(he)

故障(zhang)、審批(pi)實(shí)時(shí)通知：AP離線(xian)警告、服務(wù)(wu)器離線警告、網(wǎng)(wang)絡(luò)攻擊告(gao)警

方案優(yōu)勢(shì)：

1、最豐富(fu)的無(wú)線安全(quan)機(jī)制，提供從(cong)安全接入到安(an)全上(shang)網(wǎng)等端到(dao)端的安全(quan)策略(lve)

2、合理管控工(gong)作人員上網(wǎng)(wang)行為(wei)，提升工作效(xiao)率、防止(zhi)帶寬浪(lang)費(fèi)，有線(xian)無(wú)線雙重管(guan)控

3、為會(huì)議室，報(bào)告(gao)廳等人員密(mi)集區(qū)(qu)域接入網(wǎng)(wang)絡(luò)提高保證(zheng)，解決有線網(wǎng)口(kou)不足的問(wèn)題；

4、為企(qi)業(yè)員(yuan)工的移動(dòng)(dong)辦公提供支撐(cheng)，內(nèi)部員工可(ke)通過(guò)無(wú)線網(wǎng)絡(luò)(luo)隨時(shí)安全接入(ru)內(nèi)部網(wǎng)絡(luò)，實(shí)現(xiàn)(xian)辦公；

5、內(nèi)部員工賬號(hào)(hao)及個(gè)人信(xin)息綁(bang)定，便于安全管(guan)理；

6、內(nèi)部員工可(ke)通過(guò)自己(ji)的辦公(gong)設(shè)備在企業(yè)(ye)大樓內(nèi)快速移(yi)動(dòng)辦公，網(wǎng)絡(luò)(luo)接入更快速，上(shang)網(wǎng)行為(wei)管理系統(tǒng)對(duì)(dui)員工上網(wǎng)行為(wei)進(jìn)行審計(jì)與管(guan)控

7、來(lái)訪客戶接入(ru)企業(yè)網(wǎng)絡(luò)，可(ke)根據(jù)不同需求(qiu)，分配不同的上(shang)網(wǎng)權(quán)限，保證了(le)接入的安全(quan)性同時(shí)(shi)提升群眾上網(wǎng)(wang)的體(ti)驗(yàn)

8、豐富的認(rèn)(ren)證機(jī)(ji)制，滿(man)足組織對(duì)無(wú)(wu)線網(wǎng)絡(luò)安(an)全、快速(su)接入

9、投資成本低(di)，通過(guò)部署無(wú)線(xian)控制(zhi)器替換(huan)原有網(wǎng)(wang)絡(luò)的出(chu)口路由、行(xing)為管(guan)理以及(ji)無(wú)線(xian)控制器(qi)