?
大型(xing)企業(yè)(ye)在無線網(wǎng)(wang)絡(luò)建設(shè)期間(jian)要充分(fen)考慮訪客(領(lǐng)(ling)導(dǎo)���、客戶、合(he)作伙伴)接(jie)入網(wǎng)絡(luò)的(de)需求。首(shou)先從安(an)全性考慮(lv),訪客網(wǎng)絡(luò)(luo)必須要和辦公(gong)網(wǎng)絡(luò)分(fen)開,訪客網(wǎng)絡(luò)單(dan)獨(dú)提供(gong)給訪客使(shi)用���。從用(yong)戶體驗(yàn)角(jiao)度考慮(lv),訪客接入(ru)網(wǎng)絡(luò)的驗(yàn)證方(fang)式一定要(yao)做到簡單易行(xing)���,繁瑣的驗(yàn)(yan)證方式(shi)會降(jiang)低訪客對企(qi)業(yè)的整體印(yin)象���。同時(shí)對于訪(fang)客網(wǎng)(wang)絡(luò),企業(yè)(ye)還需要(yao)建立完善的(de)網(wǎng)絡(luò)(luo)安全(quan)管理(li)機(jī)制(zhi)���,避免由(you)于訪客的網(wǎng)絡(luò)(luo)不良訪問給(gei)企業(yè)(ye)帶來的(de)法律風(fēng)險(xiǎn)���。對于(yu)企業(yè)員工(gong)移動辦公上(shang)網(wǎng),更需要做到(dao)可管控���,上網(wǎng)行(xing)為做到可追(zhui)溯���,企業(yè)有效(xiao)的帶寬資源得(de)到合(he)理的分配和保(bao)證,才能使企業(yè)(ye)的業(yè)(ye)務(wù)系統(tǒng)(tong)正常且穩(wěn)(wen)定高(gao)效地運(yùn)行���,同(tong)時(shí)保證(zheng)企業(yè)信(xin)息安(an)全���,避免(mian)機(jī)密(mi)信息泄露(lu)。
存在(zai)的問題(用(yong)戶需求(qiu))
1���、接入不安全:缺(que)乏安全可靠的(de)認(rèn)證機(jī)制���,企業(yè)(ye)無線網(wǎng)絡(luò)接(jie)入不安全
2、上網(wǎng)權(quán)限(xian)混亂:缺(que)乏有效(xiao)的控制策略���,員(yuan)工上(shang)網(wǎng)權(quán)限不分(fen)明
3���、數(shù)據(jù)信(xin)息安全(quan):缺乏有效(xiao)的數(shù)據(jù)加(jia)密機(jī)制,企業(yè)數(shù)(shu)據(jù)被黑客竊取(qu)篡改
4���、無線信(xin)號差:AP性能不佳(jia)���,上網(wǎng)(wang)總掉線,點(diǎn)位(wei)規(guī)劃(hua)不合(he)理���,信號盲區(qū)(qu)多
5���、漫游效果差:不(bu)能實(shí)現(xiàn)二(er)三層漫游(you)���,移動辦公時(shí)(shi),業(yè)務(wù)中斷
解決方案:
結(jié)合(he)用戶無線網(wǎng)(wang)絡(luò)需求(qiu)情況���,結(jié)合產(chǎn)(chan)品自身技術(shù)特(te)點(diǎn)���,為了滿足(zu)用戶構(gòu)建一(yi)個(gè)高(gao)速、穩(wěn)定(ding)���、安全���、可靠、易(yi)于管理的無線(xian)接入網(wǎng)絡(luò)的需(xu)求���,本設(shè)計(jì)方(fang)案按照AP+AC的結(jié)(jie)構(gòu)化無線(xian)網(wǎng)絡(luò)(luo)解決(jue)方案進(jìn)行(xing)設(shè)計(jì)���。具(ju)體設(shè)計(jì)(ji)為在總部(bu)設(shè)置(zhi)總部(bu)AC,在大型分(fen)支機(jī)構(gòu)(gou)設(shè)置分支(zhi)AC與分支AP,中型(xing)分支機(jī)構(gòu)設(shè)計(jì)(ji)二級���,三(san)級交(jiao)換機(jī)���,分支AP���。小微(wei)型分支機(jī)構(gòu)(gou)直接設(shè)置分(fen)支AP?��?偛緼C可以對(dui)大型(xing)分支(zhi)機(jī)構(gòu)(gou)的AC進(jìn)(jin)行管(guan)理,當(dāng)(dang)網(wǎng)點(diǎn)控制器采(cai)用集中管(guan)理的模式進(jìn)入(ru)到中(zhong)心端控(kong)制器時(shí)���,會自(zi)動下載中心端(duan)的公共配(pei)置���,比如IP組(zu)、MAC地址庫���、時(shí)(shi)間計(jì)(ji)劃���、角色授權(quán)、認(rèn)(ren)證頁(ye)面等 ���?��??zong)部AC也可以直接(jie)管理中小型分(fen)支機(jī)構(gòu)的分(fen)支AP���,實(shí)現(xiàn)統(tǒng)一管(guan)理。
方案設(shè)計(jì)(ji):
安全無(wu)線整體(ti)解決方案:
接入前&接(jie)入時(shí)進(jìn)行(xing)身份(fen)認(rèn)證���、安全無(wu)線網(wǎng)卡���、賬號綁(bang)定(硬(ying)件碼(ma)+手機(jī)號(hao)),非法熱點(diǎn)(dian)檢測及防御���、網(wǎng)(wang)絡(luò)攻擊防護(hù)���、射(she)頻定時(shí)關(guān)閉及(ji)安全(quan)加固(gu)。
接入(ru)后&上網(wǎng)(wang)時(shí)進(jìn)(jin)行訪(fang)問權(quán)限(xian)控制���。
上網(wǎng)后(hou)進(jìn)行上網(wǎng)行為(wei)記錄���。
上網(wǎng)用戶身份(fen)實(shí)名認(rèn)(ren)證:
無線辦公(gong)網(wǎng)采用802.1X/Portal/WAPI認(rèn)證,外(wai)置AAA和RADIUS+AD用(yong)于存(cun)儲用戶賬號密(mi)碼���。
每個(gè)(ge)賬號(hao)對應(yīng)一個(gè)員(yuan)工���,包括姓(xing)名���、部門(men)、性別以及(ji)身份(fen)證���、手機(jī)(ji)號等(deng)個(gè)人信息���,保(bao)證每個(gè)上網(wǎng)的(de)賬號都是可尋(xun)的,便于安(an)全管理���。
用戶輸入賬(zhang)號密碼上(shang)網(wǎng)驗(yàn)(yan)證時(shí)均采用(yong)加密傳輸(shu),防止(zhi)黑客空(kong)中攔截���,竊取賬(zhang)號密(mi)碼等數(shù)據(jù)���。
上網(wǎng)賬號自(zi)動綁定終端:
自動將賬(zhang)號與終端的(de)硬件特征碼(ma)進(jìn)行(xing)綁定,防止(zhi)賬號被他人使(shi)用或者(zhe)被盜用���。
每臺設(shè)(she)備的硬(ying)件特征碼(ma)是唯一的���,無(wu)法通(tong)過軟(ruan)件修改。即使(shi)通過軟件修改(gai)了仍然可以識(shi)別原始的。
每個(gè)賬號最(zui)多可以綁定(ding)5臺終端(duan)���,超過(guo)1臺時(shí)需(xu)要管理(li)員審核���。
上網(wǎng)賬號(hao)二次(ci)綁定手機(jī)號(hao)碼:
賬號首次登(deng)陸時(shí)需(xu)要綁定(ding)手機(jī)(ji)號并輸入短信(xin)驗(yàn)證碼,當(dāng)用(yong)戶賬號在(zai)新終端登陸(lu)時(shí)(換終端/被他(ta)用/被(bei)盜)���,不僅需要(yao)輸入密碼���,還(hai)需要輸入短信(xin)驗(yàn)證(zheng)碼,解決員(yuan)工賬號認(rèn)證(zheng)的安全問(wen)題
綁定手機(jī)號(hao)碼的用戶(hu)���,可以自(zi)助重置(zhi)密碼和修改(gai)密碼���,無需通(tong)過IT管理員。
用戶密碼管理(li)及自助修改:
無需(xu)通過管理員即(ji)可修(xiu)改密碼���,提(ti)高效率及減(jian)輕管理(li)員工作壓(ya)力���。
通過(guo)口袋助(zhu)理、釘釘���、企(qi)業(yè)號等手機(jī)MOA類(lei)APP軟件(jian)進(jìn)行無(wu)線密碼修改(gai)���。
若賬號綁定了(le)手機(jī)號碼���,可(ke)通過手機(jī)驗(yàn)(yan)證碼自助修(xiu)改。
上網(wǎng)終(zhong)端合(he)法效驗(yàn):
采用(yong)安全無線網(wǎng)(wang)卡接入無線網(wǎng)(wang)絡(luò)���,終(zhong)端與AP熱點(diǎn)的雙(shuang)向驗(yàn)證���,提高安(an)全性。
可以將(jiang)無線(xian)網(wǎng)絡(luò)(luo)設(shè)置為只(zhi)有安裝了(le)安全無(wu)線網(wǎng)卡(ka)的終端才能(neng)接入無線(xian)網(wǎng)絡(luò)���。
支持設(shè)置安全(quan)無線網(wǎng)卡只能(neng)連指定SSID無(wu)線網(wǎng)絡(luò)���,無法(fa)連接非授權(quán)SSID���。
網(wǎng)卡與(yu)AP數(shù)據(jù)傳(chuan)輸時(shí)自動進(jìn)(jin)行數(shù)據(jù)加密(mi)���,保證無線的空(kong)口安全。
無線(xian)熱點(diǎn)掃描(miao)及非法熱點(diǎn)(dian)抑制(zhi):
背景:黑客(ke)在附近搭(da)建一(yi)個(gè)一(yi)模一樣或(huo)者類似的WIFI名(ming)稱���,誘(you)使用戶(hu)連到(dao)虛假(jia)釣魚WIFI上���,黑(hei)客利用分(fen)析軟件從(cong)用戶上網(wǎng)產(chǎn)生(sheng)的數(shù)據(jù)包(bao)中分析(xi)提取用戶隱(yin)私信息(xi)���。
我們通(tong)過WIPS無線入侵(qin)防御系統(tǒng)(tong)實(shí)時(shí)檢測(ce)周圍無線(xian)信號(hao),當(dāng)檢測出來的(de)信號BSSID���、且(qie)AP源MAC地址不(bu)在授權(quán)列表(biao)中時(shí)���,我(wo)們向(xiang)對應(yīng)的(de)AP和終端發(fā)(fa)送解除關(guān)聯(lián)(lian)幀,讓終(zhong)端無法連上(shang)釣魚WIFI���。7×24小時(shí)不(bu)間斷監(jiān)測(ce)網(wǎng)絡(luò)���。
上網(wǎng)行為嚴(yán)格(ge)控制:
強(qiáng)大的(de)管理:通(tong)過應(yīng)用識(shi)別技術(shù),可以(yi)根據(jù)(ju)應(yīng)用類(lei)型或者具體(ti)某一(yi)種應(yīng)用進(jìn)行封(feng)堵���,包括視頻(pin)���、論壇、游戲���、金(jin)融���、下載(zai)等2400多種網(wǎng)絡(luò)應(yīng)(ying)用���。
通過應(yīng)(ying)用識別技術(shù),可(ke)以根據(jù)應(yīng)用類(lei)型或者具(ju)體某(mou)一種應(yīng)用進(jìn)行(xing)封堵���,比(bi)如上班(ban)時(shí)間不(bu)允許炒(chao)股���,不允許P2P下載(zai),不允許外發(fā)敏(min)感文(wen)件等(deng)���; 支持主流移(yi)動平臺���,可識(shi)別IM、社交(jiao)���、Mail���、新聞���、炒股等(deng)應(yīng)用���。
無線控(kong)制器內(nèi)置千(qian)萬級別的(de)URL分類(lei)庫���,能夠?qū)?dui)URL進(jìn)行識別,包含(han)新聞���、購(gou)物���、金融、教(jiao)育等18個(gè)種(zhong)類的URL地址���; 準(zhǔn)確(que)識別目前主流(liu)網(wǎng)站���,識(shi)別率高(gao)達(dá)99.9%,有效實(shí)現(xiàn)(xian)網(wǎng)頁(ye)過濾���。例如禁(jin)止登(deng)陸非法(fa)網(wǎng)站
通過基于(yu)時(shí)間段的訪(fang)問控制策略(lve)���,實(shí)現(xiàn)不同(tong)的時(shí)間(jian)段不(bu)同的訪問權(quán)限(xian),比如上班(ban)時(shí)間���,禁止(zhi)訪問網(wǎng)上(shang)銀行���、游戲(xi)���、論壇貼(tie)吧等與工作(zuo)無關(guān)的應(yīng)用,下(xia)班時(shí)間則(ze)不受限(xian)制���。
辦公區(qū)域內(nèi)���,不(bu)同辦(ban)公部門總會(hui)有各自專屬(shu)的無線(xian)網(wǎng)絡(luò),并且不希(xi)望部門之外(wai)的成員使用(yong)這個(gè)網(wǎng)絡(luò)(luo)���。無線網(wǎng)絡(luò)(luo)控制器可(ke)以根(gen)據(jù)用戶的屬性(xing)���,限制禁(jin)止非本(ben)部門的用戶(hu)接入。
典型無線網(wǎng)絡(luò)(luo)攻擊防護(hù)(hu):
對典型的危險(xiǎn)(xian)攻擊行為進(jìn)行(xing)檢測���,當(dāng)(dang)超過(guo)設(shè)定(ding)的閾值后自動(dong)將攻(gong)擊者加(jia)入到黑名單(dan)中���,并凍結(jié)一定(ding)時(shí)間,即時(shí)(shi)發(fā)現(xiàn)網(wǎng)絡(luò)(luo)攻擊并進(jìn)(jin)行防御。
檢測(ce)的攻擊(ji)包括:DDOS防(fang)御���、ARP掃描、IP掃(sao)描���、端口(kou)掃描防(fang)御���,禁(jin)止客戶端私(si)設(shè)IP以及ARP、網(wǎng)關(guān)(guan)欺騙防(fang)御���、DHCP請求泛(fan)洪防(fang)御���。
無線射(she)頻定時(shí)關(guān)閉開(kai)啟:
通過射頻(pin)關(guān)閉控(kong)制策略(lve),可以指定某(mou)SSID網(wǎng)絡(luò)���,定(ding)時(shí)自(zi)動關(guān)閉(bi)和開啟(qi)無線(xian)網(wǎng)絡(luò)的射頻(pin)信號���,晚上下(xia)班后自動關(guān)閉(bi)無線射頻(pin)信號。
一方面可以(yi)節(jié)能減排���、節(jié)省(sheng)電費(fèi)(fei)支出���;另一(yi)方面又能防(fang)止非(fei)法用戶(hu)利用深夜時(shí)間(jian)入侵無線網(wǎng)絡(luò)(luo)���,做一(yi)些非(fei)法的操作(zuo)。
有線無線一體(ti)化管理:
NAC的有線(xian)無線(xian)一體化(hua)���,支持對(dui)有線用戶的接(jie)入認(rèn)證���、訪(fang)問控制、流量(liang)管理���、上網(wǎng)行為(wei)審計(jì)等���,
并提供統(tǒng)一(yi)中文(wen)Web管理界面(mian)���,一站式服務(wù)(wu)���,極大的降(jiang)低網(wǎng)絡(luò)建(jian)設(shè)成本���。
網(wǎng)絡(luò)分權(quán)(quan)分級(ji)管理:
分配不同的(de)管理員分別管(guan)理各自權(quán)(quan)限區(qū)域的無(wu)線AP,可(ke)以精細(xì)到(dao)對某(mou)AP分組有管理權(quán)(quan)限���,該管理(li)員可以在該(gai)AP分組上(shang)建立無線網(wǎng)絡(luò)(luo)���,能夠激(ji)活���、刪除接入點(diǎn)(dian)���,能夠?qū)P的配(pei)置進(jìn)行(xing)編輯修改(gai)���。
可指定管理(li)員針對每(mei)個(gè)頁(ye)面的編輯或(huo)可查看權(quán)(quan)限,控制粒度(du)到控制器上(shang)的各個(gè)頁(ye)面���,對某個(gè)頁面(mian)沒有讀(du)權(quán)限(xian)則登錄時(shí)不(bu)顯示���。
移動APP隨時(shí)(shi)隨地(di)運(yùn)維管理:
支持(chi)跨互聯(lián)(lian)網(wǎng)運(yùn)維(wei)管理
登陸(lu)APP進(jìn)行維(wei)護(hù)管理:不(bu)同管理員,不(bu)同權(quán)限
查看網(wǎng)(wang)絡(luò)運(yùn)(yun)行情況:在線用(yong)戶���、在線AP數(shù)量(liang)���、實(shí)時(shí)流量(liang)
無線網(wǎng)(wang)絡(luò)管理維護(hù)(hu):開啟(qi)關(guān)閉SSID、終端(duan)綁定審批���、二(er)維碼上(shang)網(wǎng)審核
故障���、審批實(shí)時(shí)(shi)通知:AP離(li)線警告���、服務(wù)器(qi)離線警告、網(wǎng)絡(luò)(luo)攻擊告(gao)警
方案(an)優(yōu)勢:
1���、最豐(feng)富的無線安全(quan)機(jī)制���,提供從安(an)全接入到(dao)安全上網(wǎng)等(deng)端到端(duan)的安全策(ce)略
2、合理管(guan)控工作人(ren)員上網(wǎng)(wang)行為���,提升工(gong)作效率(lv)���、防止帶寬(kuan)浪費(fèi),有線無(wu)線雙重管控(kong)
3���、為會(hui)議室(shi)���,報(bào)告廳等人員(yuan)密集區(qū)域接入(ru)網(wǎng)絡(luò)提高保證(zheng),解決(jue)有線(xian)網(wǎng)口不足(zu)的問(wen)題���;
4���、為企(qi)業(yè)員工(gong)的移(yi)動辦公提供(gong)支撐���,內(nèi)部員(yuan)工可通過(guo)無線網(wǎng)絡(luò)(luo)隨時(shí)安全(quan)接入內(nèi)部(bu)網(wǎng)絡(luò),實(shí)現(xiàn)辦公(gong)���;
5���、內(nèi)部員(yuan)工賬號(hao)及個(gè)人(ren)信息綁定(ding)���,便于(yu)安全管(guan)理���;
6、內(nèi)部員工可(ke)通過(guo)自己的辦公(gong)設(shè)備在企業(yè)大(da)樓內(nèi)快速移動(dong)辦公���,網(wǎng)絡(luò)(luo)接入(ru)更快速���,上(shang)網(wǎng)行(xing)為管理系統(tǒng)(tong)對員工上網(wǎng)(wang)行為進(jìn)行審(shen)計(jì)與管(guan)控
7、來訪客戶接入(ru)企業(yè)網(wǎng)絡(luò)���,可根(gen)據(jù)不同需求���,分(fen)配不同的(de)上網(wǎng)權(quán)限(xian)���,保證(zheng)了接入的安全(quan)性同時(shí)提升群(qun)眾上網(wǎng)(wang)的體驗(yàn)
8、豐富的認(rèn)證(zheng)機(jī)制���,滿(man)足組(zu)織對無線(xian)網(wǎng)絡(luò)安(an)全���、快(kuai)速接(jie)入
9、投資成本低���,通(tong)過部署無線(xian)控制器(qi)替換原有網(wǎng)(wang)絡(luò)的出口路由(you)���、行為管理以(yi)及無線控制(zhi)器
