?
大型企(qi)業(yè)在無(wu)線網絡(luo)建設(she)期間(jian)要充分考慮訪(fang)客(領導、客戶(hu)����、合作伙伴)接入(ru)網絡的需(xu)求���。首先(xian)從安全性考(kao)慮,訪客網絡必(bi)須要和(he)辦公網絡分開(kai)��,訪客(ke)網絡單(dan)獨提供給(gei)訪客(ke)使用����。從用戶(hu)體驗角度考(kao)慮,訪客接入網(wang)絡的驗(yan)證方式一定(ding)要做到簡單(dan)易行�����,繁瑣(suo)的驗證(zheng)方式會降低訪(fang)客對企業(yè)的整(zheng)體印象。同(tong)時對于(yu)訪客網絡(luo)���,企業(yè)(ye)還需要(yao)建立完善(shan)的網絡安(an)全管(guan)理機制���,避免由(you)于訪客的(de)網絡不(bu)良訪問(wen)給企業(yè)帶(dai)來的(de)法律風險(xian)。對于企(qi)業(yè)員工移(yi)動辦公上網(wang)�,更需(xu)要做到可管(guan)控,上網行為(wei)做到可追(zhui)溯�,企業(yè)(ye)有效的(de)帶寬資源(yuan)得到合(he)理的分配和(he)保證,才能使(shi)企業(yè)的業(yè)務(wu)系統(tǒng)正(zheng)常且穩(wěn)定高效(xiao)地運行���,同時保(bao)證企業(yè)信息安(an)全��,避免(mian)機密信(xin)息泄露(lu)��。
存在的問題(ti)(用戶需求)
1�����、接入(ru)不安全:缺乏(fa)安全可靠(kao)的認證機(ji)制��,企業(yè)無線網(wang)絡接(jie)入不安(an)全
2�、上網權限混(hun)亂:缺乏有效(xiao)的控制策(ce)略,員工上網權(quan)限不分明
3��、數(shù)據(jù)信息(xi)安全:缺乏有(you)效的數(shù)據(jù)加(jia)密機(ji)制����,企業(yè)數(shù)(shu)據(jù)被黑客(ke)竊取篡改
4、無線信號差:AP性(xing)能不佳(jia)�,上網總掉線��,點(dian)位規(guī)劃(hua)不合(he)理��,信號(hao)盲區(qū)多
5���、漫游效果差:不(bu)能實現(xiàn)(xian)二三(san)層漫游����,移(yi)動辦公時(shi)���,業(yè)務中斷
解決方案:
結合用戶無(wu)線網絡(luo)需求情況�����,結(jie)合產品自身技(ji)術特點�,為了(le)滿足用(yong)戶構建(jian)一個高(gao)速、穩(wěn)(wen)定�����、安(an)全�、可靠、易于管(guan)理的(de)無線接(jie)入網絡的需求(qiu)����,本設計方(fang)案按照AP+AC的結(jie)構化無線網絡(luo)解決方案進(jin)行設計。具體設(she)計為在總(zong)部設(she)置總部(bu)AC,在大型分(fen)支機構(gou)設置分支AC與分(fen)支AP�����,中型分支(zhi)機構設計二級(ji)�����,三級交換機(ji)���,分支AP�����。小微(wei)型分(fen)支機(ji)構直接設(she)置分(fen)支AP��?����?偛緼C可以對(dui)大型分支機(ji)構的AC進行(xing)管理�����,當網點控(kong)制器采用(yong)集中管理的模(mo)式進入到中(zhong)心端控(kong)制器時�����,會自(zi)動下載中心(xin)端的公共配(pei)置�,比(bi)如IP組�、MAC地(di)址庫、時間計(ji)劃�����、角色(se)授權���、認證頁(ye)面等 ����??偛?bu)AC也可以(yi)直接管(guan)理中小型分支(zhi)機構的(de)分支AP,實現(xiàn)統(tǒng)一(yi)管理(li)�����。
方案設計:
安全(quan)無線(xian)整體解(jie)決方案:
接入前&接(jie)入時(shi)進行身份認證(zheng)�����、安全(quan)無線網卡�、賬號(hao)綁定(硬件碼(ma)+手機號(hao)),非法熱點(dian)檢測(ce)及防(fang)御��、網絡攻擊(ji)防護�����、射頻定(ding)時關閉及安(an)全加固���。
接入后&上網(wang)時進行(xing)訪問權限控制(zhi)���。
上網后(hou)進行(xing)上網行為(wei)記錄���。
上網用(yong)戶身份實名認(ren)證:
無線辦公(gong)網采用802.1X/Portal/WAPI認(ren)證,外置AAA和RADIUS+AD用于(yu)存儲用(yong)戶賬號(hao)密碼�。
每個賬號(hao)對應一個(ge)員工(gong),包括(kuo)姓名��、部門(men)���、性別以及身(shen)份證�����、手機號等(deng)個人信(xin)息���,保(bao)證每個上網的(de)賬號都是可(ke)尋的(de),便于(yu)安全管理���。
用戶(hu)輸入賬(zhang)號密碼上(shang)網驗(yan)證時均采用(yong)加密傳輸(shu),防止黑客空中(zhong)攔截(jie)��,竊取賬號(hao)密碼等數(shù)(shu)據(jù)����。
上網(wang)賬號自動(dong)綁定終端(duan):
自動將賬(zhang)號與終端的(de)硬件特征(zheng)碼進(jin)行綁定(ding)����,防止賬號(hao)被他(ta)人使用或(huo)者被盜用�。
每臺設備(bei)的硬件特征(zheng)碼是唯一(yi)的,無法通(tong)過軟(ruan)件修改��。即使通(tong)過軟件修(xiu)改了仍然可(ke)以識別原(yuan)始的����。
每個賬(zhang)號最多可(ke)以綁定5臺終端(duan),超過1臺時(shi)需要管理員(yuan)審核���。
上網賬號二次(ci)綁定手(shou)機號碼:
賬號首次登陸(lu)時需要綁(bang)定手機號并輸(shu)入短信驗證碼(ma)��,當用戶賬號在(zai)新終(zhong)端登陸時(換(huan)終端/被(bei)他用/被盜)���,不(bu)僅需要(yao)輸入密碼(ma),還需要輸(shu)入短信驗證(zheng)碼���,解決(jue)員工賬號(hao)認證的安(an)全問題
綁定手機(ji)號碼的用戶(hu)�,可以(yi)自助重置密碼(ma)和修改密(mi)碼���,無需通(tong)過IT管理員��。
用戶密(mi)碼管理(li)及自助修(xiu)改:
無需通過(guo)管理員即(ji)可修改(gai)密碼(ma)�����,提高效率及減(jian)輕管理員(yuan)工作壓力�����。
通過口袋助理(li)����、釘釘、企業(yè)號(hao)等手機MOA類APP軟(ruan)件進(jin)行無線密(mi)碼修改����。
若賬(zhang)號綁(bang)定了手(shou)機號(hao)碼,可通過手(shou)機驗證碼(ma)自助修(xiu)改��。
上網終端合(he)法效驗:
采用安(an)全無線網卡接(jie)入無線(xian)網絡���,終端與AP熱(re)點的雙向(xiang)驗證�,提高安全(quan)性�。
可以將無線(xian)網絡設(she)置為只有(you)安裝(zhuang)了安全無(wu)線網卡的終(zhong)端才能接(jie)入無線(xian)網絡�����。
支持設置安(an)全無線網(wang)卡只能(neng)連指(zhi)定SSID無線網(wang)絡,無(wu)法連接非授權(quan)SSID���。
網卡與AP數(shù)(shu)據(jù)傳輸(shu)時自(zi)動進行數(shù)據(jù)(ju)加密����,保(bao)證無線的空(kong)口安(an)全���。
無線熱點(dian)掃描及非法(fa)熱點抑(yi)制:
背景:黑(hei)客在附近搭建(jian)一個一模一(yi)樣或(huo)者類似的WIFI名(ming)稱���,誘使用(yong)戶連到虛假(jia)釣魚WIFI上,黑客(ke)利用分析軟件(jian)從用戶上(shang)網產生(sheng)的數(shù)據(jù)包中分(fen)析提取用(yong)戶隱(yin)私信(xin)息��。
我們通過WIPS無(wu)線入侵防御系(xi)統(tǒng)實時檢測(ce)周圍無線信號(hao)����,當檢測出來(lai)的信(xin)號BSSID、且AP源MAC地址(zhi)不在授權(quan)列表中時����,我(wo)們向對(dui)應的(de)AP和終(zhong)端發(fā)(fa)送解除(chu)關聯(lián)幀,讓終(zhong)端無法(fa)連上(shang)釣魚WIFI����。7×24小時(shi)不間(jian)斷監(jiān)測網絡�����。
上網(wang)行為嚴(yan)格控制:
強大的管理(li):通過(guo)應用識別技(ji)術�����,可以根據(jù)(ju)應用類型或者(zhe)具體某一種應(ying)用進行封堵(du)�,包括視(shi)頻����、論壇、游(you)戲��、金融���、下載等(deng)2400多種(zhong)網絡應用(yong)����。
通過應用識(shi)別技術(shu)����,可以根據(jù)(ju)應用類型或(huo)者具(ju)體某一(yi)種應用進(jin)行封堵,比如上(shang)班時(shi)間不允(yun)許炒股���,不(bu)允許P2P下載(zai)�����,不允許外(wai)發(fā)敏感文件等(deng)����; 支持主流移(yi)動平臺��,可識別(bie)IM����、社交(jiao)、Mail����、新聞、炒股(gu)等應用�。
無線控制器(qi)內置千萬級別(bie)的URL分(fen)類庫(ku),能夠對URL進行(xing)識別(bie)���,包含(han)新聞��、購物(wu)�����、金融�����、教育等18個(ge)種類的URL地(di)址��; 準確識別目(mu)前主流網站���,識(shi)別率高達(da)99.9%�����,有效實(shi)現(xiàn)網頁過濾���。例(li)如禁止登陸非(fei)法網站
通過基于時間(jian)段的訪問控(kong)制策略(lve),實現(xiàn)不同的(de)時間段不(bu)同的訪問權限(xian)�����,比如(ru)上班時間,禁止(zhi)訪問網上銀(yin)行�、游戲(xi)、論壇(tan)貼吧等與(yu)工作無關的應(ying)用���,下(xia)班時間(jian)則不受(shou)限制����。
辦公區(qū)域內(nei)�,不同辦(ban)公部門總會(hui)有各自(zi)專屬的無(wu)線網(wang)絡���,并且不(bu)希望(wang)部門之外(wai)的成(cheng)員使用這(zhe)個網絡�����。無(wu)線網絡控(kong)制器(qi)可以根據(jù)(ju)用戶的屬(shu)性�����,限制禁止(zhi)非本部門的(de)用戶接入���。
典型無(wu)線網絡攻(gong)擊防護:
對典型(xing)的危(wei)險攻擊(ji)行為(wei)進行檢測,當(dang)超過設定的(de)閾值后(hou)自動將(jiang)攻擊者加入到(dao)黑名單中�����,并(bing)凍結一定時(shi)間,即時發(fā)(fa)現(xiàn)網絡攻擊(ji)并進行防(fang)御���。
檢測(ce)的攻擊包(bao)括:DDOS防御(yu)�����、ARP掃描(miao)���、IP掃描(miao)、端口掃描(miao)防御�����,禁(jin)止客戶端私設(she)IP以及ARP���、網(wang)關欺騙(pian)防御���、DHCP請求(qiu)泛洪(hong)防御。
無線射頻定(ding)時關閉開啟:
通過(guo)射頻關閉控制(zhi)策略(lve)��,可以指定(ding)某SSID網絡����,定時自(zi)動關閉和開啟(qi)無線網絡的射(she)頻信號(hao)�,晚上下(xia)班后(hou)自動(dong)關閉無線射頻(pin)信號(hao)��。
一方面(mian)可以(yi)節(jié)能(neng)減排(pai)���、節(jié)省電(dian)費支出��;另(ling)一方面又能(neng)防止(zhi)非法用戶(hu)利用深(shen)夜時間入(ru)侵無線網絡(luo)�,做一些非法的(de)操作���。
有線(xian)無線一體化管(guan)理:
NAC的有(you)線無線一體(ti)化,支(zhi)持對有(you)線用戶的(de)接入認證(zheng)���、訪問控制�、流(liu)量管理�、上(shang)網行為審計(ji)等,
并提供(gong)統(tǒng)一中文Web管(guan)理界面����,一站式(shi)服務,極大的(de)降低網(wang)絡建(jian)設成本���。
網絡分(fen)權分級管理:
分配不(bu)同的(de)管理員(yuan)分別管(guan)理各自權限區(qū)(qu)域的無線(xian)AP�,可以精細到對(dui)某AP分組(zu)有管理(li)權限,該管理(li)員可以在該(gai)AP分組(zu)上建立(li)無線網絡(luo)�����,能夠激(ji)活���、刪除接入(ru)點�,能夠對(dui)AP的配置進行(xing)編輯修改(gai)�。
可指定管理(li)員針對每個頁(ye)面的編輯或(huo)可查看權限(xian),控制粒度到控(kong)制器上(shang)的各(ge)個頁面���,對(dui)某個頁面沒(mei)有讀權限則登(deng)錄時不顯示(shi)����。
移動APP隨(sui)時隨地運維(wei)管理:
支持跨互聯(lián)網(wang)運維管理
登陸APP進(jin)行維護(hu)管理:不同(tong)管理員(yuan)�,不同權限
查看網絡運(yun)行情況:在線用(yong)戶、在(zai)線AP數(shù)量���、實時流(liu)量
無線網絡(luo)管理維(wei)護:開啟關閉(bi)SSID����、終端綁(bang)定審(shen)批、二維碼(ma)上網(wang)審核
故障(zhang)��、審批實時通(tong)知:AP離線警告(gao)�、服務器離(li)線警告(gao)、網絡(luo)攻擊告警
方案優(yōu)勢:
1���、最豐(feng)富的無線安全(quan)機制(zhi)��,提供從安全(quan)接入(ru)到安全(quan)上網等(deng)端到端(duan)的安全策(ce)略
2���、合理管控工作(zuo)人員上網行(xing)為,提升(sheng)工作(zuo)效率�����、防止帶寬(kuan)浪費�,有線(xian)無線(xian)雙重管控(kong)
3�、為會議(yi)室,報告廳等人(ren)員密(mi)集區(qū)域(yu)接入網(wang)絡提(ti)高保(bao)證�����,解決有線(xian)網口不足(zu)的問題(ti)����;
4�、為企業(yè)員工(gong)的移動(dong)辦公提供支(zhi)撐���,內(nei)部員(yuan)工可通(tong)過無線網(wang)絡隨時安(an)全接入內部網(wang)絡��,實(shi)現(xiàn)辦(ban)公�����;
5����、內部員工(gong)賬號及個(ge)人信息綁定(ding)�,便于安全管理(li);
6�����、內部員工(gong)可通過(guo)自己的辦公設(she)備在企業(yè)大樓(lou)內快速移(yi)動辦公�����,網絡接(jie)入更快速,上(shang)網行為管(guan)理系統(tǒng)(tong)對員工上網行(xing)為進(jin)行審(shen)計與管(guan)控
7�、來訪客戶接入(ru)企業(yè)網絡(luo),可根據(jù)(ju)不同需(xu)求�,分(fen)配不同的上網(wang)權限,保證了(le)接入的安全性(xing)同時(shi)提升群眾(zhong)上網的(de)體驗
8��、豐富(fu)的認證(zheng)機制�,滿(man)足組織(zhi)對無(wu)線網絡安(an)全、快速接(jie)入
9�����、投資成(cheng)本低��,通過部(bu)署無線控(kong)制器替換(huan)原有網絡的出(chu)口路由���、行(xing)為管理以(yi)及無(wu)線控制器(qi)
