大型(xing)企業(yè)(ye)在無(wú)線(xiàn)網(wǎng)(wang)絡(luò)建設(shè)期(qi)間要充分考(kao)慮訪(fǎng)客（領(lǐng)(ling)導(dǎo)、客戶(hù)、合作(zuo)伙伴）接入(ru)網(wǎng)絡(luò)的(de)需求。首先從安(an)全性考慮，訪(fǎng)客(ke)網(wǎng)絡(luò)必須要和(he)辦公網(wǎng)絡(luò)(luo)分開(kāi)，訪(fǎng)客網(wǎng)(wang)絡(luò)單獨(dú)(du)提供(gong)給訪(fǎng)客使(shi)用。從用戶(hù)(hu)體驗(yàn)角(jiao)度考(kao)慮，訪(fǎng)客(ke)接入網(wǎng)(wang)絡(luò)的驗(yàn)證(zheng)方式(shi)一定要做到簡(jiǎn)(jian)單易行，繁瑣的(de)驗(yàn)證方式會(huì)(hui)降低訪(fǎng)客對(duì)企(qi)業(yè)的(de)整體(ti)印象。同時(shí)對(duì)(dui)于訪(fǎng)客(ke)網(wǎng)絡(luò)，企業(yè)(ye)還需要(yao)建立完(wan)善的網(wǎng)絡(luò)安全(quan)管理機(jī)制，避(bi)免由(you)于訪(fǎng)(fang)客的網(wǎng)絡(luò)(luo)不良訪(fǎng)問(wèn)給(gei)企業(yè)帶(dai)來(lái)的法律風(fēng)(feng)險(xiǎn)。對(duì)于(yu)企業(yè)員工移動(dòng)(dong)辦公上網(wǎng)，更(geng)需要做到(dao)可管(guan)控，上網(wǎng)行為做(zuo)到可追溯(su)，企業(yè)有效(xiao)的帶寬資(zi)源得到(dao)合理的分配和(he)保證，才能使(shi)企業(yè)的業(yè)(ye)務(wù)系統(tǒng)正(zheng)常且穩(wěn)定(ding)高效地(di)運(yùn)行，同時(shí)(shi)保證(zheng)企業(yè)信息安全(quan)，避免機(jī)密信息(xi)泄露。

存在的問(wèn)題（用(yong)戶(hù)需求）

1、接入不安全(quan)：缺乏(fa)安全可(ke)靠的認(rèn)證機(jī)制(zhi)，企業(yè)無(wú)線(xiàn)(xian)網(wǎng)絡(luò)接入不(bu)安全(quan)

2、上網(wǎng)(wang)權(quán)限混亂：缺乏(fa)有效的控制策(ce)略，員工上網(wǎng)權(quán)(quan)限不分明(ming)

3、數(shù)據(jù)信(xin)息安全：缺乏有(you)效的數(shù)據(jù)(ju)加密機(jī)(ji)制，企業(yè)數(shù)據(jù)被(bei)黑客(ke)竊取篡改(gai)

4、無(wú)線(xiàn)信號(hào)差：AP性(xing)能不佳，上網(wǎng)(wang)總掉線(xiàn)(xian)，點(diǎn)位規(guī)(gui)劃不合(he)理，信號(hào)盲區(qū)(qu)多

5、漫游效(xiao)果差：不能實(shí)現(xiàn)(xian)二三(san)層漫游，移動(dòng)(dong)辦公時(shí)，業(yè)務(wù)(wu)中斷(duan)

解決方案：

結(jié)合用(yong)戶(hù)無(wú)線(xiàn)(xian)網(wǎng)絡(luò)(luo)需求情(qing)況，結(jié)合產(chǎn)(chan)品自身(shen)技術(shù)特點(diǎn)，為了(le)滿(mǎn)足用戶(hù)構(gòu)建(jian)一個(gè)(ge)高速、穩(wěn)定(ding)、安全、可靠、易于(yu)管理的無(wú)線(xiàn)接(jie)入網(wǎng)絡(luò)的(de)需求(qiu)，本設(shè)計(jì)方案按(an)照AP+AC的結(jié)構(gòu)化無(wú)(wu)線(xiàn)網(wǎng)絡(luò)(luo)解決方案進(jìn)行(xing)設(shè)計(jì)(ji)。具體設(shè)計(jì)為在(zai)總部設(shè)置(zhi)總部AC,在(zai)大型分支機(jī)(ji)構(gòu)設(shè)置分支(zhi)AC與分支AP，中型分(fen)支機(jī)(ji)構(gòu)設(shè)計(jì)二(er)級(jí)，三級(jí)交換機(jī)(ji)，分支AP。小微(wei)型分支(zhi)機(jī)構(gòu)直(zhi)接設(shè)置(zhi)分支AP。總部AC可以(yi)對(duì)大型分(fen)支機(jī)構(gòu)的AC進(jìn)行(xing)管理(li)，當(dāng)網(wǎng)點(diǎn)控(kong)制器采用集(ji)中管(guan)理的模式(shi)進(jìn)入到(dao)中心端控制器(qi)時(shí)，會(huì)自動(dòng)下載(zai)中心端的公(gong)共配置，比(bi)如IP組(zu)、MAC地址庫(kù)(ku)、時(shí)間計(jì)劃、角(jiao)色授權(quán)、認(rèn)(ren)證頁(yè)面(mian)等 ?？?zong)部AC也可以(yi)直接(jie)管理中小型分(fen)支機(jī)(ji)構(gòu)的分支AP，實(shí)現(xiàn)(xian)統(tǒng)一管理。

方案設(shè)計(jì)(ji)：

安全無(wú)線(xiàn)整(zheng)體解(jie)決方案：

接入前(qian)&接入時(shí)進(jìn)行身(shen)份認(rèn)(ren)證、安全無(wú)(wu)線(xiàn)網(wǎng)卡、賬號(hào)(hao)綁定（硬件碼+手(shou)機(jī)號(hào)），非法(fa)熱點(diǎn)檢測(cè)及防(fang)御、網(wǎng)(wang)絡(luò)攻(gong)擊防(fang)護(hù)、射頻定(ding)時(shí)關(guān)閉及安(an)全加固。

接入(ru)后&上(shang)網(wǎng)時(shí)進(jìn)(jin)行訪(fǎng)問(wèn)權(quán)(quan)限控制。

上網(wǎng)后(hou)進(jìn)行上網(wǎng)(wang)行為記錄。

上網(wǎng)(wang)用戶(hù)身份實(shí)(shi)名認(rèn)證：

無(wú)線(xiàn)辦公網(wǎng)(wang)采用802.1X/Portal/WAPI認(rèn)證(zheng)，外置AAA和RADIUS+AD用于存(cun)儲(chǔ)用戶(hù)賬(zhang)號(hào)密碼。

每個(gè)賬號(hào)對(duì)應(yīng)(ying)一個(gè)員(yuan)工，包(bao)括姓名、部門(mén)(men)、性別以(yi)及身(shen)份證、手機(jī)(ji)號(hào)等個(gè)人信息(xi)，保證每(mei)個(gè)上網(wǎng)的賬(zhang)號(hào)都(dou)是可尋的，便(bian)于安(an)全管理。

用戶(hù)輸(shu)入賬(zhang)號(hào)密碼(ma)上網(wǎng)驗(yàn)(yan)證時(shí)均采用(yong)加密傳輸，防止(zhi)黑客空中攔截(jie)，竊取賬號(hào)密(mi)碼等數(shù)(shu)據(jù)。

上網(wǎng)賬號(hào)自動(dòng)(dong)綁定終端(duan)：

自動(dòng)將賬號(hào)(hao)與終端的(de)硬件特征碼進(jìn)(jin)行綁定，防止(zhi)賬號(hào)被他人使(shi)用或者被盜用(yong)。

每臺(tái)設(shè)備的(de)硬件特征碼(ma)是唯一的，無(wú)法(fa)通過(guò)軟件(jian)修改(gai)。即使(shi)通過(guò)軟件修(xiu)改了仍然可(ke)以識(shí)(shi)別原始的(de)。

每個(gè)賬號(hào)最多(duo)可以(yi)綁定5臺(tái)終端，超(chao)過(guò)1臺(tái)時(shí)需要管(guan)理員審核(he)。

上網(wǎng)賬(zhang)號(hào)二(er)次綁定手機(jī)號(hào)(hao)碼：

賬號(hào)(hao)首次登陸時(shí)需(xu)要綁定手機(jī)(ji)號(hào)并(bing)輸入短信驗(yàn)(yan)證碼(ma)，當(dāng)用(yong)戶(hù)賬號(hào)在(zai)新終(zhong)端登陸時(shí)(shi)（換終端/被他用(yong)/被盜），不僅需(xu)要輸(shu)入密(mi)碼，還需要(yao)輸入短(duan)信驗(yàn)證碼，解(jie)決員工賬號(hào)認(rèn)(ren)證的安(an)全問(wèn)題

綁定手機(jī)號(hào)(hao)碼的用戶(hù)(hu)，可以(yi)自助重置密碼(ma)和修改密碼(ma)，無(wú)需(xu)通過(guò)IT管理員(yuan)。

用戶(hù)密碼管(guan)理及自助修改(gai)：

無(wú)需通(tong)過(guò)管理員(yuan)即可修(xiu)改密碼(ma)，提高效率及(ji)減輕管理員(yuan)工作壓力(li)。

通過(guò)口袋助(zhu)理、釘釘、企(qi)業(yè)號(hào)等手機(jī)MOA類(lèi)(lei)APP軟件進(jìn)行(xing)無(wú)線(xiàn)密碼修(xiu)改。

若賬(zhang)號(hào)綁定(ding)了手機(jī)號(hào)碼(ma)，可通過(guò)手(shou)機(jī)驗(yàn)證碼(ma)自助修(xiu)改。

上網(wǎng)終端(duan)合法效(xiao)驗(yàn)：

采用(yong)安全無(wú)線(xiàn)(xian)網(wǎng)卡接入無(wú)線(xiàn)(xian)網(wǎng)絡(luò)，終端(duan)與AP熱(re)點(diǎn)的雙向驗(yàn)(yan)證，提高安全性(xing)。

可以將無(wú)線(xiàn)網(wǎng)(wang)絡(luò)設(shè)置(zhi)為只有安裝(zhuang)了安全無(wú)線(xiàn)(xian)網(wǎng)卡(ka)的終端才(cai)能接入無(wú)(wu)線(xiàn)網(wǎng)絡(luò)。

支持設(shè)置(zhi)安全無(wú)線(xiàn)網(wǎng)卡(ka)只能連(lian)指定SSID無(wú)線(xiàn)網(wǎng)(wang)絡(luò)，無(wú)(wu)法連接非授權(quán)(quan)SSID。

網(wǎng)卡與(yu)AP數(shù)據(jù)傳輸時(shí)自(zi)動(dòng)進(jìn)(jin)行數(shù)(shu)據(jù)加密，保證(zheng)無(wú)線(xiàn)的空(kong)口安全。

無(wú)線(xiàn)熱點(diǎn)掃(sao)描及非(fei)法熱點(diǎn)(dian)抑制：

背景(jing)：黑客(ke)在附近(jin)搭建一個(gè)一模(mo)一樣或者類(lèi)似(shi)的WIFI名(ming)稱(chēng)，誘使用(yong)戶(hù)連到虛假(jia)釣魚(yú)WIFI上，黑客(ke)利用(yong)分析軟(ruan)件從用戶(hù)上(shang)網(wǎng)產(chǎn)(chan)生的(de)數(shù)據(jù)包中(zhong)分析提取用戶(hù)(hu)隱私信息(xi)。

我們(men)通過(guò)WIPS無(wú)線(xiàn)入(ru)侵防御系統(tǒng)實(shí)(shi)時(shí)檢測(cè)周(zhou)圍無(wú)線(xiàn)信號(hào)，當(dāng)(dang)檢測(cè)出(chu)來(lái)的信號(hào)BSSID、且(qie)AP源MAC地址不(bu)在授(shou)權(quán)列表(biao)中時(shí)，我們向?qū)?dui)應(yīng)的AP和終(zhong)端發(fā)送解除(chu)關(guān)聯(lián)(lian)幀，讓終(zhong)端無(wú)法連上釣(diao)魚(yú)WIFI。7×24小時(shí)不間(jian)斷監(jiān)測(cè)網(wǎng)絡(luò)(luo)。

上網(wǎng)(wang)行為嚴(yán)(yan)格控制：

強(qiáng)大(da)的管理：通(tong)過(guò)應(yīng)用識(shí)別(bie)技術(shù)，可(ke)以根據(jù)應(yīng)(ying)用類(lèi)(lei)型或者(zhe)具體某一種(zhong)應(yīng)用(yong)進(jìn)行封堵，包(bao)括視頻(pin)、論壇、游(you)戲、金融、下載(zai)等2400多種網(wǎng)絡(luò)應(yīng)(ying)用。

通過(guò)應(yīng)(ying)用識(shí)(shi)別技術(shù)(shu)，可以根(gen)據(jù)應(yīng)用類(lèi)(lei)型或者具體某(mou)一種應(yīng)(ying)用進(jìn)行封堵，比(bi)如上班時(shí)(shi)間不允(yun)許炒股，不(bu)允許P2P下(xia)載，不(bu)允許外(wai)發(fā)敏感文件(jian)等； 支持主流(liu)移動(dòng)平臺(tái)，可識(shí)(shi)別IM、社交、Mail、新(xin)聞、炒股等應(yīng)用(yong)。

無(wú)線(xiàn)控(kong)制器內(nèi)置千萬(wàn)(wan)級(jí)別的URL分(fen)類(lèi)庫(kù)(ku)，能夠(gou)對(duì)URL進(jìn)行識(shí)別，包(bao)含新聞、購(gòu)物(wu)、金融、教育等18個(gè)(ge)種類(lèi)的URL地址(zhi)； 準(zhǔn)確識(shí)別目(mu)前主(zhu)流網(wǎng)站，識(shí)(shi)別率高達(dá)99.9%，有效(xiao)實(shí)現(xiàn)網(wǎng)(wang)頁(yè)過(guò)濾。例如禁(jin)止登陸非法網(wǎng)(wang)站

通過(guò)(guo)基于時(shí)間(jian)段的(de)訪(fǎng)問(wèn)控制策(ce)略，實(shí)現(xiàn)不(bu)同的時(shí)間(jian)段不同的(de)訪(fǎng)問(wèn)權(quán)限(xian)，比如上(shang)班時(shí)間(jian)，禁止訪(fǎng)(fang)問(wèn)網(wǎng)上銀(yin)行、游戲、論(lun)壇貼吧等與工(gong)作無(wú)關(guān)的(de)應(yīng)用，下(xia)班時(shí)間則不(bu)受限(xian)制。

辦公(gong)區(qū)域內(nèi)(nei)，不同辦(ban)公部門(mén)(men)總會(huì)有各(ge)自專(zhuān)屬的無(wú)線(xiàn)(xian)網(wǎng)絡(luò)，并且不希(xi)望部(bu)門(mén)之(zhi)外的成員使用(yong)這個(gè)(ge)網(wǎng)絡(luò)。無(wú)線(xiàn)(xian)網(wǎng)絡(luò)控(kong)制器可(ke)以根據(jù)用(yong)戶(hù)的屬性，限(xian)制禁止(zhi)非本部(bu)門(mén)的用(yong)戶(hù)接入(ru)。

典型無(wú)線(xiàn)網(wǎng)(wang)絡(luò)攻擊(ji)防護(hù)：

對(duì)典型(xing)的危險(xiǎn)(xian)攻擊行(xing)為進(jìn)行檢測(cè)(ce)，當(dāng)超過(guò)設(shè)定的(de)閾值后自動(dòng)(dong)將攻擊者加(jia)入到黑名單中(zhong)，并凍結(jié)(jie)一定時(shí)(shi)間，即時(shí)發(fā)現(xiàn)(xian)網(wǎng)絡(luò)攻擊并進(jìn)(jin)行防御。

檢測(cè)的攻擊(ji)包括：DDOS防御、ARP掃描(miao)、IP掃描(miao)、端口掃(sao)描防(fang)御，禁止(zhi)客戶(hù)端(duan)私設(shè)IP以及(ji)ARP、網(wǎng)關(guān)欺騙防(fang)御、DHCP請(qǐng)求泛(fan)洪防御(yu)。

無(wú)線(xiàn)射頻定(ding)時(shí)關(guān)閉開(kāi)啟：

通過(guò)射頻(pin)關(guān)閉控制(zhi)策略，可(ke)以指定某SSID網(wǎng)絡(luò)(luo)，定時(shí)自動(dòng)關(guān)閉(bi)和開(kāi)啟(qi)無(wú)線(xiàn)網(wǎng)絡(luò)的(de)射頻信號(hào)(hao)，晚上下班后自(zi)動(dòng)關(guān)閉無(wú)線(xiàn)(xian)射頻信號(hào)(hao)。

一方面(mian)可以節(jié)能減(jian)排、節(jié)省電(dian)費(fèi)支出；另一(yi)方面(mian)又能防止(zhi)非法用戶(hù)利(li)用深夜時(shí)間入(ru)侵無(wú)線(xiàn)網(wǎng)(wang)絡(luò)，做一些非法(fa)的操作。

有線(xiàn)無(wú)(wu)線(xiàn)一(yi)體化(hua)管理：

NAC的有線(xiàn)無(wú)線(xiàn)一(yi)體化，支持對(duì)(dui)有線(xiàn)(xian)用戶(hù)的接(jie)入認(rèn)證、訪(fǎng)(fang)問(wèn)控制、流量(liang)管理、上(shang)網(wǎng)行為審(shen)計(jì)等，

并提供(gong)統(tǒng)一(yi)中文(wen)Web管理界面(mian)，一站(zhan)式服務(wù)(wu)，極大的降低(di)網(wǎng)絡(luò)(luo)建設(shè)成本。

網(wǎng)絡(luò)分(fen)權(quán)分(fen)級(jí)管理：

分配不同(tong)的管理(li)員分(fen)別管理(li)各自(zi)權(quán)限區(qū)域的無(wú)(wu)線(xiàn)AP，可以精(jing)細(xì)到(dao)對(duì)某AP分組(zu)有管理權(quán)限(xian)，該管理(li)員可以(yi)在該AP分(fen)組上(shang)建立無(wú)線(xiàn)網(wǎng)(wang)絡(luò)，能(neng)夠激(ji)活、刪除接入(ru)點(diǎn)，能夠(gou)對(duì)AP的配(pei)置進(jìn)行(xing)編輯修改(gai)。

可指定管(guan)理員針對(duì)(dui)每個(gè)(ge)頁(yè)面的編輯或(huo)可查看權(quán)限(xian)，控制粒度到(dao)控制(zhi)器上的各個(gè)(ge)頁(yè)面，對(duì)某個(gè)頁(yè)(ye)面沒(méi)有(you)讀權(quán)限則登錄(lu)時(shí)不顯示(shi)。

移動(dòng)(dong)APP隨時(shí)隨地運(yùn)維(wei)管理(li)：

支持跨互聯(lián)網(wǎng)(wang)運(yùn)維(wei)管理

登陸APP進(jìn)行維(wei)護(hù)管理(li)：不同管(guan)理員(yuan)，不同權(quán)限

查看網(wǎng)絡(luò)運(yùn)行(xing)情況：在(zai)線(xiàn)用戶(hù)、在線(xiàn)(xian)AP數(shù)量、實(shí)時(shí)流(liu)量

無(wú)線(xiàn)網(wǎng)絡(luò)管理(li)維護(hù)：開(kāi)啟關(guān)(guan)閉SSID、終端(duan)綁定(ding)審批(pi)、二維碼上(shang)網(wǎng)審核

故障(zhang)、審批實(shí)時(shí)通(tong)知：AP離線(xiàn)警告(gao)、服務(wù)器離線(xiàn)警(jing)告、網(wǎng)(wang)絡(luò)攻擊(ji)告警(jing)

方案優(yōu)勢(shì)：

1、最豐富(fu)的無(wú)線(xiàn)安(an)全機(jī)(ji)制，提供(gong)從安全接(jie)入到安全上(shang)網(wǎng)等端到端(duan)的安全策略(lve)

2、合理(li)管控工作人(ren)員上(shang)網(wǎng)行為，提升(sheng)工作效率(lv)、防止帶寬(kuan)浪費(fèi)，有線(xiàn)無(wú)(wu)線(xiàn)雙重管控

3、為會(huì)(hui)議室，報(bào)(bao)告廳等(deng)人員密集區(qū)域(yu)接入網(wǎng)絡(luò)提(ti)高保證，解決有(you)線(xiàn)網(wǎng)(wang)口不足的問(wèn)題(ti)；

4、為企業(yè)員工的(de)移動(dòng)辦公提(ti)供支撐(cheng)，內(nèi)部員(yuan)工可通過(guò)無(wú)(wu)線(xiàn)網(wǎng)絡(luò)(luo)隨時(shí)安全接入(ru)內(nèi)部網(wǎng)絡(luò)(luo)，實(shí)現(xiàn)(xian)辦公；

5、內(nèi)部員工賬號(hào)(hao)及個(gè)人信(xin)息綁定，便于安(an)全管(guan)理；

6、內(nèi)部員工可(ke)通過(guò)自(zi)己的辦(ban)公設(shè)備(bei)在企業(yè)(ye)大樓內(nèi)快(kuai)速移動(dòng)辦(ban)公，網(wǎng)絡(luò)接入更(geng)快速，上網(wǎng)行(xing)為管(guan)理系(xi)統(tǒng)對(duì)員(yuan)工上網(wǎng)(wang)行為(wei)進(jìn)行審(shen)計(jì)與管(guan)控

7、來(lái)訪(fǎng)客戶(hù)(hu)接入企業(yè)網(wǎng)絡(luò)(luo)，可根據(jù)不(bu)同需求，分配不(bu)同的上網(wǎng)權(quán)限(xian)，保證(zheng)了接(jie)入的安全性同(tong)時(shí)提升群眾(zhong)上網(wǎng)的體驗(yàn)(yan)

8、豐富的認(rèn)證(zheng)機(jī)制，滿(mǎn)足組(zu)織對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)(luo)安全、快速接(jie)入

9、投資成本低，通(tong)過(guò)部署無(wú)(wu)線(xiàn)控制器替換(huan)原有網(wǎng)絡(luò)的(de)出口(kou)路由、行為(wei)管理以及(ji)無(wú)線(xiàn)控制器(qi)