大型企(qi)業(yè)在無線網(wǎng)(wang)絡(luò)建設(shè)期間(jian)要充(chong)分考慮(lv)訪客（領(lǐng)(ling)導(dǎo)、客戶、合(he)作伙伴(ban)）接入(ru)網(wǎng)絡(luò)的需求(qiu)。首先從安(an)全性考慮，訪(fang)客網(wǎng)絡(luò)必須(xu)要和(he)辦公網(wǎng)絡(luò)分(fen)開，訪客(ke)網(wǎng)絡(luò)單獨(du)提供給訪客使(shi)用。從用戶體驗(yan)角度考(kao)慮，訪(fang)客接入(ru)網(wǎng)絡(luò)的驗證方(fang)式一定要做(zuo)到簡單(dan)易行，繁瑣(suo)的驗證(zheng)方式會降(jiang)低訪(fang)客對企業(yè)的(de)整體印象。同(tong)時對于訪客網(wǎng)(wang)絡(luò)，企(qi)業(yè)還需(xu)要建(jian)立完善(shan)的網(wǎng)絡(luò)安全(quan)管理機(jī)制(zhi)，避免由(you)于訪客的(de)網(wǎng)絡(luò)不良訪(fang)問給(gei)企業(yè)帶來(lai)的法律(lv)風(fēng)險。對于企(qi)業(yè)員(yuan)工移動辦公(gong)上網(wǎng)，更(geng)需要做到(dao)可管控，上網(wǎng)行(xing)為做到(dao)可追(zhui)溯，企業(yè)有效的(de)帶寬(kuan)資源(yuan)得到合理的(de)分配和保證，才(cai)能使企業(yè)的(de)業(yè)務(wù)(wu)系統(tǒng)正常且(qie)穩(wěn)定高效地運(yùn)(yun)行，同時保證企(qi)業(yè)信息安全(quan)，避免(mian)機(jī)密信(xin)息泄露。

存在的問題（用(yong)戶需求）

1、接入不(bu)安全：缺乏(fa)安全可(ke)靠的認(rèn)證機(jī)制(zhi)，企業(yè)無線網(wǎng)(wang)絡(luò)接入(ru)不安全

2、上網(wǎng)(wang)權(quán)限混(hun)亂：缺乏有效(xiao)的控制策(ce)略，員工上網(wǎng)(wang)權(quán)限(xian)不分明(ming)

3、數(shù)據(jù)信(xin)息安全：缺(que)乏有效的數(shù)(shu)據(jù)加密(mi)機(jī)制，企業(yè)(ye)數(shù)據(jù)被黑客(ke)竊取篡改

4、無線信號差：AP性(xing)能不佳，上(shang)網(wǎng)總掉線(xian)，點位規(guī)劃不合(he)理，信(xin)號盲區(qū)(qu)多

5、漫游(you)效果差：不能(neng)實現(xiàn)二三層(ceng)漫游，移動(dong)辦公時(shi)，業(yè)務(wù)(wu)中斷

解決方案(an)：

結(jié)合(he)用戶無(wu)線網(wǎng)絡(luò)(luo)需求(qiu)情況，結(jié)合(he)產(chǎn)品自(zi)身技術(shù)特(te)點，為(wei)了滿(man)足用戶(hu)構(gòu)建一個高(gao)速、穩(wěn)定、安全(quan)、可靠、易于管理(li)的無(wu)線接(jie)入網(wǎng)絡(luò)的(de)需求(qiu)，本設(shè)計方(fang)案按(an)照AP+AC的結(jié)構(gòu)化(hua)無線網(wǎng)(wang)絡(luò)解決(jue)方案進(jìn)行設(shè)計(ji)。具體設(shè)(she)計為在總部(bu)設(shè)置總(zong)部AC,在大型分(fen)支機(jī)構(gòu)設(shè)(she)置分(fen)支AC與分支AP，中(zhong)型分支(zhi)機(jī)構(gòu)設(shè)計二(er)級，三(san)級交換機(jī)，分(fen)支AP。小微(wei)型分支機(jī)構(gòu)直(zhi)接設(shè)置分(fen)支AP。總(zong)部AC可以對(dui)大型分支(zhi)機(jī)構(gòu)的(de)AC進(jìn)行管理，當(dāng)(dang)網(wǎng)點控制器(qi)采用集(ji)中管理(li)的模式進(jìn)(jin)入到中(zhong)心端控(kong)制器時，會自(zi)動下載中心(xin)端的公(gong)共配置(zhi)，比如IP組、MAC地(di)址庫、時間(jian)計劃、角色授(shou)權(quán)、認(rèn)證頁(ye)面等 ?？?zong)部AC也可(ke)以直接管理(li)中小型分支機(jī)(ji)構(gòu)的分支AP，實現(xiàn)(xian)統(tǒng)一管理。

方案設(shè)(she)計：

安全無線整(zheng)體解決(jue)方案：

接入前&接入時(shi)進(jìn)行身份認(rèn)證(zheng)、安全無(wu)線網(wǎng)卡、賬號綁(bang)定（硬件碼(ma)+手機(jī)號），非(fei)法熱點檢測(ce)及防御、網(wǎng)(wang)絡(luò)攻擊防護(hù)、射(she)頻定時關(guān)閉及(ji)安全加固。

接入后&上網(wǎng)(wang)時進(jìn)行訪(fang)問權(quán)限控制(zhi)。

上網(wǎng)后(hou)進(jìn)行上網(wǎng)(wang)行為(wei)記錄(lu)。

上網(wǎng)用戶身(shen)份實名認(rèn)(ren)證：

無線辦(ban)公網(wǎng)采(cai)用802.1X/Portal/WAPI認(rèn)證，外置AAA和(he)RADIUS+AD用于存儲(chu)用戶(hu)賬號密碼。

每個賬號對(dui)應(yīng)一個員工，包(bao)括姓名、部(bu)門、性別以及(ji)身份證、手機(jī)(ji)號等個人(ren)信息，保證(zheng)每個上網(wǎng)的賬(zhang)號都是可(ke)尋的，便于安(an)全管理。

用戶(hu)輸入賬號密(mi)碼上網(wǎng)驗證時(shi)均采用加密傳(chuan)輸，防止黑客空(kong)中攔截，竊取賬(zhang)號密(mi)碼等數(shù)據(jù)(ju)。

上網(wǎng)賬號(hao)自動綁定終(zhong)端：

自動(dong)將賬(zhang)號與終端的硬(ying)件特征碼進(jìn)行(xing)綁定，防(fang)止賬號被他人(ren)使用或者被盜(dao)用。

每臺設(shè)(she)備的硬(ying)件特征(zheng)碼是唯(wei)一的，無法(fa)通過(guo)軟件修改。即(ji)使通過(guo)軟件(jian)修改了(le)仍然可(ke)以識別原(yuan)始的(de)。

每個賬號最多(duo)可以綁定5臺(tai)終端，超(chao)過1臺時需(xu)要管(guan)理員審核。

上網(wǎng)賬號(hao)二次綁定手機(jī)(ji)號碼(ma)：

賬號首(shou)次登陸時需要(yao)綁定手(shou)機(jī)號并輸入短(duan)信驗(yan)證碼，當(dāng)用(yong)戶賬號在(zai)新終端登陸(lu)時（換(huan)終端/被他用/被(bei)盜），不僅(jin)需要輸入密碼(ma)，還需要(yao)輸入短信驗(yan)證碼，解(jie)決員工賬號(hao)認(rèn)證的(de)安全問(wen)題

綁定手機(jī)(ji)號碼的用(yong)戶，可(ke)以自助重置密(mi)碼和(he)修改密碼，無需(xu)通過IT管(guan)理員。

用戶密碼(ma)管理(li)及自(zi)助修改(gai)：

無需通(tong)過管理員(yuan)即可修改密碼(ma)，提高效率(lv)及減輕管理員(yuan)工作壓力。

通過口袋助(zhu)理、釘釘、企業(yè)(ye)號等(deng)手機(jī)MOA類APP軟(ruan)件進(jìn)行(xing)無線密碼(ma)修改。

若賬(zhang)號綁(bang)定了手機(jī)號碼(ma)，可通(tong)過手機(jī)(ji)驗證碼自(zi)助修(xiu)改。

上網(wǎng)終端合法(fa)效驗：

采用(yong)安全無(wu)線網(wǎng)(wang)卡接入無線網(wǎng)(wang)絡(luò)，終端與AP熱(re)點的雙向(xiang)驗證(zheng)，提高安全性。

可以(yi)將無線網(wǎng)絡(luò)(luo)設(shè)置(zhi)為只有安(an)裝了安(an)全無線網(wǎng)卡的(de)終端才能(neng)接入無(wu)線網(wǎng)(wang)絡(luò)。

支持設(shè)置安(an)全無線網(wǎng)卡(ka)只能連指(zhi)定SSID無線網(wǎng)(wang)絡(luò)，無法連(lian)接非授權(quán)(quan)SSID。

網(wǎng)卡與AP數(shù)據(jù)(ju)傳輸時自(zi)動進(jìn)行數(shù)據(jù)(ju)加密(mi)，保證無線(xian)的空(kong)口安全。

無線熱點掃描(miao)及非法(fa)熱點抑制(zhi)：

背景：黑客(ke)在附近搭建一(yi)個一模一(yi)樣或(huo)者類似的WIFI名稱(cheng)，誘使(shi)用戶連到(dao)虛假釣(diao)魚WIFI上，黑客利用(yong)分析軟件從用(yong)戶上網(wǎng)產(chǎn)生(sheng)的數(shù)據(jù)包中(zhong)分析提取用戶(hu)隱私信(xin)息。

我們通過(guo)WIPS無線入(ru)侵防(fang)御系(xi)統(tǒng)實時檢(jian)測周圍無線信(xin)號，當(dāng)檢測出來(lai)的信(xin)號BSSID、且AP源(yuan)MAC地址不在授(shou)權(quán)列表(biao)中時，我們(men)向?qū)?yīng)的(de)AP和終端(duan)發(fā)送解(jie)除關(guān)聯(lián)(lian)幀，讓終端無(wu)法連(lian)上釣魚(yu)WIFI。7×24小時不間斷(duan)監(jiān)測網(wǎng)絡(luò)(luo)。

上網(wǎng)(wang)行為嚴(yán)格控(kong)制：

強(qiáng)大(da)的管理：通(tong)過應(yīng)用(yong)識別技(ji)術(shù)，可(ke)以根(gen)據(jù)應(yīng)(ying)用類型或者(zhe)具體某一(yi)種應(yīng)用進(jìn)(jin)行封堵，包括(kuo)視頻、論(lun)壇、游戲、金融、下(xia)載等2400多(duo)種網(wǎng)絡(luò)應(yīng)(ying)用。

通過應(yīng)用識別(bie)技術(shù)，可(ke)以根據(jù)應(yīng)用(yong)類型或者(zhe)具體某(mou)一種應(yīng)(ying)用進(jìn)(jin)行封堵，比如(ru)上班時間(jian)不允許(xu)炒股(gu)，不允許(xu)P2P下載，不允許外(wai)發(fā)敏(min)感文件等； 支(zhi)持主流移動平(ping)臺，可識別IM、社(she)交、Mail、新聞(wen)、炒股等應(yīng)(ying)用。

無線(xian)控制器內(nèi)(nei)置千萬級別的(de)URL分類庫(ku)，能夠?qū)RL進(jìn)行識(shi)別，包含新(xin)聞、購物、金融(rong)、教育等18個種類(lei)的URL地址； 準(zhǔn)(zhun)確識(shi)別目前(qian)主流(liu)網(wǎng)站，識別(bie)率高(gao)達(dá)99.9%，有效實現(xiàn)(xian)網(wǎng)頁過濾。例如(ru)禁止登陸(lu)非法網(wǎng)(wang)站

通過基于時(shi)間段的訪問控(kong)制策略，實(shi)現(xiàn)不同的時間(jian)段不同(tong)的訪問(wen)權(quán)限，比如上(shang)班時間，禁止(zhi)訪問網(wǎng)上銀(yin)行、游戲、論壇貼(tie)吧等與工作無(wu)關(guān)的應(yīng)用(yong)，下班時間則(ze)不受限制。

辦公區(qū)域內(nèi)(nei)，不同(tong)辦公部(bu)門總會有各自(zi)專屬的無(wu)線網(wǎng)(wang)絡(luò)，并且不希(xi)望部門之外的(de)成員使用這個(ge)網(wǎng)絡(luò)(luo)。無線網(wǎng)(wang)絡(luò)控制器(qi)可以根據(jù)用(yong)戶的屬性，限(xian)制禁止非本(ben)部門的用戶接(jie)入。

典型(xing)無線網(wǎng)絡(luò)(luo)攻擊防護(hù)：

對典型(xing)的危險攻(gong)擊行為進(jìn)行檢(jian)測，當(dāng)超過設(shè)定(ding)的閾值后自動(dong)將攻擊者(zhe)加入到黑名單(dan)中，并凍結(jié)一定(ding)時間，即(ji)時發(fā)現(xiàn)(xian)網(wǎng)絡(luò)(luo)攻擊并進(jìn)行(xing)防御。

檢測的攻擊包(bao)括：DDOS防御(yu)、ARP掃描(miao)、IP掃描、端(duan)口掃描防(fang)御，禁止(zhi)客戶(hu)端私(si)設(shè)IP以及ARP、網(wǎng)關(guān)欺(qi)騙防御(yu)、DHCP請求泛洪防御(yu)。

無線射頻(pin)定時關(guān)閉(bi)開啟：

通過射頻關(guān)(guan)閉控制(zhi)策略，可以指定(ding)某SSID網(wǎng)絡(luò)(luo)，定時自動關(guān)(guan)閉和開啟(qi)無線(xian)網(wǎng)絡(luò)(luo)的射(she)頻信號，晚(wan)上下班后自(zi)動關(guān)(guan)閉無線射(she)頻信號。

一方面可以(yi)節(jié)能減(jian)排、節(jié)(jie)省電費(fei)支出；另一方面(mian)又能防止非法(fa)用戶利用深(shen)夜時間入(ru)侵無線網(wǎng)絡(luò)(luo)，做一些非法的(de)操作。

有線(xian)無線一體(ti)化管理：

NAC的有(you)線無線一體(ti)化，支持對有線(xian)用戶的接入(ru)認(rèn)證、訪問控(kong)制、流量管理、上(shang)網(wǎng)行(xing)為審計等，

并提供(gong)統(tǒng)一中文Web管(guan)理界面，一站式(shi)服務(wù)，極(ji)大的降低網(wǎng)絡(luò)(luo)建設(shè)成(cheng)本。

網(wǎng)絡(luò)(luo)分權(quán)分(fen)級管理：

分配不同的管(guan)理員分別管理(li)各自權(quán)限區(qū)(qu)域的無(wu)線AP，可以精細(xì)到(dao)對某AP分組有(you)管理權(quán)(quan)限，該管理員可(ke)以在該AP分(fen)組上建(jian)立無線網(wǎng)(wang)絡(luò)，能夠(gou)激活(huo)、刪除接入(ru)點，能夠?qū)?dui)AP的配置進(jìn)行編(bian)輯修改。

可指定(ding)管理(li)員針對(dui)每個頁面的編(bian)輯或可查(cha)看權(quán)限，控(kong)制粒度到控制(zhi)器上(shang)的各個(ge)頁面，對某個(ge)頁面沒有讀權(quán)(quan)限則登錄時不(bu)顯示。

移動APP隨(sui)時隨地運(yùn)維(wei)管理：

支持跨互聯(lián)網(wǎng)(wang)運(yùn)維管理

登陸APP進(jìn)行維護(hù)(hu)管理：不(bu)同管理員(yuan)，不同權(quán)限(xian)

查看網(wǎng)絡(luò)運(yùn)行(xing)情況：在線(xian)用戶、在線(xian)AP數(shù)量、實時流量(liang)

無線(xian)網(wǎng)絡(luò)管理維護(hù)(hu)：開啟關(guān)閉SSID、終端(duan)綁定審(shen)批、二維碼上網(wǎng)(wang)審核

故障、審批實時(shi)通知(zhi)：AP離線警告(gao)、服務(wù)器離線警(jing)告、網(wǎng)絡(luò)(luo)攻擊告警(jing)

方案優(yōu)(you)勢：

1、最豐富的無(wu)線安(an)全機(jī)制(zhi)，提供從安(an)全接入(ru)到安(an)全上(shang)網(wǎng)等端(duan)到端的安全策(ce)略

2、合理管控工作(zuo)人員上網(wǎng)行(xing)為，提升工作(zuo)效率(lv)、防止帶寬浪(lang)費，有線無線雙(shuang)重管控

3、為會(hui)議室，報告(gao)廳等人員密(mi)集區(qū)域接(jie)入網(wǎng)(wang)絡(luò)提(ti)高保證(zheng)，解決有線(xian)網(wǎng)口不足的問(wen)題；

4、為企業(yè)(ye)員工的移(yi)動辦公(gong)提供支撐，內(nèi)部(bu)員工可通過(guo)無線網(wǎng)(wang)絡(luò)隨時安全接(jie)入內(nèi)部網(wǎng)(wang)絡(luò)，實(shi)現(xiàn)辦公(gong)；

5、內(nèi)部員(yuan)工賬號(hao)及個人信(xin)息綁定，便于(yu)安全管理；

6、內(nèi)部員工(gong)可通過自(zi)己的(de)辦公設(shè)(she)備在企業(yè)大樓(lou)內(nèi)快速移動辦(ban)公，網(wǎng)(wang)絡(luò)接入更快速(su)，上網(wǎng)行為(wei)管理(li)系統(tǒng)對員工上(shang)網(wǎng)行(xing)為進(jìn)行審計(ji)與管控(kong)

7、來訪客戶接入(ru)企業(yè)網(wǎng)絡(luò)，可根(gen)據(jù)不同需(xu)求，分配(pei)不同的上網(wǎng)(wang)權(quán)限，保(bao)證了(le)接入的安(an)全性(xing)同時(shi)提升(sheng)群眾上(shang)網(wǎng)的體驗

8、豐富(fu)的認(rèn)證機(jī)制，滿(man)足組織(zhi)對無(wu)線網(wǎng)絡(luò)安(an)全、快速接入(ru)

9、投資成(cheng)本低，通過部(bu)署無(wu)線控制器替換(huan)原有網(wǎng)(wang)絡(luò)的出口(kou)路由、行為管(guan)理以及無(wu)線控制(zhi)器