?
大型企(qi)業(yè)在無(wú)線網(wǎng)絡(luò)(luo)建設(shè)期間要(yao)充分考慮(lv)訪客(領(lǐng)導(dǎo)���、客(ke)戶���、合(he)作伙伴)接入網(wǎng)(wang)絡(luò)的(de)需求。首先從(cong)安全性考慮���,訪(fang)客網(wǎng)絡(luò)必(bi)須要和辦公(gong)網(wǎng)絡(luò)分(fen)開(kāi)���,訪客(ke)網(wǎng)絡(luò)單獨(dú)提(ti)供給訪客使用(yong)。從用戶(hu)體驗(yàn)角(jiao)度考慮(lv)���,訪客接入網(wǎng)(wang)絡(luò)的驗(yàn)證方(fang)式一(yi)定要做到簡(jiǎn)(jian)單易行(xing)���,繁瑣的驗(yàn)(yan)證方式會(huì)降低(di)訪客對(duì)企業(yè)(ye)的整(zheng)體印(yin)象。同時(shí)對(duì)于訪(fang)客網(wǎng)絡(luò)���,企業(yè)(ye)還需要(yao)建立完(wan)善的(de)網(wǎng)絡(luò)安(an)全管理機(jī)(ji)制���,避免由于訪(fang)客的網(wǎng)絡(luò)不(bu)良訪問(wèn)(wen)給企業(yè)帶來(lái)的(de)法律(lv)風(fēng)險(xiǎn)(xian)。對(duì)于企業(yè)員(yuan)工移動(dòng)辦公(gong)上網(wǎng)���,更需(xu)要做到可管控(kong)���,上網(wǎng)行為(wei)做到可追溯���,企(qi)業(yè)有效的帶(dai)寬資源得到(dao)合理的(de)分配和保證(zheng),才能使企(qi)業(yè)的(de)業(yè)務(wù)系統(tǒng)(tong)正常且(qie)穩(wěn)定高效地運(yùn)(yun)行���,同時(shí)保證(zheng)企業(yè)(ye)信息安全���,避(bi)免機(jī)密信息(xi)泄露。
存在的問(wèn)題(用(yong)戶需求(qiu))
1���、接入不(bu)安全:缺乏安全(quan)可靠的(de)認(rèn)證(zheng)機(jī)制���,企業(yè)無(wú)(wu)線網(wǎng)絡(luò)接入(ru)不安全
2、上網(wǎng)權(quán)限混亂(luan):缺乏有效(xiao)的控制(zhi)策略���,員工上網(wǎng)(wang)權(quán)限不分明
3、數(shù)據(jù)(ju)信息安(an)全:缺(que)乏有效的(de)數(shù)據(jù)加密機(jī)制(zhi)���,企業(yè)數(shù)據(jù)被黑(hei)客竊取篡(cuan)改
4���、無(wú)線信號(hào)差:AP性(xing)能不佳(jia),上網(wǎng)總掉(diao)線���,點(diǎn)位規(guī)(gui)劃不(bu)合理(li)���,信號(hào)盲(mang)區(qū)多
5���、漫游效(xiao)果差:不能(neng)實(shí)現(xiàn)二(er)三層漫游(you),移動(dòng)辦公時(shí)���,業(yè)(ye)務(wù)中斷
解決方案:
結(jié)合用(yong)戶無(wú)線網(wǎng)絡(luò)需(xu)求情況���,結(jié)合(he)產(chǎn)品自身技(ji)術(shù)特點(diǎn)(dian),為了滿(man)足用戶構(gòu)(gou)建一個(gè)高速(su)���、穩(wěn)定���、安全、可靠(kao)���、易于管理(li)的無(wú)線接入(ru)網(wǎng)絡(luò)的需求(qiu)���,本設(shè)計(jì)方案按(an)照AP+AC的結(jié)構(gòu)(gou)化無(wú)線網(wǎng)絡(luò)(luo)解決方案進(jìn)(jin)行設(shè)計(jì)。具體(ti)設(shè)計(jì)為在總(zong)部設(shè)置總(zong)部AC,在大型分支(zhi)機(jī)構(gòu)設(shè)置分支(zhi)AC與分支AP���,中(zhong)型分支機(jī)構(gòu)設(shè)(she)計(jì)二級(jí)���,三(san)級(jí)交換機(jī)(ji)���,分支AP。小微型(xing)分支機(jī)構(gòu)(gou)直接(jie)設(shè)置分支AP���?��?偛?bu)AC可以對(duì)(dui)大型分支機(jī)(ji)構(gòu)的AC進(jìn)行(xing)管理,當(dāng)網(wǎng)點(diǎn)(dian)控制器(qi)采用集(ji)中管理(li)的模式進(jìn)入(ru)到中心端控(kong)制器時(shí)���,會(huì)自動(dòng)(dong)下載中心(xin)端的公共配置(zhi)���,比如IP組、MAC地(di)址庫(kù)���、時(shí)間計(jì)(ji)劃、角色授權(quán)���、認(rèn)(ren)證頁(yè)(ye)面等 ���?��??zong)部AC也可以直接(jie)管理中(zhong)小型分(fen)支機(jī)構(gòu)的分支(zhi)AP,實(shí)現(xiàn)統(tǒng)一管(guan)理���。
方案設(shè)計(jì):
安全無(wú)線整體(ti)解決方案:
接入(ru)前&接入時(shí)進(jìn)行(xing)身份認(rèn)證���、安全(quan)無(wú)線(xian)網(wǎng)卡、賬號(hào)綁定(ding)(硬件碼+手機(jī)號(hào)(hao))���,非法熱(re)點(diǎn)檢測(cè)及防御(yu)���、網(wǎng)絡(luò)攻(gong)擊防(fang)護(hù)、射頻(pin)定時(shí)關(guān)閉及安(an)全加固���。
接入后(hou)&上網(wǎng)時(shí)進(jìn)行(xing)訪問(wèn)(wen)權(quán)限控制���。
上網(wǎng)后進(jìn)(jin)行上網(wǎng)行為(wei)記錄。
上網(wǎng)用(yong)戶身份實(shí)名(ming)認(rèn)證:
無(wú)線辦公網(wǎng)(wang)采用(yong)802.1X/Portal/WAPI認(rèn)證���,外(wai)置AAA和RADIUS+AD用于(yu)存儲(chǔ)用(yong)戶賬號(hào)密碼���。
每個(gè)賬(zhang)號(hào)對(duì)應(yīng)一個(gè)員(yuan)工���,包括(kuo)姓名、部門(mén)(men)���、性別以及(ji)身份證(zheng)���、手機(jī)號(hào)等(deng)個(gè)人信(xin)息,保證(zheng)每個(gè)上網(wǎng)的(de)賬號(hào)都是(shi)可尋(xun)的���,便于安全管(guan)理���。
用戶輸入賬(zhang)號(hào)密碼上網(wǎng)(wang)驗(yàn)證時(shí)均(jun)采用(yong)加密傳輸(shu),防止黑客(ke)空中攔截���,竊取(qu)賬號(hào)密碼(ma)等數(shù)(shu)據(jù)���。
上網(wǎng)賬號(hào)自動(dòng)(dong)綁定終(zhong)端:
自動(dòng)(dong)將賬(zhang)號(hào)與終端的硬(ying)件特征(zheng)碼進(jìn)行綁(bang)定,防止賬號(hào)被(bei)他人使用或者(zhe)被盜用���。
每臺(tái)(tai)設(shè)備的硬(ying)件特征碼是唯(wei)一的���,無(wú)法(fa)通過(guò)軟件修(xiu)改。即使通過(guò)(guo)軟件修改了仍(reng)然可以識(shí)別原(yuan)始的���。
每個(gè)賬號(hào)最多(duo)可以綁(bang)定5臺(tái)(tai)終端���,超過(guò)1臺(tái)時(shí)(shi)需要管(guan)理員審核。
上網(wǎng)賬號(hào)(hao)二次(ci)綁定手(shou)機(jī)號(hào)碼:
賬號(hào)首次登(deng)陸時(shí)需要(yao)綁定手機(jī)號(hào)并(bing)輸入短信驗(yàn)證(zheng)碼���,當(dāng)用(yong)戶賬(zhang)號(hào)在新終端(duan)登陸時(shí)(換終(zhong)端/被他用(yong)/被盜)���,不僅需要(yao)輸入密碼,還(hai)需要(yao)輸入短信驗(yàn)(yan)證碼���,解決員(yuan)工賬號(hào)認(rèn)證(zheng)的安(an)全問(wèn)(wen)題
綁定手機(jī)(ji)號(hào)碼(ma)的用戶���,可以(yi)自助重置密(mi)碼和修改密碼(ma),無(wú)需通過(guò)IT管理(li)員���。
用戶密(mi)碼管理及自(zi)助修改:
無(wú)需通過(guò)管(guan)理員(yuan)即可修改密(mi)碼���,提高效率及(ji)減輕(qing)管理員(yuan)工作壓力���。
通過(guò)口袋(dai)助理、釘釘���、企業(yè)(ye)號(hào)等手(shou)機(jī)MOA類APP軟件進(jìn)(jin)行無(wú)(wu)線密碼修改���。
若賬號(hào)綁(bang)定了手機(jī)號(hào)(hao)碼,可通過(guò)手機(jī)(ji)驗(yàn)證碼自助(zhu)修改(gai)���。
上網(wǎng)終端合(he)法效(xiao)驗(yàn):
采用安(an)全無(wú)線網(wǎng)卡接(jie)入無(wú)(wu)線網(wǎng)絡(luò)���,終端(duan)與AP熱點(diǎn)的雙(shuang)向驗(yàn)證(zheng),提高安全性���。
可以將無(wú)(wu)線網(wǎng)絡(luò)設(shè)置(zhi)為只有安裝了(le)安全無(wú)線網(wǎng)卡(ka)的終(zhong)端才能接入無(wú)(wu)線網(wǎng)絡(luò)���。
支持設(shè)置(zhi)安全無(wú)線(xian)網(wǎng)卡(ka)只能連指(zhi)定SSID無(wú)線網(wǎng)絡(luò)(luo),無(wú)法(fa)連接非授(shou)權(quán)SSID���。
網(wǎng)卡與AP數(shù)(shu)據(jù)傳輸(shu)時(shí)自動(dòng)進(jìn)行(xing)數(shù)據(jù)加密(mi)���,保證無(wú)線的空(kong)口安全(quan)���。
無(wú)線(xian)熱點(diǎn)掃(sao)描及非法熱(re)點(diǎn)抑制(zhi):
背景:黑客在附(fu)近搭建一個(gè)一(yi)模一樣或者類(lei)似的WIFI名稱,誘使(shi)用戶連到虛(xu)假釣魚(yú)WIFI上���,黑(hei)客利用分析軟(ruan)件從用戶上(shang)網(wǎng)產(chǎn)生的數(shù)(shu)據(jù)包中分析(xi)提取用戶隱(yin)私信(xin)息。
我們(men)通過(guò)WIPS無(wú)線(xian)入侵(qin)防御系統(tǒng)(tong)實(shí)時(shí)(shi)檢測(cè)周圍(wei)無(wú)線信號(hào)���,當(dāng)檢(jian)測(cè)出來(lái)的(de)信號(hào)BSSID���、且AP源MAC地址(zhi)不在授權(quán)列(lie)表中時(shí),我(wo)們向?qū)?yīng)的(de)AP和終端發(fā)送解(jie)除關(guān)(guan)聯(lián)幀���,讓(rang)終端無(wú)法連(lian)上釣魚(yú)WIFI���。7×24小(xiao)時(shí)不間斷(duan)監(jiān)測(cè)網(wǎng)絡(luò)。
上網(wǎng)行為嚴(yán)(yan)格控制:
強(qiáng)大的管理(li):通過(guò)應(yīng)(ying)用識(shí)別技(ji)術(shù)���,可以根據(jù)應(yīng)(ying)用類型或者(zhe)具體某一(yi)種應(yīng)用進(jìn)行(xing)封堵(du)���,包括視頻���、論(lun)壇、游戲(xi)���、金融���、下載等2400多(duo)種網(wǎng)絡(luò)應(yīng)用(yong)。
通過(guò)應(yīng)用識(shí)(shi)別技術(shù)���,可以(yi)根據(jù)應(yīng)用類型(xing)或者具(ju)體某一種應(yīng)用(yong)進(jìn)行封堵���,比如(ru)上班時(shí)間不(bu)允許(xu)炒股(gu),不允許(xu)P2P下載���,不允許外(wai)發(fā)敏感文件(jian)等���; 支(zhi)持主流移(yi)動(dòng)平(ping)臺(tái),可識(shí)別(bie)IM���、社交(jiao)���、Mail���、新聞(wen)、炒股(gu)等應(yīng)用(yong)���。
無(wú)線控制器(qi)內(nèi)置千(qian)萬(wàn)級(jí)別的URL分(fen)類庫(kù)���,能夠(gou)對(duì)URL進(jìn)行識(shí)別,包(bao)含新聞���、購(gòu)(gou)物���、金融���、教(jiao)育等(deng)18個(gè)種類(lei)的URL地址���; 準(zhǔn)確識(shí)(shi)別目前主(zhu)流網(wǎng)站,識(shí)別(bie)率高達(dá)99.9%���,有(you)效實(shí)現(xiàn)(xian)網(wǎng)頁(yè)過(guò)濾���。例如(ru)禁止登陸非法(fa)網(wǎng)站
通過(guò)基于時(shí)間(jian)段的訪問(wèn)(wen)控制策略(lve)���,實(shí)現(xiàn)不同(tong)的時(shí)間段(duan)不同(tong)的訪(fang)問(wèn)權(quán)限���,比(bi)如上班(ban)時(shí)間(jian)���,禁止訪問(wèn)(wen)網(wǎng)上銀行���、游戲(xi)���、論壇貼(tie)吧等與工(gong)作無(wú)(wu)關(guān)的應(yīng)用���,下班(ban)時(shí)間則(ze)不受限制(zhi)。
辦公區(qū)域(yu)內(nèi)���,不同辦公部(bu)門(mén)總會(huì)有(you)各自專(zhuan)屬的無(wú)線(xian)網(wǎng)絡(luò)���,并(bing)且不希望(wang)部門(mén)之外的(de)成員使用這個(gè)(ge)網(wǎng)絡(luò)���。無(wú)線網(wǎng)(wang)絡(luò)控制器可(ke)以根據(jù)(ju)用戶(hu)的屬性���,限制(zhi)禁止非本部(bu)門(mén)的用戶接(jie)入���。
典型(xing)無(wú)線網(wǎng)絡(luò)攻擊(ji)防護(hù)(hu):
對(duì)典型的(de)危險(xiǎn)攻擊行為(wei)進(jìn)行(xing)檢測(cè)���,當(dāng)(dang)超過(guò)(guo)設(shè)定(ding)的閾值后(hou)自動(dòng)(dong)將攻擊者(zhe)加入(ru)到黑(hei)名單中,并凍(dong)結(jié)一定時(shí)間(jian),即時(shí)發(fā)現(xiàn)(xian)網(wǎng)絡(luò)攻擊并進(jìn)(jin)行防御。
檢測(cè)的攻擊包(bao)括:DDOS防御���、ARP掃(sao)描���、IP掃描���、端口(kou)掃描防御(yu)���,禁止(zhi)客戶端私設(shè)(she)IP以及(ji)ARP���、網(wǎng)關(guān)欺騙防御(yu)���、DHCP請(qǐng)求泛洪防御(yu)。
無(wú)線射頻定(ding)時(shí)關(guān)閉開(kāi)啟:
通過(guò)射頻(pin)關(guān)閉控制策(ce)略,可以(yi)指定某SSID網(wǎng)(wang)絡(luò)���,定時(shí)自動(dòng)關(guān)(guan)閉和開(kāi)啟無(wú)(wu)線網(wǎng)絡(luò)的(de)射頻(pin)信號(hào)���,晚上下(xia)班后自動(dòng)關(guān)(guan)閉無(wú)線(xian)射頻信(xin)號(hào)���。
一方面可(ke)以節(jié)能減(jian)排���、節(jié)省電費(fèi)(fei)支出���;另一方面(mian)又能(neng)防止非(fei)法用戶利用深(shen)夜時(shí)(shi)間入侵無(wú)線(xian)網(wǎng)絡(luò)���,做一些(xie)非法的操(cao)作���。
有線無(wú)線一(yi)體化管理:
NAC的有線無(wú)線一(yi)體化���,支(zhi)持對(duì)(dui)有線(xian)用戶的接入認(rèn)(ren)證、訪問(wèn)(wen)控制(zhi)���、流量(liang)管理���、上網(wǎng)(wang)行為審計(jì)等,
并提供統(tǒng)一(yi)中文(wen)Web管理界(jie)面���,一站式(shi)服務(wù)���,極大(da)的降低網(wǎng)(wang)絡(luò)建設(shè)成本(ben)。
網(wǎng)絡(luò)分(fen)權(quán)分級(jí)(ji)管理:
分配(pei)不同的管理(li)員分(fen)別管理各(ge)自權(quán)限區(qū)(qu)域的無(wú)(wu)線AP���,可以(yi)精細(xì)到對(duì)(dui)某AP分組有管(guan)理權(quán)限(xian)���,該管理員可(ke)以在該(gai)AP分組(zu)上建立無(wú)(wu)線網(wǎng)絡(luò),能夠(gou)激活���、刪除接(jie)入點(diǎn)���,能(neng)夠?qū)P的配置(zhi)進(jìn)行編(bian)輯修(xiu)改。
可指定(ding)管理員針對(duì)(dui)每個(gè)頁(yè)面的(de)編輯或(huo)可查看權(quán)限���,控(kong)制粒度到(dao)控制器上的各(ge)個(gè)頁(yè)(ye)面���,對(duì)某個(gè)頁(yè)面(mian)沒(méi)有讀權(quán)限(xian)則登錄(lu)時(shí)不(bu)顯示。
移動(dòng)APP隨(sui)時(shí)隨地(di)運(yùn)維管(guan)理:
支持跨(kua)互聯(lián)網(wǎng)運(yùn)維(wei)管理
登陸(lu)APP進(jìn)行維護(hù)管(guan)理:不同管理(li)員���,不同權(quán)限
查看(kan)網(wǎng)絡(luò)運(yùn)(yun)行情況:在線用(yong)戶���、在線AP數(shù)量、實(shí)(shi)時(shí)流量
無(wú)線(xian)網(wǎng)絡(luò)管理(li)維護(hù):開(kāi)啟關(guān)閉(bi)SSID���、終端綁定(ding)審批���、二維(wei)碼上(shang)網(wǎng)審(shen)核
故障、審批實(shí)(shi)時(shí)通知:AP離(li)線警告���、服務(wù)(wu)器離(li)線警(jing)告���、網(wǎng)絡(luò)攻擊告(gao)警
方案優(yōu)勢(shì):
1���、最豐富的無(wú)線(xian)安全(quan)機(jī)制,提(ti)供從安(an)全接入到安全(quan)上網(wǎng)等(deng)端到端(duan)的安(an)全策略
2���、合理管(guan)控工作人員上(shang)網(wǎng)行(xing)為���,提升(sheng)工作效(xiao)率、防止帶(dai)寬浪費(fèi)���,有(you)線無(wú)線雙(shuang)重管控
3���、為會(huì)議室(shi),報(bào)告廳(ting)等人員密集(ji)區(qū)域接入網(wǎng)(wang)絡(luò)提高保證(zheng)���,解決有線網(wǎng)口(kou)不足的問(wèn)題���;
4、為企(qi)業(yè)員工的(de)移動(dòng)辦(ban)公提供支撐(cheng)���,內(nèi)部(bu)員工可通過(guò)(guo)無(wú)線網(wǎng)絡(luò)隨時(shí)(shi)安全接入內(nèi)部(bu)網(wǎng)絡(luò)(luo)���,實(shí)現(xiàn)辦(ban)公���;
5、內(nèi)部員工(gong)賬號(hào)及個(gè)人(ren)信息綁定(ding)���,便于(yu)安全管(guan)理;
6���、內(nèi)部員工可(ke)通過(guò)自(zi)己的(de)辦公設(shè)備在(zai)企業(yè)大(da)樓內(nèi)快(kuai)速移(yi)動(dòng)辦公(gong)���,網(wǎng)絡(luò)接入(ru)更快速,上(shang)網(wǎng)行為管理系(xi)統(tǒng)對(duì)員(yuan)工上網(wǎng)行為(wei)進(jìn)行(xing)審計(jì)與管控
7���、來(lái)訪(fang)客戶接入(ru)企業(yè)網(wǎng)絡(luò)���,可根(gen)據(jù)不同需(xu)求,分配不(bu)同的(de)上網(wǎng)權(quán)限(xian)���,保證(zheng)了接入的安(an)全性同時(shí)提升(sheng)群眾上網(wǎng)的體(ti)驗(yàn)
8���、豐富(fu)的認(rèn)證機(jī)(ji)制���,滿足組(zu)織對(duì)(dui)無(wú)線網(wǎng)絡(luò)(luo)安全、快(kuai)速接入
9���、投資(zi)成本低���,通過(guò)部(bu)署無(wú)線控制(zhi)器替換原(yuan)有網(wǎng)絡(luò)(luo)的出口(kou)路由(you)、行為管理以(yi)及無(wú)(wu)線控(kong)制器(qi)
