?
大型企業(yè)在無(wu)線網(wǎng)絡(luò)建設(shè)(she)期間要充(chong)分考慮訪(fang)客(領(lǐng)導(dǎo)(dao)、客戶、合作(zuo)伙伴)接(jie)入網(wǎng)絡(luò)的(de)需求��。首先從(cong)安全性(xing)考慮��,訪客(ke)網(wǎng)絡(luò)(luo)必須要和辦公(gong)網(wǎng)絡(luò)分開�����,訪(fang)客網(wǎng)絡(luò)(luo)單獨(dú)提供給訪(fang)客使用����。從(cong)用戶體驗(yàn)(yan)角度考慮,訪客(ke)接入網(wǎng)絡(luò)的驗(yàn)(yan)證方式一定(ding)要做(zuo)到簡單(dan)易行(xing)�����,繁瑣(suo)的驗(yàn)(yan)證方式會(huì)降低(di)訪客對企業(yè)(ye)的整體(ti)印象�����。同時(shí)對(dui)于訪客網(wǎng)(wang)絡(luò)����,企(qi)業(yè)還需要建(jian)立完(wan)善的(de)網(wǎng)絡(luò)安全管(guan)理機(jī)制,避免(mian)由于訪(fang)客的(de)網(wǎng)絡(luò)不(bu)良訪問給企(qi)業(yè)帶(dai)來的(de)法律風(fēng)險(xiǎn)(xian)����。對于企業(yè)員(yuan)工移動(dòng)辦公上(shang)網(wǎng)����,更需(xu)要做到可管(guan)控����,上(shang)網(wǎng)行(xing)為做到可追溯(su),企業(yè)有效(xiao)的帶寬資源(yuan)得到合理的分(fen)配和保證����,才(cai)能使(shi)企業(yè)的業(yè)務(wù)系(xi)統(tǒng)正(zheng)常且(qie)穩(wěn)定高效(xiao)地運(yùn)(yun)行,同(tong)時(shí)保(bao)證企(qi)業(yè)信息安(an)全�����,避免機(jī)(ji)密信息(xi)泄露�����。
存在的問題(ti)(用戶需求)
1����、接入不安全(quan):缺乏安全可(ke)靠的(de)認(rèn)證機(jī)制��,企(qi)業(yè)無(wu)線網(wǎng)(wang)絡(luò)接入不安(an)全
2����、上網(wǎng)權(quán)限(xian)混亂:缺乏有效(xiao)的控制策(ce)略�����,員工上網(wǎng)權(quán)(quan)限不分明(ming)
3�����、數(shù)據(jù)信息(xi)安全:缺(que)乏有(you)效的(de)數(shù)據(jù)加密機(jī)制(zhi)��,企業(yè)(ye)數(shù)據(jù)被黑客(ke)竊取篡(cuan)改
4����、無線信號(hào)(hao)差:AP性(xing)能不佳��,上網(wǎng)(wang)總掉線����,點(diǎn)(dian)位規(guī)劃不(bu)合理,信號(hào)(hao)盲區(qū)多
5����、漫游效果差:不(bu)能實(shí)現(xiàn)(xian)二三層(ceng)漫游(you),移動(dòng)辦公時(shí)����,業(yè)(ye)務(wù)中斷
解決方案(an):
結(jié)合用(yong)戶無線網(wǎng)絡(luò)需(xu)求情況�����,結(jié)合(he)產(chǎn)品自身(shen)技術(shù)特點(diǎn)�����,為了(le)滿足用(yong)戶構(gòu)建一個(gè)高(gao)速�����、穩(wěn)定��、安(an)全��、可靠��、易于(yu)管理的無線(xian)接入網(wǎng)絡(luò)(luo)的需求�����,本(ben)設(shè)計(jì)方(fang)案按照AP+AC的結(jié)(jie)構(gòu)化無線網(wǎng)(wang)絡(luò)解決(jue)方案進(jìn)行設(shè)(she)計(jì)��。具體設(shè)計(jì)為(wei)在總(zong)部設(shè)置總(zong)部AC,在大型分(fen)支機(jī)構(gòu)設(shè)置(zhi)分支AC與分支(zhi)AP��,中型分支機(jī)構(gòu)(gou)設(shè)計(jì)二級��,三(san)級交換機(jī)�����,分(fen)支AP����。小微(wei)型分(fen)支機(jī)構(gòu)直(zhi)接設(shè)置分(fen)支AP����。總部AC可(ke)以對大(da)型分支(zhi)機(jī)構(gòu)的(de)AC進(jìn)行管(guan)理��,當(dāng)網(wǎng)(wang)點(diǎn)控制器(qi)采用(yong)集中管理的模(mo)式進(jìn)入到中(zhong)心端控制器(qi)時(shí)�����,會(huì)自動(dòng)下載(zai)中心端的(de)公共(gong)配置(zhi)����,比如IP組、MAC地址庫(ku)、時(shí)間計(jì)劃��、角(jiao)色授權(quán)��、認(rèn)證頁(ye)面等 �����?�?偛?bu)AC也可以直(zhi)接管理(li)中小型分支(zhi)機(jī)構(gòu)的(de)分支(zhi)AP�����,實(shí)現(xiàn)統(tǒng)(tong)一管理�����。
方案設(shè)(she)計(jì):
安全無線(xian)整體解(jie)決方(fang)案:
接入前&接(jie)入時(shí)(shi)進(jìn)行身(shen)份認(rèn)證�����、安全無(wu)線網(wǎng)卡��、賬號(hào)(hao)綁定(硬(ying)件碼+手機(jī)號(hào)(hao))�����,非法熱(re)點(diǎn)檢測(ce)及防御、網(wǎng)絡(luò)攻(gong)擊防護(hù)��、射頻定(ding)時(shí)關(guān)閉及安全(quan)加固(gu)����。
接入后&上(shang)網(wǎng)時(shí)進(jìn)行訪(fang)問權(quán)限控制�����。
上網(wǎng)后(hou)進(jìn)行上(shang)網(wǎng)行為記錄(lu)����。
上網(wǎng)用(yong)戶身份實(shí)名(ming)認(rèn)證:
無線(xian)辦公網(wǎng)采用802.1X/Portal/WAPI認(rèn)(ren)證,外置AAA和RADIUS+AD用于(yu)存儲(chǔ)用戶(hu)賬號(hào)密碼(ma)����。
每個(gè)(ge)賬號(hào)對應(yīng)(ying)一個(gè)員工(gong),包括姓(xing)名�����、部門��、性(xing)別以及身份(fen)證、手機(jī)(ji)號(hào)等個(gè)人信息(xi)��,保證每個(gè)上網(wǎng)(wang)的賬號(hào)都(dou)是可尋的����,便于(yu)安全管(guan)理。
用戶輸入(ru)賬號(hào)密碼(ma)上網(wǎng)驗(yàn)(yan)證時(shí)均采用加(jia)密傳輸�����,防止黑(hei)客空中攔截����,竊(qie)取賬(zhang)號(hào)密(mi)碼等(deng)數(shù)據(jù)。
上網(wǎng)(wang)賬號(hào)(hao)自動(dòng)綁(bang)定終(zhong)端:
自動(dòng)將賬號(hào)與(yu)終端(duan)的硬件(jian)特征(zheng)碼進(jìn)行(xing)綁定��,防止(zhi)賬號(hào)被他人(ren)使用(yong)或者被盜(dao)用����。
每臺(tái)(tai)設(shè)備(bei)的硬件特征(zheng)碼是唯一的,無(wu)法通(tong)過軟件修改��。即(ji)使通過軟件修(xiu)改了仍然(ran)可以識(shí)別(bie)原始的(de)����。
每個(gè)賬號(hào)(hao)最多可以(yi)綁定5臺(tái)終端�����,超(chao)過1臺(tái)時(shí)需(xu)要管理員審核(he)��。
上網(wǎng)賬號(hào)二次(ci)綁定(ding)手機(jī)號(hào)碼:
賬號(hào)首次(ci)登陸時(shí)(shi)需要綁定(ding)手機(jī)(ji)號(hào)并輸入短信(xin)驗(yàn)證碼(ma)����,當(dāng)用戶賬號(hào)在(zai)新終端登陸時(shí)(shi)(換終端/被他(ta)用/被(bei)盜)�����,不(bu)僅需要(yao)輸入密碼(ma)�����,還需要(yao)輸入短(duan)信驗(yàn)證碼�����,解決(jue)員工賬號(hào)認(rèn)(ren)證的安(an)全問題
綁定手(shou)機(jī)號(hào)碼(ma)的用戶(hu)����,可以(yi)自助重置密(mi)碼和(he)修改密碼�����,無(wu)需通過IT管理員(yuan)。
用戶(hu)密碼管理及自(zi)助修改:
無需通(tong)過管理員(yuan)即可修(xiu)改密碼����,提高(gao)效率及減輕(qing)管理員工作(zuo)壓力。
通過(guo)口袋助理�����、釘釘(ding)�����、企業(yè)號(hào)等手機(jī)(ji)MOA類APP軟件進(jìn)行無(wu)線密碼修改(gai)�����。
若賬號(hào)(hao)綁定了手(shou)機(jī)號(hào)碼(ma)�����,可通(tong)過手機(jī)驗(yàn)(yan)證碼自助(zhu)修改����。
上網(wǎng)終端合法(fa)效驗(yàn):
采用(yong)安全無線網(wǎng)卡(ka)接入(ru)無線網(wǎng)絡(luò)����,終端(duan)與AP熱點(diǎn)的雙(shuang)向驗(yàn)證��,提高(gao)安全性����。
可以將無線(xian)網(wǎng)絡(luò)設(shè)置為(wei)只有安裝了安(an)全無線(xian)網(wǎng)卡的終端(duan)才能接入無線(xian)網(wǎng)絡(luò)。
支持設(shè)置安(an)全無線網(wǎng)卡(ka)只能(neng)連指定(ding)SSID無線網(wǎng)(wang)絡(luò)����,無法連接非(fei)授權(quán)SSID。
網(wǎng)卡與(yu)AP數(shù)據(jù)傳輸時(shí)(shi)自動(dòng)進(jìn)(jin)行數(shù)(shu)據(jù)加(jia)密�����,保證無線的(de)空口(kou)安全��。
無線熱點(diǎn)掃描(miao)及非(fei)法熱點(diǎn)抑制:
背景:黑(hei)客在(zai)附近搭建一(yi)個(gè)一模(mo)一樣或(huo)者類似的WIFI名稱(cheng)����,誘使用戶連到(dao)虛假釣魚WIFI上����,黑(hei)客利用分析(xi)軟件從用戶上(shang)網(wǎng)產(chǎn)(chan)生的數(shù)據(jù)包(bao)中分析提(ti)取用戶隱私(si)信息�����。
我們(men)通過WIPS無線入侵(qin)防御系統(tǒng)(tong)實(shí)時(shí)檢(jian)測周(zhou)圍無線(xian)信號(hào)(hao)����,當(dāng)檢測出來(lai)的信號(hào)BSSID��、且AP源(yuan)MAC地址不在授權(quán)(quan)列表中時(shí)����,我(wo)們向?qū)?yīng)(ying)的AP和(he)終端發(fā)(fa)送解除關(guān)聯(lián)(lian)幀,讓(rang)終端無法連上(shang)釣魚WIFI����。7×24小時(shí)不間(jian)斷監(jiān)測網(wǎng)(wang)絡(luò)。
上網(wǎng)行(xing)為嚴(yán)格控(kong)制:
強(qiáng)大的管理(li):通過應(yīng)(ying)用識(shí)別技術(shù)(shu)��,可以根據(jù)(ju)應(yīng)用類型或(huo)者具體某一種(zhong)應(yīng)用進(jìn)(jin)行封(feng)堵����,包(bao)括視頻、論壇(tan)����、游戲��、金(jin)融����、下載等(deng)2400多種網(wǎng)絡(luò)應(yīng)(ying)用����。
通過應(yīng)用(yong)識(shí)別技術(shù),可(ke)以根據(jù)應(yīng)用類(lei)型或者具體某(mou)一種應(yīng)用(yong)進(jìn)行(xing)封堵��,比(bi)如上班時(shí)(shi)間不允許(xu)炒股��,不允(yun)許P2P下載(zai)��,不允許(xu)外發(fā)敏感文(wen)件等�����; 支持主(zhu)流移動(dòng)平臺(tái)����,可(ke)識(shí)別IM��、社(she)交�����、Mail、新(xin)聞����、炒股等應(yīng)(ying)用。
無線(xian)控制(zhi)器內(nèi)置千萬級(ji)別的URL分類(lei)庫��,能夠(gou)對URL進(jìn)行識(shí)(shi)別����,包含新(xin)聞、購(gou)物����、金(jin)融、教育(yu)等18個(gè)種類的URL地(di)址����; 準(zhǔn)確識(shí)別(bie)目前(qian)主流(liu)網(wǎng)站,識(shí)別率高(gao)達(dá)99.9%����,有(you)效實(shí)現(xiàn)網(wǎng)頁(ye)過濾(lv)。例如禁止登陸(lu)非法網(wǎng)站(zhan)
通過基于時(shí)(shi)間段(duan)的訪問控制(zhi)策略,實(shí)現(xiàn)不(bu)同的時(shí)(shi)間段不同的(de)訪問權(quán)限(xian)����,比如上班(ban)時(shí)間,禁止(zhi)訪問網(wǎng)上銀行(xing)��、游戲(xi)��、論壇(tan)貼吧等與工(gong)作無關(guān)的應(yīng)用(yong)��,下班時(shí)間則(ze)不受限制(zhi)��。
辦公(gong)區(qū)域內(nèi)(nei)�����,不同辦公部(bu)門總會(huì)有各自(zi)專屬的無線網(wǎng)(wang)絡(luò)��,并(bing)且不希望部(bu)門之外(wai)的成員使用這(zhe)個(gè)網(wǎng)絡(luò)��。無線網(wǎng)(wang)絡(luò)控(kong)制器可以(yi)根據(jù)用戶(hu)的屬性(xing)����,限制禁(jin)止非本(ben)部門的用戶(hu)接入。
典型無線網(wǎng)(wang)絡(luò)攻擊(ji)防護(hù):
對典型的危(wei)險(xiǎn)攻擊行(xing)為進(jìn)行(xing)檢測(ce)��,當(dāng)超過設(shè)定的(de)閾值(zhi)后自動(dòng)(dong)將攻擊(ji)者加入到黑名(ming)單中��,并凍結(jié)(jie)一定時(shí)間(jian)�����,即時(shí)發(fā)現(xiàn)(xian)網(wǎng)絡(luò)(luo)攻擊并進(jìn)行(xing)防御����。
檢測的攻擊包(bao)括:DDOS防御、ARP掃描��、IP掃(sao)描��、端(duan)口掃(sao)描防御�����,禁(jin)止客戶(hu)端私設(shè)IP以及ARP�����、網(wǎng)(wang)關(guān)欺騙防御��、DHCP請(qing)求泛(fan)洪防(fang)御��。
無線射(she)頻定時(shí)(shi)關(guān)閉開啟(qi):
通過(guo)射頻關(guān)閉控制(zhi)策略,可以指定(ding)某SSID網(wǎng)絡(luò)�����,定(ding)時(shí)自動(dòng)關(guān)(guan)閉和開啟無線(xian)網(wǎng)絡(luò)的射頻信(xin)號(hào)��,晚上下班后(hou)自動(dòng)關(guān)閉無線(xian)射頻信(xin)號(hào)����。
一方(fang)面可以節(jié)能(neng)減排、節(jié)省電費(fèi)(fei)支出�����;另一方面(mian)又能防(fang)止非法用(yong)戶利用深夜(ye)時(shí)間入侵(qin)無線網(wǎng)絡(luò)�����,做一(yi)些非(fei)法的操(cao)作��。
有線(xian)無線(xian)一體化管(guan)理:
NAC的有線無線一(yi)體化����,支持對有(you)線用戶的接(jie)入認(rèn)證、訪問控(kong)制��、流(liu)量管理、上網(wǎng)(wang)行為審(shen)計(jì)等(deng)��,
并提供(gong)統(tǒng)一中文(wen)Web管理(li)界面����,一(yi)站式服(fu)務(wù)��,極大的降低(di)網(wǎng)絡(luò)建設(shè)成本(ben)�����。
網(wǎng)絡(luò)分權(quán)(quan)分級管理(li):
分配不同(tong)的管理員分(fen)別管理(li)各自權(quán)限區(qū)(qu)域的無線AP����,可以(yi)精細(xì)到(dao)對某AP分組有管(guan)理權(quán)限,該(gai)管理員可(ke)以在該AP分組(zu)上建立無線(xian)網(wǎng)絡(luò)����,能夠激活(huo)、刪除接(jie)入點(diǎn)����,能夠(gou)對AP的配置進(jìn)行(xing)編輯修改(gai)。
可指(zhi)定管理員針(zhen)對每個(gè)頁面的(de)編輯或可查(cha)看權(quán)限��,控制(zhi)粒度到控(kong)制器上(shang)的各(ge)個(gè)頁面,對某(mou)個(gè)頁面沒有(you)讀權(quán)限則登錄(lu)時(shí)不顯示�����。
移動(dòng)(dong)APP隨時(shí)隨地運(yùn)(yun)維管理:
支持跨互聯(lián)(lian)網(wǎng)運(yùn)維管(guan)理
登陸APP進(jìn)行維(wei)護(hù)管理:不(bu)同管理(li)員��,不同權(quán)(quan)限
查看網(wǎng)絡(luò)運(yùn)行(xing)情況:在線用戶(hu)�����、在線AP數(shù)量����、實(shí)(shi)時(shí)流量
無線(xian)網(wǎng)絡(luò)管理維(wei)護(hù):開啟(qi)關(guān)閉SSID、終端(duan)綁定審批(pi)��、二維碼(ma)上網(wǎng)(wang)審核
故障��、審(shen)批實(shí)時(shí)通知:AP離(li)線警告����、服務(wù)(wu)器離線警告、網(wǎng)(wang)絡(luò)攻擊告警
方案優(yōu)勢:
1��、最豐(feng)富的無(wu)線安(an)全機(jī)制����,提供從(cong)安全接入到(dao)安全上網(wǎng)(wang)等端(duan)到端的安(an)全策略
2��、合理管控工作(zuo)人員上網(wǎng)(wang)行為��,提升工作(zuo)效率��、防止帶寬(kuan)浪費(fèi),有(you)線無線雙重(zhong)管控
3��、為會(huì)議室�����,報(bào)(bao)告廳等(deng)人員(yuan)密集區(qū)(qu)域接入(ru)網(wǎng)絡(luò)提高(gao)保證(zheng)����,解決(jue)有線網(wǎng)口不(bu)足的問題;
4����、為企業(yè)員工(gong)的移動(dòng)辦公提(ti)供支撐(cheng),內(nèi)部員工可(ke)通過無(wu)線網(wǎng)(wang)絡(luò)隨時(shí)(shi)安全(quan)接入內(nèi)部(bu)網(wǎng)絡(luò)����,實(shí)現(xiàn)辦(ban)公�����;
5����、內(nèi)部員工賬號(hào)(hao)及個(gè)人信(xin)息綁(bang)定��,便于安全(quan)管理�����;
6�����、內(nèi)部員工(gong)可通過自己的(de)辦公(gong)設(shè)備在企業(yè)大(da)樓內(nèi)快(kuai)速移動(dòng)(dong)辦公��,網(wǎng)絡(luò)接入(ru)更快速����,上網(wǎng)(wang)行為(wei)管理系統(tǒng)對員(yuan)工上網(wǎng)行為進(jìn)(jin)行審(shen)計(jì)與管控
7、來訪客戶接(jie)入企業(yè)(ye)網(wǎng)絡(luò)�����,可根(gen)據(jù)不同需求(qiu),分配不同的(de)上網(wǎng)(wang)權(quán)限(xian)��,保證了接入的(de)安全(quan)性同時(shí)提升(sheng)群眾上網(wǎng)(wang)的體驗(yàn)
8��、豐富的認(rèn)證機(jī)(ji)制�����,滿(man)足組織對(dui)無線網(wǎng)絡(luò)安(an)全����、快速(su)接入(ru)
9����、投資成本(ben)低,通(tong)過部署無線控(kong)制器(qi)替換原(yuan)有網(wǎng)(wang)絡(luò)的出(chu)口路由�����、行為(wei)管理以及無(wu)線控(kong)制器
