?
大型企業(yè)(ye)在無(wú)線網(wǎng)(wang)絡(luò)建設(shè)(she)期間(jian)要充分考慮訪(fang)客(領(lǐng)導(dǎo)����、客戶����、合(he)作伙伴)接入網(wǎng)(wang)絡(luò)的需求����。首先(xian)從安全性考(kao)慮,訪客(ke)網(wǎng)絡(luò)(luo)必須要和辦公(gong)網(wǎng)絡(luò)分開(kāi)����,訪(fang)客網(wǎng)絡(luò)(luo)單獨(dú)提(ti)供給訪客使用(yong)。從用戶體驗(yàn)角(jiao)度考(kao)慮����,訪客接入(ru)網(wǎng)絡(luò)的(de)驗(yàn)證方式一定(ding)要做到簡(jiǎn)單(dan)易行,繁瑣(suo)的驗(yàn)證方式(shi)會(huì)降(jiang)低訪客對(duì)企業(yè)(ye)的整(zheng)體印象(xiang)����。同時(shí)對(duì)于訪客(ke)網(wǎng)絡(luò),企業(yè)還需(xu)要建(jian)立完善(shan)的網(wǎng)絡(luò)安全管(guan)理機(jī)制(zhi)����,避免由于(yu)訪客的(de)網(wǎng)絡(luò)不良(liang)訪問(wèn)給企業(yè)帶(dai)來(lái)的法律風(fēng)險(xiǎn)(xian)����。對(duì)于企業(yè)員工(gong)移動(dòng)辦公上(shang)網(wǎng)����,更需(xu)要做到(dao)可管控,上網(wǎng)(wang)行為做到(dao)可追溯����,企(qi)業(yè)有效(xiao)的帶寬資源(yuan)得到合(he)理的分配和保(bao)證,才(cai)能使企(qi)業(yè)的業(yè)務(wù)系(xi)統(tǒng)正常且穩(wěn)定(ding)高效地運(yùn)行(xing)����,同時(shí)保(bao)證企(qi)業(yè)信息安全,避(bi)免機(jī)(ji)密信息泄露����。
存在(zai)的問(wèn)題(用戶(hu)需求)
1、接入不(bu)安全:缺乏(fa)安全可靠(kao)的認(rèn)證(zheng)機(jī)制����,企(qi)業(yè)無(wú)線網(wǎng)絡(luò)接(jie)入不安全(quan)
2、上網(wǎng)權(quán)限混(hun)亂:缺乏有效的(de)控制策略(lve)����,員工上網(wǎng)權(quán)限(xian)不分明
3����、數(shù)據(jù)信息安全(quan):缺乏(fa)有效(xiao)的數(shù)據(jù)加密(mi)機(jī)制����,企業(yè)(ye)數(shù)據(jù)被(bei)黑客竊取(qu)篡改
4����、無(wú)線信(xin)號(hào)差:AP性能(neng)不佳(jia),上網(wǎng)總(zong)掉線����,點(diǎn)(dian)位規(guī)劃不(bu)合理(li),信號(hào)盲區(qū)多(duo)
5����、漫游效果差:不(bu)能實(shí)現(xiàn)二(er)三層漫游,移動(dòng)(dong)辦公時(shí)����,業(yè)(ye)務(wù)中斷
解決方案:
結(jié)合用戶(hu)無(wú)線(xian)網(wǎng)絡(luò)需(xu)求情況,結(jié)合產(chǎn)(chan)品自身技術(shù)特(te)點(diǎn)����,為了(le)滿足用(yong)戶構(gòu)建(jian)一個(gè)高速����、穩(wěn)定(ding)����、安全、可靠(kao)����、易于(yu)管理的無(wú)(wu)線接入網(wǎng)絡(luò)的(de)需求,本設(shè)計(jì)(ji)方案按照(zhao)AP+AC的結(jié)構(gòu)化(hua)無(wú)線網(wǎng)(wang)絡(luò)解決方案進(jìn)(jin)行設(shè)計(jì)(ji)����。具體設(shè)計(jì)(ji)為在總(zong)部設(shè)置總(zong)部AC,在大(da)型分支機(jī)(ji)構(gòu)設(shè)置(zhi)分支(zhi)AC與分支AP,中(zhong)型分(fen)支機(jī)構(gòu)設(shè)(she)計(jì)二級(jí)����,三級(jí)(ji)交換機(jī),分支AP����。小(xiao)微型分支機(jī)(ji)構(gòu)直(zhi)接設(shè)置分支(zhi)AP。總部AC可(ke)以對(duì)大(da)型分(fen)支機(jī)(ji)構(gòu)的AC進(jìn)(jin)行管理����,當(dāng)網(wǎng)點(diǎn)(dian)控制器采(cai)用集(ji)中管理的(de)模式進(jìn)(jin)入到中(zhong)心端控制器(qi)時(shí),會(huì)自(zi)動(dòng)下(xia)載中心端的公(gong)共配置����,比如(ru)IP組、MAC地址庫(kù)����、時(shí)間(jian)計(jì)劃����、角色授(shou)權(quán)、認(rèn)證頁(yè)(ye)面等(deng) ����。總部(bu)AC也可(ke)以直(zhi)接管理中(zhong)小型(xing)分支機(jī)(ji)構(gòu)的(de)分支AP����,實(shí)現(xiàn)(xian)統(tǒng)一管理(li)。
方案設(shè)計(jì)(ji):
安全無(wú)(wu)線整(zheng)體解決(jue)方案:
接入前(qian)&接入時(shí)進(jìn)行身(shen)份認(rèn)證����、安(an)全無(wú)線網(wǎng)(wang)卡����、賬號(hào)綁(bang)定(硬(ying)件碼+手機(jī)號(hào))����,非(fei)法熱點(diǎn)檢測(cè)及(ji)防御、網(wǎng)(wang)絡(luò)攻擊防護(hù)(hu)����、射頻定時(shí)關(guān)(guan)閉及安(an)全加固(gu)。
接入后(hou)&上網(wǎng)時(shí)進(jìn)(jin)行訪問(wèn)權(quán)限控(kong)制����。
上網(wǎng)后進(jìn)(jin)行上網(wǎng)(wang)行為記錄。
上網(wǎng)(wang)用戶身份實(shí)(shi)名認(rèn)(ren)證:
無(wú)線辦公網(wǎng)(wang)采用(yong)802.1X/Portal/WAPI認(rèn)證����,外(wai)置AAA和RADIUS+AD用于(yu)存儲(chǔ)用戶(hu)賬號(hào)密碼(ma)。
每個(gè)(ge)賬號(hào)對(duì)應(yīng)(ying)一個(gè)員工����,包(bao)括姓名、部門(men)����、性別(bie)以及身份(fen)證����、手機(jī)號(hào)(hao)等個(gè)人(ren)信息����,保(bao)證每個(gè)(ge)上網(wǎng)的(de)賬號(hào)都是可尋(xun)的,便于安全管(guan)理����。
用戶輸入(ru)賬號(hào)密碼上(shang)網(wǎng)驗(yàn)證時(shí)(shi)均采用加密傳(chuan)輸,防止(zhi)黑客空(kong)中攔(lan)截����,竊取賬(zhang)號(hào)密碼等數(shù)據(jù)(ju)����。
上網(wǎng)賬號(hào)(hao)自動(dòng)綁定終(zhong)端:
自動(dòng)將賬號(hào)(hao)與終端的(de)硬件(jian)特征碼進(jìn)行(xing)綁定,防止(zhi)賬號(hào)被(bei)他人使用(yong)或者(zhe)被盜用(yong)����。
每臺(tái)(tai)設(shè)備(bei)的硬件特(te)征碼(ma)是唯一的(de),無(wú)法通過(guò)(guo)軟件修(xiu)改����。即使通(tong)過(guò)軟件修改(gai)了仍然可以識(shí)(shi)別原始的����。
每個(gè)賬號(hào)(hao)最多可以(yi)綁定5臺(tái)終(zhong)端����,超過(guò)1臺(tái)時(shí)需(xu)要管理員(yuan)審核。
上網(wǎng)賬號(hào)二次(ci)綁定(ding)手機(jī)(ji)號(hào)碼:
賬號(hào)(hao)首次(ci)登陸時(shí)需要綁(bang)定手機(jī)號(hào)并輸(shu)入短信驗(yàn)證碼(ma)����,當(dāng)用戶賬號(hào)在(zai)新終端登陸時(shí)(shi)(換終端/被他(ta)用/被盜),不僅(jin)需要輸入(ru)密碼(ma)����,還需要(yao)輸入(ru)短信驗(yàn)(yan)證碼,解決員(yuan)工賬號(hào)認(rèn)證的(de)安全問(wèn)題
綁定手機(jī)號(hào)碼(ma)的用戶����,可以自(zi)助重置密(mi)碼和(he)修改密碼(ma),無(wú)需通過(guò)IT管理(li)員����。
用戶密(mi)碼管理及(ji)自助修改:
無(wú)需通(tong)過(guò)管理員(yuan)即可修改(gai)密碼(ma),提高效(xiao)率及(ji)減輕管(guan)理員工作壓力(li)����。
通過(guò)口袋(dai)助理����、釘釘����、企業(yè)(ye)號(hào)等手(shou)機(jī)MOA類APP軟件(jian)進(jìn)行無(wú)(wu)線密碼修改。
若賬號(hào)綁定(ding)了手(shou)機(jī)號(hào)碼����,可通過(guò)(guo)手機(jī)驗(yàn)(yan)證碼自助(zhu)修改。
上網(wǎng)終端合(he)法效驗(yàn):
采用安全(quan)無(wú)線網(wǎng)卡接入(ru)無(wú)線網(wǎng)絡(luò)����,終(zhong)端與(yu)AP熱點(diǎn)的雙向(xiang)驗(yàn)證,提高(gao)安全性����。
可以將無(wú)(wu)線網(wǎng)絡(luò)(luo)設(shè)置為只有(you)安裝了安(an)全無(wú)線網(wǎng)卡(ka)的終端才能接(jie)入無(wú)線網(wǎng)絡(luò)(luo)����。
支持設(shè)置安全(quan)無(wú)線網(wǎng)(wang)卡只(zhi)能連(lian)指定SSID無(wú)線網(wǎng)(wang)絡(luò),無(wú)法連接(jie)非授權(quán)SSID����。
網(wǎng)卡與AP數(shù)(shu)據(jù)傳輸時(shí)自動(dòng)(dong)進(jìn)行數(shù)據(jù)加(jia)密����,保證無(wú)(wu)線的(de)空口安全����。
無(wú)線熱點(diǎn)掃(sao)描及(ji)非法熱點(diǎn)抑(yi)制:
背景:黑客在附(fu)近搭建一個(gè)(ge)一模一樣或者(zhe)類似的WIFI名(ming)稱,誘使(shi)用戶連到虛(xu)假釣(diao)魚(yú)WIFI上����,黑客(ke)利用分析(xi)軟件從用戶(hu)上網(wǎng)產(chǎn)生的數(shù)(shu)據(jù)包中分析提(ti)取用戶隱私(si)信息。
我們通過(guò)WIPS無(wú)線(xian)入侵防御(yu)系統(tǒng)實(shí)時(shí)(shi)檢測(cè)(ce)周圍(wei)無(wú)線信(xin)號(hào)����,當(dāng)檢(jian)測(cè)出來(lái)的信號(hào)(hao)BSSID、且AP源MAC地址(zhi)不在(zai)授權(quán)列(lie)表中時(shí)����,我們(men)向?qū)?yīng)的AP和終(zhong)端發(fā)送解除關(guān)(guan)聯(lián)幀,讓終(zhong)端無(wú)(wu)法連上釣魚(yú)WIFI����。7×24小(xiao)時(shí)不(bu)間斷監(jiān)測(cè)網(wǎng)(wang)絡(luò)。
上網(wǎng)(wang)行為(wei)嚴(yán)格控(kong)制:
強(qiáng)大的(de)管理(li):通過(guò)應(yīng)(ying)用識(shí)別技術(shù)����,可(ke)以根(gen)據(jù)應(yīng)用類型或(huo)者具體某一種(zhong)應(yīng)用進(jìn)行封堵(du)����,包括視頻����、論壇(tan)、游戲����、金融、下載(zai)等2400多種網(wǎng)(wang)絡(luò)應(yīng)用����。
通過(guò)應(yīng)(ying)用識(shí)別(bie)技術(shù),可以(yi)根據(jù)應(yīng)用(yong)類型或(huo)者具體(ti)某一(yi)種應(yīng)用進(jìn)(jin)行封堵(du)����,比如上班時(shí)間(jian)不允許炒股,不(bu)允許P2P下載����,不允(yun)許外發(fā)敏感文(wen)件等; 支持主流(liu)移動(dòng)平臺(tái)����,可(ke)識(shí)別IM、社(she)交����、Mail、新聞����、炒股等(deng)應(yīng)用。
無(wú)線控制(zhi)器內(nèi)置(zhi)千萬(wàn)級(jí)別(bie)的URL分(fen)類庫(kù)����,能夠?qū)RL進(jìn)(jin)行識(shí)別(bie),包含新(xin)聞����、購(gòu)物、金(jin)融����、教育等18個(gè)(ge)種類的URL地址(zhi); 準(zhǔn)確(que)識(shí)別目(mu)前主流網(wǎng)站����,識(shí)(shi)別率高達(dá)99.9%����,有(you)效實(shí)現(xiàn)網(wǎng)頁(yè)過(guò)(guo)濾����。例(li)如禁止登陸非(fei)法網(wǎng)(wang)站
通過(guò)基于時(shí)(shi)間段的(de)訪問(wèn)控制(zhi)策略,實(shí)現(xiàn)不同(tong)的時(shí)間段不(bu)同的訪問(wèn)權(quán)限(xian)����,比如上班時(shí)(shi)間,禁止訪問(wèn)(wen)網(wǎng)上銀行(xing)����、游戲、論壇(tan)貼吧(ba)等與工作無(wú)(wu)關(guān)的應(yīng)用����,下班(ban)時(shí)間則(ze)不受(shou)限制。
辦公區(qū)域內(nèi)(nei)����,不同辦(ban)公部門總會(huì)有(you)各自專屬的(de)無(wú)線網(wǎng)(wang)絡(luò),并且不希(xi)望部門之(zhi)外的(de)成員(yuan)使用(yong)這個(gè)網(wǎng)絡(luò)����。無(wú)(wu)線網(wǎng)絡(luò)控(kong)制器可以根(gen)據(jù)用戶的屬(shu)性����,限制(zhi)禁止(zhi)非本(ben)部門的用戶接(jie)入����。
典型(xing)無(wú)線網(wǎng)絡(luò)攻(gong)擊防護(hù):
對(duì)典(dian)型的危險(xiǎn)(xian)攻擊行為(wei)進(jìn)行檢(jian)測(cè)����,當(dāng)超(chao)過(guò)設(shè)定的(de)閾值(zhi)后自動(dòng)(dong)將攻(gong)擊者加(jia)入到黑名(ming)單中,并凍(dong)結(jié)一定(ding)時(shí)間����,即時(shí)發(fā)(fa)現(xiàn)網(wǎng)絡(luò)攻擊(ji)并進(jìn)行防御。
檢測(cè)(ce)的攻擊包(bao)括:DDOS防御����、ARP掃描(miao)、IP掃描����、端(duan)口掃描防御(yu),禁止客戶端(duan)私設(shè)IP以(yi)及ARP����、網(wǎng)關(guān)欺(qi)騙防(fang)御����、DHCP請(qǐng)求泛洪防(fang)御����。
無(wú)線射頻定(ding)時(shí)關(guān)閉(bi)開(kāi)啟:
通過(guò)射(she)頻關(guān)(guan)閉控(kong)制策略,可(ke)以指定某(mou)SSID網(wǎng)絡(luò)����,定(ding)時(shí)自動(dòng)關(guān)閉(bi)和開(kāi)啟無(wú)線網(wǎng)(wang)絡(luò)的射(she)頻信(xin)號(hào),晚(wan)上下(xia)班后自動(dòng)關(guān)(guan)閉無(wú)線(xian)射頻信號(hào)(hao)����。
一方(fang)面可以節(jié)能減(jian)排、節(jié)(jie)省電費(fèi)支出(chu)����;另一方(fang)面又能(neng)防止(zhi)非法用(yong)戶利用深(shen)夜時(shí)間入侵無(wú)(wu)線網(wǎng)絡(luò),做一些(xie)非法的操(cao)作����。
有線無(wú)線一體(ti)化管(guan)理:
NAC的有線無(wú)線(xian)一體化,支(zhi)持對(duì)有線用戶(hu)的接(jie)入認(rèn)證(zheng)����、訪問(wèn)控制����、流(liu)量管(guan)理����、上網(wǎng)行為審(shen)計(jì)等����,
并提供(gong)統(tǒng)一中文Web管(guan)理界面,一(yi)站式服務(wù)(wu)����,極大的(de)降低網(wǎng)絡(luò)建(jian)設(shè)成本。
網(wǎng)絡(luò)分(fen)權(quán)分(fen)級(jí)管理:
分配不(bu)同的管理(li)員分別管理各(ge)自權(quán)限區(qū)域的(de)無(wú)線AP����,可以(yi)精細(xì)到(dao)對(duì)某AP分(fen)組有管(guan)理權(quán)限,該管理(li)員可以(yi)在該AP分組上(shang)建立無(wú)線網(wǎng)絡(luò)(luo)����,能夠激活、刪(shan)除接入(ru)點(diǎn)����,能夠(gou)對(duì)AP的配置進(jìn)(jin)行編輯(ji)修改����。
可指定(ding)管理(li)員針對(duì)每個(gè)(ge)頁(yè)面的編(bian)輯或可查看(kan)權(quán)限����,控制粒(li)度到控制(zhi)器上的(de)各個(gè)頁(yè)面,對(duì)某(mou)個(gè)頁(yè)面沒(méi)有(you)讀權(quán)限則(ze)登錄時(shí)不(bu)顯示����。
移動(dòng)(dong)APP隨時(shí)隨地運(yùn)維(wei)管理:
支持跨互(hu)聯(lián)網(wǎng)運(yùn)維(wei)管理
登陸APP進(jìn)行(xing)維護(hù)管理:不同(tong)管理員(yuan),不同(tong)權(quán)限
查看網(wǎng)(wang)絡(luò)運(yùn)行情況:在(zai)線用(yong)戶����、在線AP數(shù)量(liang)、實(shí)時(shí)流量(liang)
無(wú)線網(wǎng)絡(luò)管(guan)理維(wei)護(hù):開(kāi)啟關(guān)(guan)閉SSID����、終(zhong)端綁定審(shen)批、二維碼上網(wǎng)(wang)審核
故障����、審(shen)批實(shí)時(shí)通知:AP離(li)線警告、服務(wù)(wu)器離線警告����、網(wǎng)(wang)絡(luò)攻(gong)擊告警
方案(an)優(yōu)勢(shì):
1����、最豐富(fu)的無(wú)(wu)線安全機(jī)制(zhi)����,提供從(cong)安全接入(ru)到安全上(shang)網(wǎng)等端到(dao)端的安全策略(lve)
2、合理管控(kong)工作人員上(shang)網(wǎng)行為����,提升工(gong)作效率、防(fang)止帶寬(kuan)浪費(fèi)����,有線無(wú)線(xian)雙重管控(kong)
3����、為會(huì)議室(shi),報(bào)告廳等人員(yuan)密集區(qū)域接入(ru)網(wǎng)絡(luò)提高保證(zheng)����,解決有線網(wǎng)(wang)口不足的問(wèn)(wen)題;
4����、為企業(yè)(ye)員工的(de)移動(dòng)辦(ban)公提供支撐����,內(nèi)(nei)部員工(gong)可通(tong)過(guò)無(wú)線網(wǎng)(wang)絡(luò)隨時(shí)安全(quan)接入(ru)內(nèi)部網(wǎng)絡(luò)����,實(shí)(shi)現(xiàn)辦公;
5����、內(nèi)部員(yuan)工賬號(hào)及個(gè)人(ren)信息(xi)綁定(ding),便于安全(quan)管理����;
6、內(nèi)部員工(gong)可通(tong)過(guò)自己(ji)的辦(ban)公設(shè)備在企業(yè)(ye)大樓內(nèi)快(kuai)速移(yi)動(dòng)辦(ban)公����,網(wǎng)絡(luò)(luo)接入更快速(su),上網(wǎng)行為管理(li)系統(tǒng)(tong)對(duì)員工上網(wǎng)行(xing)為進(jìn)(jin)行審計(jì)與(yu)管控
7����、來(lái)訪客戶接(jie)入企業(yè)(ye)網(wǎng)絡(luò),可(ke)根據(jù)不同(tong)需求����,分配(pei)不同(tong)的上網(wǎng)權(quán)(quan)限����,保證了接(jie)入的安(an)全性(xing)同時(shí)提升(sheng)群眾上網(wǎng)的(de)體驗(yàn)
8����、豐富的認(rèn)(ren)證機(jī)制,滿足組(zu)織對(duì)無(wú)線網(wǎng)絡(luò)(luo)安全(quan)����、快速(su)接入
9、投資成(cheng)本低����,通過(guò)(guo)部署無(wú)線(xian)控制器替換原(yuan)有網(wǎng)絡(luò)(luo)的出口(kou)路由、行為管理(li)以及無(wú)線控(kong)制器
