?
大型(xing)企業(yè)(ye)在無線網(wǎng)絡(luo)建設期(qi)間要充分考(kao)慮訪客(領導�����、客(ke)戶、合作伙伴)接(jie)入網(wǎng)絡(luo)的需(xu)求����。首先從(cong)安全性考慮(lv),訪客網(wǎng)絡必(bi)須要和辦(ban)公網(wǎng)絡分開(kai)���,訪客網(wǎng)(wang)絡單獨提供給(gei)訪客(ke)使用�。從用戶體(ti)驗角度考慮�����,訪(fang)客接入網(wǎng)(wang)絡的驗證方(fang)式一定要做到(dao)簡單易(yi)行��,繁瑣(suo)的驗證(zheng)方式會降低訪(fang)客對企業(yè)(ye)的整體印象��。同(tong)時對于訪客網(wǎng)(wang)絡�����,企(qi)業(yè)還需(xu)要建立(li)完善的網(wǎng)(wang)絡安(an)全管理機制,避(bi)免由(you)于訪客的(de)網(wǎng)絡不良(liang)訪問給(gei)企業(yè)帶(dai)來的法律(lv)風險(xian)�。對于企業(yè)員工(gong)移動辦公上網(wǎng)(wang),更需要做到(dao)可管控����,上網(wǎng)(wang)行為(wei)做到可追溯,企(qi)業(yè)有效的(de)帶寬資源(yuan)得到合(he)理的分配和(he)保證���,才能使企(qi)業(yè)的業(yè)務(wu)系統(tǒng)正常且穩(wěn)(wen)定高效(xiao)地運行����,同時(shi)保證(zheng)企業(yè)信息安全(quan)�����,避免機(ji)密信息泄(xie)露�。
存在(zai)的問題(ti)(用戶需求)
1�、接入不(bu)安全(quan):缺乏安(an)全可靠的認證(zheng)機制,企(qi)業(yè)無線(xian)網(wǎng)絡(luo)接入(ru)不安全
2���、上網(wǎng)權限(xian)混亂:缺乏有(you)效的控制(zhi)策略�,員工上(shang)網(wǎng)權限不(bu)分明(ming)
3、數(shù)據(jù)信息安(an)全:缺乏有效的(de)數(shù)據(jù)(ju)加密機制����,企業(yè)(ye)數(shù)據(jù)被黑客(ke)竊取(qu)篡改
4、無線信號差:AP性(xing)能不佳����,上網(wǎng)(wang)總掉線,點(dian)位規(guī)(gui)劃不合理�����,信號(hao)盲區(qū)多
5����、漫游效果差(cha):不能(neng)實現(xiàn)二(er)三層漫游(you),移動辦公時���,業(yè)(ye)務中斷
解決方案:
結(jié)合(he)用戶無線網(wǎng)絡(luo)需求情況(kuang)��,結(jié)合產(chǎn)品(pin)自身技術特(te)點����,為了滿(man)足用戶構建一(yi)個高速(su)���、穩(wěn)定�、安全(quan)、可靠�����、易于管理(li)的無(wu)線接入(ru)網(wǎng)絡的(de)需求�����,本設計方(fang)案按(an)照AP+AC的結(jié)構(gou)化無線(xian)網(wǎng)絡(luo)解決方案(an)進行設計��。具(ju)體設(she)計為在(zai)總部(bu)設置總部AC,在大(da)型分支機構設(she)置分支AC與分(fen)支AP����,中型(xing)分支機(ji)構設(she)計二級,三級交(jiao)換機��,分支(zhi)AP��。小微型分(fen)支機構直接(jie)設置分支AP��?�??zong)部AC可以對(dui)大型分支機構(gou)的AC進行(xing)管理���,當(dang)網(wǎng)點控制(zhi)器采用集中(zhong)管理的(de)模式(shi)進入(ru)到中心(xin)端控(kong)制器時����,會自動(dong)下載中心端(duan)的公(gong)共配置����,比如(ru)IP組、MAC地(di)址庫�、時間計(ji)劃、角色授(shou)權����、認證頁面(mian)等 ?���?偛緼C也(ye)可以直接(jie)管理(li)中小型分(fen)支機構的分(fen)支AP,實現(xiàn)統(tǒng)(tong)一管理����。
方案設(she)計:
安全無(wu)線整(zheng)體解決方(fang)案:
接入前(qian)&接入時進行(xing)身份認(ren)證、安全無(wu)線網(wǎng)卡(ka)���、賬號綁定(硬(ying)件碼+手(shou)機號)���,非法熱(re)點檢(jian)測及(ji)防御�����、網(wǎng)(wang)絡攻(gong)擊防護���、射(she)頻定時(shi)關閉及安全加(jia)固。
接入后&上網(wǎng)(wang)時進行訪問權(quan)限控(kong)制���。
上網(wǎng)后進(jin)行上網(wǎng)(wang)行為記錄����。
上網(wǎng)用戶(hu)身份實名(ming)認證:
無線辦公網(wǎng)采(cai)用802.1X/Portal/WAPI認證(zheng)�����,外置AAA和(he)RADIUS+AD用于存儲用戶(hu)賬號密碼(ma)�����。
每個賬號對應(ying)一個員工��,包括(kuo)姓名�、部(bu)門、性別以及身(shen)份證����、手機(ji)號等個人(ren)信息,保證(zheng)每個上網(wǎng)的賬(zhang)號都(dou)是可(ke)尋的����,便于安全(quan)管理。
用戶輸入賬(zhang)號密(mi)碼上網(wǎng)驗(yan)證時均(jun)采用加密傳輸(shu)�����,防止黑(hei)客空中攔截(jie)�,竊取賬(zhang)號密碼等數(shù)(shu)據(jù)。
上網(wǎng)賬號(hao)自動綁定終(zhong)端:
自動(dong)將賬號與(yu)終端的硬件(jian)特征碼進行(xing)綁定���,防(fang)止賬號被(bei)他人使用(yong)或者被盜(dao)用�。
每臺設備(bei)的硬件特征(zheng)碼是唯(wei)一的����,無法通過(guo)軟件修(xiu)改。即(ji)使通過軟件修(xiu)改了仍然(ran)可以識(shi)別原始的(de)���。
每個賬(zhang)號最(zui)多可以綁(bang)定5臺終端�,超過(guo)1臺時需要(yao)管理員審核。
上網(wǎng)賬號(hao)二次綁(bang)定手機號碼(ma):
賬號首次(ci)登陸時需要綁(bang)定手(shou)機號并輸(shu)入短信(xin)驗證碼��,當(dang)用戶賬(zhang)號在新(xin)終端(duan)登陸(lu)時(換終(zhong)端/被他用(yong)/被盜(dao))�,不僅需要輸入(ru)密碼,還需(xu)要輸入短(duan)信驗證碼(ma)��,解決員工(gong)賬號(hao)認證的安全(quan)問題
綁定手機號(hao)碼的用戶���,可(ke)以自(zi)助重置密碼和(he)修改(gai)密碼��,無需通過(guo)IT管理(li)員��。
用戶密碼管理(li)及自助修改(gai):
無需(xu)通過管理員即(ji)可修(xiu)改密(mi)碼�,提高(gao)效率(lv)及減輕(qing)管理員工作(zuo)壓力���。
通過(guo)口袋助理�、釘釘(ding)�、企業(yè)號等(deng)手機MOA類APP軟(ruan)件進行無線(xian)密碼修改(gai)。
若賬號綁(bang)定了手(shou)機號碼����,可(ke)通過手(shou)機驗證碼自(zi)助修改(gai)���。
上網(wǎng)終端合(he)法效驗(yan):
采用安全無線(xian)網(wǎng)卡接入(ru)無線網(wǎng)絡����,終(zhong)端與AP熱點的雙(shuang)向驗證(zheng),提高安全性(xing)���。
可以(yi)將無線(xian)網(wǎng)絡設置為只(zhi)有安裝了(le)安全無(wu)線網(wǎng)(wang)卡的終(zhong)端才(cai)能接入無線網(wǎng)(wang)絡�。
支持設置安(an)全無線網(wǎng)卡只(zhi)能連指(zhi)定SSID無(wu)線網(wǎng)絡���,無(wu)法連接非授(shou)權SSID��。
網(wǎng)卡與AP數(shù)(shu)據(jù)傳輸時(shi)自動進行(xing)數(shù)據(jù)(ju)加密�����,保證無線(xian)的空口(kou)安全�����。
無線熱點(dian)掃描及非法(fa)熱點抑制:
背景:黑客在(zai)附近搭建一(yi)個一模(mo)一樣或者(zhe)類似的WIFI名稱(cheng)�,誘使用戶連(lian)到虛假(jia)釣魚WIFI上���,黑客利(li)用分析軟(ruan)件從用戶上(shang)網(wǎng)產(chǎn)生的數(shù)據(jù)(ju)包中分析(xi)提取用戶(hu)隱私信息(xi)�����。
我們通過WIPS無線(xian)入侵(qin)防御系(xi)統(tǒng)實時檢(jian)測周(zhou)圍無線信號(hao)�,當檢(jian)測出來的信號(hao)BSSID、且AP源MAC地(di)址不在授權(quan)列表中(zhong)時�����,我們向?qū)?ying)的AP和終端發(fā)送(song)解除關聯(lián)幀(zhen)�,讓終(zhong)端無法連上釣(diao)魚WIFI。7×24小時不(bu)間斷監(jiān)測網(wǎng)絡(luo)�����。
上網(wǎng)行為(wei)嚴格(ge)控制(zhi):
強大的(de)管理(li):通過應用識(shi)別技術(shu)����,可以根(gen)據(jù)應用類型(xing)或者具體(ti)某一(yi)種應用進行封(feng)堵,包括視頻�����、論(lun)壇��、游戲(xi)、金融����、下載等2400多(duo)種網(wǎng)絡應(ying)用。
通過應(ying)用識別(bie)技術���,可以根(gen)據(jù)應(ying)用類型或者具(ju)體某(mou)一種應用進行(xing)封堵,比如上(shang)班時間不允(yun)許炒(chao)股��,不允許P2P下載(zai)�����,不允許外發(fā)敏(min)感文件(jian)等����; 支持(chi)主流移動(dong)平臺,可識(shi)別IM�、社交(jiao)、Mail�、新聞(wen)、炒股(gu)等應用����。
無線控制器(qi)內(nèi)置千萬級別(bie)的URL分類(lei)庫����,能夠(gou)對URL進行識(shi)別�,包(bao)含新(xin)聞、購物(wu)�����、金融(rong)���、教育等18個種類(lei)的URL地址(zhi)����; 準確(que)識別目前主流(liu)網(wǎng)站�����,識別率高(gao)達99.9%�,有效實現(xiàn)網(wǎng)(wang)頁過濾。例(li)如禁止登陸(lu)非法網(wǎng)(wang)站
通過基于時間(jian)段的訪(fang)問控制策(ce)略����,實現(xiàn)不同(tong)的時間段不同(tong)的訪問權(quan)限,比如上班時(shi)間��,禁(jin)止訪問網(wǎng)(wang)上銀行、游戲(xi)��、論壇(tan)貼吧等與工作(zuo)無關的(de)應用���,下班(ban)時間則不(bu)受限制(zhi)���。
辦公區(qū)(qu)域內(nèi),不同辦(ban)公部(bu)門總會有(you)各自(zi)專屬的無線(xian)網(wǎng)絡(luo)����,并且(qie)不希望(wang)部門(men)之外(wai)的成員(yuan)使用這個網(wǎng)絡(luo)����。無線網(wǎng)絡控制(zhi)器可以根據(jù)(ju)用戶的屬性,限(xian)制禁止(zhi)非本部門(men)的用戶接(jie)入�。
典型無線(xian)網(wǎng)絡攻擊防(fang)護:
對典型的(de)危險(xian)攻擊行為進行(xing)檢測,當超過(guo)設定的(de)閾值后自(zi)動將攻擊者(zhe)加入到黑名單(dan)中��,并凍結(jié)(jie)一定(ding)時間��,即時(shi)發(fā)現(xiàn)網(wǎng)絡(luo)攻擊并進行(xing)防御(yu)�����。
檢測(ce)的攻擊包(bao)括:DDOS防(fang)御、ARP掃(sao)描��、IP掃描(miao)����、端口掃描(miao)防御,禁止(zhi)客戶端私設IP以(yi)及ARP����、網(wǎng)(wang)關欺騙(pian)防御、DHCP請(qing)求泛(fan)洪防御����。
無線射頻定時(shi)關閉開啟:
通過射頻關閉(bi)控制策略(lve),可以指定某(mou)SSID網(wǎng)絡���,定時自動(dong)關閉(bi)和開啟無線網(wǎng)(wang)絡的(de)射頻信號(hao)���,晚上下班后(hou)自動(dong)關閉(bi)無線射頻(pin)信號(hao)。
一方面可(ke)以節(jié)能減排(pai)���、節(jié)省(sheng)電費支出(chu)��;另一方面又(you)能防止非法(fa)用戶利(li)用深夜時(shi)間入侵(qin)無線(xian)網(wǎng)絡����,做一(yi)些非(fei)法的操作(zuo)。
有線無線一(yi)體化管(guan)理:
NAC的有(you)線無線一(yi)體化�����,支持對(dui)有線用戶(hu)的接入認(ren)證���、訪問控制�����、流(liu)量管理����、上(shang)網(wǎng)行為審計等(deng)����,
并提供統(tǒng)一(yi)中文Web管理界面(mian),一站(zhan)式服務(wu)����,極大的降(jiang)低網(wǎng)(wang)絡建設成本(ben)���。
網(wǎng)絡分權分(fen)級管理(li):
分配不同的管(guan)理員(yuan)分別管理各(ge)自權限區(qū)域的(de)無線AP��,可以精(jing)細到對某AP分(fen)組有(you)管理權限���,該(gai)管理(li)員可以在該(gai)AP分組上建立無(wu)線網(wǎng)(wang)絡�����,能(neng)夠激活�、刪除(chu)接入點����,能夠?qū)?dui)AP的配(pei)置進(jin)行編輯修(xiu)改����。
可指定管理員(yuan)針對每個頁(ye)面的編(bian)輯或可查(cha)看權(quan)限�����,控(kong)制粒度(du)到控制器(qi)上的各個(ge)頁面�,對某個(ge)頁面沒有讀(du)權限則登(deng)錄時不顯(xian)示���。
移動APP隨(sui)時隨地(di)運維(wei)管理(li):
支持跨互(hu)聯(lián)網(wǎng)(wang)運維管(guan)理
登陸APP進行維(wei)護管理:不同(tong)管理員�����,不(bu)同權限
查看網(wǎng)(wang)絡運行情況:在(zai)線用(yong)戶、在線AP數(shù)量(liang)���、實時流量(liang)
無線網(wǎng)(wang)絡管理維(wei)護:開啟關(guan)閉SSID�、終端綁定(ding)審批、二(er)維碼上(shang)網(wǎng)審核
故障�����、審批(pi)實時通知:AP離線(xian)警告���、服(fu)務器離線警告(gao)����、網(wǎng)絡攻(gong)擊告警(jing)
方案優(yōu)勢:
1���、最豐富的(de)無線安全機制(zhi)���,提供(gong)從安全接(jie)入到安全上網(wǎng)(wang)等端(duan)到端的安全策(ce)略
2����、合理管控工(gong)作人員(yuan)上網(wǎng)行為(wei),提升(sheng)工作效率、防(fang)止帶寬浪費(fei),有線無(wu)線雙重(zhong)管控
3����、為會議室���,報(bao)告廳(ting)等人(ren)員密集區(qū)域接(jie)入網(wǎng)絡提高(gao)保證(zheng)����,解決有(you)線網(wǎng)(wang)口不足(zu)的問題;
4、為企業(yè)員工的(de)移動辦公提供(gong)支撐����,內(nèi)(nei)部員(yuan)工可通過(guo)無線(xian)網(wǎng)絡隨時(shi)安全(quan)接入內(nèi)部網(wǎng)絡(luo)���,實現(xiàn)辦公����;
5�、內(nèi)部員工賬號(hao)及個人信息綁(bang)定,便(bian)于安全管(guan)理�;
6、內(nèi)部員工(gong)可通過自己的(de)辦公設備在(zai)企業(yè)大(da)樓內(nèi)快速移動(dong)辦公,網(wǎng)絡接入(ru)更快速(su)��,上網(wǎng)行為管(guan)理系統(tǒng)(tong)對員工上網(wǎng)行(xing)為進行審計與(yu)管控(kong)
7���、來訪客戶接入(ru)企業(yè)(ye)網(wǎng)絡�����,可根據(jù)(ju)不同需(xu)求,分配不同(tong)的上網(wǎng)權限(xian)���,保證(zheng)了接入(ru)的安(an)全性同時(shi)提升群眾(zhong)上網(wǎng)的體驗
8��、豐富的認證(zheng)機制���,滿足組織(zhi)對無線網(wǎng)(wang)絡安(an)全、快速接入(ru)
9�、投資成本低(di),通過部署(shu)無線(xian)控制器替換(huan)原有(you)網(wǎng)絡的(de)出口路(lu)由�、行為管理以(yi)及無線控制器(qi)
