?
大型企業(yè)(ye)在無(wu)線網(wǎng)絡(luò)建(jian)設(shè)期(qi)間要充分(fen)考慮訪(fang)客(領(lǐng)(ling)導(dǎo)�����、客戶(hu)、合作伙伴)接(jie)入網(wǎng)(wang)絡(luò)的需求。首先(xian)從安全性(xing)考慮�����,訪客(ke)網(wǎng)絡(luò)必須要和(he)辦公(gong)網(wǎng)絡(luò)分開(kai)�����,訪客網(wǎng)絡(luò)(luo)單獨(dú)提供(gong)給訪客使用�����。從(cong)用戶體驗(yàn)角(jiao)度考慮�����,訪(fang)客接入網(wǎng)絡(luò)(luo)的驗(yàn)(yan)證方(fang)式一定要(yao)做到簡單易(yi)行�����,繁(fan)瑣的驗(yàn)(yan)證方(fang)式會(huì)降低(di)訪客對企業(yè)(ye)的整體印象(xiang)�����。同時(shí)對于訪客(ke)網(wǎng)絡(luò)(luo)�����,企業(yè)還(hai)需要(yao)建立完(wan)善的網(wǎng)(wang)絡(luò)安(an)全管理機(jī)(ji)制�����,避免由于訪(fang)客的網(wǎng)絡(luò)不良(liang)訪問給(gei)企業(yè)帶來的(de)法律風(fēng)險(xiǎn)�����。對(dui)于企(qi)業(yè)員工移動(dòng)辦(ban)公上網(wǎng)(wang)�����,更需要做(zuo)到可管(guan)控�����,上網(wǎng)行(xing)為做到可追(zhui)溯�����,企(qi)業(yè)有效的帶(dai)寬資源(yuan)得到合理(li)的分配和(he)保證�����,才能使(shi)企業(yè)的(de)業(yè)務(wù)系統(tǒng)(tong)正常(chang)且穩(wěn)定高(gao)效地運(yùn)(yun)行�����,同時(shí)保(bao)證企(qi)業(yè)信息安全�����,避(bi)免機(jī)(ji)密信(xin)息泄(xie)露�����。
存在的問題(用(yong)戶需求)
1、接入不安全:缺(que)乏安全可靠(kao)的認(rèn)證機(jī)制(zhi),企業(yè)無線網(wǎng)(wang)絡(luò)接入不安全(quan)
2�����、上網(wǎng)權(quán)(quan)限混(hun)亂:缺乏(fa)有效的(de)控制策略(lve),員工上網(wǎng)權(quán)限(xian)不分(fen)明
3�����、數(shù)據(jù)信息安全(quan):缺乏有(you)效的(de)數(shù)據(jù)(ju)加密機(jī)制�����,企(qi)業(yè)數(shù)據(jù)(ju)被黑客竊取(qu)篡改(gai)
4�����、無線信號差:AP性(xing)能不(bu)佳�����,上網(wǎng)總掉(diao)線�����,點(diǎn)位規(guī)劃(hua)不合理�����,信號(hao)盲區(qū)多(duo)
5�����、漫游效果差(cha):不能實(shí)(shi)現(xiàn)二(er)三層漫游(you)�����,移動(dòng)(dong)辦公時(shí)(shi),業(yè)務(wù)中斷(duan)
解決方案:
結(jié)合用(yong)戶無線網(wǎng)絡(luò)(luo)需求情況�����,結(jié)合(he)產(chǎn)品自身技(ji)術(shù)特點(diǎn)(dian)�����,為了滿足(zu)用戶(hu)構(gòu)建一個(gè)高(gao)速�����、穩(wěn)定�����、安全(quan)�����、可靠�����、易于(yu)管理的無線接(jie)入網(wǎng)絡(luò)(luo)的需求�����,本設(shè)計(jì)(ji)方案按照(zhao)AP+AC的結(jié)(jie)構(gòu)化無線網(wǎng)絡(luò)(luo)解決(jue)方案(an)進(jìn)行(xing)設(shè)計(jì)�����。具(ju)體設(shè)計(jì)為在(zai)總部設(shè)置總(zong)部AC,在大型分(fen)支機(jī)(ji)構(gòu)設(shè)置分支(zhi)AC與分支(zhi)AP�����,中型分支機(jī)構(gòu)(gou)設(shè)計(jì)二級(ji)�����,三級(ji)交換機(jī)(ji)�����,分支AP�����。小(xiao)微型分支(zhi)機(jī)構(gòu)直接設(shè)(she)置分支AP�����。總部(bu)AC可以對(dui)大型(xing)分支(zhi)機(jī)構(gòu)的AC進(jìn)(jin)行管理(li)�����,當(dāng)網(wǎng)點(diǎn)控制(zhi)器采用集中(zhong)管理的模式(shi)進(jìn)入(ru)到中(zhong)心端控(kong)制器時(shí)�����,會(huì)(hui)自動(dòng)(dong)下載中心端的(de)公共配置�����,比如(ru)IP組�����、MAC地址庫�����、時(shí)間(jian)計(jì)劃�����、角(jiao)色授權(quán)�����、認(rèn)證(zheng)頁面等 �����?����??zong)部AC也可(ke)以直(zhi)接管理中小(xiao)型分支機(jī)(ji)構(gòu)的分支AP�����,實(shí)現(xiàn)(xian)統(tǒng)一管理(li)�����。
方案設(shè)計(jì):
安全無線整體(ti)解決方案(an):
接入前&接入時(shí)(shi)進(jìn)行身(shen)份認(rèn)(ren)證�����、安全無線(xian)網(wǎng)卡�����、賬號(hao)綁定(ding)(硬件碼+手機(jī)(ji)號),非法熱點(diǎn)檢(jian)測及(ji)防御�����、網(wǎng)絡(luò)攻(gong)擊防護(hù)�����、射頻定(ding)時(shí)關(guān)(guan)閉及安全加(jia)固�����。
接入后&上網(wǎng)時(shí)(shi)進(jìn)行(xing)訪問(wen)權(quán)限控制�����。
上網(wǎng)后(hou)進(jìn)行上網(wǎng)行為(wei)記錄�����。
上網(wǎng)用戶(hu)身份實(shí)名認(rèn)證(zheng):
無線(xian)辦公網(wǎng)采(cai)用802.1X/Portal/WAPI認(rèn)(ren)證�����,外置AAA和RADIUS+AD用于(yu)存儲(chǔ)用戶賬(zhang)號密碼(ma)。
每個(gè)(ge)賬號對應(yīng)一(yi)個(gè)員(yuan)工�����,包括(kuo)姓名�����、部門(men)�����、性別以(yi)及身份證(zheng)�����、手機(jī)號等(deng)個(gè)人(ren)信息�����,保證(zheng)每個(gè)(ge)上網(wǎng)(wang)的賬號都是可(ke)尋的�����,便于安(an)全管理�����。
用戶輸入賬號(hao)密碼上(shang)網(wǎng)驗(yàn)證時(shí)均(jun)采用加密傳輸(shu)�����,防止黑(hei)客空中攔截�����,竊(qie)取賬號密碼等(deng)數(shù)據(jù)�����。
上網(wǎng)賬號(hao)自動(dòng)(dong)綁定終端(duan):
自動(dòng)將(jiang)賬號與終(zhong)端的硬件特(te)征碼進(jìn)行綁(bang)定�����,防(fang)止賬(zhang)號被他(ta)人使用或者(zhe)被盜用�����。
每臺設(shè)備的硬(ying)件特征(zheng)碼是唯一的�����,無(wu)法通過(guo)軟件修改(gai)。即使通過軟(ruan)件修改(gai)了仍然可(ke)以識別原始的(de)�����。
每個(gè)賬號(hao)最多可以(yi)綁定5臺(tai)終端�����,超(chao)過1臺時(shí)(shi)需要管理員審(shen)核�����。
上網(wǎng)賬號二次(ci)綁定手機(jī)號(hao)碼:
賬號首次登陸(lu)時(shí)需要綁定手(shou)機(jī)號并(bing)輸入短信驗(yàn)(yan)證碼�����,當(dāng)用戶(hu)賬號(hao)在新終端登(deng)陸時(shí)(換終(zhong)端/被他用/被(bei)盜)�����,不僅需(xu)要輸入密碼(ma)�����,還需要輸(shu)入短信驗(yàn)證(zheng)碼�����,解(jie)決員工賬(zhang)號認(rèn)證的安(an)全問題
綁定手機(jī)號(hao)碼的用戶�����,可以(yi)自助重置密碼(ma)和修改(gai)密碼(ma)�����,無需通過(guo)IT管理員�����。
用戶密(mi)碼管理及自助(zhu)修改:
無需(xu)通過管理(li)員即可(ke)修改密碼(ma)�����,提高效(xiao)率及(ji)減輕管(guan)理員工作壓力(li)�����。
通過口袋(dai)助理�����、釘釘、企(qi)業(yè)號等(deng)手機(jī)MOA類(lei)APP軟件進(jìn)行無(wu)線密碼修改�����。
若賬(zhang)號綁定了手機(jī)(ji)號碼(ma)�����,可通過手機(jī)驗(yàn)(yan)證碼(ma)自助修(xiu)改�����。
上網(wǎng)終端合法(fa)效驗(yàn):
采用(yong)安全(quan)無線網(wǎng)卡接(jie)入無線網(wǎng)絡(luò)(luo)�����,終端(duan)與AP熱點(diǎn)的雙向(xiang)驗(yàn)證�����,提高安全(quan)性�����。
可以(yi)將無線網(wǎng)(wang)絡(luò)設(shè)置為只(zhi)有安(an)裝了安全(quan)無線網(wǎng)(wang)卡的終端才能(neng)接入(ru)無線網(wǎng)(wang)絡(luò)�����。
支持設(shè)置安全(quan)無線網(wǎng)卡只(zhi)能連指定(ding)SSID無線網(wǎng)(wang)絡(luò)�����,無法連(lian)接非(fei)授權(quán)SSID�����。
網(wǎng)卡與AP數(shù)據(jù)(ju)傳輸時(shí)自動(dòng)(dong)進(jìn)行數(shù)據(jù)加密(mi)�����,保證無線的(de)空口安全�����。
無線熱點(diǎn)(dian)掃描及非法(fa)熱點(diǎn)抑制:
背景:黑(hei)客在附(fu)近搭建一(yi)個(gè)一模一(yi)樣或者(zhe)類似的(de)WIFI名稱�����,誘使用(yong)戶連到虛假釣(diao)魚WIFI上�����,黑客(ke)利用分(fen)析軟件(jian)從用(yong)戶上網(wǎng)產(chǎn)生(sheng)的數(shù)據(jù)包中(zhong)分析提取用戶(hu)隱私信息。
我們通過(guo)WIPS無線入侵(qin)防御系統(tǒng)實(shí)時(shí)(shi)檢測周圍無線(xian)信號�����,當(dāng)檢測出(chu)來的信號(hao)BSSID�����、且AP源(yuan)MAC地址(zhi)不在授權(quán)(quan)列表中(zhong)時(shí)�����,我(wo)們向?qū)?yīng)(ying)的AP和終端發(fā)(fa)送解除關(guān)(guan)聯(lián)幀�����,讓終端(duan)無法連(lian)上釣魚WIFI�����。7×24小時(shí)(shi)不間斷監(jiān)(jian)測網(wǎng)絡(luò)�����。
上網(wǎng)(wang)行為嚴(yán)格(ge)控制:
強(qiáng)大的管理:通(tong)過應(yīng)用(yong)識別技術(shù)�����,可以(yi)根據(jù)應(yīng)用類(lei)型或者具(ju)體某一(yi)種應(yīng)用進(jìn)行封(feng)堵�����,包(bao)括視頻(pin)�����、論壇�����、游戲(xi)�����、金融(rong)�����、下載(zai)等2400多種(zhong)網(wǎng)絡(luò)應(yīng)用(yong)�����。
通過應(yīng)(ying)用識別技(ji)術(shù),可以根據(jù)(ju)應(yīng)用(yong)類型(xing)或者具體某一(yi)種應(yīng)用(yong)進(jìn)行封堵�����,比如(ru)上班(ban)時(shí)間不允許(xu)炒股�����,不允許(xu)P2P下載�����,不(bu)允許(xu)外發(fā)敏(min)感文(wen)件等�����; 支持主(zhu)流移(yi)動(dòng)平臺(tai)�����,可識別(bie)IM�����、社交�����、Mail�����、新(xin)聞�����、炒股等應(yīng)用(yong)�����。
無線控制器內(nèi)(nei)置千萬(wan)級別的URL分類庫(ku)�����,能夠?qū)RL進(jìn)(jin)行識別�����,包含(han)新聞�����、購(gou)物、金融�����、教育(yu)等18個(gè)種類的(de)URL地址�����; 準(zhǔn)確(que)識別目前主流(liu)網(wǎng)站�����,識別率(lv)高達(dá)99.9%�����,有效(xiao)實(shí)現(xiàn)網(wǎng)頁過(guo)濾�����。例如(ru)禁止登陸(lu)非法網(wǎng)(wang)站
通過基(ji)于時(shí)間段(duan)的訪問(wen)控制(zhi)策略�����,實(shí)現(xiàn)不同(tong)的時(shí)間(jian)段不同的(de)訪問權(quán)限,比如(ru)上班時(shí)(shi)間�����,禁止訪(fang)問網(wǎng)上銀行�����、游(you)戲�����、論壇貼(tie)吧等與工(gong)作無關(guān)的應(yīng)用(yong)�����,下班時(shí)間則(ze)不受(shou)限制(zhi)�����。
辦公區(qū)域內(nèi)�����,不(bu)同辦(ban)公部門總會(huì)(hui)有各自專(zhuan)屬的無線網(wǎng)(wang)絡(luò)�����,并且不希(xi)望部門之(zhi)外的成(cheng)員使用這個(gè)(ge)網(wǎng)絡(luò)�����。無線(xian)網(wǎng)絡(luò)控制(zhi)器可以根(gen)據(jù)用戶的(de)屬性(xing)�����,限制禁(jin)止非本部門(men)的用戶(hu)接入�����。
典型(xing)無線網(wǎng)(wang)絡(luò)攻(gong)擊防護(hù):
對典(dian)型的危險(xiǎn)攻擊(ji)行為進(jìn)(jin)行檢測�����,當(dāng)超(chao)過設(shè)定的(de)閾值(zhi)后自動(dòng)將攻(gong)擊者加(jia)入到(dao)黑名單(dan)中�����,并(bing)凍結(jié)(jie)一定時(shí)間�����,即時(shí)(shi)發(fā)現(xiàn)網(wǎng)絡(luò)(luo)攻擊并(bing)進(jìn)行防御(yu)。
檢測的攻擊包(bao)括:DDOS防御�����、ARP掃(sao)描�����、IP掃描�����、端(duan)口掃(sao)描防御�����,禁(jin)止客戶端(duan)私設(shè)IP以及ARP�����、網(wǎng)關(guān)(guan)欺騙防御�����、DHCP請(qing)求泛洪(hong)防御�����。
無線射頻定時(shí)(shi)關(guān)閉開啟:
通過射頻關(guān)閉(bi)控制策略�����,可(ke)以指定某SSID網(wǎng)絡(luò)(luo)�����,定時(shí)自動(dòng)關(guān)閉(bi)和開(kai)啟無線(xian)網(wǎng)絡(luò)(luo)的射頻(pin)信號�����,晚上(shang)下班后自動(dòng)(dong)關(guān)閉(bi)無線射頻信號(hao)�����。
一方面可以節(jié)(jie)能減排(pai)�����、節(jié)省電費(fèi)支(zhi)出�����;另一方(fang)面又能防(fang)止非法用戶(hu)利用深(shen)夜時(shí)(shi)間入侵無線網(wǎng)(wang)絡(luò),做一(yi)些非(fei)法的操作(zuo)�����。
有線無(wu)線一(yi)體化管(guan)理:
NAC的有(you)線無(wu)線一體化�����,支持(chi)對有(you)線用戶的(de)接入認(rèn)證�����、訪(fang)問控制�����、流量管(guan)理�����、上網(wǎng)行(xing)為審計(jì)(ji)等�����,
并提供(gong)統(tǒng)一(yi)中文Web管理界(jie)面�����,一站式服(fu)務(wù)�����,極大(da)的降(jiang)低網(wǎng)絡(luò)(luo)建設(shè)成本�����。
網(wǎng)絡(luò)分(fen)權(quán)分級(ji)管理:
分配(pei)不同的管(guan)理員分別管理(li)各自(zi)權(quán)限區(qū)域(yu)的無線(xian)AP�����,可以精細(xì)到對(dui)某AP分組(zu)有管理(li)權(quán)限�����,該管理員(yuan)可以在該AP分組(zu)上建立無(wu)線網(wǎng)絡(luò)�����,能夠激(ji)活�����、刪除接(jie)入點(diǎn),能(neng)夠?qū)P的配置(zhi)進(jìn)行編輯修改(gai)�����。
可指定管(guan)理員針(zhen)對每個(gè)頁(ye)面的編輯或可(ke)查看權(quán)限�����,控(kong)制粒(li)度到(dao)控制(zhi)器上的各(ge)個(gè)頁面�����,對某(mou)個(gè)頁面沒有(you)讀權(quán)限(xian)則登錄時(shí)(shi)不顯示�����。
移動(dòng)APP隨時(shí)隨(sui)地運(yùn)維管理:
支持跨互聯(lián)(lian)網(wǎng)運(yùn)維管理(li)
登陸APP進(jìn)行維護(hù)(hu)管理:不同管理(li)員�����,不同權(quán)限(xian)
查看網(wǎng)絡(luò)運(yùn)行(xing)情況:在線(xian)用戶(hu)�����、在線AP數(shù)(shu)量�����、實(shí)時(shí)流(liu)量
無線網(wǎng)絡(luò)管(guan)理維護(hù):開啟(qi)關(guān)閉SSID�����、終端綁(bang)定審批�����、二維(wei)碼上網(wǎng)(wang)審核
故障�����、審(shen)批實(shí)(shi)時(shí)通知(zhi):AP離線警告�����、服(fu)務(wù)器離線警告(gao)�����、網(wǎng)絡(luò)攻擊告(gao)警
方案(an)優(yōu)勢(shi):
1�����、最豐富的無線(xian)安全機(jī)制(zhi),提供從安(an)全接入到安(an)全上(shang)網(wǎng)等(deng)端到端的(de)安全策(ce)略
2�����、合理管控(kong)工作人(ren)員上(shang)網(wǎng)行為�����,提升(sheng)工作效(xiao)率�����、防止帶寬浪(lang)費(fèi)�����,有線無線雙(shuang)重管控(kong)
3�����、為會(huì)議(yi)室�����,報(bào)告(gao)廳等人員(yuan)密集(ji)區(qū)域(yu)接入網(wǎng)(wang)絡(luò)提高保證(zheng)�����,解決有線網(wǎng)口(kou)不足的問(wen)題�����;
4�����、為企業(yè)員工(gong)的移(yi)動(dòng)辦公提供(gong)支撐�����,內(nèi)部員工(gong)可通(tong)過無線網(wǎng)絡(luò)隨(sui)時(shí)安全接(jie)入內(nèi)部網(wǎng)絡(luò)(luo)�����,實(shí)現(xiàn)(xian)辦公�����;
5�����、內(nèi)部員工(gong)賬號及個(gè)人(ren)信息綁定,便(bian)于安全(quan)管理�����;
6�����、內(nèi)部員(yuan)工可通過自(zi)己的辦公設(shè)備(bei)在企業(yè)大(da)樓內(nèi)(nei)快速移(yi)動(dòng)辦公�����,網(wǎng)絡(luò)接(jie)入更快速(su)�����,上網(wǎng)行為管(guan)理系統(tǒng)(tong)對員(yuan)工上網(wǎng)(wang)行為進(jìn)(jin)行審計(jì)(ji)與管(guan)控
7�����、來訪客戶接(jie)入企業(yè)網(wǎng)絡(luò)�����,可(ke)根據(jù)不同(tong)需求�����,分配不同(tong)的上網(wǎng)權(quán)限�����,保(bao)證了接入(ru)的安全(quan)性同(tong)時(shí)提升(sheng)群眾(zhong)上網(wǎng)的體驗(yàn)(yan)
8�����、豐富的(de)認(rèn)證機(jī)制�����,滿(man)足組織對無(wu)線網(wǎng)絡(luò)安(an)全�����、快速接(jie)入
9�����、投資成本(ben)低�����,通過(guo)部署(shu)無線(xian)控制器(qi)替換原有網(wǎng)絡(luò)(luo)的出(chu)口路(lu)由、行為(wei)管理以及無(wu)線控(kong)制器
