?
大型企業(yè)(ye)在無線(xian)網(wǎng)絡(luò)(luo)建設(shè)(she)期間要充分考(kao)慮訪客(領(lǐng)(ling)導����、客戶���、合(he)作伙伴)接入網(wǎng)(wang)絡(luò)的需求���。首(shou)先從安全(quan)性考慮(lv)�,訪客(ke)網(wǎng)絡(luò)必須要(yao)和辦公網(wǎng)絡(luò)分(fen)開��,訪客(ke)網(wǎng)絡(luò)單獨(du)提供給訪客(ke)使用��。從用戶體(ti)驗角度考(kao)慮,訪客(ke)接入網(wǎng)絡(luò)的(de)驗證方式一定(ding)要做到(dao)簡單易行����,繁(fan)瑣的驗證(zheng)方式會(hui)降低訪(fang)客對企業(yè)(ye)的整體(ti)印象��。同(tong)時對于訪客網(wǎng)(wang)絡(luò)����,企業(yè)還需(xu)要建立完(wan)善的(de)網(wǎng)絡(luò)安全(quan)管理機制,避(bi)免由于訪客(ke)的網(wǎng)(wang)絡(luò)不良訪問(wen)給企(qi)業(yè)帶來的法律(lv)風險�。對(dui)于企業(yè)員工(gong)移動辦(ban)公上網(wǎng),更需要(yao)做到可(ke)管控�����,上網(wǎng)行為(wei)做到(dao)可追溯����,企業(yè)有(you)效的(de)帶寬(kuan)資源得(de)到合理的(de)分配和(he)保證,才能(neng)使企業(yè)(ye)的業(yè)(ye)務系統(tǒng)正(zheng)常且(qie)穩(wěn)定(ding)高效地運行(xing)�,同時保證企(qi)業(yè)信息安全,避(bi)免機密信(xin)息泄露�����。
存在的(de)問題(ti)(用戶需求)
1、接入不安全(quan):缺乏(fa)安全可靠(kao)的認證機制����,企(qi)業(yè)無線網(wǎng)(wang)絡(luò)接入(ru)不安全(quan)
2、上網(wǎng)(wang)權(quán)限混亂:缺(que)乏有效的控制(zhi)策略(lve)�,員工上網(wǎng)權(quán)(quan)限不分明
3、數(shù)據(jù)信息安(an)全:缺乏有效的(de)數(shù)據(jù)加密機制(zhi)���,企業(yè)數(shù)據(jù)(ju)被黑客竊(qie)取篡改(gai)
4�����、無線信號(hao)差:AP性能不佳(jia)��,上網(wǎng)總掉線����,點(dian)位規(guī)(gui)劃不合理(li)����,信號(hao)盲區(qū)多
5、漫游效果(guo)差:不(bu)能實(shi)現(xiàn)二三層漫(man)游��,移動辦公時(shi),業(yè)務(wu)中斷(duan)
解決方案(an):
結(jié)合用(yong)戶無線(xian)網(wǎng)絡(luò)需(xu)求情況�����,結(jié)(jie)合產(chǎn)(chan)品自身(shen)技術(shù)特(te)點���,為(wei)了滿足用戶構(gòu)(gou)建一個高速(su)、穩(wěn)定(ding)���、安全�����、可(ke)靠��、易于(yu)管理(li)的無(wu)線接入網(wǎng)絡(luò)的(de)需求���,本設(shè)計(ji)方案按照(zhao)AP+AC的結(jié)構(gòu)化(hua)無線網(wǎng)(wang)絡(luò)解(jie)決方案進(jin)行設(shè)計。具(ju)體設(shè)計(ji)為在總部設(shè)置(zhi)總部AC,在(zai)大型分支機構(gòu)(gou)設(shè)置分(fen)支AC與分支AP��,中型(xing)分支機(ji)構(gòu)設(shè)(she)計二級����,三級交(jiao)換機,分(fen)支AP。小(xiao)微型分支機(ji)構(gòu)直接設(shè)置分(fen)支AP�。總(zong)部AC可以對(dui)大型(xing)分支機構(gòu)(gou)的AC進行管(guan)理���,當網(wǎng)(wang)點控制器采(cai)用集中管(guan)理的模式進(jin)入到中心端(duan)控制器(qi)時�����,會自動(dong)下載中(zhong)心端的公共(gong)配置�,比如IP組�、MAC地(di)址庫、時間計(ji)劃����、角色授(shou)權(quán)、認(ren)證頁(ye)面等(deng) ���?����?偛緼C也可以直(zhi)接管理中小型(xing)分支機構(gòu)的分(fen)支AP���,實現(xiàn)(xian)統(tǒng)一管理(li)。
方案設(shè)計(ji):
安全無線整(zheng)體解(jie)決方(fang)案:
接入前(qian)&接入時進(jin)行身份認證(zheng)、安全(quan)無線網(wǎng)(wang)卡��、賬號綁定(硬(ying)件碼+手機號(hao))�����,非法熱(re)點檢測及防御(yu)�、網(wǎng)絡(luò)(luo)攻擊防(fang)護、射頻(pin)定時關(guān)(guan)閉及安全(quan)加固��。
接入后&上網(wǎng)時(shi)進行訪問(wen)權(quán)限控制����。
上網(wǎng)后進行(xing)上網(wǎng)行(xing)為記錄����。
上網(wǎng)用戶身份(fen)實名認證:
無線辦公(gong)網(wǎng)采用802.1X/Portal/WAPI認證(zheng),外置AAA和RADIUS+AD用于(yu)存儲用(yong)戶賬號密碼����。
每個賬(zhang)號對(dui)應一個員(yuan)工,包括姓(xing)名����、部(bu)門、性別以及(ji)身份證、手(shou)機號等個(ge)人信息��,保證(zheng)每個上網(wǎng)(wang)的賬號都是(shi)可尋的�����,便于安(an)全管理����。
用戶輸入賬號(hao)密碼上網(wǎng)(wang)驗證時均采(cai)用加(jia)密傳(chuan)輸,防止(zhi)黑客(ke)空中攔(lan)截�����,竊(qie)取賬號(hao)密碼等數(shù)據(jù)(ju)�。
上網(wǎng)賬號(hao)自動綁定終(zhong)端:
自動將(jiang)賬號與(yu)終端的硬件特(te)征碼進行綁定(ding),防止賬號被(bei)他人(ren)使用或者(zhe)被盜(dao)用��。
每臺設(shè)備(bei)的硬件特征(zheng)碼是唯一(yi)的�����,無(wu)法通過軟(ruan)件修改(gai)�����。即使通過軟(ruan)件修改(gai)了仍然可以(yi)識別原始的(de)。
每個賬號(hao)最多可以(yi)綁定5臺終端(duan)�,超過(guo)1臺時需要管理(li)員審核。
上網(wǎng)賬號二(er)次綁定(ding)手機號碼:
賬號首次(ci)登陸時(shi)需要綁定手機(ji)號并輸入短(duan)信驗證碼�,當(dang)用戶賬號(hao)在新終(zhong)端登陸時(shi)(換終端(duan)/被他(ta)用/被盜),不僅(jin)需要(yao)輸入密碼�����,還(hai)需要輸入(ru)短信(xin)驗證碼����,解決員(yuan)工賬號(hao)認證的安全問(wen)題
綁定(ding)手機號碼的用(yong)戶,可以(yi)自助重置密碼(ma)和修改密碼(ma)���,無需通過IT管理(li)員。
用戶密碼管理(li)及自助修改:
無需通過管(guan)理員即可修(xiu)改密碼���,提高(gao)效率及減(jian)輕管理員(yuan)工作(zuo)壓力����。
通過口袋助理(li)�����、釘釘、企業(yè)號等(deng)手機MOA類APP軟(ruan)件進(jin)行無(wu)線密碼修改(gai)���。
若賬號綁(bang)定了手機(ji)號碼��,可通過手(shou)機驗(yan)證碼(ma)自助修(xiu)改���。
上網(wǎng)終(zhong)端合法效(xiao)驗:
采用(yong)安全(quan)無線網(wǎng)(wang)卡接入無線(xian)網(wǎng)絡(luò),終(zhong)端與AP熱(re)點的雙向驗(yan)證�,提高安全(quan)性。
可以將無(wu)線網(wǎng)絡(luò)設(shè)(she)置為(wei)只有安裝(zhuang)了安全(quan)無線網(wǎng)卡的(de)終端才能接(jie)入無(wu)線網(wǎng)絡(luò)����。
支持設(shè)置(zhi)安全無線網(wǎng)卡(ka)只能連指定SSID無(wu)線網(wǎng)絡(luò),無法連(lian)接非(fei)授權(quán)(quan)SSID��。
網(wǎng)卡與(yu)AP數(shù)據(jù)傳(chuan)輸時(shi)自動進行數(shù)據(jù)(ju)加密���,保證無線(xian)的空口安全�。
無線熱點掃(sao)描及非法熱(re)點抑制:
背景:黑客在(zai)附近搭建一個(ge)一模(mo)一樣或者(zhe)類似(shi)的WIFI名(ming)稱��,誘使用(yong)戶連到虛假釣(diao)魚WIFI上���,黑客利用(yong)分析軟件從用(yong)戶上(shang)網(wǎng)產(chǎn)生的數(shù)(shu)據(jù)包(bao)中分析提取(qu)用戶隱私(si)信息(xi)�。
我們通過WIPS無線(xian)入侵(qin)防御系統(tǒng)(tong)實時檢測周圍(wei)無線信號,當(dang)檢測出來的信(xin)號BSSID��、且AP源(yuan)MAC地址不在授(shou)權(quán)列表中時���,我(wo)們向?qū)?de)AP和終端發(fā)(fa)送解(jie)除關(guān)聯(lián)幀���,讓終(zhong)端無(wu)法連上(shang)釣魚WIFI。7×24小時(shi)不間斷(duan)監(jiān)測網(wǎng)絡(luò)(luo)�����。
上網(wǎng)行為嚴(yan)格控制:
強大的管理(li):通過應(ying)用識別(bie)技術(shù)���,可以(yi)根據(jù)應用類(lei)型或者具體(ti)某一種應(ying)用進行封堵(du)�����,包括視頻(pin)����、論壇�����、游戲�、金融(rong)、下載等2400多(duo)種網(wǎng)絡(luò)應(ying)用����。
通過應用識別(bie)技術(shù),可以(yi)根據(jù)應用類型(xing)或者(zhe)具體(ti)某一種應(ying)用進行(xing)封堵���,比如上班(ban)時間不允許炒(chao)股��,不允許P2P下載(zai)���,不允許外發(fā)(fa)敏感文件等; 支(zhi)持主(zhu)流移動(dong)平臺(tai)����,可識別IM、社交(jiao)���、Mail�、新聞����、炒股等應(ying)用����。
無線控(kong)制器內(nèi)置千萬(wan)級別的URL分類(lei)庫�,能夠?qū)?dui)URL進行(xing)識別(bie),包含(han)新聞(wen)�����、購物(wu)�、金融、教育等(deng)18個種(zhong)類的(de)URL地址(zhi)�����; 準確識別(bie)目前主(zhu)流網(wǎng)站��,識(shi)別率高達(da)99.9%�����,有效實現(xiàn)(xian)網(wǎng)頁過濾���。例如(ru)禁止登陸非法(fa)網(wǎng)站
通過(guo)基于時間段的(de)訪問控(kong)制策略(lve)�,實現(xiàn)(xian)不同的時間段(duan)不同的訪問(wen)權(quán)限�����,比如上班(ban)時間����,禁止(zhi)訪問網(wǎng)上(shang)銀行、游戲��、論壇(tan)貼吧等(deng)與工作無(wu)關(guān)的應用(yong)�����,下班時間則不(bu)受限制���。
辦公區(qū)域內(nèi)�����,不(bu)同辦公部(bu)門總會(hui)有各(ge)自專屬的無線(xian)網(wǎng)絡(luò)���,并(bing)且不(bu)希望部門之外(wai)的成員使用(yong)這個網(wǎng)(wang)絡(luò)。無線(xian)網(wǎng)絡(luò)控(kong)制器可以根(gen)據(jù)用戶的屬性(xing)��,限制(zhi)禁止(zhi)非本部門(men)的用戶接入。
典型無(wu)線網(wǎng)絡(luò)攻(gong)擊防護(hu):
對典型的(de)危險攻擊行為(wei)進行檢測(ce)��,當超(chao)過設(shè)(she)定的閾(yu)值后自(zi)動將(jiang)攻擊者加入到(dao)黑名單中(zhong)��,并凍(dong)結(jié)一定時(shi)間�,即時(shi)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊(ji)并進(jin)行防御。
檢測的攻(gong)擊包括:DDOS防御(yu)���、ARP掃描���、IP掃描(miao)、端口掃描防御(yu)����,禁止客戶端(duan)私設(shè)IP以(yi)及ARP、網(wǎng)關(guān)欺騙防(fang)御�、DHCP請(qing)求泛洪(hong)防御。
無線射頻定(ding)時關(guān)閉開(kai)啟:
通過射頻關(guān)(guan)閉控制策(ce)略���,可(ke)以指定某SSID網(wǎng)(wang)絡(luò)�,定時自(zi)動關(guān)閉和(he)開啟無線網(wǎng)絡(luò)(luo)的射(she)頻信號(hao)�,晚上(shang)下班后自(zi)動關(guān)閉無線(xian)射頻信號。
一方(fang)面可以節(jié)能減(jian)排���、節(jié)(jie)省電(dian)費支出���;另一方(fang)面又(you)能防止非法(fa)用戶利用(yong)深夜時間(jian)入侵無線網(wǎng)絡(luò)(luo),做一些(xie)非法的操作����。
有線(xian)無線一體化(hua)管理:
NAC的有線無線一(yi)體化,支(zhi)持對有線(xian)用戶的接入認(ren)證�、訪問控(kong)制、流(liu)量管理���、上網(wǎng)行(xing)為審(shen)計等��,
并提供統(tǒng)一中(zhong)文Web管(guan)理界面�,一(yi)站式(shi)服務�����,極大的降(jiang)低網(wǎng)絡(luò)(luo)建設(shè)成(cheng)本�。
網(wǎng)絡(luò)(luo)分權(quán)(quan)分級(ji)管理:
分配不同的(de)管理員分別(bie)管理各自權(quán)限(xian)區(qū)域的無線AP,可(ke)以精細到(dao)對某(mou)AP分組(zu)有管(guan)理權(quán)限�,該管(guan)理員可以在(zai)該AP分組(zu)上建立(li)無線網(wǎng)絡(luò),能夠(gou)激活�、刪除接(jie)入點,能夠?qū)?dui)AP的配置進行編(bian)輯修改。
可指(zhi)定管理(li)員針(zhen)對每個頁面的(de)編輯(ji)或可(ke)查看權(quán)限(xian)���,控制粒度(du)到控制器上的(de)各個頁面����,對某(mou)個頁(ye)面沒有讀(du)權(quán)限則登錄(lu)時不顯示��。
移動APP隨時隨(sui)地運維管(guan)理:
支持跨互聯(lián)網(wǎng)(wang)運維(wei)管理(li)
登陸(lu)APP進行維(wei)護管理:不同管(guan)理員�����,不同(tong)權(quán)限
查看網(wǎng)絡(luò)運(yun)行情況:在線(xian)用戶��、在線AP數(shù)(shu)量����、實時(shi)流量(liang)
無線網(wǎng)絡(luò)管(guan)理維(wei)護:開(kai)啟關(guān)閉SSID、終端(duan)綁定審(shen)批��、二維碼(ma)上網(wǎng)審核
故障���、審批實(shi)時通知:AP離線(xian)警告(gao)����、服務器(qi)離線警告(gao)、網(wǎng)絡(luò)(luo)攻擊告警
方案(an)優(yōu)勢:
1���、最豐富的無(wu)線安(an)全機制���,提(ti)供從安全(quan)接入到安(an)全上網(wǎng)等端到(dao)端的(de)安全策略
2、合理管控工(gong)作人員上網(wǎng)行(xing)為�����,提升工(gong)作效率����、防止帶(dai)寬浪(lang)費����,有線無(wu)線雙重管控(kong)
3、為會議室��,報告(gao)廳等人員(yuan)密集區(qū)(qu)域接入(ru)網(wǎng)絡(luò)提高保證(zheng)�,解決有(you)線網(wǎng)(wang)口不足的問(wen)題;
4���、為企業(yè)員(yuan)工的(de)移動(dong)辦公(gong)提供支撐(cheng)���,內(nèi)部員工可通(tong)過無線網(wǎng)絡(luò)隨(sui)時安全接入內(nèi)(nei)部網(wǎng)絡(luò)�,實現(xiàn)辦(ban)公��;
5���、內(nèi)部員(yuan)工賬號及個(ge)人信息綁定�,便(bian)于安全管理(li)�����;
6�、內(nèi)部員(yuan)工可通過(guo)自己的辦公設(shè)(she)備在(zai)企業(yè)(ye)大樓(lou)內(nèi)快速移(yi)動辦公,網(wǎng)(wang)絡(luò)接入更快速(su)�����,上網(wǎng)行(xing)為管理(li)系統(tǒng)(tong)對員工上網(wǎng)行(xing)為進行審計與(yu)管控
7���、來訪客(ke)戶接入企業(yè)(ye)網(wǎng)絡(luò)���,可根據(jù)(ju)不同需求,分(fen)配不同的上網(wǎng)(wang)權(quán)限(xian)�,保證了接(jie)入的安全性同(tong)時提升群眾上(shang)網(wǎng)的體驗(yan)
8���、豐富的認(ren)證機制(zhi),滿足(zu)組織對無線網(wǎng)(wang)絡(luò)安全�����、快速(su)接入
9����、投資成本低(di),通過部署無線(xian)控制(zhi)器替換原有(you)網(wǎng)絡(luò)的(de)出口(kou)路由���、行為管(guan)理以及(ji)無線控制器
