大型企業(yè)在無(wu)線網(wǎng)絡(luò)建設(shè)(she)期間要(yao)充分(fen)考慮訪客(ke)（領(lǐng)導(dǎo)(dao)、客戶、合作伙伴(ban)）接入網(wǎng)絡(luò)(luo)的需求。首(shou)先從安全性(xing)考慮，訪(fang)客網(wǎng)絡(luò)(luo)必須(xu)要和辦公網(wǎng)(wang)絡(luò)分(fen)開，訪客網(wǎng)絡(luò)(luo)單獨(dú)提供給(gei)訪客使用。從用(yong)戶體驗(yan)角度考慮(lv)，訪客接入網(wǎng)絡(luò)(luo)的驗(yan)證方式一(yi)定要(yao)做到(dao)簡單易(yi)行，繁瑣的(de)驗證方式會降(jiang)低訪客對企業(yè)(ye)的整體印象。同(tong)時對于(yu)訪客網(wǎng)絡(luò)，企(qi)業(yè)還(hai)需要建(jian)立完善(shan)的網(wǎng)絡(luò)安(an)全管理(li)機(jī)制，避(bi)免由于訪(fang)客的網(wǎng)絡(luò)不(bu)良訪問給企(qi)業(yè)帶來的法律(lv)風(fēng)險。對于企業(yè)(ye)員工(gong)移動辦(ban)公上網(wǎng)(wang)，更需要做(zuo)到可(ke)管控，上(shang)網(wǎng)行為(wei)做到可追(zhui)溯，企業(yè)(ye)有效的帶(dai)寬資源(yuan)得到合理(li)的分配和保(bao)證，才能(neng)使企業(yè)的業(yè)(ye)務(wù)系統(tǒng)(tong)正常且穩(wěn)(wen)定高效地(di)運(yùn)行，同(tong)時保證(zheng)企業(yè)信息安(an)全，避免(mian)機(jī)密信息泄(xie)露。

存在的問題(ti)（用戶需求）

1、接入不安全(quan)：缺乏安(an)全可靠的認(rèn)(ren)證機(jī)制(zhi)，企業(yè)(ye)無線網(wǎng)絡(luò)接(jie)入不安(an)全

2、上網(wǎng)權(quán)限混亂(luan)：缺乏有效的(de)控制策略，員工(gong)上網(wǎng)(wang)權(quán)限不(bu)分明

3、數(shù)據(jù)信息安全(quan)：缺乏有(you)效的數(shù)(shu)據(jù)加密機(jī)(ji)制，企業(yè)數(shù)據(jù)(ju)被黑(hei)客竊取篡改(gai)

4、無線信(xin)號差：AP性能不佳(jia)，上網(wǎng)總掉線(xian)，點位規(guī)劃不(bu)合理，信號(hao)盲區(qū)多

5、漫游效果(guo)差：不(bu)能實現(xiàn)(xian)二三層漫游，移(yi)動辦公時，業(yè)務(wù)(wu)中斷

解決方(fang)案：

結(jié)合用戶無線(xian)網(wǎng)絡(luò)需求情(qing)況，結(jié)合產(chǎn)品(pin)自身(shen)技術(shù)特點，為了(le)滿足(zu)用戶構(gòu)建一個(ge)高速(su)、穩(wěn)定、安全、可(ke)靠、易(yi)于管理(li)的無線(xian)接入網(wǎng)絡(luò)的需(xu)求，本(ben)設(shè)計(ji)方案按照AP+AC的結(jié)(jie)構(gòu)化無(wu)線網(wǎng)絡(luò)解(jie)決方案進(jìn)行設(shè)(she)計。具體(ti)設(shè)計為在總(zong)部設(shè)置(zhi)總部AC,在大型(xing)分支機(jī)構(gòu)設(shè)置(zhi)分支AC與分支(zhi)AP，中型(xing)分支機(jī)構(gòu)設(shè)計(ji)二級，三級交換(huan)機(jī)，分支(zhi)AP。小微型分支(zhi)機(jī)構(gòu)直接設(shè)(she)置分支AP?？偛緼C可(ke)以對大型分(fen)支機(jī)(ji)構(gòu)的AC進(jìn)行管(guan)理，當(dāng)(dang)網(wǎng)點控制(zhi)器采用(yong)集中管理的(de)模式進(jìn)入到(dao)中心(xin)端控(kong)制器(qi)時，會自(zi)動下載中心端(duan)的公(gong)共配置(zhi)，比如IP組、MAC地址(zhi)庫、時間(jian)計劃、角色(se)授權(quán)(quan)、認(rèn)證頁面等 ?？?zong)部AC也可以(yi)直接管理(li)中小型分支機(jī)(ji)構(gòu)的分支(zhi)AP，實現(xiàn)(xian)統(tǒng)一管理(li)。

方案設(shè)(she)計：

安全無線(xian)整體(ti)解決方案：

接入前&接入時(shi)進(jìn)行身份(fen)認(rèn)證、安全無(wu)線網(wǎng)卡、賬(zhang)號綁(bang)定（硬件碼+手(shou)機(jī)號(hao)），非法熱點檢測(ce)及防御(yu)、網(wǎng)絡(luò)攻擊防護(hù)(hu)、射頻定時(shi)關(guān)閉及安全加(jia)固。

接入后&上網(wǎng)(wang)時進(jìn)(jin)行訪(fang)問權(quán)(quan)限控制(zhi)。

上網(wǎng)后進(jìn)行上(shang)網(wǎng)行為記錄(lu)。

上網(wǎng)用(yong)戶身(shen)份實名(ming)認(rèn)證：

無線辦公(gong)網(wǎng)采用802.1X/Portal/WAPI認(rèn)證，外(wai)置AAA和RADIUS+AD用于存(cun)儲用戶(hu)賬號密碼(ma)。

每個賬號(hao)對應(yīng)一個員工(gong)，包括姓名、部門(men)、性別以及身份(fen)證、手機(jī)號(hao)等個人(ren)信息，保證(zheng)每個上網(wǎng)(wang)的賬號(hao)都是可尋的(de)，便于安全管(guan)理。

用戶輸入賬號(hao)密碼(ma)上網(wǎng)驗(yan)證時均采用(yong)加密傳輸，防(fang)止黑客(ke)空中攔截，竊(qie)取賬號密(mi)碼等數(shù)據(jù)(ju)。

上網(wǎng)(wang)賬號自動(dong)綁定終端(duan)：

自動將賬號與(yu)終端的硬件(jian)特征碼進(jìn)行綁(bang)定，防(fang)止賬號被(bei)他人使用或者(zhe)被盜(dao)用。

每臺(tai)設(shè)備的(de)硬件特征(zheng)碼是(shi)唯一的，無法通(tong)過軟件(jian)修改(gai)。即使通過軟件(jian)修改了仍然可(ke)以識(shi)別原始的(de)。

每個賬號最(zui)多可以(yi)綁定5臺(tai)終端，超過1臺時(shi)需要(yao)管理員審核。

上網(wǎng)賬號二次(ci)綁定手機(jī)號碼(ma)：

賬號首次登陸(lu)時需要(yao)綁定手機(jī)(ji)號并輸入(ru)短信驗證(zheng)碼，當(dāng)用戶(hu)賬號在新終端(duan)登陸(lu)時（換終端/被(bei)他用/被(bei)盜），不僅需(xu)要輸入密(mi)碼，還需要輸(shu)入短信驗(yan)證碼，解決(jue)員工(gong)賬號認(rèn)(ren)證的安全問(wen)題

綁定手機(jī)號(hao)碼的(de)用戶，可(ke)以自助重置密(mi)碼和(he)修改密碼，無需(xu)通過IT管理員。

用戶密(mi)碼管理及(ji)自助修改(gai)：

無需通過管理(li)員即可修(xiu)改密(mi)碼，提(ti)高效率及減輕(qing)管理員工作(zuo)壓力(li)。

通過口袋助(zhu)理、釘釘、企(qi)業(yè)號等手機(jī)MOA類(lei)APP軟件進(jìn)行無(wu)線密碼修改(gai)。

若賬號綁(bang)定了手機(jī)號(hao)碼，可通過(guo)手機(jī)驗證碼自(zi)助修改。

上網(wǎng)終(zhong)端合(he)法效驗(yan)：

采用安全(quan)無線網(wǎng)(wang)卡接入無線(xian)網(wǎng)絡(luò)(luo)，終端與AP熱(re)點的雙向(xiang)驗證，提(ti)高安全性(xing)。

可以將無線網(wǎng)(wang)絡(luò)設(shè)(she)置為只有(you)安裝(zhuang)了安全無線網(wǎng)(wang)卡的(de)終端(duan)才能(neng)接入無線(xian)網(wǎng)絡(luò)。

支持設(shè)(she)置安全無線(xian)網(wǎng)卡只能(neng)連指定SSID無線(xian)網(wǎng)絡(luò)，無(wu)法連接非(fei)授權(quán)SSID。

網(wǎng)卡與(yu)AP數(shù)據(jù)傳輸(shu)時自動(dong)進(jìn)行(xing)數(shù)據(jù)加密(mi)，保證無線(xian)的空口安全(quan)。

無線熱(re)點掃(sao)描及(ji)非法熱點抑(yi)制：

背景：黑(hei)客在附(fu)近搭建一(yi)個一模(mo)一樣或者(zhe)類似(shi)的WIFI名稱(cheng)，誘使用戶(hu)連到虛假釣(diao)魚WIFI上，黑客利用(yong)分析(xi)軟件從用戶上(shang)網(wǎng)產(chǎn)(chan)生的數(shù)據(jù)(ju)包中分(fen)析提取用戶隱(yin)私信(xin)息。

我們通過WIPS無(wu)線入侵防(fang)御系統(tǒng)實(shi)時檢測周(zhou)圍無線信號，當(dāng)(dang)檢測出來的信(xin)號BSSID、且AP源MAC地址(zhi)不在授權(quán)列(lie)表中時，我們向(xiang)對應(yīng)的AP和終(zhong)端發(fā)(fa)送解除關(guān)聯(lián)(lian)幀，讓(rang)終端(duan)無法連上釣(diao)魚WIFI。7×24小時不間(jian)斷監(jiān)測網(wǎng)(wang)絡(luò)。

上網(wǎng)行(xing)為嚴(yán)(yan)格控制：

強(qiáng)大的管理：通(tong)過應(yīng)用識(shi)別技(ji)術(shù)，可以(yi)根據(jù)應(yīng)用類型(xing)或者具體(ti)某一種應(yīng)(ying)用進(jìn)行封堵，包(bao)括視頻、論壇(tan)、游戲、金(jin)融、下載等2400多種(zhong)網(wǎng)絡(luò)(luo)應(yīng)用。

通過應(yīng)用(yong)識別技術(shù)(shu)，可以根(gen)據(jù)應(yīng)用類型(xing)或者(zhe)具體(ti)某一種應(yīng)(ying)用進(jìn)行封堵，比(bi)如上(shang)班時(shi)間不允許(xu)炒股，不允(yun)許P2P下載，不(bu)允許外發(fā)敏感(gan)文件等(deng)； 支持主流移(yi)動平臺，可(ke)識別IM、社(she)交、Mail、新聞、炒股等(deng)應(yīng)用。

無線控(kong)制器內(nèi)置千(qian)萬級別的URL分類(lei)庫，能夠?qū)?dui)URL進(jìn)行(xing)識別，包含新聞(wen)、購物(wu)、金融、教育(yu)等18個種(zhong)類的URL地址(zhi)； 準(zhǔn)確識別目(mu)前主(zhu)流網(wǎng)站(zhan)，識別率高達(dá)99.9%，有(you)效實(shi)現(xiàn)網(wǎng)頁過濾(lv)。例如禁(jin)止登陸(lu)非法網(wǎng)站(zhan)

通過基于時間(jian)段的訪問控(kong)制策略(lve)，實現(xiàn)不(bu)同的時間段不(bu)同的(de)訪問權(quán)限(xian)，比如上(shang)班時(shi)間，禁(jin)止訪問網(wǎng)上(shang)銀行、游(you)戲、論(lun)壇貼吧等與(yu)工作無關(guān)的(de)應(yīng)用(yong)，下班(ban)時間(jian)則不受限制(zhi)。

辦公區(qū)域內(nèi)，不(bu)同辦公部門總(zong)會有各(ge)自專屬的無線(xian)網(wǎng)絡(luò)，并(bing)且不希(xi)望部門之外(wai)的成員使(shi)用這個網(wǎng)(wang)絡(luò)。無線網(wǎng)絡(luò)(luo)控制器可以(yi)根據(jù)用戶的屬(shu)性，限制禁止非(fei)本部門(men)的用戶接入(ru)。

典型無(wu)線網(wǎng)絡(luò)攻擊(ji)防護(hù)：

對典型的(de)危險攻擊行為(wei)進(jìn)行檢測，當(dāng)(dang)超過設(shè)定的閾(yu)值后(hou)自動將攻(gong)擊者(zhe)加入到黑名單(dan)中，并凍結(jié)一(yi)定時間，即時(shi)發(fā)現(xiàn)網(wǎng)絡(luò)攻(gong)擊并進(jìn)行防御(yu)。

檢測的攻擊(ji)包括：DDOS防御、ARP掃(sao)描、IP掃描、端(duan)口掃描防御，禁(jin)止客戶端私(si)設(shè)IP以及ARP、網(wǎng)關(guān)(guan)欺騙防御(yu)、DHCP請求泛洪防御(yu)。

無線(xian)射頻定時關(guān)閉(bi)開啟：

通過(guo)射頻關(guān)閉(bi)控制策略，可以(yi)指定某SSID網(wǎng)(wang)絡(luò)，定(ding)時自(zi)動關(guān)閉和開啟(qi)無線網(wǎng)絡(luò)的(de)射頻(pin)信號，晚上(shang)下班后自(zi)動關(guān)(guan)閉無線射頻信(xin)號。

一方(fang)面可以節(jié)能減(jian)排、節(jié)(jie)省電費(fèi)支出；另(ling)一方面又(you)能防止(zhi)非法用(yong)戶利用深(shen)夜時間入侵無(wu)線網(wǎng)絡(luò)(luo)，做一些非(fei)法的操(cao)作。

有線(xian)無線一體(ti)化管理(li)：

NAC的有線無(wu)線一體(ti)化，支持對有線(xian)用戶的接入認(rèn)(ren)證、訪問控制(zhi)、流量(liang)管理、上網(wǎng)行為(wei)審計等，

并提供統(tǒng)一(yi)中文Web管(guan)理界面(mian)，一站式服(fu)務(wù)，極大的降(jiang)低網(wǎng)絡(luò)建設(shè)成(cheng)本。

網(wǎng)絡(luò)分權(quán)分級(ji)管理：

分配不同(tong)的管理(li)員分(fen)別管理各自(zi)權(quán)限區(qū)(qu)域的無(wu)線AP，可以精細(xì)到(dao)對某AP分(fen)組有管理(li)權(quán)限，該管(guan)理員可(ke)以在該AP分(fen)組上(shang)建立無線(xian)網(wǎng)絡(luò)，能夠激活(huo)、刪除(chu)接入點，能(neng)夠?qū)?dui)AP的配置(zhi)進(jìn)行編輯(ji)修改。

可指定管理員(yuan)針對(dui)每個頁面(mian)的編(bian)輯或可查(cha)看權(quán)限，控(kong)制粒(li)度到控制器(qi)上的各個頁面(mian)，對某個頁面沒(mei)有讀權(quán)限則(ze)登錄時(shi)不顯示。

移動APP隨時(shi)隨地運(yùn)維(wei)管理(li)：

支持(chi)跨互聯(lián)網(wǎng)運(yùn)(yun)維管理(li)

登陸APP進(jìn)行(xing)維護(hù)管理：不同(tong)管理員(yuan)，不同權(quán)限

查看(kan)網(wǎng)絡(luò)運(yùn)行情況(kuang)：在線(xian)用戶、在線AP數(shù)(shu)量、實時流量

無線網(wǎng)絡(luò)管(guan)理維護(hù)：開啟(qi)關(guān)閉SSID、終端(duan)綁定審批、二(er)維碼上網(wǎng)(wang)審核

故障、審(shen)批實時通知：AP離(li)線警告、服務(wù)(wu)器離線警告(gao)、網(wǎng)絡(luò)攻擊告(gao)警

方案優(yōu)勢(shi)：

1、最豐富(fu)的無線安全機(jī)(ji)制，提供從安全(quan)接入到安全(quan)上網(wǎng)等端到端(duan)的安全策略

2、合理管控工(gong)作人員上(shang)網(wǎng)行為，提升(sheng)工作效率、防(fang)止帶寬(kuan)浪費(fèi)，有線無(wu)線雙(shuang)重管控

3、為會議(yi)室，報告(gao)廳等人員(yuan)密集區(qū)(qu)域接入(ru)網(wǎng)絡(luò)提(ti)高保證，解決有(you)線網(wǎng)口(kou)不足的問題(ti)；

4、為企業(yè)(ye)員工的移動辦(ban)公提供(gong)支撐，內(nèi)(nei)部員工可(ke)通過無線網(wǎng)絡(luò)(luo)隨時安(an)全接(jie)入內(nèi)(nei)部網(wǎng)絡(luò)(luo)，實現(xiàn)辦公；

5、內(nèi)部員工賬(zhang)號及個人(ren)信息綁(bang)定，便(bian)于安全(quan)管理；

6、內(nèi)部員工可通(tong)過自(zi)己的辦公設(shè)備(bei)在企業(yè)(ye)大樓內(nèi)快速(su)移動辦(ban)公，網(wǎng)絡(luò)(luo)接入更快(kuai)速，上(shang)網(wǎng)行為管(guan)理系統(tǒng)對員工(gong)上網(wǎng)(wang)行為進(jìn)(jin)行審(shen)計與管控(kong)

7、來訪客(ke)戶接入(ru)企業(yè)網(wǎng)絡(luò)，可根(gen)據(jù)不(bu)同需求(qiu)，分配(pei)不同的上網(wǎng)(wang)權(quán)限，保證了(le)接入的(de)安全性同(tong)時提升群眾上(shang)網(wǎng)的(de)體驗(yan)

8、豐富的認(rèn)證機(jī)(ji)制，滿足組織對(dui)無線(xian)網(wǎng)絡(luò)安全、快速(su)接入

9、投資(zi)成本低，通過部(bu)署無線控制器(qi)替換原(yuan)有網(wǎng)絡(luò)的(de)出口路(lu)由、行為管理(li)以及無線控(kong)制器