大型企業(yè)(ye)在無(wu)線網(wǎng)(wang)絡(luò)建設(shè)(she)期間要充分(fen)考慮訪客（領(lǐng)(ling)導(dǎo)、客戶、合(he)作伙伴）接入(ru)網(wǎng)絡(luò)的(de)需求。首(shou)先從(cong)安全性(xing)考慮，訪客(ke)網(wǎng)絡(luò)必(bi)須要和(he)辦公網(wǎng)絡(luò)(luo)分開，訪客(ke)網(wǎng)絡(luò)單(dan)獨提供給訪(fang)客使用。從用(yong)戶體(ti)驗角度考(kao)慮，訪客(ke)接入網(wǎng)(wang)絡(luò)的驗證方(fang)式一(yi)定要做(zuo)到簡單易行，繁(fan)瑣的驗證方(fang)式會降低(di)訪客對企(qi)業(yè)的整體(ti)印象。同時(shi)對于訪客網(wǎng)(wang)絡(luò)，企業(yè)還需要(yao)建立完(wan)善的網(wǎng)絡(luò)(luo)安全管理機制(zhi)，避免由于訪客(ke)的網(wǎng)絡(luò)(luo)不良訪問(wen)給企(qi)業(yè)帶來的法律(lv)風(fēng)險。對于企(qi)業(yè)員工(gong)移動辦公(gong)上網(wǎng)，更需要做(zuo)到可管(guan)控，上網(wǎng)行(xing)為做到可追溯(su)，企業(yè)有效的(de)帶寬(kuan)資源得到合(he)理的分(fen)配和(he)保證，才能(neng)使企業(yè)的(de)業(yè)務(wù)系統(tǒng)正(zheng)常且穩(wěn)定高(gao)效地(di)運行，同(tong)時保證(zheng)企業(yè)信息安(an)全，避(bi)免機密信(xin)息泄露(lu)。

存在(zai)的問題(ti)（用戶需求）

1、接入不安全：缺(que)乏安(an)全可靠的認(ren)證機制，企業(yè)無(wu)線網(wǎng)(wang)絡(luò)接入不(bu)安全

2、上網(wǎng)權(quán)限混亂(luan)：缺乏有效的控(kong)制策(ce)略，員工上網(wǎng)(wang)權(quán)限不分(fen)明

3、數(shù)據(jù)信(xin)息安全：缺(que)乏有(you)效的(de)數(shù)據(jù)加密機制(zhi)，企業(yè)(ye)數(shù)據(jù)被黑客(ke)竊取(qu)篡改

4、無線信號(hao)差：AP性(xing)能不佳，上網(wǎng)總(zong)掉線(xian)，點位規(guī)劃不合(he)理，信號盲(mang)區(qū)多

5、漫游效果(guo)差：不(bu)能實現(xiàn)二(er)三層漫(man)游，移動辦公時(shi)，業(yè)務(wù)中斷(duan)

解決方案(an)：

結(jié)合用戶(hu)無線(xian)網(wǎng)絡(luò)需求情(qing)況，結(jié)(jie)合產(chǎn)品自(zi)身技(ji)術(shù)特(te)點，為(wei)了滿足用戶(hu)構(gòu)建一個高(gao)速、穩(wěn)定(ding)、安全、可靠(kao)、易于管理(li)的無線接入(ru)網(wǎng)絡(luò)的需求(qiu)，本設(shè)計方(fang)案按照AP+AC的結(jié)構(gòu)(gou)化無線網(wǎng)絡(luò)解(jie)決方(fang)案進行(xing)設(shè)計。具(ju)體設(shè)(she)計為在總部(bu)設(shè)置總部(bu)AC,在大型分支(zhi)機構(gòu)設(shè)置分(fen)支AC與分支(zhi)AP，中型分(fen)支機構(gòu)設(shè)計(ji)二級，三級交(jiao)換機，分支(zhi)AP。小微型(xing)分支(zhi)機構(gòu)直接設(shè)置(zhi)分支AP?？偛緼C可以(yi)對大型(xing)分支機構(gòu)的(de)AC進行管理，當(dāng)網(wǎng)(wang)點控(kong)制器(qi)采用(yong)集中管(guan)理的(de)模式進入到(dao)中心端控(kong)制器時，會自動(dong)下載(zai)中心端(duan)的公共配(pei)置，比如IP組(zu)、MAC地址庫(ku)、時間計劃、角色(se)授權(quán)、認(ren)證頁面(mian)等 。總部AC也可(ke)以直接管理中(zhong)小型(xing)分支機構(gòu)的分(fen)支AP，實現(xiàn)統(tǒng)一管(guan)理。

方案設(shè)計：

安全無線(xian)整體解決(jue)方案：

接入(ru)前&接入(ru)時進行身份認(ren)證、安全無線網(wǎng)(wang)卡、賬(zhang)號綁定（硬件碼(ma)+手機號），非法(fa)熱點(dian)檢測及防御(yu)、網(wǎng)絡(luò)攻擊防(fang)護、射頻定時關(guān)(guan)閉及安全加(jia)固。

接入后&上網(wǎng)(wang)時進(jin)行訪問權(quán)限(xian)控制。

上網(wǎng)后進行(xing)上網(wǎng)行為(wei)記錄。

上網(wǎng)用(yong)戶身份實名認(ren)證：

無線辦公網(wǎng)(wang)采用(yong)802.1X/Portal/WAPI認證，外(wai)置AAA和(he)RADIUS+AD用于存(cun)儲用戶賬號(hao)密碼。

每個賬號(hao)對應(yīng)一個(ge)員工，包括姓(xing)名、部(bu)門、性(xing)別以及身(shen)份證、手機號(hao)等個人信息(xi)，保證(zheng)每個上(shang)網(wǎng)的賬(zhang)號都是可尋(xun)的，便于安(an)全管理(li)。

用戶輸入賬(zhang)號密碼上(shang)網(wǎng)驗證時均采(cai)用加密傳(chuan)輸，防止(zhi)黑客(ke)空中攔截(jie)，竊取賬號(hao)密碼等數(shù)(shu)據(jù)。

上網(wǎng)賬號自動(dong)綁定終端：

自動將賬號與(yu)終端的硬(ying)件特征碼進行(xing)綁定，防止賬號(hao)被他(ta)人使用或者(zhe)被盜用。

每臺設(shè)備的硬(ying)件特征碼(ma)是唯一的，無(wu)法通過(guo)軟件修改。即使(shi)通過軟件修(xiu)改了仍然可以(yi)識別原始(shi)的。

每個(ge)賬號最多可(ke)以綁(bang)定5臺(tai)終端，超過1臺時(shi)需要管理(li)員審核。

上網(wǎng)(wang)賬號二(er)次綁(bang)定手機(ji)號碼(ma)：

賬號首(shou)次登陸時(shi)需要綁定手(shou)機號(hao)并輸入短(duan)信驗證碼，當(dāng)(dang)用戶(hu)賬號在新終(zhong)端登陸時（換終(zhong)端/被他用/被(bei)盜），不僅需(xu)要輸入(ru)密碼，還需要(yao)輸入短信驗證(zheng)碼，解決員工(gong)賬號認證(zheng)的安全問(wen)題

綁定(ding)手機(ji)號碼的用(yong)戶，可以自(zi)助重置密碼和(he)修改密碼，無(wu)需通過IT管(guan)理員(yuan)。

用戶(hu)密碼管理(li)及自助(zhu)修改：

無需通(tong)過管理員即可(ke)修改密碼(ma)，提高效率及減(jian)輕管(guan)理員工作壓(ya)力。

通過口袋助(zhu)理、釘釘、企(qi)業(yè)號等手機MOA類(lei)APP軟件進(jin)行無線(xian)密碼(ma)修改。

若賬號綁(bang)定了手機號碼(ma)，可通過手機(ji)驗證碼(ma)自助修(xiu)改。

上網(wǎng)終端合(he)法效驗(yan)：

采用安全無線(xian)網(wǎng)卡接入無線(xian)網(wǎng)絡(luò)，終(zhong)端與AP熱(re)點的雙向驗證(zheng)，提高安全(quan)性。

可以將(jiang)無線網(wǎng)絡(luò)(luo)設(shè)置為只有(you)安裝了安(an)全無線網(wǎng)卡的(de)終端才能接入(ru)無線網(wǎng)絡(luò)(luo)。

支持設(shè)(she)置安全無線網(wǎng)(wang)卡只能連指(zhi)定SSID無線(xian)網(wǎng)絡(luò)，無法(fa)連接非(fei)授權(quán)(quan)SSID。

網(wǎng)卡與AP數(shù)(shu)據(jù)傳輸(shu)時自動進(jin)行數(shù)據(jù)加密，保(bao)證無線的空(kong)口安(an)全。

無線熱點掃描(miao)及非法熱點抑(yi)制：

背景：黑客在(zai)附近(jin)搭建(jian)一個(ge)一模一樣或(huo)者類(lei)似的WIFI名稱，誘(you)使用戶(hu)連到虛假釣魚(yu)WIFI上，黑客(ke)利用分析軟件(jian)從用戶上網(wǎng)產(chǎn)(chan)生的(de)數(shù)據(jù)包中(zhong)分析提(ti)取用(yong)戶隱私信息。

我們通過(guo)WIPS無線入(ru)侵防御系統(tǒng)(tong)實時檢測周(zhou)圍無(wu)線信(xin)號，當(dāng)檢測出來(lai)的信號BSSID、且AP源MAC地(di)址不在授權(quán)(quan)列表中時，我們(men)向?qū)?dui)應(yīng)的(de)AP和終端發(fā)送解(jie)除關(guān)聯(lián)幀，讓(rang)終端無法連上(shang)釣魚WIFI。7×24小時不(bu)間斷監(jiān)測(ce)網(wǎng)絡(luò)。

上網(wǎng)行為嚴(yan)格控(kong)制：

強大的管理(li)：通過應(yīng)用識別(bie)技術(shù)(shu)，可以根據(jù)(ju)應(yīng)用類型或(huo)者具(ju)體某(mou)一種應(yīng)(ying)用進行(xing)封堵，包括視頻(pin)、論壇、游戲、金(jin)融、下載等2400多(duo)種網(wǎng)絡(luò)(luo)應(yīng)用(yong)。

通過應(yīng)用識別(bie)技術(shù)，可(ke)以根據(jù)應(yīng)用(yong)類型或者具體(ti)某一種應(yīng)(ying)用進行(xing)封堵，比如(ru)上班(ban)時間不(bu)允許(xu)炒股，不允(yun)許P2P下載，不允(yun)許外發(fā)敏感文(wen)件等(deng)； 支持(chi)主流移動平臺(tai)，可識別IM、社(she)交、Mail、新(xin)聞、炒股等應(yīng)(ying)用。

無線控制器(qi)內(nèi)置千萬級別(bie)的URL分(fen)類庫，能夠?qū)RL進(jin)行識(shi)別，包(bao)含新聞、購(gou)物、金融、教育(yu)等18個種(zhong)類的(de)URL地址； 準(zhǔn)確(que)識別目前主(zhu)流網(wǎng)站，識(shi)別率高(gao)達99.9%，有效(xiao)實現(xiàn)(xian)網(wǎng)頁過(guo)濾。例如(ru)禁止登(deng)陸非法網(wǎng)(wang)站

通過基于時(shi)間段的訪問(wen)控制策略(lve)，實現(xiàn)(xian)不同的(de)時間段不同(tong)的訪問權(quán)(quan)限，比(bi)如上班時間，禁(jin)止訪問(wen)網(wǎng)上銀行、游(you)戲、論壇(tan)貼吧等與工作(zuo)無關(guān)的應(yīng)用(yong)，下班時間則不(bu)受限制。

辦公(gong)區(qū)域內(nèi)，不(bu)同辦公部門(men)總會有各(ge)自專(zhuan)屬的無線網(wǎng)(wang)絡(luò)，并且不希(xi)望部門(men)之外(wai)的成員(yuan)使用(yong)這個網(wǎng)絡(luò)。無線(xian)網(wǎng)絡(luò)(luo)控制器(qi)可以根據(jù)用(yong)戶的屬性(xing)，限制禁止非(fei)本部門的用戶(hu)接入。

典型無線(xian)網(wǎng)絡(luò)攻擊防護(hu)：

對典型的危(wei)險攻(gong)擊行為進行檢(jian)測，當(dāng)(dang)超過設(shè)定(ding)的閾值后(hou)自動將攻擊者(zhe)加入到黑名(ming)單中，并凍結(jié)一(yi)定時間(jian)，即時發(fā)現(xiàn)網(wǎng)絡(luò)(luo)攻擊(ji)并進(jin)行防御。

檢測(ce)的攻擊(ji)包括：DDOS防御(yu)、ARP掃描、IP掃描、端口(kou)掃描防(fang)御，禁止客戶(hu)端私(si)設(shè)IP以及ARP、網(wǎng)關(guān)欺(qi)騙防御、DHCP請求(qiu)泛洪(hong)防御。

無線射(she)頻定時關(guān)閉開(kai)啟：

通過射(she)頻關(guān)(guan)閉控制策(ce)略，可以指定某(mou)SSID網(wǎng)絡(luò)，定時自(zi)動關(guān)(guan)閉和開啟無線(xian)網(wǎng)絡(luò)的射(she)頻信號，晚上下(xia)班后自(zi)動關(guān)閉無線(xian)射頻信號(hao)。

一方面(mian)可以節(jié)能減排(pai)、節(jié)省電費(fei)支出；另一(yi)方面又能防止(zhi)非法(fa)用戶(hu)利用深(shen)夜時間入侵無(wu)線網(wǎng)絡(luò)(luo)，做一些(xie)非法的操作。

有線無(wu)線一體(ti)化管(guan)理：

NAC的有線無線一(yi)體化，支持對有(you)線用戶(hu)的接入認證、訪(fang)問控制、流量(liang)管理(li)、上網(wǎng)(wang)行為審計(ji)等，

并提供統(tǒng)一(yi)中文Web管理界(jie)面，一(yi)站式服(fu)務(wù)，極大的降低(di)網(wǎng)絡(luò)建設(shè)(she)成本。

網(wǎng)絡(luò)分權(quán)分(fen)級管理：

分配不(bu)同的(de)管理員分別(bie)管理各自權(quán)(quan)限區(qū)域的(de)無線AP，可以(yi)精細到對(dui)某AP分組有(you)管理(li)權(quán)限，該管理(li)員可以在(zai)該AP分組上(shang)建立(li)無線(xian)網(wǎng)絡(luò)，能夠(gou)激活、刪除接入(ru)點，能(neng)夠?qū)P的(de)配置進(jin)行編輯(ji)修改。

可指定管理員(yuan)針對(dui)每個頁面的(de)編輯或(huo)可查看權(quán)限，控(kong)制粒度(du)到控制(zhi)器上的各個(ge)頁面，對某個(ge)頁面沒有讀權(quán)(quan)限則登錄時(shi)不顯示(shi)。

移動APP隨(sui)時隨(sui)地運維(wei)管理：

支持跨(kua)互聯(lián)網(wǎng)(wang)運維(wei)管理

登陸APP進行維(wei)護管理(li)：不同(tong)管理員(yuan)，不同權(quán)限

查看網(wǎng)絡(luò)(luo)運行情況：在(zai)線用戶(hu)、在線AP數(shù)量、實時(shi)流量

無線網(wǎng)絡(luò)(luo)管理維護(hu)：開啟關(guān)(guan)閉SSID、終端綁定審(shen)批、二維碼(ma)上網(wǎng)審(shen)核

故障、審批實(shi)時通知：AP離(li)線警告、服務(wù)(wu)器離線(xian)警告、網(wǎng)絡(luò)攻擊(ji)告警

方案(an)優(yōu)勢：

1、最豐(feng)富的無線(xian)安全機制(zhi)，提供從安全接(jie)入到安全(quan)上網(wǎng)等(deng)端到端的(de)安全(quan)策略

2、合理(li)管控工作人(ren)員上(shang)網(wǎng)行為，提升(sheng)工作(zuo)效率、防止帶寬(kuan)浪費，有線(xian)無線(xian)雙重(zhong)管控

3、為會議室，報(bao)告廳等人員密(mi)集區(qū)域接入網(wǎng)(wang)絡(luò)提高保證(zheng)，解決有線(xian)網(wǎng)口(kou)不足(zu)的問(wen)題；

4、為企業(yè)(ye)員工的移動(dong)辦公提供支撐(cheng)，內(nèi)部員工可通(tong)過無線網(wǎng)絡(luò)隨(sui)時安全接入內(nèi)(nei)部網(wǎng)(wang)絡(luò)，實現(xiàn)辦(ban)公；

5、內(nèi)部(bu)員工賬號及(ji)個人(ren)信息綁定，便于(yu)安全管理；

6、內(nèi)部(bu)員工(gong)可通過自己(ji)的辦公設(shè)備在(zai)企業(yè)大樓(lou)內(nèi)快速移動辦(ban)公，網(wǎng)絡(luò)接入更(geng)快速(su)，上網(wǎng)(wang)行為管理(li)系統(tǒng)對員(yuan)工上網(wǎng)行(xing)為進(jin)行審計與管(guan)控

7、來訪客戶接(jie)入企業(yè)網(wǎng)絡(luò)，可(ke)根據(jù)不(bu)同需求，分配(pei)不同的上網(wǎng)(wang)權(quán)限，保證了接(jie)入的安(an)全性同時(shi)提升群眾上(shang)網(wǎng)的體驗

8、豐富的認(ren)證機(ji)制，滿足組(zu)織對無(wu)線網(wǎng)(wang)絡(luò)安全、快(kuai)速接入

9、投資成本(ben)低，通(tong)過部(bu)署無線控制(zhi)器替(ti)換原有網(wǎng)絡(luò)(luo)的出(chu)口路由、行(xing)為管理以(yi)及無線控制(zhi)器