?
大型(xing)企業(yè)在無(wu)線網(wǎng)絡(luò)建設(shè)(she)期間要充(chong)分考慮訪客(領(lǐng)(ling)導(dǎo)��、客戶、合作伙(huo)伴)接入(ru)網(wǎng)絡(luò)(luo)的需求��。首先(xian)從安全(quan)性考慮��,訪客網(wǎng)(wang)絡(luò)必須要和(he)辦公網(wǎng)絡(luò)分(fen)開��,訪客網(wǎng)絡(luò)(luo)單獨(du)提供給訪客使(shi)用��。從用戶(hu)體驗角度考慮(lv)��,訪客接入網(wǎng)(wang)絡(luò)的驗證方式(shi)一定要(yao)做到簡單易(yi)行��,繁瑣(suo)的驗證方(fang)式會降低訪(fang)客對企(qi)業(yè)的整體印象(xiang)��。同時對于(yu)訪客網(wǎng)絡(luò)(luo)��,企業(yè)(ye)還需(xu)要建立完善(shan)的網(wǎng)絡(luò)安全(quan)管理機制(zhi)��,避免由于訪(fang)客的網(wǎng)絡(luò)不良(liang)訪問(wen)給企(qi)業(yè)帶來的法(fa)律風(fēng)險��。對于企(qi)業(yè)員工移動辦(ban)公上網(wǎng)��,更(geng)需要做到可管(guan)控��,上網(wǎng)(wang)行為(wei)做到可(ke)追溯��,企業(yè)有效(xiao)的帶寬資源得(de)到合理的分(fen)配和(he)保證��,才能使企(qi)業(yè)的業(yè)務(wù)(wu)系統(tǒng)正(zheng)常且穩(wěn)定高(gao)效地運行��,同時(shi)保證企業(yè)信息(xi)安全��,避(bi)免機(ji)密信息(xi)泄露(lu)��。
存在的(de)問題(用戶需求(qiu))
1��、接入不(bu)安全:缺乏安(an)全可靠的(de)認證機(ji)制��,企業(yè)(ye)無線網(wǎng)絡(luò)(luo)接入不安全
2��、上網(wǎng)權(quán)限混(hun)亂:缺乏有(you)效的控制策略(lve)��,員工(gong)上網(wǎng)權(quán)限不(bu)分明
3��、數(shù)據(jù)信息(xi)安全(quan):缺乏有效的(de)數(shù)據(jù)加密機制(zhi)��,企業(yè)數(shù)據(jù)(ju)被黑客(ke)竊取篡改
4��、無線信號差(cha):AP性能不(bu)佳��,上網(wǎng)總(zong)掉線��,點位規(guī)(gui)劃不合理,信(xin)號盲(mang)區(qū)多
5��、漫游(you)效果(guo)差:不能實現(xiàn)二(er)三層漫游(you)��,移動辦(ban)公時(shi)��,業(yè)務(wù)中斷
解決(jue)方案(an):
結(jié)合用戶(hu)無線網(wǎng)絡(luò)需求(qiu)情況(kuang)��,結(jié)合(he)產(chǎn)品(pin)自身技術(shù)特(te)點��,為了滿足用(yong)戶構(gòu)建(jian)一個高速��、穩(wěn)(wen)定��、安全��、可(ke)靠��、易于(yu)管理的無線接(jie)入網(wǎng)(wang)絡(luò)的需求��,本(ben)設(shè)計方案(an)按照AP+AC的結(jié)構(gòu)化(hua)無線網(wǎng)絡(luò)(luo)解決方案進行(xing)設(shè)計��。具體設(shè)計(ji)為在總部(bu)設(shè)置(zhi)總部AC,在大型(xing)分支機構(gòu)設(shè)置(zhi)分支AC與分(fen)支AP��,中型(xing)分支機構(gòu)設(shè)(she)計二級��,三(san)級交換機��,分支(zhi)AP��。小微型(xing)分支機構(gòu)直(zhi)接設(shè)置分支AP��?�??zong)部AC可以對大型(xing)分支機構(gòu)的AC進(jin)行管理(li)��,當(dāng)網(wǎng)點(dian)控制(zhi)器采用(yong)集中管理的(de)模式進入(ru)到中心端控(kong)制器時��,會自動(dong)下載中(zhong)心端(duan)的公(gong)共配置��,比如(ru)IP組��、MAC地址庫��、時(shi)間計劃��、角(jiao)色授權(quán)��、認證頁(ye)面等 ��?�?偛緼C也可(ke)以直(zhi)接管理(li)中小型(xing)分支(zhi)機構(gòu)的分支(zhi)AP,實現(xiàn)統(tǒng)一管理(li)��。
方案設(shè)計:
安全無線整體(ti)解決方案(an):
接入前&接(jie)入時進行身(shen)份認證��、安全(quan)無線網(wǎng)卡(ka)��、賬號綁定(ding)(硬件碼+手機(ji)號)��,非法熱點(dian)檢測及防御(yu)��、網(wǎng)絡(luò)(luo)攻擊(ji)防護(hu)��、射頻定時關(guān)閉(bi)及安全加(jia)固��。
接入后&上(shang)網(wǎng)時進行訪問(wen)權(quán)限控制(zhi)��。
上網(wǎng)后進行上(shang)網(wǎng)行(xing)為記錄��。
上網(wǎng)用戶身(shen)份實名(ming)認證:
無線辦公網(wǎng)(wang)采用802.1X/Portal/WAPI認證��,外(wai)置AAA和RADIUS+AD用于(yu)存儲(chu)用戶賬號(hao)密碼��。
每個(ge)賬號對應(yīng)(ying)一個員工(gong)��,包括姓名��、部門(men)��、性別以(yi)及身份證��、手機(ji)號等個人(ren)信息��,保證每個(ge)上網(wǎng)的賬(zhang)號都是(shi)可尋(xun)的��,便(bian)于安全(quan)管理��。
用戶(hu)輸入賬號密(mi)碼上網(wǎng)驗證(zheng)時均(jun)采用加密(mi)傳輸��,防止黑(hei)客空(kong)中攔(lan)截��,竊(qie)取賬號密碼(ma)等數(shù)據(jù)��。
上網(wǎng)賬號(hao)自動綁(bang)定終(zhong)端:
自動將(jiang)賬號與終端(duan)的硬件特(te)征碼進(jin)行綁定��,防止賬(zhang)號被(bei)他人使用(yong)或者被盜用��。
每臺設(shè)備的(de)硬件特征碼是(shi)唯一(yi)的��,無法通過(guo)軟件修改��。即(ji)使通過軟件修(xiu)改了仍(reng)然可以識(shi)別原始的��。
每個賬號最多(duo)可以綁定5臺終(zhong)端,超過(guo)1臺時需要(yao)管理員審(shen)核��。
上網(wǎng)賬號(hao)二次綁定手(shou)機號碼:
賬號首次(ci)登陸(lu)時需(xu)要綁定手(shou)機號(hao)并輸入短信(xin)驗證(zheng)碼��,當(dāng)用戶賬(zhang)號在新終端登(deng)陸時(換終端/被(bei)他用(yong)/被盜)��,不僅(jin)需要輸入(ru)密碼��,還需(xu)要輸入短信(xin)驗證(zheng)碼��,解決(jue)員工賬號認證(zheng)的安全問題(ti)
綁定手(shou)機號碼的用(yong)戶��,可(ke)以自助重置(zhi)密碼(ma)和修改(gai)密碼��,無需通(tong)過IT管理員(yuan)��。
用戶密碼管(guan)理及(ji)自助修改:
無需通過管理(li)員即可(ke)修改密(mi)碼��,提高效率(lv)及減(jian)輕管理員工(gong)作壓力(li)��。
通過口袋助理(li)��、釘釘(ding)��、企業(yè)號(hao)等手機MOA類APP軟(ruan)件進行無線(xian)密碼(ma)修改��。
若賬(zhang)號綁定(ding)了手機(ji)號碼��,可通(tong)過手機驗(yan)證碼自(zi)助修(xiu)改��。
上網(wǎng)終端合(he)法效驗(yan):
采用安全(quan)無線網(wǎng)卡接(jie)入無線網(wǎng)絡(luò)��,終(zhong)端與AP熱點(dian)的雙向(xiang)驗證��,提(ti)高安全性��。
可以將無線網(wǎng)(wang)絡(luò)設(shè)置為只有(you)安裝了安全(quan)無線網(wǎng)卡的終(zhong)端才能接入無(wu)線網(wǎng)絡(luò)��。
支持設(shè)置安全(quan)無線(xian)網(wǎng)卡只能連(lian)指定SSID無(wu)線網(wǎng)絡(luò)(luo)��,無法連接非授(shou)權(quán)SSID��。
網(wǎng)卡與AP數(shù)據(jù)(ju)傳輸(shu)時自動進(jin)行數(shù)據(jù)加密��,保(bao)證無線(xian)的空口安全��。
無線熱點(dian)掃描及非法(fa)熱點抑制:
背景(jing):黑客(ke)在附近(jin)搭建一(yi)個一模一樣(yang)或者(zhe)類似的(de)WIFI名稱��,誘使用(yong)戶連到(dao)虛假釣魚WIFI上(shang)��,黑客利用分(fen)析軟件從用戶(hu)上網(wǎng)產(chǎn)(chan)生的數(shù)(shu)據(jù)包中分(fen)析提取(qu)用戶隱私信(xin)息。
我們通過(guo)WIPS無線入(ru)侵防(fang)御系(xi)統(tǒng)實時檢測周(zhou)圍無線信號(hao)��,當(dāng)檢測(ce)出來的信號(hao)BSSID��、且AP源MAC地(di)址不在授權(quán)列(lie)表中時(shi)��,我們(men)向?qū)?yīng)的(de)AP和終端發(fā)送(song)解除(chu)關(guān)聯(lián)(lian)幀��,讓終(zhong)端無(wu)法連上釣魚(yu)WIFI��。7×24小時(shi)不間斷監(jiān)測(ce)網(wǎng)絡(luò)��。
上網(wǎng)行為嚴(yan)格控制:
強大(da)的管理(li):通過應(yīng)用(yong)識別技術(shù)(shu)��,可以根據(jù)應(yīng)(ying)用類(lei)型或者具體(ti)某一種應(yīng)用進(jin)行封堵��,包括(kuo)視頻��、論壇��、游戲(xi)��、金融��、下載等2400多(duo)種網(wǎng)絡(luò)應(yīng)(ying)用。
通過(guo)應(yīng)用(yong)識別技(ji)術(shù),可以(yi)根據(jù)應(yīng)用類型(xing)或者具(ju)體某一(yi)種應(yīng)用(yong)進行封堵��,比如(ru)上班時間不允(yun)許炒股,不允許(xu)P2P下載��,不允(yun)許外發(fā)敏(min)感文件等��; 支(zhi)持主流移(yi)動平臺��,可識(shi)別IM��、社(she)交、Mail��、新聞、炒(chao)股等應(yīng)(ying)用��。
無線(xian)控制器內(nèi)置千(qian)萬級別的URL分類(lei)庫��,能夠(gou)對URL進行識別��,包(bao)含新(xin)聞��、購物��、金融(rong)、教育等18個(ge)種類的URL地址��; 準(zhun)確識別目前(qian)主流網(wǎng)站(zhan),識別率高(gao)達99.9%,有效實現(xiàn)網(wǎng)(wang)頁過濾��。例如禁(jin)止登陸非法網(wǎng)(wang)站
通過基于時間(jian)段的訪問控制(zhi)策略��,實現(xiàn)不(bu)同的時間段不(bu)同的訪問權(quán)(quan)限��,比如上(shang)班時間��,禁止訪(fang)問網(wǎng)(wang)上銀行��、游戲(xi)��、論壇貼吧等(deng)與工(gong)作無(wu)關(guān)的應(yīng)(ying)用,下班時(shi)間則不(bu)受限制��。
辦公區(qū)域內(nèi),不(bu)同辦公(gong)部門總會有各(ge)自專屬的無線(xian)網(wǎng)絡(luò)��,并(bing)且不希望(wang)部門(men)之外的(de)成員使用這(zhe)個網(wǎng)絡(luò)��。無線網(wǎng)(wang)絡(luò)控制(zhi)器可以根(gen)據(jù)用戶的(de)屬性,限制禁止(zhi)非本部門的(de)用戶接入(ru)��。
典型無線網(wǎng)(wang)絡(luò)攻擊防護(hu):
對典型的危險(xian)攻擊(ji)行為(wei)進行檢測��,當(dāng)超(chao)過設(shè)定的閾值(zhi)后自動將攻(gong)擊者加入到(dao)黑名單(dan)中��,并凍結(jié)(jie)一定時間��,即時(shi)發(fā)現(xiàn)網(wǎng)(wang)絡(luò)攻擊并進行(xing)防御��。
檢測(ce)的攻擊包(bao)括:DDOS防(fang)御��、ARP掃描(miao)��、IP掃描、端口掃(sao)描防御��,禁止(zhi)客戶(hu)端私設(shè)IP以及ARP��、網(wǎng)(wang)關(guān)欺騙防御(yu)��、DHCP請求(qiu)泛洪(hong)防御��。
無線射(she)頻定時關(guān)閉開(kai)啟:
通過(guo)射頻關(guān)閉控制(zhi)策略��,可以指(zhi)定某SSID網(wǎng)(wang)絡(luò)��,定時(shi)自動(dong)關(guān)閉和開(kai)啟無線網(wǎng)絡(luò)(luo)的射頻信號(hao)��,晚上下班(ban)后自動關(guān)閉無(wu)線射頻信(xin)號��。
一方(fang)面可以(yi)節(jié)能減排��、節(jié)省(sheng)電費支出��;另(ling)一方面又能防(fang)止非法用戶(hu)利用深(shen)夜時(shi)間入侵無線網(wǎng)(wang)絡(luò)��,做一(yi)些非(fei)法的操(cao)作��。
有線(xian)無線一體化管(guan)理:
NAC的有(you)線無線一體化(hua)��,支持對有線用(yong)戶的接入(ru)認證��、訪問控(kong)制��、流量(liang)管理��、上網(wǎng)(wang)行為審計(ji)等,
并提供統(tǒng)(tong)一中文(wen)Web管理(li)界面��,一站(zhan)式服(fu)務(wù)��,極大的降低(di)網(wǎng)絡(luò)建設(shè)成(cheng)本��。
網(wǎng)絡(luò)分權(quán)分(fen)級管理(li):
分配不同的(de)管理員分別管(guan)理各自權(quán)限區(qū)(qu)域的無(wu)線AP��,可以(yi)精細到對某AP分(fen)組有管理(li)權(quán)限(xian)��,該管理(li)員可以在該AP分(fen)組上建立無(wu)線網(wǎng)(wang)絡(luò)��,能(neng)夠激(ji)活��、刪除接入點(dian)��,能夠?qū)P的配(pei)置進行編輯(ji)修改��。
可指定管理(li)員針(zhen)對每個頁面的(de)編輯或可查看(kan)權(quán)限��,控制粒(li)度到控(kong)制器上的(de)各個頁面��,對某(mou)個頁面(mian)沒有讀權(quán)(quan)限則登錄時不(bu)顯示(shi)��。
移動APP隨(sui)時隨地運維(wei)管理:
支持跨(kua)互聯(lián)網(wǎng)運(yun)維管理
登陸APP進行(xing)維護管理:不(bu)同管理員��,不(bu)同權(quán)限
查看網(wǎng)絡(luò)(luo)運行情況:在線(xian)用戶��、在(zai)線AP數(shù)量��、實時(shi)流量(liang)
無線(xian)網(wǎng)絡(luò)管理維護(hu):開啟關(guān)(guan)閉SSID��、終端綁(bang)定審批��、二維(wei)碼上網(wǎng)審(shen)核
故障��、審批實時(shi)通知:AP離線(xian)警告��、服(fu)務(wù)器離(li)線警(jing)告��、網(wǎng)絡(luò)(luo)攻擊告警
方案優(yōu)勢:
1��、最豐(feng)富的無線安(an)全機制��,提供(gong)從安全(quan)接入到安全(quan)上網(wǎng)等端到(dao)端的安全策略(lve)
2��、合理管控(kong)工作(zuo)人員上網(wǎng)(wang)行為(wei)��,提升工作(zuo)效率��、防止帶寬(kuan)浪費��,有線(xian)無線(xian)雙重管(guan)控
3��、為會議室��,報(bao)告廳等人員(yuan)密集區(qū)域接(jie)入網(wǎng)(wang)絡(luò)提高保證��,解(jie)決有(you)線網(wǎng)口不足(zu)的問題��;
4��、為企業(yè)員工(gong)的移動辦公提(ti)供支(zhi)撐��,內(nèi)部(bu)員工(gong)可通過(guo)無線網(wǎng)絡(luò)隨(sui)時安全接入內(nèi)(nei)部網(wǎng)(wang)絡(luò)��,實現(xiàn)(xian)辦公��;
5��、內(nèi)部員工賬號(hao)及個人信(xin)息綁定��,便(bian)于安全管理(li);
6��、內(nèi)部員工可(ke)通過自(zi)己的辦公(gong)設(shè)備在企業(yè)大(da)樓內(nèi)快速(su)移動辦公��,網(wǎng)絡(luò)(luo)接入(ru)更快速��,上網(wǎng)行(xing)為管理系(xi)統(tǒng)對(dui)員工(gong)上網(wǎng)行為進(jin)行審計(ji)與管控
7��、來訪(fang)客戶(hu)接入企業(yè)(ye)網(wǎng)絡(luò)(luo)��,可根據(jù)不同(tong)需求(qiu)��,分配不同(tong)的上網(wǎng)權(quán)限(xian)��,保證了(le)接入的安全(quan)性同時提(ti)升群眾上(shang)網(wǎng)的體(ti)驗
8��、豐富的(de)認證機制��,滿足(zu)組織對無(wu)線網(wǎng)絡(luò)(luo)安全��、快速(su)接入
9��、投資成本低��,通(tong)過部署無(wu)線控制器替換(huan)原有網(wǎng)絡(luò)的出(chu)口路由(you)、行為管(guan)理以及無線控(kong)制器(qi)
