大型(xing)企業(yè)在無(wu)線網(wǎng)絡(luò)建(jian)設(shè)期間(jian)要充分(fen)考慮訪(fang)客（領(lǐng)導(dǎo)(dao)、客戶、合作伙(huo)伴）接入網(wǎng)絡(luò)的(de)需求(qiu)。首先(xian)從安全(quan)性考慮，訪客(ke)網(wǎng)絡(luò)必須(xu)要和辦(ban)公網(wǎng)絡(luò)分(fen)開，訪客(ke)網(wǎng)絡(luò)(luo)單獨(du)提供(gong)給訪客(ke)使用。從(cong)用戶(hu)體驗角度(du)考慮，訪客接入(ru)網(wǎng)絡(luò)的驗證(zheng)方式一定(ding)要做到(dao)簡單(dan)易行，繁瑣(suo)的驗證方式(shi)會降低(di)訪客對企業(yè)的(de)整體印象(xiang)。同時(shi)對于訪客網(wǎng)絡(luò)(luo)，企業(yè)還需要建(jian)立完(wan)善的(de)網(wǎng)絡(luò)安全(quan)管理機制，避(bi)免由于訪客(ke)的網(wǎng)絡(luò)不良(liang)訪問給企業(yè)帶(dai)來的法律風(fēng)險(xian)。對于(yu)企業(yè)員(yuan)工移動辦公(gong)上網(wǎng)，更需(xu)要做到可管控(kong)，上網(wǎng)行(xing)為做到可追溯(su)，企業(yè)有(you)效的帶寬資(zi)源得到合理(li)的分配和(he)保證，才能使(shi)企業(yè)的(de)業(yè)務(wù)系統(tǒng)(tong)正常(chang)且穩(wěn)定高效地(di)運行，同時(shi)保證企(qi)業(yè)信息安全(quan)，避免機(ji)密信(xin)息泄露。

存在的(de)問題（用戶需求(qiu)）

1、接入不安全(quan)：缺乏安(an)全可靠的認(ren)證機制，企業(yè)無(wu)線網(wǎng)絡(luò)接入(ru)不安(an)全

2、上網(wǎng)權(quán)(quan)限混(hun)亂：缺(que)乏有效的(de)控制策略，員工(gong)上網(wǎng)(wang)權(quán)限不分明

3、數(shù)據(jù)(ju)信息安全：缺(que)乏有效(xiao)的數(shù)據(jù)(ju)加密(mi)機制，企業(yè)數(shù)據(jù)(ju)被黑(hei)客竊取篡(cuan)改

4、無線(xian)信號差：AP性能(neng)不佳，上網(wǎng)總(zong)掉線，點位(wei)規(guī)劃(hua)不合理，信號盲(mang)區(qū)多(duo)

5、漫游效(xiao)果差：不能實(shi)現(xiàn)二三(san)層漫(man)游，移動(dong)辦公時，業(yè)務(wù)(wu)中斷(duan)

解決(jue)方案(an)：

結(jié)合用戶(hu)無線網(wǎng)絡(luò)(luo)需求(qiu)情況，結(jié)合(he)產(chǎn)品自身技(ji)術(shù)特點(dian)，為了滿足(zu)用戶構(gòu)建一(yi)個高(gao)速、穩(wěn)定、安(an)全、可靠(kao)、易于管(guan)理的無(wu)線接入網(wǎng)(wang)絡(luò)的需求(qiu)，本設(shè)計方(fang)案按照AP+AC的結(jié)(jie)構(gòu)化無(wu)線網(wǎng)絡(luò)解決(jue)方案進行(xing)設(shè)計。具體設(shè)(she)計為(wei)在總(zong)部設(shè)置(zhi)總部AC,在(zai)大型(xing)分支機構(gòu)(gou)設(shè)置分支(zhi)AC與分(fen)支AP，中型分(fen)支機構(gòu)設(shè)計(ji)二級，三級交(jiao)換機，分(fen)支AP。小(xiao)微型(xing)分支(zhi)機構(gòu)(gou)直接設(shè)置(zhi)分支(zhi)AP?？偛緼C可(ke)以對大型分支(zhi)機構(gòu)(gou)的AC進行管(guan)理，當(dāng)網(wǎng)點控制(zhi)器采用集中(zhong)管理的(de)模式進(jin)入到中心端(duan)控制(zhi)器時，會自動(dong)下載中(zhong)心端的公共配(pei)置，比如(ru)IP組、MAC地址(zhi)庫、時間計劃(hua)、角色授(shou)權(quán)、認證頁面(mian)等 。總部AC也(ye)可以直接(jie)管理中小型(xing)分支機(ji)構(gòu)的分(fen)支AP，實現(xiàn)統(tǒng)一(yi)管理。

方案(an)設(shè)計：

安全(quan)無線整體(ti)解決方案：

接入前&接入(ru)時進(jin)行身份認證(zheng)、安全無線(xian)網(wǎng)卡、賬號綁(bang)定（硬(ying)件碼(ma)+手機號(hao)），非法(fa)熱點(dian)檢測及防御、網(wǎng)(wang)絡(luò)攻(gong)擊防護、射頻定(ding)時關(guān)閉(bi)及安全加固(gu)。

接入后&上(shang)網(wǎng)時進行訪(fang)問權(quán)限控制。

上網(wǎng)后進(jin)行上網(wǎng)行(xing)為記錄。

上網(wǎng)用(yong)戶身份實名(ming)認證：

無線辦公(gong)網(wǎng)采用802.1X/Portal/WAPI認證，外(wai)置AAA和RADIUS+AD用(yong)于存儲用(yong)戶賬號密碼(ma)。

每個賬號對(dui)應(yīng)一個員工，包(bao)括姓名(ming)、部門(men)、性別以及(ji)身份證、手機號(hao)等個人信息，保(bao)證每個上網(wǎng)(wang)的賬號都(dou)是可(ke)尋的，便(bian)于安全管理。

用戶輸(shu)入賬(zhang)號密碼上網(wǎng)驗(yan)證時均采用(yong)加密傳輸，防(fang)止黑客空中(zhong)攔截，竊取賬號(hao)密碼等數(shù)據(jù)(ju)。

上網(wǎng)賬(zhang)號自動綁(bang)定終(zhong)端：

自動將賬(zhang)號與(yu)終端的硬件特(te)征碼進行(xing)綁定(ding)，防止(zhi)賬號被他人使(shi)用或者被盜用(yong)。

每臺設(shè)備(bei)的硬件特征碼(ma)是唯一的，無(wu)法通過軟(ruan)件修改(gai)。即使通(tong)過軟件(jian)修改(gai)了仍然可以識(shi)別原始(shi)的。

每個賬號最多(duo)可以綁定5臺(tai)終端，超(chao)過1臺時(shi)需要管理(li)員審核。

上網(wǎng)賬號二(er)次綁定手機(ji)號碼：

賬號(hao)首次登陸時(shi)需要綁定手機(ji)號并輸入短信(xin)驗證(zheng)碼，當(dāng)用戶賬號(hao)在新終端(duan)登陸時(shi)（換終端/被他用(yong)/被盜(dao)），不僅需要(yao)輸入密碼(ma)，還需要輸入短(duan)信驗證(zheng)碼，解決員工(gong)賬號認(ren)證的安全問題(ti)

綁定手機號(hao)碼的用(yong)戶，可以(yi)自助重置密碼(ma)和修改(gai)密碼，無需(xu)通過IT管(guan)理員。

用戶密碼(ma)管理及自助修(xiu)改：

無需通過管理(li)員即可(ke)修改密碼(ma)，提高效率(lv)及減輕(qing)管理(li)員工(gong)作壓(ya)力。

通過口袋(dai)助理(li)、釘釘、企(qi)業(yè)號等手(shou)機MOA類APP軟件(jian)進行(xing)無線密碼修改(gai)。

若賬號綁(bang)定了(le)手機號碼，可通(tong)過手機驗(yan)證碼(ma)自助修改。

上網(wǎng)(wang)終端合(he)法效驗：

采用(yong)安全無(wu)線網(wǎng)卡(ka)接入無線網(wǎng)絡(luò)(luo)，終端與AP熱(re)點的雙(shuang)向驗證，提(ti)高安全性(xing)。

可以將無線(xian)網(wǎng)絡(luò)設(shè)(she)置為只有安(an)裝了(le)安全無(wu)線網(wǎng)(wang)卡的終端(duan)才能接入無(wu)線網(wǎng)(wang)絡(luò)。

支持設(shè)置安(an)全無線網(wǎng)(wang)卡只(zhi)能連指定(ding)SSID無線網(wǎng)(wang)絡(luò)，無法連接非(fei)授權(quán)(quan)SSID。

網(wǎng)卡與AP數(shù)據(jù)(ju)傳輸(shu)時自動(dong)進行數(shù)據(jù)加密(mi)，保證(zheng)無線的空(kong)口安全。

無線熱點掃描(miao)及非法(fa)熱點抑制(zhi)：

背景：黑(hei)客在(zai)附近(jin)搭建(jian)一個一模(mo)一樣或(huo)者類似的WIFI名稱(cheng)，誘使用戶連到(dao)虛假釣魚(yu)WIFI上，黑(hei)客利用分析(xi)軟件從用(yong)戶上(shang)網(wǎng)產(chǎn)生的(de)數(shù)據(jù)包中分析(xi)提取用戶(hu)隱私信(xin)息。

我們通過(guo)WIPS無線入侵防(fang)御系統(tǒng)實(shi)時檢測周圍(wei)無線信號(hao)，當(dāng)檢測出(chu)來的信號(hao)BSSID、且AP源MAC地址不(bu)在授權(quán)列表(biao)中時(shi)，我們向(xiang)對應(yīng)的AP和(he)終端發(fā)送(song)解除關(guān)(guan)聯(lián)幀，讓終端(duan)無法連上釣(diao)魚WIFI。7×24小時(shi)不間斷(duan)監(jiān)測網(wǎng)絡(luò)(luo)。

上網(wǎng)(wang)行為嚴格(ge)控制：

強大的(de)管理(li)：通過應(yīng)用識(shi)別技術(shù)，可以(yi)根據(jù)應(yīng)(ying)用類型或者(zhe)具體某一種應(yīng)(ying)用進行封堵(du)，包括視頻、論壇(tan)、游戲、金融、下(xia)載等2400多種網(wǎng)(wang)絡(luò)應(yīng)(ying)用。

通過應(yīng)(ying)用識別(bie)技術(shù)，可以根據(jù)(ju)應(yīng)用類型或(huo)者具體某一種(zhong)應(yīng)用進(jin)行封堵(du)，比如上班(ban)時間不允(yun)許炒股(gu)，不允許P2P下(xia)載，不允(yun)許外發(fā)敏感文(wen)件等； 支持(chi)主流移動平(ping)臺，可(ke)識別IM、社交、Mail、新聞(wen)、炒股等應(yīng)(ying)用。

無線控制器內(nèi)(nei)置千萬級別(bie)的URL分(fen)類庫(ku)，能夠(gou)對URL進行識(shi)別，包含新(xin)聞、購物、金融、教(jiao)育等18個種(zhong)類的(de)URL地址； 準確(que)識別目前(qian)主流網(wǎng)(wang)站，識別(bie)率高達99.9%，有(you)效實現(xiàn)網(wǎng)頁過(guo)濾。例如禁止登(deng)陸非法(fa)網(wǎng)站

通過基(ji)于時間段(duan)的訪問控制(zhi)策略(lve)，實現(xiàn)不同的(de)時間(jian)段不同的訪(fang)問權(quán)限，比如上(shang)班時間，禁止(zhi)訪問網(wǎng)上銀(yin)行、游戲、論壇貼(tie)吧等與工(gong)作無關(guān)的應(yīng)用(yong)，下班時間則不(bu)受限制(zhi)。

辦公(gong)區(qū)域內(nèi)，不同辦(ban)公部(bu)門總會有各(ge)自專屬的無(wu)線網(wǎng)(wang)絡(luò)，并且不希(xi)望部(bu)門之外的(de)成員使用(yong)這個網(wǎng)絡(luò)。無線(xian)網(wǎng)絡(luò)控制器(qi)可以根(gen)據(jù)用戶(hu)的屬性，限(xian)制禁(jin)止非本(ben)部門的用(yong)戶接入。

典型無(wu)線網(wǎng)絡(luò)攻擊防(fang)護：

對典型(xing)的危險(xian)攻擊(ji)行為進(jin)行檢測，當(dāng)超過(guo)設(shè)定(ding)的閾值后自(zi)動將攻擊者加(jia)入到黑名單(dan)中，并凍結(jié)一定(ding)時間，即時(shi)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊(ji)并進行防御。

檢測的(de)攻擊(ji)包括：DDOS防(fang)御、ARP掃描、IP掃描(miao)、端口(kou)掃描防御，禁止(zhi)客戶端私設(shè)(she)IP以及ARP、網(wǎng)(wang)關(guān)欺騙防(fang)御、DHCP請(qing)求泛洪防御。

無線射(she)頻定時關(guān)閉開(kai)啟：

通過射(she)頻關(guān)閉控(kong)制策(ce)略，可以指(zhi)定某SSID網(wǎng)(wang)絡(luò)，定時自(zi)動關(guān)閉和開(kai)啟無線網(wǎng)絡(luò)(luo)的射頻信號(hao)，晚上下班后(hou)自動關(guān)閉無(wu)線射頻信號(hao)。

一方面可以節(jié)(jie)能減排、節(jié)省電(dian)費支出；另一方(fang)面又能防止(zhi)非法用戶利(li)用深夜時(shi)間入侵無線(xian)網(wǎng)絡(luò)，做一些(xie)非法的操作。

有線無線一(yi)體化管(guan)理：

NAC的有線無線(xian)一體化，支(zhi)持對有線用(yong)戶的接入認(ren)證、訪(fang)問控制(zhi)、流量管理、上(shang)網(wǎng)行為審計等(deng)，

并提供統(tǒng)一中(zhong)文Web管理界面(mian)，一站式服(fu)務(wù)，極(ji)大的降(jiang)低網(wǎng)絡(luò)建設(shè)(she)成本。

網(wǎng)絡(luò)分(fen)權(quán)分(fen)級管理：

分配不同的管(guan)理員分別(bie)管理各自權(quán)(quan)限區(qū)(qu)域的無(wu)線AP，可以(yi)精細到對某(mou)AP分組有管理(li)權(quán)限(xian)，該管(guan)理員(yuan)可以(yi)在該(gai)AP分組(zu)上建立無(wu)線網(wǎng)絡(luò)(luo)，能夠激活、刪除(chu)接入點，能夠(gou)對AP的配置(zhi)進行編(bian)輯修改。

可指定管(guan)理員針對每個(ge)頁面的編輯或(huo)可查看權(quán)限，控(kong)制粒度到控制(zhi)器上的各(ge)個頁(ye)面，對某個頁(ye)面沒有(you)讀權(quán)限則(ze)登錄時不(bu)顯示。

移動APP隨時隨地(di)運維管理(li)：

支持跨互聯(lián)網(wǎng)(wang)運維管(guan)理

登陸(lu)APP進行(xing)維護管理(li)：不同管理員(yuan)，不同權(quán)限

查看網(wǎng)絡(luò)運行(xing)情況(kuang)：在線用(yong)戶、在(zai)線AP數(shù)量、實時流(liu)量

無線網(wǎng)(wang)絡(luò)管理維護(hu)：開啟關(guān)閉SSID、終(zhong)端綁定審批、二(er)維碼上網(wǎng)審(shen)核

故障、審批實時(shi)通知：AP離線警(jing)告、服務(wù)器離(li)線警告、網(wǎng)(wang)絡(luò)攻擊告警

方案優(yōu)勢：

1、最豐富的無線(xian)安全機制，提供(gong)從安全(quan)接入到(dao)安全上網(wǎng)(wang)等端到(dao)端的安全(quan)策略

2、合理管(guan)控工作人員上(shang)網(wǎng)行(xing)為，提升工作(zuo)效率、防止帶(dai)寬浪費，有(you)線無線雙重(zhong)管控

3、為會(hui)議室，報告(gao)廳等人員(yuan)密集(ji)區(qū)域接入網(wǎng)(wang)絡(luò)提高保(bao)證，解決有線網(wǎng)(wang)口不足的問(wen)題；

4、為企業(yè)員工的(de)移動辦公提供(gong)支撐，內(nèi)部(bu)員工可(ke)通過(guo)無線(xian)網(wǎng)絡(luò)隨時安(an)全接(jie)入內(nèi)部網(wǎng)絡(luò)(luo)，實現(xiàn)辦公；

5、內(nèi)部員工賬號(hao)及個(ge)人信息綁定，便(bian)于安全管(guan)理；

6、內(nèi)部員(yuan)工可(ke)通過自己的(de)辦公設(shè)(she)備在企業(yè)大(da)樓內(nèi)快(kuai)速移動(dong)辦公，網(wǎng)絡(luò)(luo)接入更快速，上(shang)網(wǎng)行為管(guan)理系統(tǒng)對員工(gong)上網(wǎng)(wang)行為進行審(shen)計與管控

7、來訪客戶接(jie)入企業(yè)網(wǎng)絡(luò)(luo)，可根據(jù)不同(tong)需求，分配(pei)不同的上網(wǎng)(wang)權(quán)限，保證了接(jie)入的安全性(xing)同時提升群(qun)眾上(shang)網(wǎng)的體驗

8、豐富的認(ren)證機制，滿(man)足組織(zhi)對無線網(wǎng)絡(luò)(luo)安全、快速(su)接入(ru)

9、投資成本低(di)，通過部署無線(xian)控制器替(ti)換原有網(wǎng)絡(luò)(luo)的出口(kou)路由、行(xing)為管理以(yi)及無(wu)線控制器