?
大型企業(yè)(ye)在無線網(wǎng)絡(luò)建(jian)設(shè)期間要充分(fen)考慮(lv)訪客(領(lǐng)導(dǎo)���、客戶(hu)、合作伙伴)接(jie)入網(wǎng)絡(luò)的(de)需求���。首先(xian)從安全性考慮(lv),訪客網(wǎng)絡(luò)(luo)必須(xu)要和辦公網(wǎng)(wang)絡(luò)分開(kai)���,訪客網(wǎng)絡(luò)單(dan)獨(dú)提供(gong)給訪客使用���。從(cong)用戶體(ti)驗(yàn)角度(du)考慮���,訪(fang)客接入網(wǎng)(wang)絡(luò)的驗(yàn)(yan)證方式一(yi)定要做到簡(jiǎn)(jian)單易行,繁瑣(suo)的驗(yàn)證方式(shi)會(huì)降低訪客(ke)對(duì)企業(yè)的整體(ti)印象(xiang)���。同時(shí)對(duì)于(yu)訪客網(wǎng)絡(luò)���,企(qi)業(yè)還需要(yao)建立(li)完善的(de)網(wǎng)絡(luò)安全(quan)管理機(jī)制,避免(mian)由于訪客(ke)的網(wǎng)絡(luò)不(bu)良訪(fang)問給企(qi)業(yè)帶來的法律(lv)風(fēng)險(xiǎn)(xian)���。對(duì)于企業(yè)員工(gong)移動(dòng)辦公上網(wǎng)(wang)���,更需要做(zuo)到可(ke)管控,上網(wǎng)(wang)行為做(zuo)到可(ke)追溯���,企業(yè)(ye)有效的帶寬(kuan)資源得到合理(li)的分配(pei)和保(bao)證���,才能使(shi)企業(yè)的業(yè)務(wù)(wu)系統(tǒng)(tong)正常(chang)且穩(wěn)定高(gao)效地運(yùn)行,同時(shí)(shi)保證(zheng)企業(yè)信息(xi)安全���,避免機(jī)(ji)密信息泄露(lu)���。
存在的問題(用(yong)戶需求(qiu))
1、接入不安(an)全:缺(que)乏安全可(ke)靠的認(rèn)證(zheng)機(jī)制���,企業(yè)(ye)無線(xian)網(wǎng)絡(luò)接(jie)入不(bu)安全
2���、上網(wǎng)權(quán)限混(hun)亂:缺乏有(you)效的控制(zhi)策略,員工上網(wǎng)(wang)權(quán)限不分(fen)明
3���、數(shù)據(jù)信息安(an)全:缺乏有(you)效的數(shù)據(jù)加(jia)密機(jī)制(zhi)���,企業(yè)數(shù)據(jù)被黑(hei)客竊取篡改
4、無線信號(hào)(hao)差:AP性(xing)能不佳(jia)���,上網(wǎng)總掉線���,點(diǎn)(dian)位規(guī)劃不合理(li),信號(hào)盲區(qū)多(duo)
5���、漫游效果差:不(bu)能實(shí)(shi)現(xiàn)二三層漫(man)游���,移動(dòng)辦公(gong)時(shí),業(yè)務(wù)中斷(duan)
解決方案:
結(jié)合用戶無線(xian)網(wǎng)絡(luò)需(xu)求情(qing)況���,結(jié)(jie)合產(chǎn)品自身技(ji)術(shù)特點(diǎn)���,為(wei)了滿足用(yong)戶構(gòu)建一個(gè)(ge)高速���、穩(wěn)定(ding)、安全���、可靠���、易(yi)于管(guan)理的無線接(jie)入網(wǎng)絡(luò)的需求(qiu),本設(shè)計(jì)(ji)方案按照AP+AC的(de)結(jié)構(gòu)(gou)化無線網(wǎng)絡(luò)解(jie)決方案(an)進(jìn)行設(shè)計(jì)���。具體(ti)設(shè)計(jì)為在總部(bu)設(shè)置總(zong)部AC,在大型分(fen)支機(jī)構(gòu)(gou)設(shè)置分支AC與(yu)分支(zhi)AP���,中型分(fen)支機(jī)構(gòu)(gou)設(shè)計(jì)二級(jí),三(san)級(jí)交換(huan)機(jī)���,分支AP���。小(xiao)微型分支機(jī)(ji)構(gòu)直(zhi)接設(shè)置(zhi)分支AP。總部(bu)AC可以對(duì)大型(xing)分支機(jī)構(gòu)(gou)的AC進(jìn)行管理(li)���,當(dāng)網(wǎng)(wang)點(diǎn)控制器(qi)采用集中管理(li)的模(mo)式進(jìn)入(ru)到中(zhong)心端控(kong)制器(qi)時(shí)���,會(huì)自動(dòng)(dong)下載中(zhong)心端的公(gong)共配置���,比如IP組(zu)���、MAC地址庫(kù)、時(shí)間(jian)計(jì)劃���、角色(se)授權(quán)���、認(rèn)證(zheng)頁(yè)面(mian)等 ?��?偛?bu)AC也可以直(zhi)接管理中(zhong)小型分支機(jī)構(gòu)(gou)的分支AP���,實(shí)(shi)現(xiàn)統(tǒng)一管理。
方案(an)設(shè)計(jì):
安全無線(xian)整體解決方案(an):
接入前(qian)&接入(ru)時(shí)進(jìn)行身份(fen)認(rèn)證���、安全(quan)無線網(wǎng)卡���、賬(zhang)號(hào)綁定(ding)(硬件碼(ma)+手機(jī)號(hào))���,非法熱(re)點(diǎn)檢測(cè)及防御(yu)、網(wǎng)絡(luò)(luo)攻擊(ji)防護(hù)���、射頻(pin)定時(shí)(shi)關(guān)閉及安(an)全加固���。
接入后&上網(wǎng)時(shí)(shi)進(jìn)行訪問權(quán)(quan)限控制。
上網(wǎng)后(hou)進(jìn)行(xing)上網(wǎng)(wang)行為記錄���。
上網(wǎng)用戶身(shen)份實(shí)名認(rèn)證(zheng):
無線(xian)辦公網(wǎng)采(cai)用802.1X/Portal/WAPI認(rèn)證���,外置AAA和(he)RADIUS+AD用于存(cun)儲(chǔ)用戶(hu)賬號(hào)密(mi)碼。
每個(gè)賬號(hào)對(duì)(dui)應(yīng)一個(gè)員工���,包(bao)括姓名(ming)���、部門、性別(bie)以及身份證���、手(shou)機(jī)號(hào)等個(gè)人信(xin)息���,保證(zheng)每個(gè)上網(wǎng)的(de)賬號(hào)都(dou)是可尋的���,便于(yu)安全管理。
用戶輸入賬(zhang)號(hào)密碼上(shang)網(wǎng)驗(yàn)(yan)證時(shí)均采(cai)用加密傳(chuan)輸���,防止黑客空(kong)中攔(lan)截,竊取賬號(hào)密(mi)碼等數(shù)據(jù)���。
上網(wǎng)賬號(hào)自動(dòng)(dong)綁定(ding)終端:
自動(dòng)將賬(zhang)號(hào)與終端的(de)硬件特征(zheng)碼進(jìn)行綁定(ding)���,防止賬號(hào)(hao)被他人(ren)使用或者被盜(dao)用。
每臺(tái)設(shè)備的硬(ying)件特征碼是(shi)唯一的���,無法通(tong)過軟件修(xiu)改���。即使(shi)通過軟件修(xiu)改了(le)仍然可以識(shí)(shi)別原始的。
每個(gè)賬號(hào)最多(duo)可以綁定5臺(tái)(tai)終端���,超(chao)過1臺(tái)時(shí)需要管(guan)理員(yuan)審核���。
上網(wǎng)賬號(hào)(hao)二次綁定手(shou)機(jī)號(hào)碼:
賬號(hào)首(shou)次登陸時(shí)需(xu)要綁定手(shou)機(jī)號(hào)并輸入(ru)短信驗(yàn)證碼(ma)���,當(dāng)用(yong)戶賬號(hào)在新終(zhong)端登陸時(shí)(換終(zhong)端/被他用/被(bei)盜),不僅需要(yao)輸入密碼���,還(hai)需要(yao)輸入短信(xin)驗(yàn)證碼���,解決員(yuan)工賬號(hào)(hao)認(rèn)證的安全(quan)問題
綁定手機(jī)(ji)號(hào)碼的(de)用戶,可以自(zi)助重置密碼(ma)和修改密碼���,無(wu)需通過IT管理(li)員���。
用戶密碼管理(li)及自助修(xiu)改:
無需通(tong)過管理員即(ji)可修改密碼(ma),提高效率(lv)及減輕管理員(yuan)工作壓力���。
通過口袋助理(li)���、釘釘、企業(yè)號(hào)(hao)等手機(jī)MOA類(lei)APP軟件進(jìn)(jin)行無線密(mi)碼修改���。
若賬號(hào)(hao)綁定了手(shou)機(jī)號(hào)(hao)碼���,可通過手機(jī)(ji)驗(yàn)證碼(ma)自助(zhu)修改���。
上網(wǎng)終端合法(fa)效驗(yàn)(yan):
采用安全無(wu)線網(wǎng)(wang)卡接入(ru)無線網(wǎng)絡(luò),終(zhong)端與AP熱點(diǎn)(dian)的雙向驗(yàn)(yan)證���,提高安全性(xing)���。
可以將(jiang)無線網(wǎng)絡(luò)(luo)設(shè)置(zhi)為只(zhi)有安裝了安全(quan)無線網(wǎng)卡的終(zhong)端才能接入(ru)無線網(wǎng)絡(luò)(luo)。
支持設(shè)置安(an)全無線(xian)網(wǎng)卡(ka)只能連(lian)指定SSID無線網(wǎng)絡(luò)(luo)���,無法連接(jie)非授權(quán)(quan)SSID。
網(wǎng)卡與AP數(shù)(shu)據(jù)傳輸時(shí)(shi)自動(dòng)進(jìn)行數(shù)據(jù)(ju)加密���,保證無線(xian)的空口安全(quan)���。
無線熱點(diǎn)掃描(miao)及非法(fa)熱點(diǎn)(dian)抑制:
背景:黑客在附(fu)近搭建一(yi)個(gè)一模一(yi)樣或者(zhe)類似的WIFI名稱(cheng),誘使用(yong)戶連(lian)到虛假釣魚WIFI上(shang)���,黑客利(li)用分析軟件(jian)從用戶上(shang)網(wǎng)產(chǎn)生的(de)數(shù)據(jù)包(bao)中分(fen)析提取用戶隱(yin)私信息(xi)���。
我們通過WIPS無線(xian)入侵防(fang)御系統(tǒng)實(shí)時(shí)(shi)檢測(cè)周圍無線(xian)信號(hào)���,當(dāng)檢測(cè)(ce)出來的信(xin)號(hào)BSSID、且AP源MAC地址不(bu)在授權(quán)列(lie)表中時(shí)���,我(wo)們向?qū)?yīng)的AP和(he)終端發(fā)送(song)解除關(guān)(guan)聯(lián)幀���,讓終(zhong)端無法連上(shang)釣魚WIFI。7×24小時(shí)不(bu)間斷監(jiān)測(cè)(ce)網(wǎng)絡(luò)���。
上網(wǎng)行(xing)為嚴(yán)格控(kong)制:
強(qiáng)大的(de)管理(li):通過應(yīng)用識(shí)別(bie)技術(shù)���,可以根(gen)據(jù)應(yīng)用(yong)類型或者(zhe)具體某一(yi)種應(yīng)用(yong)進(jìn)行封堵,包括(kuo)視頻(pin)���、論壇���、游(you)戲、金融���、下載等(deng)2400多種網(wǎng)絡(luò)應(yīng)(ying)用���。
通過應(yīng)用(yong)識(shí)別技術(shù)���,可以(yi)根據(jù)應(yīng)用類型(xing)或者具體(ti)某一種應(yīng)(ying)用進(jìn)行封堵(du),比如上班(ban)時(shí)間不允許(xu)炒股���,不(bu)允許P2P下載(zai)���,不允許外發(fā)(fa)敏感(gan)文件等; 支持(chi)主流移動(dòng)平臺(tái)(tai)���,可識(shí)別IM���、社交(jiao)、Mail���、新聞(wen)、炒股等應(yīng)(ying)用���。
無線控制器(qi)內(nèi)置(zhi)千萬級(jí)別(bie)的URL分類庫(kù)���,能(neng)夠?qū)RL進(jìn)(jin)行識(shí)別,包(bao)含新聞���、購(gòu)物(wu)���、金融���、教(jiao)育等18個(gè)(ge)種類的URL地址(zhi); 準(zhǔn)確識(shí)別目(mu)前主(zhu)流網(wǎng)站���,識(shí)別率(lv)高達(dá)99.9%���,有效實(shí)現(xiàn)(xian)網(wǎng)頁(yè)過濾。例如(ru)禁止登(deng)陸非法網(wǎng)站
通過基于時(shí)(shi)間段的訪(fang)問控制策(ce)略���,實(shí)現(xiàn)不同的(de)時(shí)間段不(bu)同的訪問(wen)權(quán)限���,比(bi)如上班(ban)時(shí)間,禁止訪問(wen)網(wǎng)上(shang)銀行���、游(you)戲���、論壇(tan)貼吧等與(yu)工作無關(guān)的(de)應(yīng)用,下班時(shí)(shi)間則(ze)不受限制。
辦公區(qū)(qu)域內(nèi)���,不同辦公(gong)部門總會(huì)有(you)各自專屬的無(wu)線網(wǎng)(wang)絡(luò)���,并且不(bu)希望(wang)部門(men)之外(wai)的成員(yuan)使用這個(gè)(ge)網(wǎng)絡(luò)。無(wu)線網(wǎng)絡(luò)控(kong)制器(qi)可以根據(jù)(ju)用戶(hu)的屬性���,限制(zhi)禁止(zhi)非本部門(men)的用(yong)戶接入���。
典型無(wu)線網(wǎng)(wang)絡(luò)攻擊防護(hù):
對(duì)典型的危險(xiǎn)(xian)攻擊行(xing)為進(jìn)(jin)行檢測(cè),當(dāng)超過(guo)設(shè)定(ding)的閾(yu)值后自動(dòng)將(jiang)攻擊者加入(ru)到黑名單(dan)中���,并(bing)凍結(jié)一定時(shí)間(jian)���,即時(shí)(shi)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊(ji)并進(jìn)行防御(yu)。
檢測(cè)的攻(gong)擊包括:DDOS防御(yu)���、ARP掃描���、IP掃描���、端口(kou)掃描防御���,禁(jin)止客戶(hu)端私設(shè)IP以(yi)及ARP���、網(wǎng)關(guān)(guan)欺騙防(fang)御、DHCP請(qǐng)(qing)求泛洪防御(yu)���。
無線(xian)射頻定時(shí)關(guān)閉(bi)開啟:
通過射頻(pin)關(guān)閉控(kong)制策略���,可以指(zhi)定某(mou)SSID網(wǎng)絡(luò),定時(shí)自動(dòng)(dong)關(guān)閉和(he)開啟(qi)無線(xian)網(wǎng)絡(luò)(luo)的射頻信(xin)號(hào)���,晚上(shang)下班后自動(dòng)(dong)關(guān)閉無線射(she)頻信(xin)號(hào)���。
一方面可(ke)以節(jié)能減排、節(jié)(jie)省電(dian)費(fèi)支出(chu)���;另一方面又(you)能防止非法(fa)用戶利用(yong)深夜時(shí)間入(ru)侵無線網(wǎng)(wang)絡(luò)���,做一些非(fei)法的操(cao)作。
有線無線一體(ti)化管理:
NAC的有線無(wu)線一(yi)體化���,支持對(duì)(dui)有線用戶的(de)接入(ru)認(rèn)證���、訪問控(kong)制���、流量管理(li)、上網(wǎng)行為審計(jì)(ji)等���,
并提(ti)供統(tǒng)一中(zhong)文Web管理界面���,一(yi)站式(shi)服務(wù),極(ji)大的(de)降低網(wǎng)絡(luò)建(jian)設(shè)成本(ben)���。
網(wǎng)絡(luò)分(fen)權(quán)分級(jí)管理:
分配不(bu)同的管理員分(fen)別管理各自(zi)權(quán)限(xian)區(qū)域(yu)的無線(xian)AP���,可以精細(xì)(xi)到對(duì)某(mou)AP分組有管(guan)理權(quán)限,該管(guan)理員可以在(zai)該AP分組上建立(li)無線網(wǎng)絡(luò)(luo)���,能夠(gou)激活���、刪除(chu)接入(ru)點(diǎn),能夠(gou)對(duì)AP的(de)配置進(jìn)(jin)行編輯(ji)修改���。
可指定管理員(yuan)針對(duì)每個(gè)頁(yè)面(mian)的編輯或(huo)可查看權(quán)限���,控(kong)制粒度(du)到控(kong)制器上的各(ge)個(gè)頁(yè)面,對(duì)某(mou)個(gè)頁(yè)面沒有(you)讀權(quán)限則登錄(lu)時(shí)不顯(xian)示���。
移動(dòng)APP隨時(shí)隨地(di)運(yùn)維管(guan)理:
支持跨(kua)互聯(lián)網(wǎng)(wang)運(yùn)維管(guan)理
登陸APP進(jìn)(jin)行維護(hù)管理:不(bu)同管(guan)理員(yuan)���,不同權(quán)(quan)限
查看(kan)網(wǎng)絡(luò)(luo)運(yùn)行情況(kuang):在線用戶、在線(xian)AP數(shù)量���、實(shí)時(shí)流量(liang)
無線網(wǎng)(wang)絡(luò)管理維(wei)護(hù):開啟關(guān)(guan)閉SSID���、終端綁(bang)定審批(pi)、二維碼上網(wǎng)(wang)審核(he)
故障(zhang)���、審批實(shí)時(shí)(shi)通知(zhi):AP離線警告(gao)���、服務(wù)器離線警(jing)告、網(wǎng)絡(luò)攻擊告(gao)警
方案優(yōu)(you)勢(shì):
1���、最豐富的無(wu)線安(an)全機(jī)制���,提(ti)供從安全接(jie)入到安(an)全上網(wǎng)等端到(dao)端的安全策略(lve)
2���、合理管控(kong)工作人員上(shang)網(wǎng)行為,提升工(gong)作效率���、防(fang)止帶寬浪費(fèi)(fei)���,有線無線(xian)雙重管(guan)控
3、為會(huì)議室���,報(bào)告(gao)廳等人員密集(ji)區(qū)域(yu)接入網(wǎng)絡(luò)提高(gao)保證���,解決有(you)線網(wǎng)口(kou)不足的問題;
4���、為企(qi)業(yè)員工(gong)的移(yi)動(dòng)辦(ban)公提供支(zhi)撐���,內(nèi)部員工可(ke)通過(guo)無線網(wǎng)絡(luò)隨(sui)時(shí)安全接(jie)入內(nèi)部網(wǎng)(wang)絡(luò),實(shí)現(xiàn)辦公(gong)���;
5���、內(nèi)部(bu)員工賬號(hào)及個(gè)(ge)人信息(xi)綁定(ding)���,便于(yu)安全(quan)管理;
6���、內(nèi)部員(yuan)工可通過自(zi)己的辦公(gong)設(shè)備在企業(yè)(ye)大樓內(nèi)快速(su)移動(dòng)辦公,網(wǎng)(wang)絡(luò)接(jie)入更(geng)快速���,上網(wǎng)(wang)行為管(guan)理系統(tǒng)對(duì)(dui)員工上網(wǎng)行(xing)為進(jìn)行審計(jì)(ji)與管控
7���、來訪(fang)客戶接入企(qi)業(yè)網(wǎng)絡(luò),可根(gen)據(jù)不(bu)同需求���,分配(pei)不同的上網(wǎng)(wang)權(quán)限���,保(bao)證了接入(ru)的安全性同(tong)時(shí)提升群眾(zhong)上網(wǎng)的體(ti)驗(yàn)
8、豐富的認(rèn)(ren)證機(jī)制���,滿足組(zu)織對(duì)無線網(wǎng)(wang)絡(luò)安全���、快(kuai)速接入
9���、投資成本低(di),通過部(bu)署無(wu)線控制器替換(huan)原有網(wǎng)(wang)絡(luò)的出(chu)口路由���、行(xing)為管理以(yi)及無線控制器(qi)
