?
大型(xing)企業(yè)在無(wú)線網(wǎng)(wang)絡(luò)建設(shè)期間要(yao)充分考(kao)慮訪客(領(lǐng)導(dǎo)(dao)����、客戶��、合作伙伴(ban))接入(ru)網(wǎng)絡(luò)的(de)需求���。首先從安(an)全性考慮��,訪客(ke)網(wǎng)絡(luò)必須(xu)要和辦(ban)公網(wǎng)絡(luò)(luo)分開(kāi)��,訪(fang)客網(wǎng)(wang)絡(luò)單獨(dú)(du)提供(gong)給訪客(ke)使用�。從用戶體(ti)驗(yàn)角度(du)考慮��,訪客接入(ru)網(wǎng)絡(luò)(luo)的驗(yàn)(yan)證方式一(yi)定要(yao)做到簡(jiǎn)單易(yi)行��,繁瑣的驗(yàn)(yan)證方式會(huì)(hui)降低訪(fang)客對(duì)企(qi)業(yè)的(de)整體印象(xiang)�。同時(shí)(shi)對(duì)于訪客網(wǎng)絡(luò)(luo),企業(yè)還需要(yao)建立完(wan)善的網(wǎng)絡(luò)安(an)全管(guan)理機(jī)(ji)制�,避免由(you)于訪客的網(wǎng)(wang)絡(luò)不(bu)良訪問(wèn)(wen)給企業(yè)帶來(lái)的(de)法律風(fēng)險(xiǎn)(xian)。對(duì)于企業(yè)員(yuan)工移動(dòng)辦(ban)公上網(wǎng)�,更需(xu)要做到可管(guan)控,上網(wǎng)(wang)行為做到可(ke)追溯���,企業(yè)有(you)效的帶寬(kuan)資源(yuan)得到合理(li)的分配(pei)和保證��,才能(neng)使企(qi)業(yè)的業(yè)務(wù)系(xi)統(tǒng)正常且穩(wěn)(wen)定高效地運(yùn)(yun)行����,同時(shí)保證(zheng)企業(yè)(ye)信息安全����,避(bi)免機(jī)密信(xin)息泄露。
存在的問(wèn)(wen)題(用戶(hu)需求)
1�、接入(ru)不安全(quan):缺乏安全可(ke)靠的認(rèn)證(zheng)機(jī)制(zhi),企業(yè)(ye)無(wú)線(xian)網(wǎng)絡(luò)接入(ru)不安全(quan)
2��、上網(wǎng)權(quán)限(xian)混亂:缺(que)乏有(you)效的控制(zhi)策略(lve)�����,員工上網(wǎng)(wang)權(quán)限(xian)不分明
3����、數(shù)據(jù)信息安全(quan):缺乏有效(xiao)的數(shù)據(jù)(ju)加密機(jī)制,企業(yè)(ye)數(shù)據(jù)被(bei)黑客竊取篡(cuan)改
4�����、無(wú)線信(xin)號(hào)差:AP性能不佳(jia)���,上網(wǎng)總(zong)掉線����,點(diǎn)位規(guī)劃(hua)不合理,信號(hào)盲(mang)區(qū)多
5�、漫游效果差:不(bu)能實(shí)現(xiàn)(xian)二三層漫(man)游,移動(dòng)辦公(gong)時(shí)�����,業(yè)務(wù)中(zhong)斷
解決(jue)方案:
結(jié)合(he)用戶(hu)無(wú)線網(wǎng)(wang)絡(luò)需求情況(kuang)����,結(jié)合(he)產(chǎn)品自身技術(shù)(shu)特點(diǎn),為(wei)了滿足用戶(hu)構(gòu)建一(yi)個(gè)高速��、穩(wěn)定����、安(an)全、可靠��、易于管(guan)理的無(wú)線接(jie)入網(wǎng)絡(luò)的(de)需求�,本設(shè)計(jì)方(fang)案按照AP+AC的(de)結(jié)構(gòu)化無(wú)(wu)線網(wǎng)絡(luò)解(jie)決方案進(jìn)行(xing)設(shè)計(jì)(ji)。具體(ti)設(shè)計(jì)(ji)為在總部設(shè)(she)置總(zong)部AC,在大型(xing)分支機(jī)構(gòu)設(shè)(she)置分(fen)支AC與分支AP����,中型(xing)分支機(jī)(ji)構(gòu)設(shè)計(jì)二(er)級(jí)����,三級(jí)交換(huan)機(jī)���,分支(zhi)AP。小微型分支(zhi)機(jī)構(gòu)直接設(shè)(she)置分支AP�����??偛?bu)AC可以對(duì)(dui)大型分支(zhi)機(jī)構(gòu)的(de)AC進(jìn)行管理(li),當(dāng)網(wǎng)(wang)點(diǎn)控制器采(cai)用集中管(guan)理的(de)模式進(jìn)入到(dao)中心端控(kong)制器時(shí)����,會(huì)(hui)自動(dòng)(dong)下載中心端的(de)公共配(pei)置,比如IP組���、MAC地址(zhi)庫(kù)��、時(shí)間(jian)計(jì)劃�����、角色(se)授權(quán)����、認(rèn)(ren)證頁(yè)(ye)面等 ??偛?bu)AC也可(ke)以直接管理(li)中小(xiao)型分(fen)支機(jī)構(gòu)的(de)分支AP,實(shí)現(xiàn)統(tǒng)一(yi)管理��。
方案設(shè)計(jì):
安全無(wú)(wu)線整體(ti)解決(jue)方案:
接入前&接(jie)入時(shí)進(jìn)(jin)行身份認(rèn)證��、安(an)全無(wú)線網(wǎng)卡(ka)�、賬號(hào)綁定(硬(ying)件碼+手機(jī)(ji)號(hào)),非法熱點(diǎn)(dian)檢測(cè)及(ji)防御����、網(wǎng)(wang)絡(luò)攻擊防護(hù)、射(she)頻定(ding)時(shí)關(guān)閉及安全(quan)加固(gu)��。
接入后&上網(wǎng)時(shí)(shi)進(jìn)行訪(fang)問(wèn)權(quán)限控(kong)制�����。
上網(wǎng)后進(jìn)(jin)行上(shang)網(wǎng)行為(wei)記錄(lu)����。
上網(wǎng)用戶身份(fen)實(shí)名認(rèn)證:
無(wú)線辦(ban)公網(wǎng)采用802.1X/Portal/WAPI認(rèn)(ren)證����,外置AAA和(he)RADIUS+AD用于存(cun)儲(chǔ)用戶賬號(hào)密(mi)碼���。
每個(gè)賬號(hào)對(duì)(dui)應(yīng)一個(gè)(ge)員工��,包括(kuo)姓名���、部門(men)、性別以及(ji)身份(fen)證��、手機(jī)號(hào)等個(gè)(ge)人信息�,保(bao)證每個(gè)上網(wǎng)的(de)賬號(hào)都是(shi)可尋的��,便于(yu)安全(quan)管理(li)��。
用戶輸入賬號(hào)(hao)密碼(ma)上網(wǎng)驗(yàn)證(zheng)時(shí)均(jun)采用加密傳輸(shu)��,防止黑客空中(zhong)攔截�����,竊取賬(zhang)號(hào)密(mi)碼等數(shù)據(jù)�。
上網(wǎng)賬號(hào)自動(dòng)(dong)綁定(ding)終端:
自動(dòng)將賬(zhang)號(hào)與終端的(de)硬件特征(zheng)碼進(jìn)行綁定(ding)�����,防止賬號(hào)(hao)被他人使用或(huo)者被盜(dao)用�。
每臺(tái)設(shè)備(bei)的硬(ying)件特征(zheng)碼是唯(wei)一的��,無(wú)法通過(guò)(guo)軟件修改(gai)�。即使通過(guò)軟(ruan)件修改了(le)仍然可以識(shí)(shi)別原始的(de)。
每個(gè)賬(zhang)號(hào)最多可以(yi)綁定5臺(tái)(tai)終端(duan)�,超過(guò)1臺(tái)時(shí)(shi)需要管理員(yuan)審核。
上網(wǎng)賬號(hào)二次(ci)綁定手(shou)機(jī)號(hào)碼:
賬號(hào)首次登(deng)陸時(shí)需要(yao)綁定手機(jī)號(hào)(hao)并輸入短信(xin)驗(yàn)證碼�����,當(dāng)用戶(hu)賬號(hào)在新終端(duan)登陸(lu)時(shí)(換終(zhong)端/被他(ta)用/被(bei)盜)�����,不僅需(xu)要輸入密碼�,還(hai)需要輸入(ru)短信驗(yàn)(yan)證碼(ma),解決員工賬號(hào)(hao)認(rèn)證的安(an)全問(wèn)(wen)題
綁定手機(jī)(ji)號(hào)碼的用戶(hu)���,可以自助重(zhong)置密碼(ma)和修改密(mi)碼����,無(wú)需通過(guò)IT管(guan)理員。
用戶密碼管理(li)及自助(zhu)修改:
無(wú)需通過(guò)(guo)管理員即可(ke)修改密碼��,提高(gao)效率及減輕(qing)管理員工作壓(ya)力�����。
通過(guò)口袋助理(li)���、釘釘����、企(qi)業(yè)號(hào)等(deng)手機(jī)MOA類APP軟件進(jìn)(jin)行無(wú)線密(mi)碼修改�����。
若賬號(hào)綁(bang)定了手機(jī)號(hào)(hao)碼�,可通過(guò)手機(jī)(ji)驗(yàn)證碼自助(zhu)修改(gai)��。
上網(wǎng)終端合(he)法效驗(yàn):
采用安(an)全無(wú)線網(wǎng)卡接(jie)入無(wú)線網(wǎng)絡(luò)(luo)�����,終端(duan)與AP熱點(diǎn)的雙向(xiang)驗(yàn)證(zheng)�,提高安全性�。
可以將無(wú)線網(wǎng)(wang)絡(luò)設(shè)置為(wei)只有安(an)裝了(le)安全無(wú)(wu)線網(wǎng)卡的(de)終端才能(neng)接入無(wú)線(xian)網(wǎng)絡(luò)����。
支持設(shè)置安(an)全無(wú)線(xian)網(wǎng)卡(ka)只能連指(zhi)定SSID無(wú)線網(wǎng)(wang)絡(luò),無(wú)法連(lian)接非授權(quán)SSID��。
網(wǎng)卡與(yu)AP數(shù)據(jù)傳輸時(shí)(shi)自動(dòng)進(jìn)行數(shù)據(jù)(ju)加密��,保(bao)證無(wú)線(xian)的空口安(an)全����。
無(wú)線熱點(diǎn)(dian)掃描及(ji)非法熱(re)點(diǎn)抑制:
背景:黑客(ke)在附近搭建(jian)一個(gè)一模(mo)一樣或者類似(shi)的WIFI名(ming)稱,誘使用(yong)戶連(lian)到虛假(jia)釣魚(yú)WIFI上��,黑客利(li)用分析軟件從(cong)用戶上網(wǎng)產(chǎn)(chan)生的(de)數(shù)據(jù)包中分析(xi)提取用戶(hu)隱私(si)信息���。
我們通過(guò)(guo)WIPS無(wú)線入侵防(fang)御系(xi)統(tǒng)實(shí)時(shí)檢測(cè)(ce)周圍無(wú)線信號(hào)(hao)�,當(dāng)檢測(cè)出來(lái)的(de)信號(hào)BSSID���、且(qie)AP源MAC地(di)址不在授(shou)權(quán)列表中(zhong)時(shí)����,我們(men)向?qū)?yīng)的AP和終(zhong)端發(fā)送解除關(guān)(guan)聯(lián)幀��,讓終端(duan)無(wú)法連上(shang)釣魚(yú)(yu)WIFI。7×24小時(shí)不間(jian)斷監(jiān)測(cè)(ce)網(wǎng)絡(luò)(luo)�����。
上網(wǎng)行為嚴(yán)格(ge)控制:
強(qiáng)大的(de)管理:通過(guò)應(yīng)用(yong)識(shí)別技術(shù)���,可(ke)以根據(jù)應(yīng)用類(lei)型或者具體某(mou)一種(zhong)應(yīng)用(yong)進(jìn)行(xing)封堵�,包(bao)括視頻�、論壇、游(you)戲���、金融(rong)�����、下載等2400多種網(wǎng)(wang)絡(luò)應(yīng)用(yong)���。
通過(guò)應(yīng)(ying)用識(shí)別技(ji)術(shù)�����,可以根(gen)據(jù)應(yīng)用類型(xing)或者具體某(mou)一種應(yīng)用進(jìn)(jin)行封堵�����,比(bi)如上班時(shí)間不(bu)允許炒股,不(bu)允許(xu)P2P下載�����,不允許外(wai)發(fā)敏感文件等(deng)��; 支持(chi)主流移(yi)動(dòng)平(ping)臺(tái)��,可識(shí)(shi)別IM���、社交�、Mail��、新聞(wen)�、炒股等應(yīng)用���。
無(wú)線控制器內(nèi)(nei)置千萬(wàn)級(jí)別(bie)的URL分類(lei)庫(kù)�����,能夠?qū)RL進(jìn)(jin)行識(shí)別��,包含新(xin)聞���、購(gòu)物(wu)�����、金融���、教育等18個(gè)(ge)種類的URL地(di)址; 準(zhǔn)確識(shí)別(bie)目前(qian)主流網(wǎng)(wang)站�����,識(shí)(shi)別率高達(dá)99.9%����,有效(xiao)實(shí)現(xiàn)網(wǎng)頁(yè)過(guò)(guo)濾。例如禁(jin)止登陸非(fei)法網(wǎng)(wang)站
通過(guò)基于時(shí)(shi)間段的訪(fang)問(wèn)控制策略(lve)�,實(shí)現(xiàn)不同的(de)時(shí)間段不同的(de)訪問(wèn)權(quán)限,比(bi)如上班時(shí)間(jian)��,禁止訪問(wèn)網(wǎng)(wang)上銀行�、游戲�����、論(lun)壇貼吧等與工(gong)作無(wú)關(guān)的應(yīng)用(yong),下班時(shí)(shi)間則不受限制(zhi)�����。
辦公(gong)區(qū)域內(nèi)�,不(bu)同辦(ban)公部門總會(huì)有(you)各自專屬的無(wú)(wu)線網(wǎng)絡(luò)(luo),并且不希望(wang)部門之外的(de)成員(yuan)使用這(zhe)個(gè)網(wǎng)絡(luò)(luo)����。無(wú)線網(wǎng)絡(luò)(luo)控制(zhi)器可以根(gen)據(jù)用戶(hu)的屬性(xing),限制禁止(zhi)非本(ben)部門(men)的用戶(hu)接入����。
典型無(wú)線網(wǎng)絡(luò)(luo)攻擊防護(hù):
對(duì)典型的危險(xiǎn)(xian)攻擊行為進(jìn)行(xing)檢測(cè),當(dāng)超過(guò)(guo)設(shè)定(ding)的閾(yu)值后(hou)自動(dòng)將攻擊(ji)者加入到(dao)黑名單(dan)中��,并凍結(jié)(jie)一定時(shí)間(jian)����,即時(shí)發(fā)現(xiàn)網(wǎng)(wang)絡(luò)攻擊并進(jìn)行(xing)防御(yu)。
檢測(cè)的攻(gong)擊包括:DDOS防御����、ARP掃(sao)描�����、IP掃描�、端口掃(sao)描防御�,禁止(zhi)客戶(hu)端私設(shè)IP以(yi)及ARP、網(wǎng)(wang)關(guān)欺騙防御(yu)�、DHCP請(qǐng)求泛洪防御(yu)。
無(wú)線射頻(pin)定時(shí)關(guān)(guan)閉開(kāi)啟:
通過(guò)(guo)射頻關(guān)閉控制(zhi)策略(lve)���,可以(yi)指定某SSID網(wǎng)絡(luò)�,定(ding)時(shí)自動(dòng)關(guān)閉和(he)開(kāi)啟(qi)無(wú)線網(wǎng)絡(luò)(luo)的射(she)頻信號(hào)��,晚(wan)上下班后(hou)自動(dòng)關(guān)閉(bi)無(wú)線(xian)射頻信(xin)號(hào)���。
一方面可以(yi)節(jié)能減(jian)排�、節(jié)(jie)省電費(fèi)支出(chu)�;另一方面(mian)又能防止非(fei)法用戶利用深(shen)夜時(shí)間(jian)入侵無(wú)線網(wǎng)(wang)絡(luò),做(zuo)一些非法的操(cao)作����。
有線無(wú)線(xian)一體化管(guan)理:
NAC的有線無(wú)線一(yi)體化(hua)�,支持對(duì)有線用(yong)戶的接入(ru)認(rèn)證(zheng)��、訪問(wèn)控(kong)制�����、流量管(guan)理���、上網(wǎng)行為審(shen)計(jì)等,
并提供統(tǒng)一中(zhong)文Web管(guan)理界面�,一站(zhan)式服務(wù)(wu),極大的降低(di)網(wǎng)絡(luò)建(jian)設(shè)成(cheng)本��。
網(wǎng)絡(luò)分權(quán)分級(jí)(ji)管理:
分配不同的(de)管理員(yuan)分別管理各自(zi)權(quán)限區(qū)域(yu)的無(wú)(wu)線AP���,可以精細(xì)(xi)到對(duì)某(mou)AP分組有管理權(quán)(quan)限�,該管理員可(ke)以在該(gai)AP分組(zu)上建立無(wú)線(xian)網(wǎng)絡(luò)�����,能(neng)夠激活(huo)���、刪除接入(ru)點(diǎn)����,能夠?qū)P的配(pei)置進(jìn)行(xing)編輯(ji)修改。
可指定管理(li)員針對(duì)(dui)每個(gè)頁(yè)(ye)面的編輯或可(ke)查看(kan)權(quán)限(xian)���,控制粒度到(dao)控制器上的各(ge)個(gè)頁(yè)面��,對(duì)(dui)某個(gè)頁(yè)面(mian)沒(méi)有讀(du)權(quán)限則登(deng)錄時(shí)不顯示(shi)����。
移動(dòng)APP隨時(shí)隨(sui)地運(yùn)維(wei)管理:
支持(chi)跨互聯(lián)(lian)網(wǎng)運(yùn)(yun)維管理
登陸(lu)APP進(jìn)行(xing)維護(hù)管(guan)理:不(bu)同管理(li)員�,不同權(quán)限(xian)
查看網(wǎng)絡(luò)運(yùn)行(xing)情況(kuang):在線(xian)用戶、在線(xian)AP數(shù)量����、實(shí)時(shí)(shi)流量
無(wú)線(xian)網(wǎng)絡(luò)管理維護(hù)(hu):開(kāi)啟關(guān)(guan)閉SSID、終(zhong)端綁定審批�、二(er)維碼上網(wǎng)審核(he)
故障、審批(pi)實(shí)時(shí)通知(zhi):AP離線(xian)警告�、服務(wù)器(qi)離線警告(gao)、網(wǎng)絡(luò)攻擊(ji)告警(jing)
方案優(yōu)勢(shì)(shi):
1��、最豐(feng)富的無(wú)(wu)線安(an)全機(jī)制����,提供(gong)從安全接入到(dao)安全上(shang)網(wǎng)等端到端(duan)的安(an)全策(ce)略
2��、合理管控工作(zuo)人員上網(wǎng)行為(wei)��,提升(sheng)工作效率����、防(fang)止帶(dai)寬浪(lang)費(fèi)�,有線無(wú)線雙(shuang)重管控
3����、為會(huì)議(yi)室,報(bào)告廳等人(ren)員密集(ji)區(qū)域接入網(wǎng)絡(luò)(luo)提高(gao)保證�,解(jie)決有線網(wǎng)口不(bu)足的問(wèn)題(ti);
4���、為企業(yè)員工(gong)的移動(dòng)辦公提(ti)供支撐(cheng)����,內(nèi)部員工可(ke)通過(guò)無(wú)線網(wǎng)絡(luò)(luo)隨時(shí)(shi)安全接入(ru)內(nèi)部網(wǎng)(wang)絡(luò)��,實(shí)現(xiàn)辦(ban)公�����;
5、內(nèi)部(bu)員工賬(zhang)號(hào)及個(gè)人(ren)信息綁(bang)定�����,便(bian)于安全(quan)管理�;
6、內(nèi)部員工可通(tong)過(guò)自己的辦公(gong)設(shè)備在企業(yè)大(da)樓內(nèi)(nei)快速移(yi)動(dòng)辦(ban)公���,網(wǎng)絡(luò)接入(ru)更快速(su)�����,上網(wǎng)行(xing)為管理系統(tǒng)(tong)對(duì)員工上網(wǎng)(wang)行為進(jìn)行(xing)審計(jì)與管(guan)控
7����、來(lái)訪客戶接入(ru)企業(yè)網(wǎng)(wang)絡(luò)�,可根據(jù)(ju)不同需求(qiu),分配不同(tong)的上網(wǎng)(wang)權(quán)限���,保證了接(jie)入的安(an)全性同時(shí)提(ti)升群眾上網(wǎng)的(de)體驗(yàn)
8��、豐富的(de)認(rèn)證機(jī)制���,滿(man)足組(zu)織對(duì)無(wú)(wu)線網(wǎng)(wang)絡(luò)安全(quan)�����、快速接入(ru)
9�、投資(zi)成本低(di)���,通過(guò)(guo)部署無(wú)(wu)線控制器(qi)替換原有網(wǎng)(wang)絡(luò)的(de)出口路由(you)�、行為管理以(yi)及無(wú)線(xian)控制器(qi)
