大型企(qi)業(yè)在(zai)無線網(wǎng)(wang)絡(luò)建設(shè)(she)期間要(yao)充分(fen)考慮訪客(ke)（領(lǐng)導(dǎo)、客戶、合作(zuo)伙伴(ban)）接入(ru)網(wǎng)絡(luò)的需(xu)求。首(shou)先從安全性考(kao)慮，訪(fang)客網(wǎng)絡(luò)必須(xu)要和辦公(gong)網(wǎng)絡(luò)分開(kai)，訪客網(wǎng)(wang)絡(luò)單獨提供給(gei)訪客(ke)使用。從用戶(hu)體驗角度(du)考慮，訪(fang)客接入網(wǎng)絡(luò)的(de)驗證方式(shi)一定要做到(dao)簡單易行(xing)，繁瑣的(de)驗證(zheng)方式會(hui)降低訪客對(dui)企業(yè)的整體印(yin)象。同(tong)時對(dui)于訪客網(wǎng)絡(luò)(luo)，企業(yè)(ye)還需(xu)要建立完(wan)善的(de)網(wǎng)絡(luò)安全(quan)管理機制，避免(mian)由于(yu)訪客的網(wǎng)(wang)絡(luò)不良訪問給(gei)企業(yè)帶來的法(fa)律風險。對于企(qi)業(yè)員(yuan)工移動(dong)辦公上網(wǎng)，更需(xu)要做到可(ke)管控，上網(wǎng)行為(wei)做到可追溯(su)，企業(yè)有效的(de)帶寬資源得(de)到合理的(de)分配(pei)和保證，才能使(shi)企業(yè)的業(yè)務(wù)系(xi)統(tǒng)正常且穩(wěn)定(ding)高效地運行，同(tong)時保證企業(yè)信(xin)息安全，避(bi)免機密(mi)信息泄露(lu)。

存在(zai)的問題（用戶(hu)需求）

1、接入不安(an)全：缺乏(fa)安全可靠(kao)的認證(zheng)機制，企(qi)業(yè)無線網(wǎng)絡(luò)(luo)接入不(bu)安全(quan)

2、上網(wǎng)權(quán)限混亂(luan)：缺乏有效的控(kong)制策略，員工上(shang)網(wǎng)權(quán)限不分明(ming)

3、數(shù)據(jù)信息安(an)全：缺乏有效(xiao)的數(shù)據(jù)(ju)加密機制(zhi)，企業(yè)數(shù)據(jù)(ju)被黑客(ke)竊取篡(cuan)改

4、無線信號差(cha)：AP性能不佳，上(shang)網(wǎng)總掉線，點位(wei)規(guī)劃不合理，信(xin)號盲(mang)區(qū)多(duo)

5、漫游(you)效果差：不(bu)能實現(xiàn)二(er)三層(ceng)漫游，移動辦公(gong)時，業(yè)務(wù)(wu)中斷

解決方(fang)案：

結(jié)合用戶無(wu)線網(wǎng)絡(luò)(luo)需求情況，結(jié)合(he)產(chǎn)品自身(shen)技術(shù)特點，為了(le)滿足用戶構(gòu)建(jian)一個高速、穩(wěn)(wen)定、安全、可(ke)靠、易于(yu)管理的(de)無線接入(ru)網(wǎng)絡(luò)的需求，本(ben)設(shè)計方案按(an)照AP+AC的結(jié)(jie)構(gòu)化(hua)無線網(wǎng)絡(luò)(luo)解決(jue)方案進行(xing)設(shè)計。具(ju)體設(shè)計為在(zai)總部設(shè)置總部(bu)AC,在大(da)型分(fen)支機構(gòu)設(shè)置(zhi)分支AC與分支(zhi)AP，中型分支(zhi)機構(gòu)設(shè)計(ji)二級(ji)，三級交換機，分(fen)支AP。小微型分(fen)支機(ji)構(gòu)直接設(shè)置(zhi)分支AP。總部AC可以(yi)對大型分支機(ji)構(gòu)的AC進行管理(li)，當網(wǎng)點控制(zhi)器采用集中(zhong)管理的模式進(jin)入到中心(xin)端控(kong)制器時，會自動(dong)下載(zai)中心端的公(gong)共配置(zhi)，比如IP組、MAC地址庫(ku)、時間計劃(hua)、角色授權(quán)、認(ren)證頁面等 。總(zong)部AC也(ye)可以直接管(guan)理中(zhong)小型分支(zhi)機構(gòu)的(de)分支AP，實現(xiàn)(xian)統(tǒng)一管理。

方案設(shè)計(ji)：

安全無線(xian)整體(ti)解決(jue)方案：

接入前&接入(ru)時進行(xing)身份認證、安(an)全無線網(wǎng)卡、賬(zhang)號綁定(ding)（硬件碼+手機號(hao)），非法(fa)熱點檢(jian)測及(ji)防御、網(wǎng)(wang)絡(luò)攻擊(ji)防護、射頻(pin)定時關(guān)(guan)閉及安全(quan)加固。

接入后&上網(wǎng)時(shi)進行訪問權(quán)(quan)限控制。

上網(wǎng)后進(jin)行上網(wǎng)行(xing)為記錄(lu)。

上網(wǎng)(wang)用戶(hu)身份實(shi)名認證(zheng)：

無線辦公網(wǎng)(wang)采用802.1X/Portal/WAPI認證(zheng)，外置AAA和RADIUS+AD用于(yu)存儲用戶賬號(hao)密碼(ma)。

每個賬號對(dui)應(yīng)一個員工(gong)，包括姓名、部門(men)、性別(bie)以及身份證(zheng)、手機(ji)號等個人(ren)信息，保證每個(ge)上網(wǎng)的賬號都(dou)是可尋的，便(bian)于安全管(guan)理。

用戶輸(shu)入賬號密(mi)碼上網(wǎng)驗證(zheng)時均采用加密(mi)傳輸，防止(zhi)黑客空中(zhong)攔截，竊(qie)取賬號密碼等(deng)數(shù)據(jù)。

上網(wǎng)賬號自(zi)動綁定終(zhong)端：

自動將賬號(hao)與終端的硬件(jian)特征碼進行綁(bang)定，防止(zhi)賬號(hao)被他人使用(yong)或者被盜用。

每臺(tai)設(shè)備的硬(ying)件特征(zheng)碼是唯(wei)一的(de)，無法通過軟(ruan)件修(xiu)改。即使通過軟(ruan)件修改了仍(reng)然可(ke)以識別原(yuan)始的。

每個賬號最(zui)多可以綁(bang)定5臺終(zhong)端，超過1臺時需(xu)要管理員審核(he)。

上網(wǎng)賬(zhang)號二次綁(bang)定手機號碼：

賬號首次登(deng)陸時需(xu)要綁(bang)定手機(ji)號并輸入短(duan)信驗(yan)證碼，當(dang)用戶賬(zhang)號在新終(zhong)端登陸時（換終(zhong)端/被(bei)他用/被盜），不僅(jin)需要(yao)輸入密碼，還(hai)需要輸入短信(xin)驗證碼，解決(jue)員工賬號(hao)認證的安(an)全問題

綁定手機號(hao)碼的(de)用戶，可以(yi)自助重置密(mi)碼和修改密碼(ma)，無需通過IT管(guan)理員。

用戶密碼(ma)管理及(ji)自助修改(gai)：

無需通(tong)過管理員即(ji)可修改密碼，提(ti)高效率及(ji)減輕(qing)管理員工(gong)作壓力(li)。

通過口(kou)袋助理、釘(ding)釘、企業(yè)號(hao)等手(shou)機MOA類APP軟(ruan)件進行(xing)無線密碼(ma)修改。

若賬號綁(bang)定了手機號(hao)碼，可通過手(shou)機驗證碼(ma)自助修改。

上網(wǎng)終端合法(fa)效驗：

采用安全無(wu)線網(wǎng)卡(ka)接入無線網(wǎng)絡(luò)(luo)，終端與AP熱(re)點的(de)雙向驗(yan)證，提高安全性(xing)。

可以將無線(xian)網(wǎng)絡(luò)設(shè)(she)置為(wei)只有安裝(zhuang)了安全無線網(wǎng)(wang)卡的(de)終端才能(neng)接入無線網(wǎng)絡(luò)(luo)。

支持設(shè)置安(an)全無線網(wǎng)卡只(zhi)能連指定SSID無線(xian)網(wǎng)絡(luò)，無(wu)法連接(jie)非授權(quán)SSID。

網(wǎng)卡與AP數(shù)據(jù)(ju)傳輸時自動進(jin)行數(shù)據(jù)(ju)加密，保證無線(xian)的空口安(an)全。

無線(xian)熱點掃描及非(fei)法熱點抑制(zhi)：

背景(jing)：黑客在附(fu)近搭建(jian)一個一模一樣(yang)或者(zhe)類似的WIFI名稱，誘(you)使用(yong)戶連到虛(xu)假釣魚WIFI上(shang)，黑客利(li)用分(fen)析軟(ruan)件從用(yong)戶上網(wǎng)(wang)產(chǎn)生的數(shù)據(jù)(ju)包中分析提(ti)取用戶隱(yin)私信息。

我們通過(guo)WIPS無線入(ru)侵防御系統(tǒng)實(shi)時檢測周(zhou)圍無線信號(hao)，當檢測出來(lai)的信號BSSID、且AP源(yuan)MAC地址不在(zai)授權(quán)列表中時(shi)，我們向(xiang)對應(yīng)的AP和終端(duan)發(fā)送解(jie)除關(guān)聯(lián)幀，讓(rang)終端無(wu)法連上(shang)釣魚WIFI。7×24小(xiao)時不間斷監(jiān)測(ce)網(wǎng)絡(luò)。

上網(wǎng)行為(wei)嚴格(ge)控制：

強大(da)的管理：通(tong)過應(yīng)(ying)用識(shi)別技術(shù)，可(ke)以根據(jù)應(yīng)(ying)用類(lei)型或者具體某(mou)一種應(yīng)用進行(xing)封堵，包括視(shi)頻、論(lun)壇、游戲(xi)、金融、下載(zai)等2400多種網(wǎng)絡(luò)應(yīng)(ying)用。

通過應(yīng)用識別(bie)技術(shù)(shu)，可以根據(jù)(ju)應(yīng)用類型或者(zhe)具體某一(yi)種應(yīng)(ying)用進(jin)行封(feng)堵，比(bi)如上班時(shi)間不允(yun)許炒股，不允(yun)許P2P下(xia)載，不允(yun)許外發(fā)敏(min)感文件等； 支(zhi)持主(zhu)流移動平臺(tai)，可識別IM、社交(jiao)、Mail、新聞、炒股等應(yīng)(ying)用。

無線控(kong)制器內(nèi)(nei)置千萬級(ji)別的URL分類(lei)庫，能(neng)夠?qū)RL進行識(shi)別，包(bao)含新聞(wen)、購物(wu)、金融、教育等(deng)18個種類的(de)URL地址； 準確識(shi)別目前(qian)主流網(wǎng)站，識(shi)別率高達(da)99.9%，有效(xiao)實現(xiàn)(xian)網(wǎng)頁過濾(lv)。例如禁(jin)止登陸(lu)非法網(wǎng)站

通過(guo)基于時(shi)間段的訪問控(kong)制策略(lve)，實現(xiàn)不同的(de)時間段不(bu)同的訪問權(quán)限(xian)，比如上班時間(jian)，禁止(zhi)訪問網(wǎng)上銀(yin)行、游戲、論(lun)壇貼(tie)吧等與工作無(wu)關(guān)的應(yīng)用(yong)，下班時(shi)間則不受(shou)限制。

辦公區(qū)域內(nèi)(nei)，不同辦公部門(men)總會有各自(zi)專屬的無線(xian)網(wǎng)絡(luò)，并且不(bu)希望部(bu)門之外的(de)成員使(shi)用這個網(wǎng)(wang)絡(luò)。無線網(wǎng)(wang)絡(luò)控制器可以(yi)根據(jù)用戶(hu)的屬(shu)性，限制(zhi)禁止非(fei)本部門的用(yong)戶接入(ru)。

典型無(wu)線網(wǎng)絡(luò)(luo)攻擊防護：

對典型的(de)危險攻(gong)擊行為進行(xing)檢測，當(dang)超過設(shè)定的閾(yu)值后自(zi)動將(jiang)攻擊者(zhe)加入(ru)到黑名(ming)單中，并凍結(jié)(jie)一定(ding)時間，即時(shi)發(fā)現(xiàn)網(wǎng)絡(luò)攻(gong)擊并進行(xing)防御。

檢測的攻擊包(bao)括：DDOS防御、ARP掃(sao)描、IP掃描、端口(kou)掃描防(fang)御，禁止客(ke)戶端(duan)私設(shè)IP以(yi)及ARP、網(wǎng)關(guān)欺騙(pian)防御、DHCP請求泛(fan)洪防御。

無線(xian)射頻定時關(guān)(guan)閉開(kai)啟：

通過射頻關(guān)(guan)閉控制(zhi)策略，可以指(zhi)定某SSID網(wǎng)絡(luò)，定時(shi)自動(dong)關(guān)閉和開啟無(wu)線網(wǎng)絡(luò)(luo)的射頻信(xin)號，晚上下班后(hou)自動關(guān)閉無線(xian)射頻信號。

一方面(mian)可以節(jié)(jie)能減(jian)排、節(jié)省電費支(zhi)出；另一(yi)方面又能(neng)防止非法用戶(hu)利用(yong)深夜時間入(ru)侵無線(xian)網(wǎng)絡(luò)，做一些(xie)非法的操(cao)作。

有線(xian)無線一(yi)體化管理：

NAC的有線無(wu)線一(yi)體化，支持對有(you)線用戶的接入(ru)認證、訪問(wen)控制、流量管理(li)、上網(wǎng)行為(wei)審計等，

并提供統(tǒng)一中(zhong)文Web管(guan)理界面，一站(zhan)式服(fu)務(wù)，極大(da)的降低網(wǎng)絡(luò)建(jian)設(shè)成本。

網(wǎng)絡(luò)(luo)分權(quán)分級管(guan)理：

分配(pei)不同的管理(li)員分別管(guan)理各自權(quán)限區(qū)(qu)域的無線(xian)AP，可以精細(xi)到對某AP分(fen)組有管理權(quán)(quan)限，該管理員(yuan)可以在(zai)該AP分(fen)組上建(jian)立無(wu)線網(wǎng)絡(luò)(luo)，能夠激活、刪除(chu)接入點，能(neng)夠?qū)P的(de)配置(zhi)進行(xing)編輯修(xiu)改。

可指定管理(li)員針對每個頁(ye)面的編輯(ji)或可查看權(quán)限(xian)，控制(zhi)粒度到控制器(qi)上的各個頁面(mian)，對某個頁面(mian)沒有讀權(quán)限則(ze)登錄時不(bu)顯示(shi)。

移動APP隨時(shi)隨地(di)運維管理：

支持跨互聯(lián)(lian)網(wǎng)運維管(guan)理

登陸(lu)APP進行維護(hu)管理：不同(tong)管理員(yuan)，不同權(quán)限(xian)

查看(kan)網(wǎng)絡(luò)運行情況(kuang)：在線用戶、在(zai)線AP數(shù)(shu)量、實(shi)時流量

無線網(wǎng)絡(luò)管理(li)維護：開啟關(guān)(guan)閉SSID、終(zhong)端綁(bang)定審批(pi)、二維碼上網(wǎng)(wang)審核

故障、審批(pi)實時(shi)通知：AP離線警告(gao)、服務(wù)器(qi)離線警告、網(wǎng)絡(luò)(luo)攻擊告(gao)警

方案優(yōu)勢：

1、最豐富的無(wu)線安全機制，提(ti)供從安全接(jie)入到安全上(shang)網(wǎng)等(deng)端到端(duan)的安全策略(lve)

2、合理管控工(gong)作人員上網(wǎng)行(xing)為，提升工(gong)作效率(lv)、防止帶寬浪費(fei)，有線無線雙重(zhong)管控

3、為會議室(shi)，報告(gao)廳等人員密集(ji)區(qū)域接入網(wǎng)(wang)絡(luò)提高保證，解(jie)決有線網(wǎng)(wang)口不(bu)足的問題；

4、為企業(yè)員工(gong)的移動辦公(gong)提供(gong)支撐(cheng)，內(nèi)部(bu)員工(gong)可通過無(wu)線網(wǎng)絡(luò)隨時安(an)全接入內(nèi)(nei)部網(wǎng)絡(luò)(luo)，實現(xiàn)(xian)辦公；

5、內(nèi)部員工賬(zhang)號及個(ge)人信息綁(bang)定，便于安(an)全管理；

6、內(nèi)部(bu)員工可通過(guo)自己的辦公設(shè)(she)備在企業(yè)(ye)大樓內(nèi)快(kuai)速移動辦公(gong)，網(wǎng)絡(luò)接入更(geng)快速，上網(wǎng)行(xing)為管理系統(tǒng)(tong)對員工上(shang)網(wǎng)行(xing)為進(jin)行審計(ji)與管控

7、來訪客(ke)戶接(jie)入企(qi)業(yè)網(wǎng)(wang)絡(luò)，可(ke)根據(jù)不同需求(qiu)，分配不(bu)同的上網(wǎng)權(quán)(quan)限，保證了(le)接入的安全(quan)性同(tong)時提升群眾上(shang)網(wǎng)的體(ti)驗

8、豐富的認證(zheng)機制，滿足組(zu)織對無線網(wǎng)(wang)絡(luò)安全、快(kuai)速接入(ru)

9、投資成本低(di)，通過部署無(wu)線控制器替(ti)換原有(you)網(wǎng)絡(luò)(luo)的出口路(lu)由、行為(wei)管理以及無線(xian)控制器