?
大型(xing)企業(yè)在無線(xian)網(wǎng)絡(luò)建設(shè)期間(jian)要充(chong)分考慮訪客(ke)(領(lǐng)導(dǎo)����、客戶����、合作(zuo)伙伴)接入網(wǎng)(wang)絡(luò)的需求(qiu)。首先從安全(quan)性考慮���,訪客網(wǎng)(wang)絡(luò)必須要(yao)和辦公(gong)網(wǎng)絡(luò)(luo)分開��,訪客網(wǎng)絡(luò)(luo)單獨(dú)提(ti)供給(gei)訪客使用�����。從(cong)用戶體(ti)驗(yàn)角度考慮�,訪(fang)客接入(ru)網(wǎng)絡(luò)的驗(yàn)(yan)證方式(shi)一定(ding)要做到簡單(dan)易行�,繁瑣(suo)的驗(yàn)證方(fang)式會(hui)降低訪客(ke)對企(qi)業(yè)的整體印象(xiang)。同時對(dui)于訪客網(wǎng)(wang)絡(luò)�,企業(yè)(ye)還需要建立(li)完善的網(wǎng)絡(luò)(luo)安全(quan)管理機(jī)(ji)制,避免(mian)由于訪客(ke)的網(wǎng)絡(luò)(luo)不良訪問給(gei)企業(yè)帶來(lai)的法律風(fēng)(feng)險�。對于企(qi)業(yè)員工(gong)移動辦公上(shang)網(wǎng),更需(xu)要做到可管控(kong)����,上網(wǎng)(wang)行為做(zuo)到可追(zhui)溯,企業(yè)有效的(de)帶寬資源得到(dao)合理的分配和(he)保證�,才能(neng)使企(qi)業(yè)的(de)業(yè)務(wù)系統(tǒng)(tong)正常且穩(wěn)定高(gao)效地運(yùn)行(xing),同時保證(zheng)企業(yè)信息安全(quan)�����,避免機(jī)(ji)密信息泄露����。
存在(zai)的問題(用(yong)戶需求)
1、接入不安全:缺(que)乏安(an)全可靠的認(rèn)證(zheng)機(jī)制(zhi)����,企業(yè)無線(xian)網(wǎng)絡(luò)接入(ru)不安(an)全
2���、上網(wǎng)權(quán)限混(hun)亂:缺乏有效的(de)控制策略,員工(gong)上網(wǎng)(wang)權(quán)限不分明
3����、數(shù)據(jù)(ju)信息安全:缺乏(fa)有效的(de)數(shù)據(jù)加密機(jī)制(zhi),企業(yè)(ye)數(shù)據(jù)被黑客(ke)竊取篡改(gai)
4�����、無線信號(hao)差:AP性(xing)能不佳�,上(shang)網(wǎng)總掉線,點(diǎn)(dian)位規(guī)劃(hua)不合理(li)�,信號盲區(qū)(qu)多
5、漫游效(xiao)果差:不能實(shí)(shi)現(xiàn)二三(san)層漫游����,移動辦(ban)公時,業(yè)務(wù)中(zhong)斷
解決(jue)方案:
結(jié)合(he)用戶(hu)無線網(wǎng)絡(luò)需求(qiu)情況(kuang)����,結(jié)合(he)產(chǎn)品自身技(ji)術(shù)特點(diǎn),為了(le)滿足用戶構(gòu)建(jian)一個高速、穩(wěn)定(ding)�、安全、可(ke)靠�、易于(yu)管理的無線(xian)接入網(wǎng)絡(luò)(luo)的需(xu)求���,本設(shè)(she)計方案按照(zhao)AP+AC的結(jié)構(gòu)(gou)化無線網(wǎng)絡(luò)解(jie)決方案進(jìn)行設(shè)(she)計�����。具體設(shè)計為(wei)在總部設(shè)置(zhi)總部AC,在大型(xing)分支機(jī)構(gòu)(gou)設(shè)置分支AC與(yu)分支AP�,中型(xing)分支機(jī)構(gòu)(gou)設(shè)計(ji)二級(ji)�,三級交換機(jī),分(fen)支AP�。小微(wei)型分支機(jī)(ji)構(gòu)直接設(shè)置分(fen)支AP??偛緼C可以(yi)對大型分(fen)支機(jī)構(gòu)的(de)AC進(jìn)行管理,當(dāng)(dang)網(wǎng)點(diǎn)控制(zhi)器采用集中(zhong)管理(li)的模式進(jìn)(jin)入到中(zhong)心端控制器時(shi)����,會自動下載(zai)中心端(duan)的公共配(pei)置,比(bi)如IP組���、MAC地址庫�、時(shi)間計劃����、角色授(shou)權(quán)����、認(rèn)(ren)證頁面等 �����?����?偛?bu)AC也可(ke)以直接(jie)管理中小型分(fen)支機(jī)構(gòu)(gou)的分支AP�����,實(shí)(shi)現(xiàn)統(tǒng)(tong)一管理(li)��。
方案(an)設(shè)計(ji):
安全無(wu)線整體解(jie)決方案:
接入前&接入(ru)時進(jìn)行身(shen)份認(rèn)證����、安全無(wu)線網(wǎng)卡、賬號(hao)綁定(硬(ying)件碼+手機(jī)(ji)號)���,非法熱(re)點(diǎn)檢測及防(fang)御����、網(wǎng)絡(luò)(luo)攻擊防護(hù)、射(she)頻定時(shi)關(guān)閉(bi)及安全加固����。
接入后&上網(wǎng)時(shi)進(jìn)行(xing)訪問權(quán)(quan)限控(kong)制����。
上網(wǎng)(wang)后進(jìn)行上網(wǎng)(wang)行為記錄。
上網(wǎng)用戶身(shen)份實(shí)名認(rèn)(ren)證:
無線辦公(gong)網(wǎng)采(cai)用802.1X/Portal/WAPI認(rèn)(ren)證�,外置(zhi)AAA和RADIUS+AD用(yong)于存儲用戶(hu)賬號密碼(ma)。
每個賬號(hao)對應(yīng)一個(ge)員工(gong)�����,包括(kuo)姓名�、部門(men)、性別以(yi)及身(shen)份證���、手機(jī)號(hao)等個人信(xin)息��,保(bao)證每個上網(wǎng)(wang)的賬號都是(shi)可尋的��,便(bian)于安全(quan)管理�。
用戶輸(shu)入賬號密(mi)碼上網(wǎng)驗(yàn)證時(shi)均采用加密傳(chuan)輸,防(fang)止黑客空中(zhong)攔截�,竊取賬號(hao)密碼等數(shù)據(jù)。
上網(wǎng)(wang)賬號自動(dong)綁定終端:
自動將賬號(hao)與終端的硬(ying)件特征碼進(jìn)(jin)行綁定�,防止賬(zhang)號被他人使(shi)用或者被盜用(yong)。
每臺設(shè)備(bei)的硬件特征碼(ma)是唯一的�,無(wu)法通過(guo)軟件修改。即(ji)使通(tong)過軟件(jian)修改了仍(reng)然可以識(shi)別原始(shi)的��。
每個賬號(hao)最多可(ke)以綁(bang)定5臺終端�����,超過(guo)1臺時需(xu)要管理(li)員審(shen)核����。
上網(wǎng)(wang)賬號二次綁(bang)定手機(jī)號(hao)碼:
賬號首(shou)次登陸時需要(yao)綁定(ding)手機(jī)號并(bing)輸入短信驗(yàn)(yan)證碼,當(dāng)用(yong)戶賬(zhang)號在新終端(duan)登陸時(換終端(duan)/被他用/被(bei)盜)����,不僅需(xu)要輸(shu)入密碼,還需要(yao)輸入短信(xin)驗(yàn)證碼����,解(jie)決員工賬(zhang)號認(rèn)證的安全(quan)問題(ti)
綁定手機(jī)(ji)號碼的用戶(hu)�,可以自助重置(zhi)密碼和修改(gai)密碼�����,無(wu)需通(tong)過IT管理員����。
用戶密碼(ma)管理(li)及自助修(xiu)改:
無需通過管(guan)理員即可修改(gai)密碼,提高(gao)效率及減(jian)輕管理(li)員工(gong)作壓力����。
通過口(kou)袋助理�、釘(ding)釘、企業(yè)號等手(shou)機(jī)MOA類APP軟件進(jìn)行(xing)無線密碼(ma)修改�����。
若賬號綁定(ding)了手機(jī)(ji)號碼(ma)��,可通過手(shou)機(jī)驗(yàn)證(zheng)碼自助修改���。
上網(wǎng)(wang)終端合(he)法效驗(yàn):
采用安(an)全無線網(wǎng)卡接(jie)入無線網(wǎng)絡(luò)(luo)�����,終端(duan)與AP熱點(diǎn)的雙(shuang)向驗(yàn)證����,提(ti)高安全性。
可以將無(wu)線網(wǎng)絡(luò)設(shè)置為(wei)只有安(an)裝了安全無線(xian)網(wǎng)卡的終端(duan)才能接(jie)入無線網(wǎng)絡(luò)����。
支持設(shè)置安(an)全無線網(wǎng)卡(ka)只能連指定SSID無(wu)線網(wǎng)絡(luò),無法(fa)連接非授權(quán)SSID�����。
網(wǎng)卡與AP數(shù)據(jù)傳(chuan)輸時自動進(jìn)行(xing)數(shù)據(jù)加密�,保證(zheng)無線的空口(kou)安全。
無線熱點(diǎn)(dian)掃描及非法(fa)熱點(diǎn)抑制:
背景:黑(hei)客在附近搭(da)建一個一模(mo)一樣或者(zhe)類似的WIFI名稱�,誘(you)使用戶(hu)連到虛(xu)假釣(diao)魚WIFI上,黑客(ke)利用(yong)分析軟件(jian)從用戶(hu)上網(wǎng)產(chǎn)(chan)生的(de)數(shù)據(jù)包中分(fen)析提取用(yong)戶隱私信息���。
我們通過WIPS無線(xian)入侵防御系(xi)統(tǒng)實(shí)時檢測周(zhou)圍無線信號(hao)�����,當(dāng)檢測(ce)出來的信號(hao)BSSID�����、且AP源MAC地址不在(zai)授權(quán)列(lie)表中時����,我們向(xiang)對應(yīng)(ying)的AP和終(zhong)端發(fā)(fa)送解(jie)除關(guān)(guan)聯(lián)幀(zhen),讓終端無法連(lian)上釣魚(yu)WIFI�����。7×24小時不(bu)間斷監(jiān)測(ce)網(wǎng)絡(luò)���。
上網(wǎng)行為嚴(yán)格(ge)控制(zhi):
強(qiáng)大的管理:通(tong)過應(yīng)用識(shi)別技術(shù)��,可以(yi)根據(jù)應(yīng)用(yong)類型或者具體(ti)某一種應(yīng)用(yong)進(jìn)行封堵�,包(bao)括視頻�����、論壇(tan)�、游戲����、金融、下載(zai)等2400多種網(wǎng)絡(luò)(luo)應(yīng)用�����。
通過應(yīng)用識(shi)別技術(shù),可(ke)以根據(jù)(ju)應(yīng)用類型(xing)或者具體某(mou)一種應(yīng)用進(jìn)行(xing)封堵����,比(bi)如上班時(shi)間不允許(xu)炒股(gu),不允許P2P下載(zai)����,不允許外(wai)發(fā)敏感文件(jian)等; 支持主流移(yi)動平(ping)臺�����,可識別(bie)IM�����、社交��、Mail�、新聞(wen)、炒股等(deng)應(yīng)用(yong)�����。
無線(xian)控制(zhi)器內(nèi)置千萬級(ji)別的(de)URL分類庫,能夠?qū)?dui)URL進(jìn)行識別��,包含(han)新聞(wen)�����、購物����、金融、教(jiao)育等18個(ge)種類的URL地址���; 準(zhǔn)(zhun)確識別目前(qian)主流網(wǎng)站�,識別(bie)率高達(dá)(da)99.9%���,有效實(shí)現(xiàn)網(wǎng)(wang)頁過濾(lv)�。例如禁止登(deng)陸非(fei)法網(wǎng)站
通過基于時(shi)間段的訪問(wen)控制(zhi)策略�����,實(shí)(shi)現(xiàn)不同的時(shi)間段(duan)不同的訪問(wen)權(quán)限�,比(bi)如上班(ban)時間�,禁止(zhi)訪問網(wǎng)上銀(yin)行����、游戲��、論壇貼(tie)吧等與工(gong)作無關(guān)(guan)的應(yīng)用����,下(xia)班時(shi)間則不受(shou)限制。
辦公區(qū)域內(nèi)�,不(bu)同辦公部門(men)總會有各自(zi)專屬的無線網(wǎng)(wang)絡(luò),并且不希(xi)望部門之(zhi)外的(de)成員使(shi)用這個網(wǎng)(wang)絡(luò)�����。無線網(wǎng)絡(luò)控(kong)制器可以根(gen)據(jù)用(yong)戶的屬性��,限(xian)制禁止非(fei)本部門的用戶(hu)接入����。
典型無線網(wǎng)絡(luò)(luo)攻擊防(fang)護(hù):
對典型的危險(xian)攻擊行(xing)為進(jìn)行(xing)檢測,當(dāng)(dang)超過設(shè)定的閾(yu)值后自動將攻(gong)擊者加入到(dao)黑名單中���,并凍(dong)結(jié)一定時間(jian)�����,即時(shi)發(fā)現(xiàn)網(wǎng)(wang)絡(luò)攻擊并進(jìn)行(xing)防御�。
檢測(ce)的攻擊(ji)包括:DDOS防御、ARP掃描(miao)����、IP掃描、端口掃描(miao)防御���,禁止客戶(hu)端私設(shè)IP以及(ji)ARP�、網(wǎng)關(guān)欺騙防(fang)御���、DHCP請求泛洪防(fang)御��。
無線射頻(pin)定時關(guān)閉開(kai)啟:
通過射(she)頻關(guān)閉控(kong)制策略�,可(ke)以指(zhi)定某SSID網(wǎng)絡(luò)(luo)����,定時自動關(guān)(guan)閉和(he)開啟無線(xian)網(wǎng)絡(luò)的(de)射頻信(xin)號,晚上(shang)下班后自動(dong)關(guān)閉(bi)無線(xian)射頻信(xin)號�����。
一方面可以(yi)節(jié)能(neng)減排�����、節(jié)省電(dian)費(fèi)支出����;另(ling)一方面又(you)能防止非(fei)法用戶利用深(shen)夜時間入侵無(wu)線網(wǎng)絡(luò),做一(yi)些非(fei)法的操作�。
有線無線(xian)一體化(hua)管理:
NAC的有線無(wu)線一(yi)體化,支持對有(you)線用戶的接(jie)入認(rèn)(ren)證���、訪問(wen)控制��、流量管理(li)��、上網(wǎng)(wang)行為審計等(deng)�,
并提供統(tǒng)一中(zhong)文Web管理界面(mian)��,一站式服務(wù)���,極(ji)大的降(jiang)低網(wǎng)(wang)絡(luò)建設(shè)成本����。
網(wǎng)絡(luò)(luo)分權(quán)分級管(guan)理:
分配(pei)不同的管理員(yuan)分別(bie)管理各(ge)自權(quán)限區(qū)域的(de)無線AP,可以精細(xì)(xi)到對某AP分組有(you)管理(li)權(quán)限����,該管(guan)理員可以(yi)在該AP分組(zu)上建立無(wu)線網(wǎng)(wang)絡(luò),能夠激活(huo)�����、刪除(chu)接入(ru)點(diǎn)�����,能夠?qū)P的(de)配置進(jìn)(jin)行編輯修改�。
可指定管(guan)理員(yuan)針對每(mei)個頁面的編(bian)輯或可查(cha)看權(quán)限,控(kong)制粒度到控(kong)制器(qi)上的各個頁面(mian)�����,對某個頁面沒(mei)有讀權(quán)(quan)限則登錄(lu)時不顯示����。
移動APP隨(sui)時隨地運(yùn)維管(guan)理:
支持跨互(hu)聯(lián)網(wǎng)運(yùn)維管(guan)理
登陸(lu)APP進(jìn)行維(wei)護(hù)管(guan)理:不同管理(li)員,不(bu)同權(quán)限
查看(kan)網(wǎng)絡(luò)(luo)運(yùn)行情況:在(zai)線用(yong)戶���、在線AP數(shù)量���、實(shí)(shi)時流量
無線網(wǎng)絡(luò)管(guan)理維護(hù):開(kai)啟關(guān)閉SSID����、終端(duan)綁定(ding)審批����、二維(wei)碼上網(wǎng)(wang)審核
故障�、審批實(shí)時(shi)通知:AP離線警(jing)告、服務(wù)(wu)器離線警告����、網(wǎng)(wang)絡(luò)攻(gong)擊告(gao)警
方案優(yōu)勢:
1、最豐富的無(wu)線安全(quan)機(jī)制(zhi)����,提供從安(an)全接入(ru)到安(an)全上網(wǎng)(wang)等端到端(duan)的安全策略
2、合理管(guan)控工(gong)作人(ren)員上網(wǎng)行為�,提(ti)升工作效(xiao)率、防止帶寬(kuan)浪費(fèi)�,有線無(wu)線雙重(zhong)管控
3、為會(hui)議室���,報告(gao)廳等人員密集(ji)區(qū)域接(jie)入網(wǎng)(wang)絡(luò)提高保(bao)證�,解決有線(xian)網(wǎng)口不(bu)足的問題;
4�����、為企業(yè)員(yuan)工的(de)移動辦公提(ti)供支撐�,內(nèi)部(bu)員工(gong)可通過無(wu)線網(wǎng)(wang)絡(luò)隨時安全接(jie)入內(nèi)部網(wǎng)絡(luò),實(shí)(shi)現(xiàn)辦公(gong)��;
5�����、內(nèi)部員工賬號(hao)及個人信(xin)息綁定(ding)����,便于安全管理(li);
6���、內(nèi)部員(yuan)工可(ke)通過自己(ji)的辦(ban)公設(shè)備在企(qi)業(yè)大樓(lou)內(nèi)快速移動(dong)辦公���,網(wǎng)(wang)絡(luò)接入更快速(su),上網(wǎng)行(xing)為管(guan)理系(xi)統(tǒng)對員工上網(wǎng)(wang)行為(wei)進(jìn)行審計與(yu)管控(kong)
7�����、來訪客戶接入(ru)企業(yè)(ye)網(wǎng)絡(luò),可根(gen)據(jù)不同(tong)需求�����,分(fen)配不(bu)同的上網(wǎng)(wang)權(quán)限(xian)���,保證了接入(ru)的安全性同(tong)時提升群眾(zhong)上網(wǎng)的體驗(yàn)
8�、豐富(fu)的認(rèn)證機(jī)制�,滿(man)足組織對(dui)無線(xian)網(wǎng)絡(luò)安全�����、快速(su)接入
9�、投資成本低,通(tong)過部(bu)署無線(xian)控制器(qi)替換原有(you)網(wǎng)絡(luò)的出口(kou)路由�、行為管理(li)以及(ji)無線控(kong)制器
