?
大型企(qi)業(yè)在(zai)無線網(wǎng)(wang)絡建設期(qi)間要充分考(kao)慮訪客(領(ling)導���、客戶���、合(he)作伙(huo)伴)接(jie)入網(wǎng)絡(luo)的需(xu)求。首(shou)先從安(an)全性考慮�����,訪客(ke)網(wǎng)絡必須要和(he)辦公網(wǎng)絡(luo)分開�,訪(fang)客網(wǎng)絡單(dan)獨提(ti)供給訪(fang)客使用(yong)。從用(yong)戶體(ti)驗角度考慮��,訪(fang)客接入網(wǎng)絡的(de)驗證方(fang)式一定要(yao)做到簡單易行(xing),繁瑣的(de)驗證(zheng)方式會降低(di)訪客(ke)對企(qi)業(yè)的整(zheng)體印(yin)象�����。同時對于訪(fang)客網(wǎng)絡(luo)�,企業(yè)還需要建(jian)立完善的網(wǎng)絡(luo)安全管理(li)機制,避(bi)免由于訪客(ke)的網(wǎng)絡(luo)不良(liang)訪問給企業(yè)(ye)帶來的(de)法律(lv)風險����。對于企業(yè)(ye)員工移動辦公(gong)上網(wǎng),更需(xu)要做(zuo)到可管控�,上(shang)網(wǎng)行為(wei)做到(dao)可追溯,企業(yè)有(you)效的(de)帶寬資源(yuan)得到合理的分(fen)配和保(bao)證�����,才能使企業(yè)(ye)的業(yè)務(wu)系統(tǒng)正常且(qie)穩(wěn)定高效地運(yun)行��,同時保證企(qi)業(yè)信息安(an)全���,避免機(ji)密信息泄露(lu)����。
存在的問題(用(yong)戶需求(qiu))
1���、接入不安全:缺(que)乏安全可靠(kao)的認證機制���,企(qi)業(yè)無線網(wǎng)(wang)絡接入不(bu)安全
2、上網(wǎng)權限混(hun)亂:缺乏有效的(de)控制策(ce)略�����,員工上網(wǎng)權(quan)限不分(fen)明
3�、數(shù)據(jù)信息安(an)全:缺乏有效的(de)數(shù)據(jù)加密(mi)機制,企業(yè)數(shù)(shu)據(jù)被(bei)黑客竊取篡(cuan)改
4����、無線信號(hao)差:AP性能不佳,上(shang)網(wǎng)總掉線����,點(dian)位規(guī)劃不合(he)理,信號盲區(qū)多(duo)
5���、漫游效(xiao)果差:不能實現(xiàn)(xian)二三層漫(man)游�����,移動辦公(gong)時���,業(yè)務中斷
解決(jue)方案:
結合用戶無(wu)線網(wǎng)絡需(xu)求情況(kuang)����,結合產(chǎn)品(pin)自身技(ji)術特點�,為(wei)了滿(man)足用戶構建一(yi)個高(gao)速、穩(wěn)(wen)定��、安(an)全���、可靠����、易于(yu)管理的無線(xian)接入(ru)網(wǎng)絡的需(xu)求�����,本(ben)設計(ji)方案按(an)照AP+AC的(de)結構化無(wu)線網(wǎng)絡解決(jue)方案進行(xing)設計����。具體(ti)設計(ji)為在總部設置(zhi)總部AC,在(zai)大型分(fen)支機構設置分(fen)支AC與(yu)分支AP,中(zhong)型分(fen)支機構設計(ji)二級���,三(san)級交(jiao)換機���,分支(zhi)AP����。小微型分支機(ji)構直接設置(zhi)分支(zhi)AP�����?��?偛緼C可以對(dui)大型(xing)分支機(ji)構的AC進行管理(li),當網(wǎng)點控制器(qi)采用(yong)集中管(guan)理的模式進(jin)入到(dao)中心(xin)端控制器時(shi)���,會自動下(xia)載中(zhong)心端的(de)公共配置(zhi)�����,比如IP組(zu)�、MAC地址庫�����、時(shi)間計(ji)劃�、角色授權(quan)�����、認證頁面(mian)等 ����?��?偛緼C也(ye)可以直(zhi)接管理中(zhong)小型分支(zhi)機構的(de)分支AP�,實現(xiàn)(xian)統(tǒng)一管(guan)理����。
方案設(she)計:
安全無(wu)線整體(ti)解決(jue)方案(an):
接入前&接入時(shi)進行身(shen)份認(ren)證、安(an)全無線網(wǎng)(wang)卡�、賬(zhang)號綁定(ding)(硬件(jian)碼+手機號(hao)),非法熱(re)點檢(jian)測及防御(yu)�����、網(wǎng)絡攻擊防護(hu)���、射頻定(ding)時關閉(bi)及安全(quan)加固���。
接入后(hou)&上網(wǎng)時進行訪(fang)問權限控制�����。
上網(wǎng)后進(jin)行上網(wǎng)(wang)行為(wei)記錄��。
上網(wǎng)用戶(hu)身份實名認(ren)證:
無線辦公(gong)網(wǎng)采用(yong)802.1X/Portal/WAPI認證(zheng)����,外置AAA和(he)RADIUS+AD用于存儲用(yong)戶賬(zhang)號密(mi)碼����。
每個賬號對(dui)應一個員(yuan)工�,包括(kuo)姓名、部(bu)門�����、性別以(yi)及身份證�、手機(ji)號等(deng)個人信息,保(bao)證每個上網(wǎng)(wang)的賬號都是(shi)可尋的�����,便(bian)于安全管理。
用戶輸入(ru)賬號密碼上(shang)網(wǎng)驗證(zheng)時均采(cai)用加密(mi)傳輸(shu)��,防止黑客(ke)空中攔截���,竊(qie)取賬號密碼等(deng)數(shù)據(jù)����。
上網(wǎng)(wang)賬號自動(dong)綁定終端:
自動將(jiang)賬號與(yu)終端的(de)硬件特(te)征碼進行綁定(ding)����,防止賬(zhang)號被(bei)他人使用(yong)或者被(bei)盜用。
每臺設(she)備的硬件(jian)特征碼(ma)是唯一(yi)的�����,無法(fa)通過(guo)軟件修改(gai)���。即使通過軟(ruan)件修(xiu)改了(le)仍然可以(yi)識別(bie)原始的(de)����。
每個賬號最(zui)多可以綁(bang)定5臺終(zhong)端���,超(chao)過1臺時需要管(guan)理員(yuan)審核(he)��。
上網(wǎng)賬(zhang)號二(er)次綁定手(shou)機號(hao)碼:
賬號首次登(deng)陸時需要綁定(ding)手機號并(bing)輸入(ru)短信驗證(zheng)碼���,當用戶賬號(hao)在新終端登陸(lu)時(換終端/被(bei)他用/被盜)�����,不(bu)僅需(xu)要輸入(ru)密碼����,還需要輸(shu)入短信(xin)驗證碼����,解(jie)決員工(gong)賬號認(ren)證的安全問(wen)題
綁定手(shou)機號碼的(de)用戶,可以(yi)自助重置(zhi)密碼(ma)和修(xiu)改密碼���,無需(xu)通過IT管(guan)理員(yuan)。
用戶密碼管理(li)及自(zi)助修改(gai):
無需通過管理(li)員即(ji)可修改密(mi)碼�,提高效(xiao)率及減輕管(guan)理員工作壓力(li)。
通過口袋(dai)助理(li)���、釘釘����、企業(yè)號等(deng)手機MOA類(lei)APP軟件進行無(wu)線密(mi)碼修改(gai)。
若賬號綁(bang)定了手機號碼(ma)����,可通過手機(ji)驗證碼自助(zhu)修改。
上網(wǎng)(wang)終端合法效驗(yan):
采用安全無線(xian)網(wǎng)卡接入(ru)無線(xian)網(wǎng)絡�����,終端與(yu)AP熱點的雙(shuang)向驗證��,提(ti)高安(an)全性(xing)�。
可以將無(wu)線網(wǎng)絡設置(zhi)為只有安裝(zhuang)了安全(quan)無線網(wǎng)卡的終(zhong)端才能接(jie)入無線網(wǎng)絡。
支持設置安全(quan)無線網(wǎng)卡只(zhi)能連指定(ding)SSID無線網(wǎng)絡�,無法(fa)連接(jie)非授權(quan)SSID。
網(wǎng)卡(ka)與AP數(shù)據(jù)傳輸(shu)時自(zi)動進行數(shù)(shu)據(jù)加密���,保(bao)證無(wu)線的(de)空口安(an)全�。
無線熱點(dian)掃描及非法(fa)熱點抑制(zhi):
背景(jing):黑客在(zai)附近搭建一(yi)個一(yi)模一樣或者(zhe)類似(shi)的WIFI名稱����,誘使(shi)用戶連到虛假(jia)釣魚WIFI上,黑(hei)客利用分(fen)析軟件從用(yong)戶上網(wǎng)(wang)產(chǎn)生的數(shù)據(jù)包(bao)中分(fen)析提取用戶隱(yin)私信息�。
我們通過(guo)WIPS無線入侵(qin)防御系(xi)統(tǒng)實時檢測(ce)周圍無(wu)線信號,當(dang)檢測(ce)出來(lai)的信號BSSID�、且AP源(yuan)MAC地址不在授權(quan)列表(biao)中時����,我們向(xiang)對應(ying)的AP和終端發(fā)(fa)送解(jie)除關聯(lián)幀����,讓終(zhong)端無法連上釣(diao)魚WIFI。7×24小時不(bu)間斷監(jiān)測網(wǎng)絡(luo)���。
上網(wǎng)行為嚴格(ge)控制:
強大的管理(li):通過(guo)應用識別技術(shu)�����,可以根據(jù)應(ying)用類型或(huo)者具體某一種(zhong)應用進行(xing)封堵���,包括(kuo)視頻、論壇�����、游(you)戲����、金融�、下載(zai)等2400多(duo)種網(wǎng)絡應用(yong)��。
通過應用識(shi)別技術�����,可以根(gen)據(jù)應(ying)用類型或(huo)者具體(ti)某一種應用進(jin)行封堵�,比如上(shang)班時間不(bu)允許(xu)炒股���,不允許P2P下(xia)載����,不允許(xu)外發(fā)敏感文(wen)件等���; 支持主流(liu)移動平臺�,可(ke)識別IM�、社交、Mail�、新(xin)聞、炒(chao)股等應用(yong)����。
無線(xian)控制器內置千(qian)萬級別的(de)URL分類庫,能夠(gou)對URL進行(xing)識別�,包(bao)含新(xin)聞�����、購物����、金融(rong)����、教育等(deng)18個種類的(de)URL地址; 準確識(shi)別目前(qian)主流網(wǎng)站���,識別(bie)率高達99.9%�,有效實(shi)現(xiàn)網(wǎng)頁過濾���。例(li)如禁止登(deng)陸非法網(wǎng)(wang)站
通過基于(yu)時間(jian)段的訪問(wen)控制(zhi)策略�����,實現(xiàn)不同(tong)的時(shi)間段不同(tong)的訪問權限��,比(bi)如上班時間,禁(jin)止訪(fang)問網(wǎng)上銀行�����、游(you)戲、論(lun)壇貼吧等與工(gong)作無關的應(ying)用����,下班(ban)時間則不(bu)受限制。
辦公(gong)區(qū)域內�����,不同(tong)辦公部(bu)門總會(hui)有各自專屬(shu)的無線網(wǎng)絡���,并(bing)且不(bu)希望部門(men)之外的(de)成員使用這(zhe)個網(wǎng)絡����。無(wu)線網(wǎng)絡控制器(qi)可以根據(jù)用戶(hu)的屬(shu)性�,限制禁止(zhi)非本部門(men)的用戶(hu)接入。
典型(xing)無線網(wǎng)(wang)絡攻(gong)擊防護(hu):
對典(dian)型的危險攻擊(ji)行為進行(xing)檢測����,當超過設(she)定的閾值(zhi)后自(zi)動將(jiang)攻擊者加入到(dao)黑名(ming)單中(zhong),并凍結(jie)一定(ding)時間��,即時發(fā)(fa)現(xiàn)網(wǎng)絡攻擊并(bing)進行防(fang)御。
檢測的攻(gong)擊包括(kuo):DDOS防御����、ARP掃描、IP掃(sao)描����、端口掃描防(fang)御,禁止客戶(hu)端私設IP以及ARP�、網(wǎng)(wang)關欺騙防御、DHCP請(qing)求泛洪(hong)防御���。
無線射(she)頻定時關(guan)閉開啟(qi):
通過射頻關(guan)閉控制(zhi)策略����,可以指(zhi)定某SSID網(wǎng)絡����,定(ding)時自動(dong)關閉(bi)和開啟無(wu)線網(wǎng)絡的射頻(pin)信號,晚(wan)上下班后自動(dong)關閉無線(xian)射頻信(xin)號���。
一方面(mian)可以節(jié)能減(jian)排�����、節(jié)省(sheng)電費支出����;另(ling)一方面又能(neng)防止非法用(yong)戶利用(yong)深夜(ye)時間(jian)入侵無線網(wǎng)(wang)絡����,做一些(xie)非法(fa)的操作。
有線無線一體(ti)化管理:
NAC的有線無線(xian)一體化���,支(zhi)持對有線(xian)用戶的接(jie)入認證(zheng)�����、訪問控制��、流量(liang)管理�����、上網(wǎng)行為(wei)審計等��,
并提(ti)供統(tǒng)(tong)一中文Web管理界(jie)面���,一(yi)站式服(fu)務,極(ji)大的(de)降低網(wǎng)絡建(jian)設成本。
網(wǎng)絡(luo)分權分(fen)級管(guan)理:
分配不同的(de)管理員分別管(guan)理各(ge)自權限區(qū)域的(de)無線AP��,可(ke)以精細到(dao)對某AP分組(zu)有管理權限�,該(gai)管理(li)員可以在該(gai)AP分組上建立(li)無線網(wǎng)絡,能(neng)夠激活����、刪除接(jie)入點,能夠(gou)對AP的配置進(jin)行編輯修改���。
可指定(ding)管理員針(zhen)對每(mei)個頁面的(de)編輯或可(ke)查看(kan)權限�����,控制粒(li)度到控制(zhi)器上的(de)各個頁面�����,對(dui)某個頁面沒(mei)有讀權限(xian)則登錄時(shi)不顯示���。
移動APP隨時隨(sui)地運維管(guan)理:
支持(chi)跨互聯(lián)(lian)網(wǎng)運維管理
登陸APP進行維護(hu)管理:不(bu)同管理員,不同(tong)權限
查看(kan)網(wǎng)絡運(yun)行情(qing)況:在線用戶(hu)�、在線AP數(shù)量、實(shi)時流(liu)量
無線網(wǎng)絡管(guan)理維護(hu):開啟關閉(bi)SSID���、終端綁定審(shen)批�����、二維碼(ma)上網(wǎng)(wang)審核
故障�、審批(pi)實時(shi)通知:AP離(li)線警告、服務器(qi)離線(xian)警告����、網(wǎng)絡攻(gong)擊告警(jing)
方案優(yōu)勢(shi):
1���、最豐富的無線(xian)安全機制����,提供(gong)從安全接入(ru)到安全上網(wǎng)等(deng)端到端的安(an)全策(ce)略
2��、合理管控工作(zuo)人員上網(wǎng)行為(wei)����,提升工作(zuo)效率、防止帶(dai)寬浪(lang)費�,有線無(wu)線雙重管(guan)控
3、為會議(yi)室�,報告(gao)廳等人員密(mi)集區(qū)域接入(ru)網(wǎng)絡提高保(bao)證�����,解決有(you)線網(wǎng)口不足(zu)的問題(ti)����;
4��、為企(qi)業(yè)員工的移動(dong)辦公提供支(zhi)撐����,內部員工(gong)可通過(guo)無線網(wǎng)絡隨時(shi)安全接(jie)入內部網(wǎng)(wang)絡,實現(xiàn)辦公���;
5���、內部(bu)員工賬號及個(ge)人信息綁(bang)定,便(bian)于安全管理(li)����;
6、內部員工可通(tong)過自己的(de)辦公(gong)設備在(zai)企業(yè)大(da)樓內(nei)快速移動(dong)辦公�����,網(wǎng)絡(luo)接入更快速,上(shang)網(wǎng)行為管理系(xi)統(tǒng)對員(yuan)工上網(wǎng)行為進(jin)行審計與(yu)管控(kong)
7����、來訪(fang)客戶接入企(qi)業(yè)網(wǎng)絡,可根據(jù)(ju)不同需求(qiu)��,分配不同(tong)的上網(wǎng)權限�,保(bao)證了(le)接入的安(an)全性同(tong)時提升群眾(zhong)上網(wǎng)(wang)的體驗
8、豐富(fu)的認證機制�,滿(man)足組織對無線(xian)網(wǎng)絡安(an)全、快速接(jie)入
9�、投資成本(ben)低�,通過部署無(wu)線控制器替換(huan)原有網(wǎng)絡的出(chu)口路由、行為(wei)管理以及(ji)無線控制器(qi)
