?
大型企業(yè)(ye)在無線網(wǎng)絡建(jian)設期(qi)間要充分考(kao)慮訪客(領導(dao)、客戶�����、合作(zuo)伙伴)接入網(wǎng)絡(luo)的需求。首先(xian)從安全性(xing)考慮����,訪(fang)客網(wǎng)(wang)絡必須要(yao)和辦公網(wǎng)絡(luo)分開,訪(fang)客網(wǎng)絡單(dan)獨提供(gong)給訪客使(shi)用��。從用戶體驗(yan)角度考慮����,訪客(ke)接入網(wǎng)(wang)絡的驗證方(fang)式一定(ding)要做到(dao)簡單易行(xing),繁瑣的驗(yan)證方式會(hui)降低訪客(ke)對企業(yè)(ye)的整體印(yin)象����。同時對于訪(fang)客網(wǎng)絡,企(qi)業(yè)還(hai)需要建立完善(shan)的網(wǎng)絡(luo)安全(quan)管理機(ji)制����,避免(mian)由于訪客的(de)網(wǎng)絡不良訪(fang)問給企業(yè)帶(dai)來的法律風(feng)險。對(dui)于企(qi)業(yè)員工(gong)移動辦公上(shang)網(wǎng)�,更需要做(zuo)到可管控,上網(wǎng)(wang)行為做到可追(zhui)溯����,企業(yè)有效(xiao)的帶(dai)寬資源得到合(he)理的分配(pei)和保(bao)證,才能(neng)使企業(yè)的業(yè)(ye)務系(xi)統(tǒng)正常且穩(wěn)定(ding)高效(xiao)地運行�����,同時(shi)保證企業(yè)信息(xi)安全,避免機(ji)密信(xin)息泄露(lu)����。
存在的(de)問題(ti)(用戶需求)
1�����、接入不(bu)安全:缺乏安(an)全可靠的認證(zheng)機制�����,企業(yè)無(wu)線網(wǎng)絡接入不(bu)安全
2�、上網(wǎng)權限(xian)混亂:缺乏有(you)效的控制(zhi)策略,員工(gong)上網(wǎng)權(quan)限不分明
3��、數(shù)據(jù)信息安全(quan):缺乏有效(xiao)的數(shù)據(jù)加密機(ji)制��,企業(yè)(ye)數(shù)據(jù)被黑客(ke)竊取篡(cuan)改
4��、無線信號差(cha):AP性能不佳(jia)�����,上網(wǎng)總掉線(xian),點位規(guī)劃(hua)不合理�����,信號(hao)盲區(qū)多
5���、漫游效(xiao)果差:不(bu)能實現(xiàn)二三層(ceng)漫游��,移動辦公(gong)時�����,業(yè)(ye)務中斷
解決方案(an):
結合用戶無線(xian)網(wǎng)絡需求情況(kuang)���,結合(he)產(chǎn)品自身(shen)技術(shu)特點��,為了滿足(zu)用戶構建一(yi)個高速���、穩(wěn)定(ding)、安全���、可(ke)靠�����、易(yi)于管(guan)理的(de)無線(xian)接入(ru)網(wǎng)絡的(de)需求�,本設(she)計方案(an)按照AP+AC的(de)結構化無線(xian)網(wǎng)絡解決方(fang)案進行設(she)計。具體設計為(wei)在總部設置(zhi)總部AC,在大(da)型分支機(ji)構設(she)置分(fen)支AC與(yu)分支AP��,中型(xing)分支機構設(she)計二級�,三級(ji)交換(huan)機,分支AP���。小微(wei)型分支(zhi)機構直接設(she)置分(fen)支AP?�??zong)部AC可以對大(da)型分支機(ji)構的AC進行管理(li)��,當網(wǎng)點控制(zhi)器采(cai)用集中管理(li)的模式進入到(dao)中心(xin)端控制器(qi)時���,會(hui)自動(dong)下載(zai)中心(xin)端的(de)公共配置���,比(bi)如IP組、MAC地址(zhi)庫�����、時間計劃(hua)���、角色(se)授權��、認(ren)證頁面(mian)等 ���。總部AC也(ye)可以直接管(guan)理中小型分(fen)支機構的(de)分支AP�����,實現(xiàn)(xian)統(tǒng)一(yi)管理����。
方案設計(ji):
安全(quan)無線整體解(jie)決方案:
接入前&接(jie)入時進行身(shen)份認證、安(an)全無線網(wǎng)卡���、賬(zhang)號綁定(ding)(硬件碼(ma)+手機號)��,非(fei)法熱點(dian)檢測及防(fang)御�����、網(wǎng)(wang)絡攻擊防護���、射(she)頻定時關閉及(ji)安全加固(gu)�����。
接入后&上(shang)網(wǎng)時進行(xing)訪問權限控(kong)制��。
上網(wǎng)后進行上(shang)網(wǎng)行為記錄��。
上網(wǎng)用(yong)戶身份實名認(ren)證:
無線辦公(gong)網(wǎng)采用802.1X/Portal/WAPI認(ren)證��,外(wai)置AAA和RADIUS+AD用(yong)于存儲用戶(hu)賬號密碼����。
每個賬號(hao)對應一個(ge)員工���,包括姓名(ming)、部門���、性(xing)別以(yi)及身份證�����、手(shou)機號等個(ge)人信息��,保證(zheng)每個上網(wǎng)(wang)的賬號都是(shi)可尋的�����,便(bian)于安全(quan)管理����。
用戶輸入賬號(hao)密碼上網(wǎng)驗證(zheng)時均(jun)采用加密傳輸(shu),防止黑客空中(zhong)攔截��,竊取(qu)賬號密碼(ma)等數(shù)據(jù)���。
上網(wǎng)(wang)賬號自動(dong)綁定終端:
自動將(jiang)賬號與(yu)終端的硬件(jian)特征(zheng)碼進行綁定(ding)�,防止賬號被(bei)他人使(shi)用或(huo)者被盜(dao)用��。
每臺(tai)設備的硬件特(te)征碼(ma)是唯一的(de)���,無法通過軟(ruan)件修(xiu)改��。即(ji)使通過軟件(jian)修改了仍然(ran)可以識別原(yuan)始的��。
每個賬號(hao)最多可以綁定(ding)5臺終(zhong)端���,超過1臺時需(xu)要管理員審核(he)。
上網(wǎng)賬(zhang)號二次綁定手(shou)機號碼:
賬號首次登陸(lu)時需要綁定(ding)手機(ji)號并輸(shu)入短信(xin)驗證(zheng)碼���,當用戶賬號(hao)在新終端登(deng)陸時(換終(zhong)端/被他用/被盜(dao))��,不僅需要(yao)輸入密碼��,還(hai)需要輸(shu)入短信驗證碼(ma)�,解決員(yuan)工賬號認(ren)證的安(an)全問題
綁定手機號(hao)碼的用(yong)戶,可以自助(zhu)重置(zhi)密碼(ma)和修改(gai)密碼(ma)����,無需通過(guo)IT管理員。
用戶密(mi)碼管理及(ji)自助(zhu)修改:
無需通(tong)過管理員即可(ke)修改密(mi)碼���,提高效率及(ji)減輕管理員工(gong)作壓(ya)力����。
通過口袋助(zhu)理���、釘釘、企業(yè)號(hao)等手機MOA類APP軟(ruan)件進行(xing)無線密碼修改(gai)�����。
若賬號(hao)綁定了手(shou)機號碼(ma)�,可通(tong)過手機驗證(zheng)碼自助修改���。
上網(wǎng)終(zhong)端合法(fa)效驗:
采用(yong)安全無線網(wǎng)卡(ka)接入無線網(wǎng)(wang)絡,終端(duan)與AP熱點的(de)雙向驗證���,提(ti)高安全性���。
可以(yi)將無線(xian)網(wǎng)絡設置為只(zhi)有安裝了(le)安全無(wu)線網(wǎng)(wang)卡的終端才(cai)能接(jie)入無(wu)線網(wǎng)絡。
支持設置(zhi)安全(quan)無線網(wǎng)卡(ka)只能連指定SSID無(wu)線網(wǎng)絡��,無法連(lian)接非授權(quan)SSID����。
網(wǎng)卡與AP數(shù)據(jù)(ju)傳輸時自動進(jin)行數(shù)據(jù)加密(mi),保證(zheng)無線(xian)的空(kong)口安全��。
無線熱(re)點掃描及(ji)非法熱點(dian)抑制:
背景(jing):黑客在(zai)附近搭(da)建一個(ge)一模一(yi)樣或者類似(shi)的WIFI名稱(cheng)�,誘使(shi)用戶連到虛(xu)假釣魚WIFI上,黑(hei)客利用分(fen)析軟件從(cong)用戶上網(wǎng)(wang)產(chǎn)生的數(shù)(shu)據(jù)包中分析(xi)提取用戶隱私(si)信息����。
我們通過(guo)WIPS無線入侵(qin)防御系統(tǒng)(tong)實時檢測周(zhou)圍無線(xian)信號,當檢(jian)測出(chu)來的信(xin)號BSSID�����、且AP源MAC地址(zhi)不在授權列表(biao)中時,我們向(xiang)對應的AP和終端(duan)發(fā)送解除關聯(lián)(lian)幀����,讓(rang)終端無(wu)法連(lian)上釣魚WIFI。7×24小(xiao)時不間斷監(jiān)測(ce)網(wǎng)絡��。
上網(wǎng)行為嚴格(ge)控制:
強大(da)的管理(li):通過應用識別(bie)技術�����,可以根(gen)據(jù)應用(yong)類型或者(zhe)具體某(mou)一種應(ying)用進行封堵(du)����,包括視頻、論(lun)壇�����、游戲�、金融�����、下(xia)載等2400多種(zhong)網(wǎng)絡應(ying)用。
通過(guo)應用識(shi)別技術(shu)���,可以根據(jù)應(ying)用類(lei)型或者具體(ti)某一種(zhong)應用進行封(feng)堵���,比(bi)如上班時(shi)間不允(yun)許炒股,不允許(xu)P2P下載���,不允許外(wai)發(fā)敏感文件(jian)等��; 支持主流移(yi)動平臺(tai)���,可識別IM、社(she)交����、Mail、新聞���、炒股(gu)等應用����。
無線控制(zhi)器內(nèi)置千萬(wan)級別的URL分類庫(ku)�����,能夠(gou)對URL進行識別,包(bao)含新聞(wen)�、購物、金融(rong)���、教育(yu)等18個(ge)種類的URL地(di)址�����; 準確識別目(mu)前主(zhu)流網(wǎng)站�,識別率(lv)高達99.9%����,有效(xiao)實現(xiàn)網(wǎng)頁過濾(lv)。例如禁止(zhi)登陸非法(fa)網(wǎng)站
通過基于(yu)時間段(duan)的訪問(wen)控制策(ce)略�����,實現(xiàn)不同的(de)時間段不同(tong)的訪問權限(xian)�����,比如上(shang)班時間(jian)���,禁止訪問(wen)網(wǎng)上銀(yin)行����、游戲��、論壇(tan)貼吧(ba)等與工(gong)作無關的(de)應用�����,下班(ban)時間則(ze)不受限制�。
辦公(gong)區(qū)域內(nèi)(nei),不同辦公部門(men)總會有各(ge)自專屬(shu)的無線網(wǎng)(wang)絡���,并且不希望(wang)部門之外的成(cheng)員使用這個(ge)網(wǎng)絡�。無(wu)線網(wǎng)絡控(kong)制器可以(yi)根據(jù)用戶的(de)屬性�,限制禁(jin)止非本部門的(de)用戶接入。
典型(xing)無線網(wǎng)絡攻(gong)擊防護(hu):
對典型的(de)危險攻(gong)擊行(xing)為進行(xing)檢測�����,當超過(guo)設定的閾(yu)值后自(zi)動將攻擊者加(jia)入到黑名單(dan)中�����,并凍結一(yi)定時(shi)間,即時發(fā)(fa)現(xiàn)網(wǎng)(wang)絡攻(gong)擊并進行防(fang)御�����。
檢測(ce)的攻擊包(bao)括:DDOS防御(yu)�、ARP掃描、IP掃描(miao)���、端口掃(sao)描防御�����,禁(jin)止客戶端(duan)私設IP以及ARP����、網(wǎng)(wang)關欺(qi)騙防(fang)御���、DHCP請(qing)求泛(fan)洪防(fang)御��。
無線射頻(pin)定時關閉(bi)開啟:
通過射頻關閉(bi)控制策略���,可以(yi)指定某(mou)SSID網(wǎng)絡,定時(shi)自動關(guan)閉和開啟無線(xian)網(wǎng)絡的射(she)頻信號(hao)����,晚上下班后自(zi)動關閉無(wu)線射頻信號���。
一方面可(ke)以節(jié)能減(jian)排��、節(jié)省電(dian)費支出��;另一方(fang)面又(you)能防止非(fei)法用戶利用(yong)深夜時間(jian)入侵無線(xian)網(wǎng)絡���,做一(yi)些非法的操(cao)作���。
有線無線(xian)一體化管理:
NAC的有線無(wu)線一體(ti)化,支持對有線(xian)用戶的(de)接入認證���、訪問(wen)控制��、流量管(guan)理��、上(shang)網(wǎng)行為審(shen)計等��,
并提供(gong)統(tǒng)一中文(wen)Web管理界面���,一站(zhan)式服務���,極大的(de)降低網(wǎng)(wang)絡建設(she)成本。
網(wǎng)絡分(fen)權分級管理:
分配(pei)不同(tong)的管理員(yuan)分別(bie)管理各自權(quan)限區(qū)域的無(wu)線AP�����,可以精細到(dao)對某(mou)AP分組有管理權(quan)限�����,該管理(li)員可以在(zai)該AP分組上建立(li)無線網(wǎng)(wang)絡�,能夠激(ji)活、刪除接(jie)入點����,能夠?qū)?dui)AP的配置進(jin)行編輯(ji)修改。
可指定(ding)管理(li)員針對每個(ge)頁面的編輯或(huo)可查(cha)看權限�����,控制粒(li)度到(dao)控制器上(shang)的各(ge)個頁面��,對(dui)某個(ge)頁面沒有讀(du)權限則登錄時(shi)不顯示��。
移動APP隨時隨(sui)地運維(wei)管理:
支持跨互聯(lián)(lian)網(wǎng)運維管理
登陸APP進(jin)行維(wei)護管理(li):不同管(guan)理員,不(bu)同權限(xian)
查看網(wǎng)絡運(yun)行情況:在(zai)線用(yong)戶���、在線AP數(shù)量(liang)��、實時流量(liang)
無線網(wǎng)絡(luo)管理(li)維護:開啟關閉(bi)SSID�����、終端綁(bang)定審批(pi)、二維碼上網(wǎng)審(shen)核
故障����、審批實(shi)時通知:AP離線(xian)警告(gao)、服務器離線警(jing)告����、網(wǎng)絡攻擊(ji)告警
方案優(yōu)勢(shi):
1、最豐(feng)富的無線(xian)安全機制���,提供(gong)從安(an)全接入到安全(quan)上網(wǎng)等(deng)端到端的安全(quan)策略
2���、合理(li)管控(kong)工作人員(yuan)上網(wǎng)行為(wei),提升工作效率(lv)�、防止帶寬浪(lang)費,有線無線(xian)雙重管控
3��、為會議(yi)室,報告廳(ting)等人員(yuan)密集區(qū)(qu)域接入網(wǎng)絡(luo)提高保證(zheng)��,解決有線網(wǎng)(wang)口不足的問(wen)題�����;
4����、為企(qi)業(yè)員工的(de)移動辦(ban)公提(ti)供支(zhi)撐,內(nèi)部員工可(ke)通過無線網(wǎng)(wang)絡隨時安全接(jie)入內(nèi)部網(wǎng)絡(luo)��,實現(xiàn)(xian)辦公����;
5、內(nèi)部員工賬(zhang)號及個人(ren)信息綁定(ding)�����,便于(yu)安全管(guan)理��;
6���、內(nèi)部員(yuan)工可通過自己(ji)的辦(ban)公設備在(zai)企業(yè)大樓內(nèi)快(kuai)速移動辦公�����,網(wǎng)(wang)絡接入更(geng)快速�,上網(wǎng)行(xing)為管理(li)系統(tǒng)對員工(gong)上網(wǎng)行為進(jin)行審計(ji)與管控
7、來訪客戶接(jie)入企業(yè)(ye)網(wǎng)絡���,可根據(jù)(ju)不同(tong)需求(qiu)��,分配不同(tong)的上網(wǎng)權限���,保(bao)證了接入的安(an)全性同時提(ti)升群眾上網(wǎng)(wang)的體(ti)驗
8�����、豐富的(de)認證機制�����,滿足(zu)組織(zhi)對無線網(wǎng)絡安(an)全��、快速接入(ru)
9���、投資成本(ben)低�����,通過部(bu)署無線控制器(qi)替換(huan)原有(you)網(wǎng)絡的出口(kou)路由�、行(xing)為管理以(yi)及無(wu)線控制器
