?
大型(xing)企業(yè)在無(wu)線網(wǎng)絡(luò)(luo)建設(shè)(she)期間要(yao)充分考慮訪客(ke)(領(lǐng)導(dǎo)���、客戶���、合作(zuo)伙伴)接入網(wǎng)(wang)絡(luò)的需求。首(shou)先從(cong)安全性(xing)考慮���,訪客網(wǎng)(wang)絡(luò)必須要和辦(ban)公網(wǎng)絡(luò)分開���,訪(fang)客網(wǎng)絡(luò)(luo)單獨(dú)提供給(gei)訪客使用。從(cong)用戶體驗(yàn)角(jiao)度考(kao)慮���,訪(fang)客接入(ru)網(wǎng)絡(luò)的驗(yàn)證方(fang)式一(yi)定要(yao)做到簡(jian)單易(yi)行���,繁瑣的驗(yàn)(yan)證方式會降(jiang)低訪客(ke)對企業(yè)的(de)整體印(yin)象���。同時(shí)對(dui)于訪客(ke)網(wǎng)絡(luò),企業(yè)(ye)還需要建立完(wan)善的(de)網(wǎng)絡(luò)安(an)全管理機(jī)制���,避(bi)免由于訪(fang)客的網(wǎng)絡(luò)不良(liang)訪問給企(qi)業(yè)帶來的法律(lv)風(fēng)險(xiǎn)���。對于(yu)企業(yè)員工(gong)移動辦公上網(wǎng)(wang),更需(xu)要做到可管控(kong)���,上網(wǎng)行為做到(dao)可追溯���,企(qi)業(yè)有效的(de)帶寬(kuan)資源得到(dao)合理的分配(pei)和保證,才能使(shi)企業(yè)的業(yè)(ye)務(wù)系統(tǒng)(tong)正常且穩(wěn)(wen)定高效地運(yùn)行(xing)���,同時(shí)保證企(qi)業(yè)信息安全(quan)���,避免機(jī)密(mi)信息泄(xie)露。
存在的問題(ti)(用戶需求)
1���、接入不安(an)全:缺乏安全可(ke)靠的認(rèn)證(zheng)機(jī)制���,企(qi)業(yè)無線網(wǎng)絡(luò)(luo)接入不安全(quan)
2���、上網(wǎng)權(quán)限混亂(luan):缺乏有(you)效的控制策(ce)略,員工上網(wǎng)(wang)權(quán)限不分明
3���、數(shù)據(jù)信息安(an)全:缺乏(fa)有效的數(shù)據(jù)(ju)加密機(jī)制,企業(yè)(ye)數(shù)據(jù)被(bei)黑客竊取篡(cuan)改
4���、無線信號(hao)差:AP性(xing)能不(bu)佳���,上網(wǎng)(wang)總掉線,點(diǎn)位(wei)規(guī)劃不合理(li)���,信號盲區(qū)多(duo)
5���、漫游效果差:不(bu)能實(shí)現(xiàn)(xian)二三(san)層漫游(you),移動(dong)辦公時(shí)���,業(yè)(ye)務(wù)中斷(duan)
解決方案(an):
結(jié)合用戶無(wu)線網(wǎng)絡(luò)需(xu)求情況���,結(jié)合產(chǎn)(chan)品自(zi)身技術(shù)特點(diǎn)(dian)���,為了滿足用(yong)戶構(gòu)(gou)建一個(ge)高速、穩(wěn)定���、安全(quan)���、可靠、易于管(guan)理的無線接入(ru)網(wǎng)絡(luò)的(de)需求���,本(ben)設(shè)計(jì)方案按照(zhao)AP+AC的結(jié)構(gòu)化無線(xian)網(wǎng)絡(luò)(luo)解決方案進(jìn)行(xing)設(shè)計(jì)���。具體設(shè)(she)計(jì)為在總(zong)部設(shè)置總部AC,在(zai)大型分支機(jī)(ji)構(gòu)設(shè)置分(fen)支AC與分支AP,中(zhong)型分支(zhi)機(jī)構(gòu)設(shè)計(jì)二(er)級���,三級交換(huan)機(jī)���,分支(zhi)AP。小微型分支機(jī)(ji)構(gòu)直接設(shè)(she)置分支AP���?��?偛緼C可(ke)以對大型分支(zhi)機(jī)構(gòu)的(de)AC進(jìn)行管理(li)���,當(dāng)網(wǎng)點(diǎn)控制(zhi)器采(cai)用集中管理的(de)模式進(jìn)入到(dao)中心端(duan)控制(zhi)器時(shí)(shi),會自動下(xia)載中心端(duan)的公(gong)共配(pei)置���,比如IP組(zu)���、MAC地址庫、時(shí)間(jian)計(jì)劃(hua)���、角色授權(quán)(quan)、認(rèn)證頁面等 ���?��??zong)部AC也可以直(zhi)接管理中小(xiao)型分(fen)支機(jī)構(gòu)的(de)分支(zhi)AP,實(shí)現(xiàn)統(tǒng)一管(guan)理���。
方案設(shè)計(jì)(ji):
安全(quan)無線整(zheng)體解決方案:
接入前&接入(ru)時(shí)進(jìn)行身(shen)份認(rèn)證���、安(an)全無線網(wǎng)(wang)卡���、賬號綁(bang)定(硬(ying)件碼+手(shou)機(jī)號),非法熱點(diǎn)(dian)檢測及防(fang)御���、網(wǎng)絡(luò)(luo)攻擊防(fang)護(hù)���、射頻(pin)定時(shí)關(guān)閉及(ji)安全加固。
接入后&上(shang)網(wǎng)時(shí)進(jìn)行訪問(wen)權(quán)限控(kong)制���。
上網(wǎng)(wang)后進(jìn)行上網(wǎng)行(xing)為記(ji)錄���。
上網(wǎng)(wang)用戶(hu)身份實(shí)名認(rèn)(ren)證:
無線(xian)辦公(gong)網(wǎng)采用802.1X/Portal/WAPI認(rèn)證(zheng),外置(zhi)AAA和RADIUS+AD用(yong)于存儲用戶(hu)賬號密碼���。
每個賬號對(dui)應(yīng)一個(ge)員工���,包括(kuo)姓名(ming)、部門���、性別以(yi)及身份證���、手機(jī)(ji)號等個人信(xin)息���,保證(zheng)每個上網(wǎng)(wang)的賬(zhang)號都是可(ke)尋的,便于安(an)全管(guan)理���。
用戶輸入(ru)賬號密碼上網(wǎng)(wang)驗(yàn)證(zheng)時(shí)均(jun)采用加密傳(chuan)輸���,防止黑客空(kong)中攔(lan)截,竊取賬號(hao)密碼等數(shù)(shu)據(jù)���。
上網(wǎng)賬(zhang)號自動綁定(ding)終端:
自動(dong)將賬號(hao)與終端的(de)硬件特征碼進(jìn)(jin)行綁定(ding)���,防止賬號(hao)被他人使用(yong)或者被盜(dao)用。
每臺設(shè)備的硬(ying)件特征碼是唯(wei)一的(de)���,無法通(tong)過軟(ruan)件修(xiu)改。即使通過(guo)軟件(jian)修改了仍然(ran)可以識別原始(shi)的���。
每個賬號最(zui)多可以(yi)綁定5臺終(zhong)端���,超(chao)過1臺(tai)時(shí)需要管(guan)理員審核。
上網(wǎng)賬(zhang)號二次綁定(ding)手機(jī)號碼(ma):
賬號首(shou)次登陸時(shí)(shi)需要綁(bang)定手機(jī)號(hao)并輸入(ru)短信驗(yàn)證(zheng)碼���,當(dāng)用戶賬號(hao)在新終端(duan)登陸(lu)時(shí)(換(huan)終端/被(bei)他用/被(bei)盜)���,不僅需要輸(shu)入密碼���,還(hai)需要輸入短(duan)信驗(yàn)證碼,解決(jue)員工賬號認(rèn)(ren)證的安全(quan)問題(ti)
綁定手機(jī)號碼(ma)的用(yong)戶���,可以自(zi)助重置密碼和(he)修改密(mi)碼���,無需通過(guo)IT管理(li)員。
用戶密碼管理(li)及自助修改:
無需通(tong)過管(guan)理員(yuan)即可修改密碼(ma)���,提高效率(lv)及減(jian)輕管理員工作(zuo)壓力���。
通過口袋助理(li)、釘釘(ding)���、企業(yè)號(hao)等手(shou)機(jī)MOA類(lei)APP軟件進(jìn)行(xing)無線密碼修改(gai)���。
若賬號綁(bang)定了手機(jī)號碼(ma),可通過手機(jī)驗(yàn)(yan)證碼自助修(xiu)改���。
上網(wǎng)終端合(he)法效驗(yàn)(yan):
采用安全無線(xian)網(wǎng)卡接入(ru)無線(xian)網(wǎng)絡(luò)���,終端與AP熱(re)點(diǎn)的雙向驗(yàn)證(zheng)���,提高安全性(xing)。
可以將無線(xian)網(wǎng)絡(luò)設(shè)置為只(zhi)有安裝了(le)安全無線網(wǎng)卡(ka)的終端才(cai)能接入無線(xian)網(wǎng)絡(luò)���。
支持設(shè)置安(an)全無線網(wǎng)卡(ka)只能連指定(ding)SSID無線網(wǎng)絡(luò)���,無(wu)法連接非授權(quán)(quan)SSID。
網(wǎng)卡(ka)與AP數(shù)據(jù)傳輸(shu)時(shí)自動進(jìn)行數(shù)(shu)據(jù)加密���,保(bao)證無線(xian)的空口(kou)安全(quan)���。
無線熱點(diǎn)(dian)掃描及非法熱(re)點(diǎn)抑制:
背景(jing):黑客在附近搭(da)建一個一模(mo)一樣(yang)或者(zhe)類似(shi)的WIFI名稱,誘使用(yong)戶連(lian)到虛假釣(diao)魚WIFI上(shang)���,黑客利用分(fen)析軟(ruan)件從用戶上(shang)網(wǎng)產(chǎn)生的數(shù)據(jù)(ju)包中分析(xi)提取用戶隱私(si)信息。
我們通過(guo)WIPS無線入(ru)侵防御(yu)系統(tǒng)實(shí)時(shí)檢(jian)測周圍無線信(xin)號���,當(dāng)檢(jian)測出來的(de)信號BSSID���、且(qie)AP源MAC地址不(bu)在授權(quán)列表中(zhong)時(shí)���,我(wo)們向?qū)?yīng)的AP和(he)終端(duan)發(fā)送(song)解除關(guān)聯(lián)幀(zhen),讓終端無(wu)法連(lian)上釣魚WIFI���。7×24小(xiao)時(shí)不(bu)間斷監(jiān)測網(wǎng)(wang)絡(luò)���。
上網(wǎng)行(xing)為嚴(yán)格控制:
強(qiáng)大的管理:通(tong)過應(yīng)用識(shi)別技術(shù),可以根(gen)據(jù)應(yīng)用類型或(huo)者具體某一種(zhong)應(yīng)用(yong)進(jìn)行封堵(du)���,包括視頻���、論(lun)壇、游戲(xi)、金融���、下載等(deng)2400多種網(wǎng)絡(luò)應(yīng)用(yong)。
通過應(yīng)(ying)用識(shi)別技術(shù)���,可以(yi)根據(jù)(ju)應(yīng)用類型或者(zhe)具體某(mou)一種應(yīng)(ying)用進(jìn)行(xing)封堵���,比如上(shang)班時(shí)間(jian)不允許炒股���,不(bu)允許(xu)P2P下載,不允許外(wai)發(fā)敏感文件(jian)等���; 支持主流(liu)移動平(ping)臺���,可(ke)識別IM、社交(jiao)���、Mail���、新聞、炒股(gu)等應(yīng)用���。
無線(xian)控制器內(nèi)置千(qian)萬級別的URL分(fen)類庫���,能(neng)夠?qū)RL進(jìn)(jin)行識別,包含(han)新聞(wen)���、購物���、金(jin)融、教育等18個(ge)種類的URL地(di)址���; 準(zhǔn)確識別目(mu)前主(zhu)流網(wǎng)站���,識別(bie)率高達(dá)99.9%,有效實(shí)(shi)現(xiàn)網(wǎng)(wang)頁過濾���。例如(ru)禁止登陸(lu)非法網(wǎng)站
通過基于(yu)時(shí)間段的訪(fang)問控制策略(lve)���,實(shí)現(xiàn)不(bu)同的時(shí)間段不(bu)同的訪問(wen)權(quán)限,比(bi)如上班時(shí)間���,禁(jin)止訪問網(wǎng)上銀(yin)行���、游戲、論壇(tan)貼吧等與(yu)工作(zuo)無關(guān)的(de)應(yīng)用(yong)���,下班時(shí)間則不(bu)受限制���。
辦公區(qū)(qu)域內(nèi)���,不同辦公(gong)部門總會有各(ge)自專屬的(de)無線網(wǎng)絡(luò)(luo),并且(qie)不希望部門(men)之外的成(cheng)員使用這個(ge)網(wǎng)絡(luò)���。無線網(wǎng)(wang)絡(luò)控制器(qi)可以根據(jù)(ju)用戶的屬性���,限(xian)制禁止非本(ben)部門的用戶接(jie)入。
典型無(wu)線網(wǎng)絡(luò)攻擊防(fang)護(hù):
對典(dian)型的危險(xiǎn)攻擊(ji)行為進(jìn)行檢測(ce)���,當(dāng)超過(guo)設(shè)定的(de)閾值后(hou)自動(dong)將攻擊(ji)者加入(ru)到黑(hei)名單中(zhong)���,并凍結(jié)一定(ding)時(shí)間,即時(shí)(shi)發(fā)現(xiàn)網(wǎng)絡(luò)攻(gong)擊并(bing)進(jìn)行防御���。
檢測的攻擊包(bao)括:DDOS防御(yu)���、ARP掃描、IP掃描���、端(duan)口掃描防(fang)御���,禁止客戶(hu)端私設(shè)IP以及(ji)ARP���、網(wǎng)關(guān)欺騙(pian)防御、DHCP請求(qiu)泛洪防御(yu)���。
無線(xian)射頻定時(shí)關(guān)(guan)閉開啟:
通過射(she)頻關(guān)閉控制策(ce)略,可以指定(ding)某SSID網(wǎng)絡(luò)���,定時(shí)(shi)自動關(guān)閉和開(kai)啟無線(xian)網(wǎng)絡(luò)的射(she)頻信號���,晚(wan)上下班后自(zi)動關(guān)閉無線射(she)頻信號。
一方(fang)面可以(yi)節(jié)能減排(pai)���、節(jié)省電費(fèi)(fei)支出���;另一(yi)方面又能(neng)防止非(fei)法用戶利用深(shen)夜時(shí)間入侵無(wu)線網(wǎng)絡(luò)(luo),做一些非法的(de)操作���。
有線無線(xian)一體(ti)化管理(li):
NAC的有線無(wu)線一體化(hua)���,支持對有線用(yong)戶的(de)接入認(rèn)證、訪問(wen)控制���、流量管(guan)理���、上網(wǎng)(wang)行為審計(jì)等(deng)���,
并提供統(tǒng)(tong)一中(zhong)文Web管理界(jie)面,一(yi)站式服(fu)務(wù)���,極大的降(jiang)低網(wǎng)絡(luò)建設(shè)成(cheng)本���。
網(wǎng)絡(luò)分權(quán)分(fen)級管理:
分配不同的管(guan)理員分別(bie)管理(li)各自權(quán)限(xian)區(qū)域的(de)無線AP,可以(yi)精細(xì)(xi)到對某AP分組(zu)有管理權(quán)限(xian)���,該管理(li)員可以在(zai)該AP分組上(shang)建立(li)無線網(wǎng)(wang)絡(luò)���,能(neng)夠激活、刪(shan)除接(jie)入點(diǎn)���,能(neng)夠?qū)P的(de)配置進(jìn)(jin)行編輯修改(gai)���。
可指定管(guan)理員針對每(mei)個頁(ye)面的編輯或(huo)可查看權(quán)限(xian),控制粒度(du)到控制器(qi)上的(de)各個頁面���,對(dui)某個頁面沒有(you)讀權(quán)限(xian)則登錄(lu)時(shí)不(bu)顯示���。
移動APP隨時(shí)(shi)隨地運(yùn)維管(guan)理:
支持跨互聯(lián)(lian)網(wǎng)運(yùn)(yun)維管理
登陸APP進(jìn)(jin)行維護(hù)(hu)管理:不同(tong)管理員(yuan)���,不同(tong)權(quán)限
查看網(wǎng)絡(luò)運(yùn)行(xing)情況(kuang):在線用戶(hu)、在線AP數(shù)(shu)量���、實(shí)時(shí)(shi)流量
無線網(wǎng)(wang)絡(luò)管理維護(hù):開(kai)啟關(guān)閉(bi)SSID、終端(duan)綁定審(shen)批���、二維(wei)碼上(shang)網(wǎng)審核
故障(zhang)���、審批實(shí)(shi)時(shí)通知(zhi):AP離線警(jing)告、服務(wù)(wu)器離線警告(gao)���、網(wǎng)絡(luò)攻(gong)擊告警
方案優(yōu)(you)勢:
1���、最豐富的無(wu)線安全機(jī)制,提(ti)供從安(an)全接入到安(an)全上網(wǎng)等端(duan)到端(duan)的安全(quan)策略
2���、合理管控(kong)工作人(ren)員上(shang)網(wǎng)行為(wei)���,提升工作(zuo)效率(lv)���、防止帶寬浪(lang)費(fèi),有線無線雙(shuang)重管控
3���、為會(hui)議室���,報(bào)(bao)告廳等人員密(mi)集區(qū)域(yu)接入網(wǎng)絡(luò)(luo)提高(gao)保證,解(jie)決有線網(wǎng)(wang)口不足的問(wen)題���;
4���、為企業(yè)員(yuan)工的移(yi)動辦公提供(gong)支撐,內(nèi)部(bu)員工可通(tong)過無線網(wǎng)絡(luò)(luo)隨時(shí)安全(quan)接入(ru)內(nèi)部網(wǎng)(wang)絡(luò)���,實(shí)現(xiàn)辦公(gong)���;
5、內(nèi)部(bu)員工(gong)賬號及(ji)個人信息(xi)綁定���,便于安全(quan)管理���;
6���、內(nèi)部員工可(ke)通過(guo)自己的辦(ban)公設(shè)備在企(qi)業(yè)大樓內(nèi)快(kuai)速移(yi)動辦公,網(wǎng)絡(luò)(luo)接入(ru)更快(kuai)速���,上網(wǎng)行(xing)為管(guan)理系(xi)統(tǒng)對員工(gong)上網(wǎng)行(xing)為進(jìn)行(xing)審計(jì)與(yu)管控
7���、來訪客戶(hu)接入企業(yè)網(wǎng)(wang)絡(luò),可根(gen)據(jù)不同需求���,分(fen)配不同的上(shang)網(wǎng)權(quán)(quan)限,保證了接(jie)入的安全性(xing)同時(shí)提(ti)升群眾上網(wǎng)的(de)體驗(yàn)(yan)
8���、豐富的(de)認(rèn)證機(jī)制(zhi)���,滿足組織對(dui)無線網(wǎng)絡(luò)安(an)全、快(kuai)速接(jie)入
9���、投資(zi)成本低���,通過部(bu)署無線(xian)控制器(qi)替換原有(you)網(wǎng)絡(luò)的出口路(lu)由���、行為管理(li)以及(ji)無線控制(zhi)器
