?
大型企業(yè)在(zai)無線網(wǎng)絡建設(she)期間要充(chong)分考慮訪客(領(ling)導�、客戶、合(he)作伙伴(ban))接入網(wǎng)絡的需(xu)求。首先從安全(quan)性考慮�,訪(fang)客網(wǎng)(wang)絡必須要和辦(ban)公網(wǎng)絡(luo)分開����,訪客(ke)網(wǎng)絡單獨提供(gong)給訪(fang)客使用。從(cong)用戶體驗角(jiao)度考慮����,訪客接(jie)入網(wǎng)絡的(de)驗證方(fang)式一定要做(zuo)到簡單易行,繁(fan)瑣的驗(yan)證方式會(hui)降低訪客對企(qi)業(yè)的(de)整體印象(xiang)����。同時對于(yu)訪客(ke)網(wǎng)絡���,企業(yè)還需(xu)要建立完善的(de)網(wǎng)絡(luo)安全管理機(ji)制,避免由于訪(fang)客的網(wǎng)絡不良(liang)訪問給企(qi)業(yè)帶來的法律(lv)風險�。對于(yu)企業(yè)(ye)員工移(yi)動辦公上網(wǎng)(wang),更需要做到可(ke)管控���,上網(wǎng)行(xing)為做到可追(zhui)溯���,企業(yè)有效(xiao)的帶寬資(zi)源得到合理(li)的分配和保(bao)證���,才能使(shi)企業(yè)(ye)的業(yè)務系統(tǒng)正(zheng)常且穩(wěn)定高(gao)效地(di)運行��,同時(shi)保證企業(yè)信息(xi)安全��,避(bi)免機密信息泄(xie)露。
存在的(de)問題(ti)(用戶需(xu)求)
1、接入不安全:缺(que)乏安(an)全可(ke)靠的認證(zheng)機制�,企業(yè)無(wu)線網(wǎng)絡(luo)接入(ru)不安全
2、上網(wǎng)權限(xian)混亂:缺乏有效(xiao)的控制策略�,員(yuan)工上網(wǎng)權(quan)限不分明
3、數(shù)據(jù)信(xin)息安全:缺乏(fa)有效的數(shù)(shu)據(jù)加密機制(zhi)�,企業(yè)數(shù)據(jù)被(bei)黑客竊取篡改(gai)
4、無線信號差(cha):AP性能不(bu)佳,上網(wǎng)總掉線(xian)���,點位規(guī)(gui)劃不合理(li)�,信號盲區(qū)多
5�����、漫游效果差:不(bu)能實現(xiàn)(xian)二三層(ceng)漫游��,移(yi)動辦公(gong)時��,業(yè)務(wu)中斷(duan)
解決方(fang)案:
結合用戶無(wu)線網(wǎng)絡需求(qiu)情況��,結合產(chan)品自(zi)身技術特點(dian)��,為了(le)滿足(zu)用戶構(gou)建一個高(gao)速�、穩(wěn)定(ding)、安全��、可靠(kao)��、易于管(guan)理的無(wu)線接入網(wǎng)絡的(de)需求(qiu)�,本設計方案(an)按照AP+AC的結構(gou)化無線網(wǎng)絡(luo)解決方(fang)案進行設計(ji)。具體設(she)計為在(zai)總部設(she)置總部AC,在大型(xing)分支(zhi)機構設(she)置分支AC與分支(zhi)AP��,中型分支(zhi)機構設(she)計二級,三級交(jiao)換機�����,分支(zhi)AP�����。小微(wei)型分支機(ji)構直接設(she)置分支AP���?��??zong)部AC可以對(dui)大型分支機構(gou)的AC進行管理�,當(dang)網(wǎng)點控(kong)制器采用集中(zhong)管理的模(mo)式進入到中心(xin)端控制器(qi)時,會自動下載(zai)中心端(duan)的公共配置(zhi)�����,比如(ru)IP組���、MAC地址(zhi)庫��、時間計劃����、角(jiao)色授權、認(ren)證頁(ye)面等 �。總(zong)部AC也可以(yi)直接管(guan)理中小型(xing)分支機構的分(fen)支AP�,實(shi)現(xiàn)統(tǒng)一管理(li)。
方案設計:
安全(quan)無線整體解(jie)決方案:
接入前(qian)&接入時進行(xing)身份認證�、安(an)全無(wu)線網(wǎng)卡、賬號(hao)綁定(ding)(硬件碼+手機號(hao))�,非法(fa)熱點檢測及(ji)防御、網(wǎng)絡攻(gong)擊防護��、射(she)頻定時(shi)關閉及(ji)安全加固(gu)���。
接入后(hou)&上網(wǎng)時進行訪(fang)問權限控制�。
上網(wǎng)后進行(xing)上網(wǎng)行為(wei)記錄�����。
上網(wǎng)用(yong)戶身份實名認(ren)證:
無線(xian)辦公網(wǎng)采用802.1X/Portal/WAPI認(ren)證���,外置AAA和(he)RADIUS+AD用于存儲用戶(hu)賬號密碼��。
每個賬(zhang)號對應一個員(yuan)工�����,包括姓(xing)名�、部門、性(xing)別以及(ji)身份(fen)證����、手(shou)機號(hao)等個人信息(xi),保證每個上(shang)網(wǎng)的賬號(hao)都是(shi)可尋的����,便于安(an)全管理。
用戶輸(shu)入賬號密(mi)碼上網(wǎng)驗證時(shi)均采用加(jia)密傳輸�,防止黑(hei)客空(kong)中攔截,竊(qie)取賬號密碼等(deng)數(shù)據(jù)�����。
上網(wǎng)賬號(hao)自動(dong)綁定終(zhong)端:
自動將賬號(hao)與終端的硬(ying)件特(te)征碼進(jin)行綁定���,防(fang)止賬(zhang)號被(bei)他人使用或者(zhe)被盜用(yong)。
每臺設備(bei)的硬件(jian)特征碼(ma)是唯一的���,無法(fa)通過(guo)軟件修改�。即使(shi)通過軟件修(xiu)改了(le)仍然(ran)可以識(shi)別原始(shi)的。
每個(ge)賬號(hao)最多可(ke)以綁定5臺終(zhong)端�����,超過1臺(tai)時需要管理員(yuan)審核(he)�����。
上網(wǎng)賬號二次(ci)綁定(ding)手機號(hao)碼:
賬號首次(ci)登陸時(shi)需要(yao)綁定手機號(hao)并輸入短(duan)信驗證(zheng)碼��,當(dang)用戶賬號在(zai)新終端登(deng)陸時(換終端(duan)/被他用/被(bei)盜)����,不僅需要(yao)輸入密碼,還(hai)需要輸入短信(xin)驗證碼(ma)��,解決(jue)員工(gong)賬號認(ren)證的安全問(wen)題
綁定手機號碼(ma)的用戶�����,可以自(zi)助重置密(mi)碼和修改密碼(ma)�����,無需(xu)通過IT管(guan)理員���。
用戶密碼管理(li)及自(zi)助修(xiu)改:
無需通過管(guan)理員(yuan)即可修改密碼(ma)���,提高效(xiao)率及(ji)減輕管理(li)員工作(zuo)壓力���。
通過口袋助(zhu)理、釘釘�����、企業(yè)(ye)號等(deng)手機MOA類APP軟件(jian)進行無線(xian)密碼修(xiu)改���。
若賬號綁定了(le)手機號碼����,可(ke)通過手機(ji)驗證(zheng)碼自助修改�����。
上網(wǎng)終端(duan)合法效驗(yan):
采用(yong)安全無線網(wǎng)(wang)卡接入(ru)無線(xian)網(wǎng)絡(luo)�����,終端與AP熱(re)點的雙向驗(yan)證�����,提(ti)高安全性���。
可以將無(wu)線網(wǎng)絡設置(zhi)為只有安裝了(le)安全(quan)無線(xian)網(wǎng)卡的(de)終端才能接(jie)入無線網(wǎng)絡�。
支持設置(zhi)安全無(wu)線網(wǎng)卡只能連(lian)指定SSID無線(xian)網(wǎng)絡���,無法連(lian)接非(fei)授權SSID���。
網(wǎng)卡(ka)與AP數(shù)據(jù)傳輸(shu)時自動進行數(shù)(shu)據(jù)加密,保證無(wu)線的空口安全(quan)����。
無線熱點掃描(miao)及非法熱點(dian)抑制(zhi):
背景(jing):黑客(ke)在附近搭(da)建一個一模一(yi)樣或者類似(shi)的WIFI名稱,誘(you)使用戶連(lian)到虛(xu)假釣魚WIFI上�����,黑客(ke)利用分(fen)析軟件(jian)從用戶(hu)上網(wǎng)產生的(de)數(shù)據(jù)包中分(fen)析提取用(yong)戶隱私信(xin)息����。
我們(men)通過WIPS無線入(ru)侵防御系統(tǒng)(tong)實時檢測(ce)周圍無(wu)線信(xin)號,當檢測(ce)出來的信(xin)號BSSID、且AP源(yuan)MAC地址(zhi)不在授權(quan)列表中(zhong)時�,我們向對應(ying)的AP和終端發(fā)(fa)送解除(chu)關聯(lián)幀,讓終端(duan)無法連上(shang)釣魚WIFI��。7×24小時不間(jian)斷監(jiān)測網(wǎng)絡(luo)�。
上網(wǎng)(wang)行為(wei)嚴格控制:
強大的管理:通(tong)過應用識別技(ji)術,可以根(gen)據(jù)應用類型(xing)或者(zhe)具體某(mou)一種應用(yong)進行封堵���,包括(kuo)視頻����、論(lun)壇�����、游(you)戲��、金融����、下載等(deng)2400多種網(wǎng)絡應用(yong)。
通過應(ying)用識(shi)別技術���,可以根(gen)據(jù)應用(yong)類型或者具(ju)體某一種(zhong)應用(yong)進行封堵�����,比如(ru)上班(ban)時間不(bu)允許炒股(gu)��,不允(yun)許P2P下載���,不允許(xu)外發(fā)(fa)敏感文件等(deng); 支持(chi)主流移動平臺(tai)��,可識(shi)別IM�����、社(she)交�����、Mail�、新聞、炒股(gu)等應用�����。
無線控制器內(nei)置千萬級別的(de)URL分類(lei)庫���,能夠(gou)對URL進行識別�,包(bao)含新聞(wen)、購物(wu)�����、金融��、教育等18個(ge)種類的URL地址���; 準(zhun)確識別目前(qian)主流網(wǎng)站�,識別(bie)率高達(da)99.9%���,有效實現(xiàn)網(wǎng)(wang)頁過濾�����。例如(ru)禁止登陸非法(fa)網(wǎng)站
通過(guo)基于時間(jian)段的訪問控(kong)制策略(lve)����,實現(xiàn)不同的時(shi)間段不同(tong)的訪問權限(xian)�����,比如(ru)上班時間,禁(jin)止訪(fang)問網(wǎng)(wang)上銀行���、游(you)戲���、論壇貼吧(ba)等與工(gong)作無(wu)關的應用��,下(xia)班時(shi)間則不受限制(zhi)���。
辦公(gong)區(qū)域內(nei)����,不同辦公(gong)部門總會有各(ge)自專屬(shu)的無線(xian)網(wǎng)絡(luo)��,并且不希(xi)望部門之(zhi)外的成(cheng)員使用(yong)這個(ge)網(wǎng)絡����。無線網(wǎng)(wang)絡控制器可以(yi)根據(jù)用戶的(de)屬性,限制禁(jin)止非本部(bu)門的用(yong)戶接入(ru)��。
典型無(wu)線網(wǎng)絡(luo)攻擊(ji)防護(hu):
對典型的危(wei)險攻擊行為進(jin)行檢測��,當超(chao)過設(she)定的(de)閾值后自(zi)動將攻擊(ji)者加入到黑名(ming)單中(zhong)�,并凍結一定(ding)時間���,即時(shi)發(fā)現(xiàn)(xian)網(wǎng)絡攻擊并進(jin)行防(fang)御。
檢測的(de)攻擊包括:DDOS防御(yu)�、ARP掃描、IP掃描��、端口(kou)掃描(miao)防御�����,禁止客(ke)戶端私設(she)IP以及ARP�����、網(wǎng)關欺騙(pian)防御�、DHCP請求泛(fan)洪防御。
無線射頻定時(shi)關閉開啟:
通過射頻關閉(bi)控制策(ce)略����,可以(yi)指定某(mou)SSID網(wǎng)絡,定(ding)時自動關閉(bi)和開啟無(wu)線網(wǎng)絡的(de)射頻信號(hao)��,晚上下班后自(zi)動關閉無(wu)線射(she)頻信號��。
一方(fang)面可以(yi)節(jié)能減(jian)排��、節(jié)省電費支(zhi)出;另(ling)一方面又能(neng)防止非(fei)法用(yong)戶利用深夜時(shi)間入侵無(wu)線網(wǎng)絡�����,做(zuo)一些非法(fa)的操作(zuo)����。
有線無線一體(ti)化管理:
NAC的有線(xian)無線(xian)一體(ti)化,支(zhi)持對有線用戶(hu)的接入認證����、訪(fang)問控制����、流量管(guan)理、上網(wǎng)(wang)行為審計等����,
并提供統(tǒng)一中(zhong)文Web管理界面(mian),一站式服務���,極(ji)大的降低(di)網(wǎng)絡建(jian)設成本����。
網(wǎng)絡分(fen)權分級(ji)管理:
分配不(bu)同的管(guan)理員分別管理(li)各自權(quan)限區(qū)域(yu)的無線AP,可(ke)以精細(xi)到對某AP分組(zu)有管理(li)權限���,該(gai)管理員可以在(zai)該AP分組上(shang)建立無線(xian)網(wǎng)絡�����,能夠激(ji)活��、刪除接(jie)入點��,能夠(gou)對AP的配(pei)置進行編(bian)輯修改�。
可指定管理員(yuan)針對每個(ge)頁面的(de)編輯(ji)或可查看(kan)權限�����,控制粒(li)度到控制器上(shang)的各個頁(ye)面����,對(dui)某個頁面沒(mei)有讀(du)權限則登(deng)錄時不顯(xian)示。
移動(dong)APP隨時隨地運(yun)維管理:
支持跨(kua)互聯(lián)網(wǎng)運維(wei)管理
登陸APP進行(xing)維護(hu)管理:不(bu)同管理員(yuan)�����,不同權限(xian)
查看網(wǎng)(wang)絡運行情(qing)況:在(zai)線用戶(hu)、在線AP數(shù)量���、實(shi)時流量
無線網(wǎng)絡管理(li)維護:開(kai)啟關閉(bi)SSID��、終端(duan)綁定審批(pi)�����、二維碼上網(wǎng)審(shen)核
故障���、審批實(shi)時通知:AP離線警(jing)告、服務器離(li)線警告��、網(wǎng)絡(luo)攻擊告警(jing)
方案(an)優(yōu)勢:
1��、最豐富的無線(xian)安全機制�����,提(ti)供從安全接(jie)入到安全上(shang)網(wǎng)等(deng)端到端的安(an)全策略(lve)
2�����、合理管(guan)控工作(zuo)人員(yuan)上網(wǎng)行為(wei)�����,提升工(gong)作效率�、防(fang)止帶寬浪(lang)費,有線(xian)無線雙重管控(kong)
3����、為會(hui)議室,報告(gao)廳等(deng)人員密集區(qū)(qu)域接入網(wǎng)(wang)絡提高保(bao)證���,解(jie)決有線網(wǎng)口不(bu)足的問題�;
4�����、為企業(yè)員工(gong)的移(yi)動辦(ban)公提供(gong)支撐�����,內部員(yuan)工可(ke)通過無線網(wǎng)絡(luo)隨時安全接(jie)入內部網(wǎng)絡(luo)�����,實現(xiàn)辦(ban)公�����;
5、內部員(yuan)工賬號及個人(ren)信息(xi)綁定�,便于安(an)全管理;
6�����、內部員(yuan)工可(ke)通過自己(ji)的辦公(gong)設備在(zai)企業(yè)大樓(lou)內快速(su)移動(dong)辦公�����,網(wǎng)絡接(jie)入更快速�����,上網(wǎng)(wang)行為管理系(xi)統(tǒng)對員工上(shang)網(wǎng)行為進行(xing)審計與管控
7����、來訪(fang)客戶接(jie)入企業(yè)(ye)網(wǎng)絡,可根據(jù)(ju)不同需求(qiu)�����,分配不同(tong)的上網(wǎng)(wang)權限(xian)����,保證了(le)接入的安全性(xing)同時(shi)提升群眾(zhong)上網(wǎng)的體驗(yan)
8、豐富的認證(zheng)機制����,滿足組織(zhi)對無(wu)線網(wǎng)絡安(an)全、快速接入(ru)
9�、投資(zi)成本低,通(tong)過部署無線控(kong)制器替(ti)換原(yuan)有網(wǎng)絡的出口(kou)路由����、行為(wei)管理以及(ji)無線控制(zhi)器
