?
大型企(qi)業(yè)在無線網(wǎng)(wang)絡(luò)建設(shè)(she)期間(jian)要充分考慮(lv)訪客(領(lǐng)導(dǎo)���、客(ke)戶、合(he)作伙(huo)伴)接入網(wǎng)絡(luò)的(de)需求。首先(xian)從安(an)全性考慮,訪(fang)客網(wǎng)絡(luò)(luo)必須要和辦(ban)公網(wǎng)(wang)絡(luò)分開(kai)���,訪客網(wǎng)絡(luò)單獨(dú)(du)提供給訪客(ke)使用。從(cong)用戶體驗(yàn)角(jiao)度考慮(lv)���,訪客接(jie)入網(wǎng)絡(luò)的(de)驗(yàn)證方式(shi)一定要做到(dao)簡(jiǎn)單易行,繁(fan)瑣的(de)驗(yàn)證方式會(huì)降(jiang)低訪客對(duì)(dui)企業(yè)的(de)整體(ti)印象���。同時(shí)對(duì)于(yu)訪客網(wǎng)(wang)絡(luò)���,企業(yè)(ye)還需要建立(li)完善的網(wǎng)絡(luò)安(an)全管理機(jī)制,避(bi)免由于訪(fang)客的網(wǎng)絡(luò)不良(liang)訪問給企業(yè)帶(dai)來的法律風(fēng)險(xiǎn)(xian)���。對(duì)于企業(yè)員(yuan)工移(yi)動(dòng)辦公(gong)上網(wǎng)���,更需要(yao)做到可管(guan)控,上網(wǎng)行(xing)為做到(dao)可追溯���,企業(yè)有(you)效的(de)帶寬資源得到(dao)合理的分配(pei)和保(bao)證���,才(cai)能使企業(yè)的業(yè)(ye)務(wù)系統(tǒng)正(zheng)常且穩(wěn)(wen)定高效地運(yùn)(yun)行���,同(tong)時(shí)保證企(qi)業(yè)信息安(an)全,避免(mian)機(jī)密信息(xi)泄露���。
存在的問(wen)題(用戶需求)
1���、接入不安(an)全:缺乏安(an)全可(ke)靠的認(rèn)證機(jī)制(zhi),企業(yè)無(wu)線網(wǎng)絡(luò)(luo)接入不(bu)安全
2���、上網(wǎng)權(quán)限(xian)混亂:缺乏有效(xiao)的控制策略(lve)���,員工(gong)上網(wǎng)(wang)權(quán)限不分明(ming)
3、數(shù)據(jù)信息(xi)安全(quan):缺乏有(you)效的數(shù)(shu)據(jù)加密機(jī)(ji)制���,企業(yè)(ye)數(shù)據(jù)(ju)被黑客竊(qie)取篡改
4���、無線信號(hào)差:AP性(xing)能不佳,上網(wǎng)總(zong)掉線(xian)���,點(diǎn)位規(guī)劃不(bu)合理���,信號(hào)盲區(qū)(qu)多
5���、漫游效果差:不(bu)能實(shí)(shi)現(xiàn)二三層(ceng)漫游,移(yi)動(dòng)辦公時(shí)���,業(yè)(ye)務(wù)中斷
解決方案:
結(jié)合用(yong)戶無線網(wǎng)絡(luò)需(xu)求情況���,結(jié)合(he)產(chǎn)品自身技術(shù)(shu)特點(diǎn),為了滿(man)足用戶構(gòu)建一(yi)個(gè)高(gao)速���、穩(wěn)定、安全(quan)���、可靠���、易于(yu)管理(li)的無線接(jie)入網(wǎng)絡(luò)的需求(qiu),本設(shè)計(jì)方案按(an)照AP+AC的結(jié)構(gòu)化(hua)無線(xian)網(wǎng)絡(luò)(luo)解決方案(an)進(jìn)行(xing)設(shè)計(jì)���。具體(ti)設(shè)計(jì)為在總(zong)部設(shè)置總部(bu)AC,在大型分支(zhi)機(jī)構(gòu)(gou)設(shè)置分(fen)支AC與分支(zhi)AP���,中型分支機(jī)構(gòu)(gou)設(shè)計(jì)二(er)級(jí),三(san)級(jí)交換(huan)機(jī),分支AP���。小微型(xing)分支機(jī)構(gòu)直接(jie)設(shè)置分(fen)支AP���。總部AC可(ke)以對(duì)大型分(fen)支機(jī)(ji)構(gòu)的AC進(jìn)行管(guan)理���,當(dāng)網(wǎng)點(diǎn)(dian)控制器采用集(ji)中管理(li)的模式進(jìn)入(ru)到中心(xin)端控制(zhi)器時(shí)(shi)���,會(huì)自動(dòng)下載中(zhong)心端(duan)的公共配(pei)置,比(bi)如IP組(zu)���、MAC地址庫���、時(shí)間計(jì)(ji)劃、角(jiao)色授(shou)權(quán)���、認(rèn)證頁面(mian)等 ���。總部AC也可以(yi)直接管(guan)理中小型(xing)分支(zhi)機(jī)構(gòu)的分(fen)支AP���,實(shí)現(xiàn)統(tǒng)一(yi)管理���。
方案設(shè)計(jì):
安全無線整體(ti)解決方案:
接入前&接入(ru)時(shí)進(jìn)行(xing)身份認(rèn)證���、安(an)全無(wu)線網(wǎng)卡(ka)、賬號(hào)綁定(硬件(jian)碼+手機(jī)號(hào)(hao))���,非法(fa)熱點(diǎn)檢測(cè)及(ji)防御(yu)���、網(wǎng)絡(luò)(luo)攻擊(ji)防護(hù)、射頻定(ding)時(shí)關(guān)閉及安(an)全加固���。
接入后&上網(wǎng)(wang)時(shí)進(jìn)(jin)行訪問(wen)權(quán)限(xian)控制���。
上網(wǎng)后進(jìn)行上(shang)網(wǎng)行(xing)為記(ji)錄���。
上網(wǎng)用(yong)戶身份實(shí)名(ming)認(rèn)證:
無線辦公網(wǎng)采(cai)用802.1X/Portal/WAPI認(rèn)證���,外(wai)置AAA和RADIUS+AD用于(yu)存儲(chǔ)用戶賬(zhang)號(hào)密碼(ma)。
每個(gè)賬號(hào)對(duì)(dui)應(yīng)一個(gè)員工(gong)���,包括姓(xing)名���、部(bu)門���、性別(bie)以及身份證、手(shou)機(jī)號(hào)(hao)等個(gè)人信息(xi)���,保證(zheng)每個(gè)上網(wǎng)(wang)的賬號(hào)都(dou)是可尋的���,便于(yu)安全管(guan)理。
用戶輸入賬(zhang)號(hào)密(mi)碼上(shang)網(wǎng)驗(yàn)證(zheng)時(shí)均采用(yong)加密傳輸���,防止(zhi)黑客(ke)空中攔(lan)截���,竊取賬(zhang)號(hào)密碼等數(shù)據(jù)(ju)。
上網(wǎng)賬號(hào)自(zi)動(dòng)綁定終(zhong)端:
自動(dòng)將賬(zhang)號(hào)與終端(duan)的硬件特征碼(ma)進(jìn)行(xing)綁定���,防(fang)止賬號(hào)被他人(ren)使用或(huo)者被(bei)盜用(yong)���。
每臺(tái)設(shè)備的硬(ying)件特(te)征碼是唯一(yi)的,無法通過(guo)軟件修改���。即(ji)使通過軟件修(xiu)改了仍然可以(yi)識(shí)別原始的(de)���。
每個(gè)賬號(hào)最多(duo)可以綁(bang)定5臺(tái)終端(duan)���,超過1臺(tái)時(shí)(shi)需要(yao)管理員審核。
上網(wǎng)(wang)賬號(hào)二次(ci)綁定(ding)手機(jī)(ji)號(hào)碼(ma):
賬號(hào)首次(ci)登陸時(shí)需要(yao)綁定手機(jī)(ji)號(hào)并輸入(ru)短信驗(yàn)證碼���,當(dāng)(dang)用戶賬號(hào)在(zai)新終端登陸(lu)時(shí)(換終端/被(bei)他用(yong)/被盜)���,不(bu)僅需要輸入(ru)密碼,還(hai)需要輸(shu)入短信(xin)驗(yàn)證碼���,解決員(yuan)工賬號(hào)認(rèn)(ren)證的安全問題(ti)
綁定手機(jī)(ji)號(hào)碼(ma)的用戶(hu)���,可以自助重(zhong)置密碼和修(xiu)改密碼,無需(xu)通過IT管(guan)理員(yuan)���。
用戶密碼管理(li)及自助修改(gai):
無需通過(guo)管理員即(ji)可修(xiu)改密碼,提(ti)高效率及減輕(qing)管理員工作(zuo)壓力���。
通過口袋(dai)助理���、釘(ding)釘���、企業(yè)號(hào)等手(shou)機(jī)MOA類(lei)APP軟件(jian)進(jìn)行無線密碼(ma)修改。
若賬號(hào)(hao)綁定了(le)手機(jī)號(hào)碼���,可(ke)通過(guo)手機(jī)驗(yàn)(yan)證碼自助修(xiu)改���。
上網(wǎng)終端合(he)法效驗(yàn):
采用安全無(wu)線網(wǎng)卡(ka)接入無(wu)線網(wǎng)絡(luò)(luo),終端與(yu)AP熱點(diǎn)的雙向(xiang)驗(yàn)證���,提(ti)高安(an)全性���。
可以將無線(xian)網(wǎng)絡(luò)設(shè)置(zhi)為只(zhi)有安(an)裝了安全無線(xian)網(wǎng)卡的(de)終端才能(neng)接入無線網(wǎng)絡(luò)(luo)。
支持(chi)設(shè)置安全無(wu)線網(wǎng)(wang)卡只能連(lian)指定SSID無線網(wǎng)絡(luò)(luo)���,無法(fa)連接非授權(quán)SSID���。
網(wǎng)卡與AP數(shù)據(jù)傳(chuan)輸時(shí)(shi)自動(dòng)進(jìn)行數(shù)(shu)據(jù)加密,保證無(wu)線的空口安(an)全���。
無線(xian)熱點(diǎn)掃描(miao)及非法(fa)熱點(diǎn)抑制(zhi):
背景(jing):黑客在附近(jin)搭建(jian)一個(gè)一模一樣(yang)或者類似的WIFI名(ming)稱���,誘使用戶(hu)連到虛假釣魚(yu)WIFI上���,黑客(ke)利用分析(xi)軟件從用戶上(shang)網(wǎng)產(chǎn)(chan)生的數(shù)據(jù)包(bao)中分(fen)析提取用戶隱(yin)私信息。
我們(men)通過WIPS無線入(ru)侵防(fang)御系統(tǒng)(tong)實(shí)時(shí)檢測(cè)(ce)周圍無(wu)線信號(hào)(hao)���,當(dāng)檢測(cè)(ce)出來的信號(hào)(hao)BSSID���、且AP源MAC地址不(bu)在授權(quán)(quan)列表中時(shí),我們(men)向?qū)?yīng)(ying)的AP和終端(duan)發(fā)送解除關(guān)(guan)聯(lián)幀���,讓(rang)終端無法(fa)連上(shang)釣魚WIFI���。7×24小時(shí)(shi)不間(jian)斷監(jiān)測(cè)(ce)網(wǎng)絡(luò)。
上網(wǎng)(wang)行為嚴(yán)格控制(zhi):
強(qiáng)大的管理:通(tong)過應(yīng)(ying)用識(shí)別技術(shù)(shu)���,可以根據(jù)應(yīng)用(yong)類型或者(zhe)具體某一(yi)種應(yīng)用進(jìn)行封(feng)堵���,包括視頻(pin)、論壇(tan)���、游戲(xi)���、金融、下載等2400多(duo)種網(wǎng)絡(luò)應(yīng)用(yong)���。
通過應(yīng)用識(shí)別(bie)技術(shù)���,可(ke)以根據(jù)應(yīng)用類(lei)型或者具體(ti)某一種應(yīng)(ying)用進(jìn)行封堵(du),比如上班(ban)時(shí)間不允許炒(chao)股���,不允許(xu)P2P下載(zai)���,不允許(xu)外發(fā)敏感文(wen)件等; 支(zhi)持主流移動(dòng)(dong)平臺(tái)���,可(ke)識(shí)別IM���、社(she)交、Mail���、新(xin)聞���、炒股(gu)等應(yīng)用���。
無線控(kong)制器內(nèi)置千(qian)萬級(jí)別的URL分類(lei)庫,能(neng)夠?qū)?dui)URL進(jìn)行(xing)識(shí)別���,包含新(xin)聞���、購物、金(jin)融���、教育等18個(gè)(ge)種類的(de)URL地址���; 準(zhǔn)確識(shí)(shi)別目(mu)前主流網(wǎng)(wang)站,識(shí)別率高達(dá)(da)99.9%���,有效實(shí)現(xiàn)網(wǎng)頁(ye)過濾���。例如(ru)禁止登陸非法(fa)網(wǎng)站
通過基于(yu)時(shí)間段的(de)訪問控制(zhi)策略,實(shí)現(xiàn)不同(tong)的時(shí)間段不同(tong)的訪(fang)問權(quán)(quan)限���,比如上(shang)班時(shí)(shi)間���,禁止訪問網(wǎng)(wang)上銀行���、游戲(xi)、論壇貼吧等(deng)與工作無關(guān)的(de)應(yīng)用���,下班時(shí)(shi)間則(ze)不受限制(zhi)。
辦公區(qū)域內(nèi)(nei)���,不同辦(ban)公部門總會(huì)(hui)有各自(zi)專屬的無線網(wǎng)(wang)絡(luò)���,并且不希(xi)望部門之(zhi)外的(de)成員使用這(zhe)個(gè)網(wǎng)絡(luò)。無線(xian)網(wǎng)絡(luò)控制器(qi)可以根(gen)據(jù)用戶(hu)的屬性���,限制禁(jin)止非本部(bu)門的用戶接入(ru)���。
典型(xing)無線網(wǎng)絡(luò)攻擊(ji)防護(hù):
對(duì)典型的(de)危險(xiǎn)攻擊行為(wei)進(jìn)行檢測(cè)(ce),當(dāng)超過設(shè)(she)定的閾值后(hou)自動(dòng)將(jiang)攻擊者加入(ru)到黑名單中(zhong)���,并凍結(jié)一定時(shí)(shi)間���,即(ji)時(shí)發(fā)現(xiàn)(xian)網(wǎng)絡(luò)攻擊并進(jìn)(jin)行防御。
檢測(cè)的(de)攻擊(ji)包括:DDOS防御、ARP掃(sao)描���、IP掃(sao)描���、端口掃(sao)描防(fang)御,禁止客(ke)戶端私設(shè)IP以(yi)及ARP���、網(wǎng)關(guān)欺(qi)騙防御���、DHCP請(qǐng)求(qiu)泛洪(hong)防御。
無線射頻定時(shí)(shi)關(guān)閉開啟:
通過射頻關(guān)閉(bi)控制策略(lve)���,可以指定某SSID網(wǎng)(wang)絡(luò)���,定時(shí)自動(dòng)關(guān)(guan)閉和開啟無(wu)線網(wǎng)絡(luò)的射頻(pin)信號(hào),晚上(shang)下班后(hou)自動(dòng)關(guān)(guan)閉無線射頻信(xin)號(hào)���。
一方面可(ke)以節(jié)能減排(pai)���、節(jié)省電費(fèi)支出(chu);另一方面(mian)又能防(fang)止非法(fa)用戶利用深夜(ye)時(shí)間入侵無(wu)線網(wǎng)(wang)絡(luò)���,做一些(xie)非法的(de)操作���。
有線無(wu)線一體化管理(li):
NAC的有線無線一(yi)體化(hua)���,支持(chi)對(duì)有線用(yong)戶的(de)接入認(rèn)證(zheng)、訪問控制(zhi)���、流量(liang)管理、上(shang)網(wǎng)行為審(shen)計(jì)等(deng)���,
并提供統(tǒng)一(yi)中文Web管理界(jie)面���,一站式(shi)服務(wù),極大的(de)降低網(wǎng)絡(luò)建設(shè)(she)成本���。
網(wǎng)絡(luò)(luo)分權(quán)分級(jí)管(guan)理:
分配不同(tong)的管理員分(fen)別管理各自權(quán)(quan)限區(qū)域(yu)的無線AP���,可(ke)以精細(xì)到(dao)對(duì)某AP分組(zu)有管理權(quán)限(xian),該管理員(yuan)可以在該(gai)AP分組上(shang)建立無線網(wǎng)絡(luò)(luo)���,能夠激活���、刪(shan)除接入點(diǎn)(dian)���,能夠(gou)對(duì)AP的配置進(jìn)(jin)行編輯修(xiu)改。
可指定管理員(yuan)針對(duì)每個(gè)頁(ye)面的編輯或可(ke)查看權(quán)限���,控(kong)制粒度到控制(zhi)器上的各個(gè)(ge)頁面���,對(duì)某個(gè)頁(ye)面沒有讀權(quán)(quan)限則登錄時(shí)不(bu)顯示。
移動(dòng)APP隨時(shí)隨地(di)運(yùn)維管理:
支持(chi)跨互聯(lián)網(wǎng)(wang)運(yùn)維管理
登陸APP進(jìn)行維護(hù)(hu)管理:不同管(guan)理員(yuan)���,不同(tong)權(quán)限
查看網(wǎng)(wang)絡(luò)運(yùn)行情(qing)況:在線(xian)用戶���、在線AP數(shù)(shu)量、實(shí)時(shí)流量(liang)
無線網(wǎng)絡(luò)(luo)管理維護(hù):開(kai)啟關(guān)閉SSID���、終端(duan)綁定審批(pi)���、二維碼上(shang)網(wǎng)審核
故障、審批實(shí)時(shí)(shi)通知:AP離線警告(gao)���、服務(wù)器離線(xian)警告���、網(wǎng)絡(luò)(luo)攻擊告(gao)警
方案優(yōu)勢(shì):
1���、最豐富的無線(xian)安全機(jī)制,提(ti)供從安全接入(ru)到安(an)全上網(wǎng)等端到(dao)端的安全策(ce)略
2���、合理管(guan)控工作人員上(shang)網(wǎng)行為(wei)���,提升工作效(xiao)率、防止帶寬浪(lang)費(fèi)���,有(you)線無線雙(shuang)重管控
3、為會(huì)(hui)議室���,報(bào)(bao)告廳等人員密(mi)集區(qū)域接入網(wǎng)(wang)絡(luò)提高保證(zheng)���,解決(jue)有線網(wǎng)口不足(zu)的問(wen)題;
4���、為企業(yè)員(yuan)工的移(yi)動(dòng)辦公提供支(zhi)撐���,內(nèi)部員工可(ke)通過無(wu)線網(wǎng)絡(luò)隨時(shí)安(an)全接(jie)入內(nèi)部(bu)網(wǎng)絡(luò)���,實(shí)現(xiàn)(xian)辦公;
5���、內(nèi)部(bu)員工(gong)賬號(hào)及個(gè)人(ren)信息綁定���,便(bian)于安(an)全管理;
6���、內(nèi)部員工可(ke)通過自己的(de)辦公(gong)設(shè)備在(zai)企業(yè)大(da)樓內(nèi)快(kuai)速移動(dòng)辦公���,網(wǎng)(wang)絡(luò)接入(ru)更快速,上網(wǎng)行(xing)為管理系統(tǒng)(tong)對(duì)員工(gong)上網(wǎng)行(xing)為進(jìn)(jin)行審計(jì)(ji)與管控
7���、來訪客戶接入(ru)企業(yè)網(wǎng)(wang)絡(luò)���,可根據(jù)(ju)不同需求,分配(pei)不同的(de)上網(wǎng)權(quán)限���,保(bao)證了(le)接入(ru)的安全性同時(shí)(shi)提升群眾上(shang)網(wǎng)的體驗(yàn)(yan)
8���、豐富的認(rèn)證機(jī)(ji)制���,滿(man)足組織對(duì)無線(xian)網(wǎng)絡(luò)(luo)安全、快速接(jie)入
9���、投資成本低(di)���,通過部署無線(xian)控制器替換原(yuan)有網(wǎng)絡(luò)的出(chu)口路由、行為(wei)管理以及(ji)無線控制器(qi)
