大型企(qi)業(yè)在無線網(wǎng)(wang)絡(luò)建(jian)設(shè)期間要充分(fen)考慮訪客（領(lǐng)導(dǎo)(dao)、客戶、合作伙(huo)伴）接入網(wǎng)(wang)絡(luò)的需求(qiu)。首先從安全性(xing)考慮，訪客網(wǎng)絡(luò)(luo)必須要和(he)辦公網(wǎng)(wang)絡(luò)分開，訪客網(wǎng)(wang)絡(luò)單獨(dú)(du)提供給訪客使(shi)用。從用(yong)戶體驗(yàn)角度考(kao)慮，訪客接入(ru)網(wǎng)絡(luò)(luo)的驗(yàn)證方式(shi)一定要做到簡(jiǎn)(jian)單易行(xing)，繁瑣的驗(yàn)證(zheng)方式會(huì)降(jiang)低訪客對(duì)企業(yè)(ye)的整體印(yin)象。同時(shí)對(duì)(dui)于訪客網(wǎng)(wang)絡(luò)，企(qi)業(yè)還需要建(jian)立完善(shan)的網(wǎng)(wang)絡(luò)安全管理機(jī)(ji)制，避(bi)免由于訪客的(de)網(wǎng)絡(luò)不(bu)良訪問給企(qi)業(yè)帶來的法律(lv)風(fēng)險(xiǎn)。對(duì)于(yu)企業(yè)員工(gong)移動(dòng)辦公上(shang)網(wǎng)，更需要做到(dao)可管控，上(shang)網(wǎng)行為做到(dao)可追溯，企業(yè)有(you)效的帶(dai)寬資(zi)源得到(dao)合理的分配和(he)保證，才(cai)能使企業(yè)的業(yè)(ye)務(wù)系統(tǒng)正常(chang)且穩(wěn)定高(gao)效地運(yùn)行，同時(shí)(shi)保證(zheng)企業(yè)信息安(an)全，避免機(jī)密(mi)信息泄露。

存在(zai)的問題(ti)（用戶需求(qiu)）

1、接入不安全：缺(que)乏安全(quan)可靠的認(rèn)(ren)證機(jī)制，企業(yè)無(wu)線網(wǎng)絡(luò)(luo)接入不(bu)安全

2、上網(wǎng)權(quán)(quan)限混亂：缺(que)乏有效(xiao)的控制策略(lve)，員工上網(wǎng)權(quán)限(xian)不分明

3、數(shù)據(jù)(ju)信息安全(quan)：缺乏有效的(de)數(shù)據(jù)加密機(jī)制(zhi)，企業(yè)數(shù)(shu)據(jù)被黑客竊取(qu)篡改(gai)

4、無線信號(hào)差：AP性(xing)能不(bu)佳，上網(wǎng)(wang)總掉線，點(diǎn)位(wei)規(guī)劃不合(he)理，信號(hào)盲(mang)區(qū)多(duo)

5、漫游效果差：不(bu)能實(shí)(shi)現(xiàn)二三層(ceng)漫游，移動(dòng)辦公(gong)時(shí)，業(yè)務(wù)中(zhong)斷

解決(jue)方案：

結(jié)合用(yong)戶無(wu)線網(wǎng)絡(luò)需(xu)求情況，結(jié)(jie)合產(chǎn)品(pin)自身技術(shù)特(te)點(diǎn)，為了(le)滿足用(yong)戶構(gòu)建一(yi)個(gè)高(gao)速、穩(wěn)定、安全(quan)、可靠、易于管理(li)的無線接(jie)入網(wǎng)絡(luò)的需(xu)求，本設(shè)計(jì)方(fang)案按照AP+AC的結(jié)構(gòu)(gou)化無線網(wǎng)絡(luò)(luo)解決方案(an)進(jìn)行設(shè)(she)計(jì)。具體(ti)設(shè)計(jì)為在(zai)總部(bu)設(shè)置總部(bu)AC,在大型分支(zhi)機(jī)構(gòu)設(shè)置(zhi)分支AC與(yu)分支(zhi)AP，中型分支機(jī)(ji)構(gòu)設(shè)計(jì)二級(jí)，三(san)級(jí)交換(huan)機(jī)，分支AP。小微(wei)型分支(zhi)機(jī)構(gòu)直(zhi)接設(shè)置分(fen)支AP。總(zong)部AC可(ke)以對(duì)(dui)大型(xing)分支機(jī)構(gòu)的AC進(jìn)(jin)行管理，當(dāng)網(wǎng)點(diǎn)(dian)控制器采(cai)用集中管理(li)的模式進(jìn)(jin)入到中(zhong)心端控(kong)制器時(shí)(shi)，會(huì)自動(dòng)下載中(zhong)心端的(de)公共配置(zhi)，比如IP組、MAC地(di)址庫(kù)、時(shí)(shi)間計(jì)劃、角色(se)授權(quán)、認(rèn)證頁(yè)(ye)面等 ?？偛緼C也(ye)可以直(zhi)接管(guan)理中小型分(fen)支機(jī)(ji)構(gòu)的分(fen)支AP，實(shí)現(xiàn)統(tǒng)一管(guan)理。

方案設(shè)計(jì)：

安全無線(xian)整體(ti)解決方(fang)案：

接入前&接入時(shí)(shi)進(jìn)行身份認(rèn)(ren)證、安全(quan)無線(xian)網(wǎng)卡、賬(zhang)號(hào)綁定(ding)（硬件碼+手機(jī)(ji)號(hào)），非(fei)法熱(re)點(diǎn)檢測(cè)及防御(yu)、網(wǎng)絡(luò)攻(gong)擊防護(hù)(hu)、射頻(pin)定時(shí)關(guān)閉及安(an)全加固。

接入后(hou)&上網(wǎng)時(shí)(shi)進(jìn)行訪問權(quán)(quan)限控制。

上網(wǎng)后進(jìn)(jin)行上網(wǎng)行為(wei)記錄。

上網(wǎng)用戶(hu)身份實(shí)(shi)名認(rèn)(ren)證：

無線(xian)辦公網(wǎng)(wang)采用(yong)802.1X/Portal/WAPI認(rèn)證，外(wai)置AAA和RADIUS+AD用于(yu)存儲(chǔ)用戶賬號(hào)(hao)密碼。

每個(gè)賬號(hào)對(duì)(dui)應(yīng)一個(gè)員工，包(bao)括姓(xing)名、部門、性(xing)別以及(ji)身份(fen)證、手機(jī)號(hào)等個(gè)(ge)人信(xin)息，保證每個(gè)上(shang)網(wǎng)的賬號(hào)都是(shi)可尋的，便于安(an)全管(guan)理。

用戶輸入賬號(hào)(hao)密碼(ma)上網(wǎng)驗(yàn)證時(shí)(shi)均采用加(jia)密傳輸(shu)，防止黑客空中(zhong)攔截，竊取賬號(hào)(hao)密碼等(deng)數(shù)據(jù)。

上網(wǎng)(wang)賬號(hào)自動(dòng)(dong)綁定終端：

自動(dòng)將賬號(hào)與(yu)終端的硬件(jian)特征碼進(jìn)行綁(bang)定，防止賬(zhang)號(hào)被他(ta)人使用(yong)或者被盜用(yong)。

每臺(tái)(tai)設(shè)備的(de)硬件(jian)特征碼是(shi)唯一的，無法通(tong)過軟件(jian)修改。即使(shi)通過(guo)軟件修改了(le)仍然(ran)可以識(shí)別(bie)原始的。

每個(gè)賬號(hào)最多(duo)可以綁定(ding)5臺(tái)終端，超(chao)過1臺(tái)時(shí)需要(yao)管理(li)員審核。

上網(wǎng)賬號(hào)(hao)二次綁定手機(jī)(ji)號(hào)碼(ma)：

賬號(hào)(hao)首次登(deng)陸時(shí)需(xu)要綁定(ding)手機(jī)號(hào)(hao)并輸入(ru)短信驗(yàn)證(zheng)碼，當(dāng)用戶賬(zhang)號(hào)在新(xin)終端(duan)登陸時(shí)（換終端(duan)/被他用/被(bei)盜），不僅需要(yao)輸入密碼，還需(xu)要輸(shu)入短(duan)信驗(yàn)證碼，解決(jue)員工賬號(hào)認(rèn)(ren)證的安(an)全問題

綁定手(shou)機(jī)號(hào)碼的用(yong)戶，可以自助重(zhong)置密碼和修(xiu)改密碼(ma)，無需(xu)通過IT管理員(yuan)。

用戶密碼(ma)管理及自助修(xiu)改：

無需通(tong)過管(guan)理員即可(ke)修改密碼，提(ti)高效率及減輕(qing)管理員工作壓(ya)力。

通過口(kou)袋助理、釘釘、企(qi)業(yè)號(hào)等手機(jī)(ji)MOA類APP軟(ruan)件進(jìn)行無線(xian)密碼(ma)修改。

若賬號(hào)綁定(ding)了手機(jī)號(hào)(hao)碼，可通過手(shou)機(jī)驗(yàn)證碼(ma)自助(zhu)修改。

上網(wǎng)終端合(he)法效(xiao)驗(yàn)：

采用(yong)安全無線網(wǎng)(wang)卡接(jie)入無線(xian)網(wǎng)絡(luò)，終端(duan)與AP熱點(diǎn)的雙(shuang)向驗(yàn)證，提高(gao)安全性。

可以(yi)將無線網(wǎng)絡(luò)設(shè)(she)置為只有安裝(zhuang)了安全(quan)無線網(wǎng)卡的終(zhong)端才(cai)能接(jie)入無線網(wǎng)(wang)絡(luò)。

支持設(shè)置安(an)全無線網(wǎng)卡(ka)只能連(lian)指定(ding)SSID無線(xian)網(wǎng)絡(luò)(luo)，無法連接(jie)非授權(quán)(quan)SSID。

網(wǎng)卡與AP數(shù)據(jù)(ju)傳輸時(shí)自動(dòng)進(jìn)(jin)行數(shù)據(jù)(ju)加密，保(bao)證無線的空口(kou)安全。

無線熱點(diǎn)掃描(miao)及非法熱點(diǎn)(dian)抑制(zhi)：

背景：黑(hei)客在附(fu)近搭建一個(gè)一(yi)模一樣(yang)或者類似的WIFI名(ming)稱，誘使用戶(hu)連到(dao)虛假(jia)釣魚WIFI上(shang)，黑客利用(yong)分析軟(ruan)件從用(yong)戶上網(wǎng)產(chǎn)生的(de)數(shù)據(jù)包中(zhong)分析提取(qu)用戶隱私(si)信息。

我們通過WIPS無線(xian)入侵(qin)防御系統(tǒng)實(shí)(shi)時(shí)檢測(cè)周(zhou)圍無(wu)線信號(hào)，當(dāng)檢(jian)測(cè)出來的信(xin)號(hào)BSSID、且(qie)AP源MAC地址不在(zai)授權(quán)(quan)列表中時(shí)，我們(men)向?qū)?yīng)(ying)的AP和終端(duan)發(fā)送解除(chu)關(guān)聯(lián)幀，讓(rang)終端無法連(lian)上釣魚(yu)WIFI。7×24小時(shí)不(bu)間斷監(jiān)測(cè)(ce)網(wǎng)絡(luò)。

上網(wǎng)行為嚴(yán)(yan)格控制：

強(qiáng)大的管理：通(tong)過應(yīng)用(yong)識(shí)別技術(shù)，可以(yi)根據(jù)應(yīng)用(yong)類型或者(zhe)具體某一種(zhong)應(yīng)用(yong)進(jìn)行(xing)封堵(du)，包括視(shi)頻、論壇、游(you)戲、金融(rong)、下載等2400多(duo)種網(wǎng)絡(luò)應(yīng)用(yong)。

通過應(yīng)用識(shí)(shi)別技術(shù)(shu)，可以根據(jù)應(yīng)用(yong)類型(xing)或者具(ju)體某一種(zhong)應(yīng)用進(jìn)(jin)行封堵，比(bi)如上班時(shí)間(jian)不允許炒股(gu)，不允(yun)許P2P下(xia)載，不允許外發(fā)(fa)敏感文件(jian)等； 支(zhi)持主流(liu)移動(dòng)平臺(tái)(tai)，可識(shí)別(bie)IM、社交、Mail、新聞、炒股(gu)等應(yīng)(ying)用。

無線控制(zhi)器內(nèi)(nei)置千(qian)萬(wàn)級(jí)別的(de)URL分類庫(kù)(ku)，能夠(gou)對(duì)URL進(jìn)行(xing)識(shí)別(bie)，包含(han)新聞、購(gòu)物、金(jin)融、教育等18個(gè)(ge)種類的URL地址； 準(zhǔn)(zhun)確識(shí)(shi)別目前(qian)主流(liu)網(wǎng)站(zhan)，識(shí)別率高達(dá)(da)99.9%，有效實(shí)現(xiàn)網(wǎng)頁(yè)(ye)過濾。例如禁(jin)止登陸非法(fa)網(wǎng)站

通過基于(yu)時(shí)間段的(de)訪問控(kong)制策略，實(shí)現(xiàn)(xian)不同(tong)的時(shí)(shi)間段不同的訪(fang)問權(quán)限，比如(ru)上班時(shí)間(jian)，禁止訪問網(wǎng)上(shang)銀行、游戲、論(lun)壇貼吧等與(yu)工作無關(guān)(guan)的應(yīng)用(yong)，下班時(shí)間則不(bu)受限(xian)制。

辦公區(qū)(qu)域內(nèi)，不同辦公(gong)部門(men)總會(huì)有各自(zi)專屬的無(wu)線網(wǎng)絡(luò)，并且不(bu)希望(wang)部門之(zhi)外的成員使(shi)用這(zhe)個(gè)網(wǎng)絡(luò)。無線(xian)網(wǎng)絡(luò)控制器可(ke)以根(gen)據(jù)用戶的(de)屬性(xing)，限制禁(jin)止非本部門(men)的用(yong)戶接(jie)入。

典型無(wu)線網(wǎng)絡(luò)(luo)攻擊防護(hù)(hu)：

對(duì)典型的(de)危險(xiǎn)攻(gong)擊行為進(jìn)行(xing)檢測(cè)，當(dāng)超(chao)過設(shè)定的閾值(zhi)后自動(dòng)將攻(gong)擊者加入到(dao)黑名單中，并(bing)凍結(jié)一定時(shí)(shi)間，即時(shí)發(fā)現(xiàn)網(wǎng)(wang)絡(luò)攻擊(ji)并進(jìn)行防御(yu)。

檢測(cè)的攻擊(ji)包括：DDOS防御、ARP掃(sao)描、IP掃描、端(duan)口掃描防御，禁(jin)止客戶(hu)端私設(shè)(she)IP以及ARP、網(wǎng)關(guān)欺(qi)騙防御、DHCP請(qǐng)(qing)求泛洪防御。

無線射(she)頻定(ding)時(shí)關(guān)閉(bi)開啟：

通過射(she)頻關(guān)閉控制(zhi)策略，可以指(zhi)定某SSID網(wǎng)絡(luò)，定時(shí)(shi)自動(dòng)關(guān)閉和(he)開啟(qi)無線網(wǎng)絡(luò)(luo)的射頻信(xin)號(hào)，晚上下班(ban)后自動(dòng)(dong)關(guān)閉無線射頻(pin)信號(hào)(hao)。

一方面可以(yi)節(jié)能(neng)減排(pai)、節(jié)省電(dian)費(fèi)支(zhi)出；另(ling)一方面又(you)能防止非(fei)法用戶(hu)利用深夜時(shí)間(jian)入侵無(wu)線網(wǎng)絡(luò)，做(zuo)一些非法的(de)操作(zuo)。

有線無(wu)線一體化管(guan)理：

NAC的有線無線(xian)一體化(hua)，支持對(duì)有線(xian)用戶的(de)接入認(rèn)(ren)證、訪問控(kong)制、流量管(guan)理、上網(wǎng)行為審(shen)計(jì)等，

并提供(gong)統(tǒng)一中文(wen)Web管理界(jie)面，一(yi)站式服務(wù)(wu)，極大(da)的降低網(wǎng)(wang)絡(luò)建(jian)設(shè)成本。

網(wǎng)絡(luò)分權(quán)(quan)分級(jí)管理(li)：

分配不(bu)同的管理員分(fen)別管理各自權(quán)(quan)限區(qū)域的無(wu)線AP，可以精(jing)細(xì)到對(duì)某(mou)AP分組有管理權(quán)(quan)限，該管理員(yuan)可以(yi)在該AP分組(zu)上建立無(wu)線網(wǎng)絡(luò)，能夠(gou)激活、刪除接入(ru)點(diǎn)，能夠?qū)P的(de)配置進(jìn)(jin)行編輯修改(gai)。

可指定管(guan)理員針(zhen)對(duì)每個(gè)頁(yè)面(mian)的編輯(ji)或可(ke)查看權(quán)(quan)限，控制粒度到(dao)控制器(qi)上的各個(gè)(ge)頁(yè)面，對(duì)某(mou)個(gè)頁(yè)面沒(mei)有讀權(quán)限則登(deng)錄時(shí)不(bu)顯示。

移動(dòng)APP隨時(shí)隨地(di)運(yùn)維(wei)管理：

支持跨互聯(lián)網(wǎng)(wang)運(yùn)維管(guan)理

登陸(lu)APP進(jìn)行維護(hù)管理(li)：不同管理員，不(bu)同權(quán)限

查看網(wǎng)(wang)絡(luò)運(yùn)行(xing)情況(kuang)：在線用(yong)戶、在線AP數(shù)(shu)量、實(shí)時(shí)流量

無線網(wǎng)絡(luò)管(guan)理維(wei)護(hù)：開啟關(guān)(guan)閉SSID、終端綁(bang)定審(shen)批、二維碼上(shang)網(wǎng)審核

故障、審批實(shí)時(shí)(shi)通知：AP離線警(jing)告、服務(wù)(wu)器離線警(jing)告、網(wǎng)絡(luò)攻擊(ji)告警

方案優(yōu)(you)勢(shì)：

1、最豐富的無線(xian)安全機(jī)(ji)制，提供(gong)從安(an)全接入(ru)到安(an)全上網(wǎng)等端到(dao)端的安全策略(lve)

2、合理(li)管控工作人員(yuan)上網(wǎng)行(xing)為，提升工(gong)作效率、防(fang)止帶寬(kuan)浪費(fèi)，有線無(wu)線雙重(zhong)管控

3、為會(huì)(hui)議室，報(bào)告廳等(deng)人員密集區(qū)(qu)域接(jie)入網(wǎng)(wang)絡(luò)提(ti)高保(bao)證，解決有線網(wǎng)(wang)口不足(zu)的問題；

4、為企業(yè)員工的(de)移動(dòng)辦公提(ti)供支撐，內(nèi)(nei)部員工可通過(guo)無線網(wǎng)(wang)絡(luò)隨(sui)時(shí)安(an)全接(jie)入內(nèi)部網(wǎng)絡(luò)(luo)，實(shí)現(xiàn)辦(ban)公；

5、內(nèi)部員工賬(zhang)號(hào)及個(gè)人信息(xi)綁定(ding)，便于安(an)全管理(li)；

6、內(nèi)部員工可通(tong)過自(zi)己的辦(ban)公設(shè)備在企(qi)業(yè)大樓(lou)內(nèi)快速移(yi)動(dòng)辦公(gong)，網(wǎng)絡(luò)(luo)接入更(geng)快速，上網(wǎng)(wang)行為管(guan)理系統(tǒng)(tong)對(duì)員工上網(wǎng)(wang)行為進(jìn)(jin)行審(shen)計(jì)與(yu)管控

7、來訪客(ke)戶接入企(qi)業(yè)網(wǎng)絡(luò)，可根據(jù)(ju)不同需求(qiu)，分配不同的(de)上網(wǎng)(wang)權(quán)限(xian)，保證了(le)接入的(de)安全性同時(shí)(shi)提升群眾上網(wǎng)(wang)的體(ti)驗(yàn)

8、豐富的認(rèn)證(zheng)機(jī)制，滿足組(zu)織對(duì)無線網(wǎng)絡(luò)(luo)安全、快(kuai)速接入

9、投資成本低，通(tong)過部署(shu)無線控制器(qi)替換原有網(wǎng)絡(luò)(luo)的出口路由、行(xing)為管理(li)以及無線(xian)控制器(qi)