大型企業(yè)在(zai)無線網(wǎng)絡(luo)建設期間要(yao)充分(fen)考慮訪客（領(lǐng)導(dao)、客戶、合(he)作伙伴）接入(ru)網(wǎng)絡的(de)需求。首先(xian)從安全性考慮(lv)，訪客網(wǎng)絡必(bi)須要(yao)和辦公網(wǎng)絡分(fen)開，訪客(ke)網(wǎng)絡單獨提(ti)供給訪客使(shi)用。從用戶體驗(yan)角度(du)考慮(lv)，訪客(ke)接入網(wǎng)絡的驗(yan)證方式(shi)一定要(yao)做到簡(jian)單易(yi)行，繁瑣(suo)的驗證方式(shi)會降低訪(fang)客對企(qi)業(yè)的整(zheng)體印象。同時(shi)對于(yu)訪客網(wǎng)絡(luo)，企業(yè)還需要(yao)建立完善的(de)網(wǎng)絡安全(quan)管理機制，避(bi)免由于訪(fang)客的網(wǎng)(wang)絡不良訪(fang)問給企業(yè)帶來(lai)的法律風險。對(dui)于企業(yè)(ye)員工移動辦公(gong)上網(wǎng)，更需(xu)要做(zuo)到可(ke)管控(kong)，上網(wǎng)行(xing)為做到(dao)可追(zhui)溯，企業(yè)(ye)有效的帶寬資(zi)源得(de)到合理的(de)分配和保證，才(cai)能使企業(yè)(ye)的業(yè)務系統(tǒng)(tong)正常且穩(wěn)(wen)定高效地(di)運行，同(tong)時保證企業(yè)(ye)信息安全，避免(mian)機密信息(xi)泄露。

存在的(de)問題(ti)（用戶需求）

1、接入不安全：缺(que)乏安全可(ke)靠的(de)認證機制，企(qi)業(yè)無(wu)線網(wǎng)(wang)絡接入不(bu)安全

2、上網(wǎng)權(quán)限(xian)混亂(luan)：缺乏有效的控(kong)制策略(lve)，員工上網(wǎng)權(quán)限(xian)不分明

3、數(shù)據(jù)信息(xi)安全(quan)：缺乏有效(xiao)的數(shù)據(jù)加(jia)密機制，企(qi)業(yè)數(shù)據(jù)被(bei)黑客竊取(qu)篡改

4、無線(xian)信號(hao)差：AP性能不(bu)佳，上網(wǎng)(wang)總掉線，點位(wei)規(guī)劃不合(he)理，信(xin)號盲(mang)區(qū)多(duo)

5、漫游效果差(cha)：不能實現(xiàn)(xian)二三(san)層漫(man)游，移動辦公時(shi)，業(yè)務中斷(duan)

解決方(fang)案：

結(jié)合(he)用戶(hu)無線網(wǎng)(wang)絡需求情況(kuang)，結(jié)合產(chǎn)品(pin)自身(shen)技術(shù)(shu)特點，為了滿(man)足用(yong)戶構(gòu)建(jian)一個高速、穩(wěn)定(ding)、安全、可(ke)靠、易于管理(li)的無線(xian)接入網(wǎng)(wang)絡的需(xu)求，本(ben)設計方案按照(zhao)AP+AC的結(jié)構(gòu)化(hua)無線網(wǎng)(wang)絡解(jie)決方案(an)進行(xing)設計(ji)。具體設計(ji)為在總(zong)部設置總部AC,在(zai)大型分支機(ji)構(gòu)設置(zhi)分支AC與分支AP，中(zhong)型分支機構(gòu)設(she)計二級，三級(ji)交換機，分支(zhi)AP。小微型分支機(ji)構(gòu)直接(jie)設置分支AP?？偛?bu)AC可以對大型分(fen)支機構(gòu)(gou)的AC進行管(guan)理，當網(wǎng)點控(kong)制器采(cai)用集中管理的(de)模式進入到(dao)中心端控(kong)制器時，會(hui)自動下載(zai)中心端的公共(gong)配置，比(bi)如IP組、MAC地(di)址庫、時(shi)間計劃、角色授(shou)權(quán)、認證(zheng)頁面(mian)等 ?？偛緼C也可(ke)以直接(jie)管理中小型分(fen)支機構(gòu)的分(fen)支AP，實現(xiàn)統(tǒng)(tong)一管理。

方案(an)設計：

安全無(wu)線整體(ti)解決方案：

接入前&接入(ru)時進行身(shen)份認證(zheng)、安全(quan)無線網(wǎng)(wang)卡、賬號綁定(ding)（硬件碼(ma)+手機號），非(fei)法熱(re)點檢測及防御(yu)、網(wǎng)絡攻擊防護(hu)、射頻定時關(guān)閉(bi)及安全加(jia)固。

接入后&上網(wǎng)(wang)時進行訪(fang)問權(quán)限(xian)控制(zhi)。

上網(wǎng)后進行上(shang)網(wǎng)行為記錄。

上網(wǎng)(wang)用戶(hu)身份(fen)實名(ming)認證(zheng)：

無線(xian)辦公(gong)網(wǎng)采用802.1X/Portal/WAPI認證(zheng)，外置AAA和RADIUS+AD用于(yu)存儲用(yong)戶賬號密碼。

每個賬號對(dui)應一個員工，包(bao)括姓名(ming)、部門(men)、性別(bie)以及身份證、手(shou)機號(hao)等個(ge)人信息(xi)，保證(zheng)每個上網(wǎng)(wang)的賬號都(dou)是可尋(xun)的，便于安全管(guan)理。

用戶(hu)輸入(ru)賬號密碼上網(wǎng)(wang)驗證時(shi)均采用加密(mi)傳輸，防止(zhi)黑客空中(zhong)攔截，竊取賬(zhang)號密碼等數(shù)據(jù)(ju)。

上網(wǎng)賬號自(zi)動綁(bang)定終端(duan)：

自動(dong)將賬號與(yu)終端的硬(ying)件特征碼進(jin)行綁定(ding)，防止(zhi)賬號(hao)被他(ta)人使用或(huo)者被盜用。

每臺設(she)備的(de)硬件特征碼是(shi)唯一的，無法通(tong)過軟(ruan)件修改。即使通(tong)過軟件修改了(le)仍然可(ke)以識(shi)別原始的(de)。

每個賬號最(zui)多可以(yi)綁定5臺終端，超(chao)過1臺時需(xu)要管理(li)員審核。

上網(wǎng)賬(zhang)號二次綁定手(shou)機號碼：

賬號首次登(deng)陸時需要綁定(ding)手機(ji)號并輸入短(duan)信驗證碼，當(dang)用戶賬號在新(xin)終端(duan)登陸(lu)時（換終(zhong)端/被他用/被盜(dao)），不僅(jin)需要輸(shu)入密碼(ma)，還需要輸(shu)入短信(xin)驗證碼，解決(jue)員工(gong)賬號認證的(de)安全(quan)問題

綁定(ding)手機(ji)號碼的用戶，可(ke)以自助(zhu)重置(zhi)密碼(ma)和修改(gai)密碼(ma)，無需通過IT管理(li)員。

用戶(hu)密碼管(guan)理及自助修改(gai)：

無需(xu)通過(guo)管理員即可(ke)修改密碼(ma)，提高效率(lv)及減輕管理員(yuan)工作壓力。

通過口袋助(zhu)理、釘釘(ding)、企業(yè)號(hao)等手機(ji)MOA類APP軟件進(jin)行無線密碼(ma)修改(gai)。

若賬號(hao)綁定了手機(ji)號碼，可(ke)通過手(shou)機驗證(zheng)碼自助修(xiu)改。

上網(wǎng)終端合(he)法效驗：

采用(yong)安全無線網(wǎng)(wang)卡接入無線(xian)網(wǎng)絡，終端(duan)與AP熱點(dian)的雙向(xiang)驗證，提高(gao)安全性。

可以將無線網(wǎng)(wang)絡設置(zhi)為只有安裝(zhuang)了安(an)全無(wu)線網(wǎng)(wang)卡的終端(duan)才能接入無(wu)線網(wǎng)(wang)絡。

支持設(she)置安(an)全無(wu)線網(wǎng)(wang)卡只能連指定(ding)SSID無線網(wǎng)絡(luo)，無法連接非(fei)授權(quán)SSID。

網(wǎng)卡與AP數(shù)(shu)據(jù)傳(chuan)輸時自動(dong)進行數(shù)據(jù)加密(mi)，保證無(wu)線的空口安全(quan)。

無線熱點掃(sao)描及非法熱(re)點抑制：

背景(jing)：黑客在附近搭(da)建一個(ge)一模(mo)一樣或者類(lei)似的WIFI名稱(cheng)，誘使用戶連到(dao)虛假釣魚WIFI上(shang)，黑客利用(yong)分析軟件(jian)從用戶上網(wǎng)產(chǎn)(chan)生的數(shù)據(jù)包(bao)中分析提取用(yong)戶隱私信息。

我們通過(guo)WIPS無線入(ru)侵防(fang)御系統(tǒng)(tong)實時(shi)檢測周(zhou)圍無線(xian)信號，當(dang)檢測出(chu)來的(de)信號(hao)BSSID、且AP源MAC地(di)址不在授權(quán)(quan)列表中時，我(wo)們向?qū)?de)AP和終端發(fā)送解(jie)除關(guān)聯(lián)幀，讓(rang)終端無法連(lian)上釣(diao)魚WIFI。7×24小時不間斷(duan)監(jiān)測網(wǎng)(wang)絡。

上網(wǎng)行(xing)為嚴格控制(zhi)：

強大的管理：通(tong)過應用識別技(ji)術(shù)，可以根(gen)據(jù)應用(yong)類型(xing)或者具體某(mou)一種應用進(jin)行封堵，包括(kuo)視頻、論壇、游(you)戲、金融、下載(zai)等2400多種網(wǎng)(wang)絡應用。

通過應用(yong)識別技(ji)術(shù)，可以根(gen)據(jù)應(ying)用類型或者具(ju)體某一種應(ying)用進行封堵(du)，比如上(shang)班時間不(bu)允許炒股，不允(yun)許P2P下載，不(bu)允許外發(fā)敏(min)感文件(jian)等； 支持主流移(yi)動平臺，可識別(bie)IM、社交、Mail、新聞、炒股(gu)等應用(yong)。

無線(xian)控制器(qi)內(nèi)置(zhi)千萬級別(bie)的URL分(fen)類庫(ku)，能夠?qū)RL進行識(shi)別，包含新(xin)聞、購物、金(jin)融、教育等18個(ge)種類的URL地(di)址； 準確識別目(mu)前主流(liu)網(wǎng)站(zhan)，識別率高達99.9%，有(you)效實現(xiàn)網(wǎng)頁(ye)過濾。例如禁(jin)止登陸非法(fa)網(wǎng)站(zhan)

通過基于時(shi)間段(duan)的訪問控制策(ce)略，實現(xiàn)不同(tong)的時間段(duan)不同的訪(fang)問權(quán)限，比(bi)如上班時(shi)間，禁止(zhi)訪問(wen)網(wǎng)上銀行、游(you)戲、論壇貼(tie)吧等與工作無(wu)關(guān)的(de)應用，下班(ban)時間則不受(shou)限制。

辦公區(qū)(qu)域內(nèi)，不同辦公(gong)部門總會有各(ge)自專屬的無(wu)線網(wǎng)(wang)絡，并且不(bu)希望部門之(zhi)外的成員(yuan)使用(yong)這個網(wǎng)絡。無線(xian)網(wǎng)絡控(kong)制器(qi)可以根據(jù)(ju)用戶的(de)屬性，限制(zhi)禁止(zhi)非本部門的(de)用戶接入。

典型無線網(wǎng)(wang)絡攻擊防(fang)護：

對典型的(de)危險攻(gong)擊行為進行(xing)檢測，當超過設(she)定的閾值(zhi)后自動(dong)將攻擊(ji)者加入(ru)到黑名單中，并(bing)凍結(jié)一(yi)定時間，即時(shi)發(fā)現(xiàn)(xian)網(wǎng)絡攻擊并(bing)進行防(fang)御。

檢測的攻擊包(bao)括：DDOS防御、ARP掃描(miao)、IP掃描、端口(kou)掃描防御(yu)，禁止客戶端私(si)設IP以(yi)及ARP、網(wǎng)(wang)關(guān)欺(qi)騙防御、DHCP請求(qiu)泛洪防(fang)御。

無線射頻定時(shi)關(guān)閉開啟：

通過射頻關(guān)閉(bi)控制(zhi)策略，可以指定(ding)某SSID網(wǎng)絡(luo)，定時自動關(guān)閉(bi)和開啟無線(xian)網(wǎng)絡的射(she)頻信號，晚(wan)上下班后自(zi)動關(guān)閉(bi)無線(xian)射頻(pin)信號。

一方面可以節(jié)(jie)能減排、節(jié)(jie)省電費支出(chu)；另一方面又(you)能防止非(fei)法用(yong)戶利用(yong)深夜時(shi)間入侵(qin)無線網(wǎng)(wang)絡，做一(yi)些非法的操(cao)作。

有線無線一(yi)體化管(guan)理：

NAC的有線無(wu)線一(yi)體化，支持(chi)對有線用(yong)戶的接(jie)入認證、訪(fang)問控制、流(liu)量管理、上(shang)網(wǎng)行為審計等(deng)，

并提供統(tǒng)一(yi)中文(wen)Web管理(li)界面，一站式服(fu)務，極大(da)的降低(di)網(wǎng)絡建(jian)設成本。

網(wǎng)絡分權(quán)分級(ji)管理(li)：

分配(pei)不同的(de)管理員(yuan)分別管理各自(zi)權(quán)限區(qū)(qu)域的無線AP，可(ke)以精細(xi)到對某(mou)AP分組有管(guan)理權(quán)限，該(gai)管理員可(ke)以在該AP分(fen)組上建立無線(xian)網(wǎng)絡，能夠激(ji)活、刪除接入點(dian)，能夠?qū)?dui)AP的配置進行(xing)編輯修改。

可指定管(guan)理員針(zhen)對每(mei)個頁面的(de)編輯或(huo)可查(cha)看權(quán)限(xian)，控制(zhi)粒度到控制器(qi)上的(de)各個頁面，對(dui)某個頁面(mian)沒有(you)讀權(quán)(quan)限則登錄時(shi)不顯示。

移動APP隨(sui)時隨(sui)地運維管理(li)：

支持(chi)跨互聯(lián)網(wǎng)運維(wei)管理

登陸APP進行(xing)維護管理：不(bu)同管理員，不(bu)同權(quán)限(xian)

查看網(wǎng)絡運(yun)行情況(kuang)：在線(xian)用戶、在(zai)線AP數(shù)量、實(shi)時流(liu)量

無線網(wǎng)(wang)絡管理(li)維護：開啟關(guān)閉(bi)SSID、終端綁定(ding)審批(pi)、二維碼(ma)上網(wǎng)審核

故障(zhang)、審批實時(shi)通知：AP離線警(jing)告、服務器離(li)線警告、網(wǎng)(wang)絡攻擊告警(jing)

方案優(yōu)勢(shi)：

1、最豐富(fu)的無線安全(quan)機制，提(ti)供從(cong)安全(quan)接入到安全上(shang)網(wǎng)等端(duan)到端(duan)的安全策略

2、合理管(guan)控工作人(ren)員上網(wǎng)行為(wei)，提升工作效(xiao)率、防止帶寬浪(lang)費，有線(xian)無線雙重管(guan)控

3、為會議(yi)室，報(bao)告廳(ting)等人員密(mi)集區(qū)(qu)域接入網(wǎng)(wang)絡提高(gao)保證(zheng)，解決有線網(wǎng)口(kou)不足的(de)問題；

4、為企(qi)業(yè)員工的移(yi)動辦(ban)公提供支(zhi)撐，內(nèi)(nei)部員工可通(tong)過無線(xian)網(wǎng)絡隨時安(an)全接入內(nèi)(nei)部網(wǎng)絡(luo)，實現(xiàn)辦公；

5、內(nèi)部員工賬號(hao)及個人信息綁(bang)定，便于安全(quan)管理(li)；

6、內(nèi)部員工可(ke)通過(guo)自己的辦公設(she)備在企(qi)業(yè)大樓內(nèi)(nei)快速移動(dong)辦公(gong)，網(wǎng)絡接入(ru)更快速，上網(wǎng)(wang)行為(wei)管理系(xi)統(tǒng)對員工上網(wǎng)(wang)行為進行審(shen)計與(yu)管控

7、來訪客戶接(jie)入企業(yè)(ye)網(wǎng)絡(luo)，可根據(jù)不(bu)同需求，分配(pei)不同(tong)的上網(wǎng)權(quán)限(xian)，保證(zheng)了接(jie)入的安全性(xing)同時提升群(qun)眾上(shang)網(wǎng)的(de)體驗

8、豐富的認(ren)證機制(zhi)，滿足(zu)組織對無線網(wǎng)(wang)絡安全(quan)、快速接入(ru)

9、投資成本(ben)低，通過(guo)部署無線(xian)控制器替換(huan)原有網(wǎng)(wang)絡的(de)出口路由、行(xing)為管理以(yi)及無(wu)線控制器