?
大型企業(yè)在無(wu)線網(wǎng)絡(luò)(luo)建設(shè)期間要充(chong)分考慮訪(fang)客(領(lǐng)導(dǎo)����、客戶(hu)����、合作伙伴(ban))接入網(wǎng)絡(luò)的需(xu)求����。首先從(cong)安全(quan)性考(kao)慮,訪客(ke)網(wǎng)絡(luò)必須要和(he)辦公網(wǎng)絡(luò)分(fen)開����,訪客網(wǎng)絡(luò)單(dan)獨(dú)提供給訪客(ke)使用。從用戶(hu)體驗(yàn)角度考(kao)慮����,訪客(ke)接入網(wǎng)絡(luò)(luo)的驗(yàn)證方(fang)式一定要做到(dao)簡單易行,繁(fan)瑣的驗(yàn)證(zheng)方式會降低訪(fang)客對(dui)企業(yè)(ye)的整(zheng)體印象����。同(tong)時(shí)對于訪(fang)客網(wǎng)絡(luò),企業(yè)還(hai)需要(yao)建立完善的網(wǎng)(wang)絡(luò)安全管理(li)機(jī)制����,避(bi)免由于訪客(ke)的網(wǎng)絡(luò)不良訪(fang)問給企(qi)業(yè)帶來的(de)法律(lv)風(fēng)險(xiǎn)。對于企業(yè)(ye)員工移(yi)動辦公上網(wǎng)(wang)����,更需要做到可(ke)管控����,上網(wǎng)(wang)行為做到(dao)可追溯����,企(qi)業(yè)有效(xiao)的帶寬資(zi)源得到合理的(de)分配和保證(zheng),才能使企業(yè)的(de)業(yè)務(wù)系統(tǒng)正常(chang)且穩(wěn)(wen)定高效(xiao)地運(yùn)行����,同(tong)時(shí)保(bao)證企業(yè)信息(xi)安全,避免機(jī)(ji)密信(xin)息泄露����。
存在的(de)問題(用戶需求(qiu))
1����、接入不安(an)全:缺(que)乏安全(quan)可靠的(de)認(rèn)證機(jī)制,企(qi)業(yè)無(wu)線網(wǎng)絡(luò)接入(ru)不安全
2����、上網(wǎng)權(quán)限混亂(luan):缺乏有效(xiao)的控(kong)制策(ce)略,員(yuan)工上網(wǎng)權(quán)限不(bu)分明
3����、數(shù)據(jù)信息(xi)安全:缺(que)乏有(you)效的數(shù)據(jù)加(jia)密機(jī)制(zhi),企業(yè)數(shù)據(jù)被黑(hei)客竊取篡改(gai)
4����、無線信號差:AP性(xing)能不佳(jia),上網(wǎng)總(zong)掉線����,點(diǎn)位規(guī)劃(hua)不合理,信號(hao)盲區(qū)多(duo)
5����、漫游效果(guo)差:不能實(shí)現(xiàn)二(er)三層漫游(you),移動辦公時(shí)(shi)����,業(yè)務(wù)中斷
解決(jue)方案(an):
結(jié)合(he)用戶(hu)無線網(wǎng)絡(luò)(luo)需求(qiu)情況,結(jié)(jie)合產(chǎn)品(pin)自身技(ji)術(shù)特點(diǎn)����,為(wei)了滿足(zu)用戶構(gòu)建一(yi)個(gè)高速(su)、穩(wěn)定����、安全、可(ke)靠、易于(yu)管理的無(wu)線接入(ru)網(wǎng)絡(luò)的需求����,本(ben)設(shè)計(jì)方(fang)案按照AP+AC的結(jié)構(gòu)(gou)化無線(xian)網(wǎng)絡(luò)解決(jue)方案進(jìn)行設(shè)(she)計(jì)。具體設(shè)(she)計(jì)為在總部(bu)設(shè)置總部AC,在大(da)型分支機(jī)構(gòu)(gou)設(shè)置分支AC與(yu)分支(zhi)AP����,中型分支(zhi)機(jī)構(gòu)設(shè)(she)計(jì)二級,三級(ji)交換機(jī)����,分支AP。小(xiao)微型分支(zhi)機(jī)構(gòu)直接設(shè)(she)置分支(zhi)AP����。總部AC可以(yi)對大型分支機(jī)(ji)構(gòu)的AC進(jìn)行管理(li)����,當(dāng)網(wǎng)(wang)點(diǎn)控制器采(cai)用集中(zhong)管理的模式(shi)進(jìn)入(ru)到中(zhong)心端控制(zhi)器時(shí),會自動(dong)下載中心端(duan)的公共配(pei)置����,比如IP組、MAC地址(zhi)庫����、時(shí)間計(jì)(ji)劃����、角色授(shou)權(quán)����、認(rèn)證(zheng)頁面等(deng) ����。總部AC也可以直(zhi)接管理中(zhong)小型(xing)分支(zhi)機(jī)構(gòu)的分支(zhi)AP����,實(shí)現(xiàn)統(tǒng)一(yi)管理(li)。
方案(an)設(shè)計(jì):
安全無線整體(ti)解決方(fang)案:
接入(ru)前&接(jie)入時(shí)(shi)進(jìn)行身份(fen)認(rèn)證����、安全(quan)無線(xian)網(wǎng)卡、賬號(hao)綁定(硬件(jian)碼+手機(jī)(ji)號)����,非法熱點(diǎn)(dian)檢測及防御(yu)、網(wǎng)絡(luò)攻擊(ji)防護(hù)����、射頻定時(shí)(shi)關(guān)閉及安(an)全加固����。
接入(ru)后&上網(wǎng)(wang)時(shí)進(jìn)行訪問(wen)權(quán)限控制����。
上網(wǎng)后進(jìn)行(xing)上網(wǎng)(wang)行為記錄(lu)。
上網(wǎng)用戶身份(fen)實(shí)名(ming)認(rèn)證:
無線辦(ban)公網(wǎng)采用(yong)802.1X/Portal/WAPI認(rèn)證����,外置AAA和RADIUS+AD用(yong)于存儲用(yong)戶賬(zhang)號密(mi)碼。
每個(gè)賬(zhang)號對應(yīng)一個(gè)(ge)員工����,包括姓名(ming)、部門����、性(xing)別以及身份(fen)證、手機(jī)號等(deng)個(gè)人(ren)信息(xi)����,保證每(mei)個(gè)上網(wǎng)(wang)的賬(zhang)號都是可尋(xun)的,便于安(an)全管理����。
用戶輸入賬號(hao)密碼上網(wǎng)驗(yàn)證(zheng)時(shí)均(jun)采用加(jia)密傳輸(shu)����,防止黑(hei)客空中攔截����,竊(qie)取賬(zhang)號密碼等數(shù)據(jù)(ju)����。
上網(wǎng)賬號自動(dong)綁定(ding)終端:
自動將賬號與(yu)終端的硬(ying)件特征(zheng)碼進(jìn)行綁(bang)定,防止(zhi)賬號(hao)被他人(ren)使用或(huo)者被盜用����。
每臺設(shè)備(bei)的硬件(jian)特征碼是(shi)唯一的,無(wu)法通(tong)過軟件修(xiu)改����。即使通過(guo)軟件(jian)修改了仍然(ran)可以識別(bie)原始的。
每個(gè)(ge)賬號最(zui)多可以綁(bang)定5臺終端����,超過(guo)1臺時(shí)需要(yao)管理員審核(he)。
上網(wǎng)賬(zhang)號二次綁定手(shou)機(jī)號碼:
賬號首次(ci)登陸時(shí)需要綁(bang)定手(shou)機(jī)號(hao)并輸入(ru)短信(xin)驗(yàn)證碼����,當(dāng)用(yong)戶賬號(hao)在新終端登陸(lu)時(shí)(換終端/被他(ta)用/被盜)����,不僅(jin)需要輸入(ru)密碼����,還需要(yao)輸入(ru)短信(xin)驗(yàn)證碼(ma),解決員工賬號(hao)認(rèn)證的安全問(wen)題
綁定手機(jī)號(hao)碼的用戶����,可(ke)以自(zi)助重置密碼和(he)修改(gai)密碼(ma),無需(xu)通過IT管(guan)理員(yuan)����。
用戶密(mi)碼管理(li)及自助修(xiu)改:
無需通過管(guan)理員(yuan)即可修改密(mi)碼,提高(gao)效率(lv)及減輕管理員(yuan)工作壓力����。
通過口袋助理(li)、釘釘(ding)����、企業(yè)號等手機(jī)(ji)MOA類APP軟件進(jìn)行(xing)無線密碼修改(gai)。
若賬號綁(bang)定了(le)手機(jī)號碼����,可(ke)通過手機(jī)驗(yàn)證(zheng)碼自助修改(gai)����。
上網(wǎng)終端合法(fa)效驗(yàn):
采用安全(quan)無線網(wǎng)卡接(jie)入無線網(wǎng)絡(luò)(luo)����,終端與(yu)AP熱點(diǎn)(dian)的雙向驗(yàn)證,提(ti)高安全(quan)性����。
可以將無線網(wǎng)(wang)絡(luò)設(shè)置為只有(you)安裝了(le)安全無線網(wǎng)卡(ka)的終(zhong)端才能接(jie)入無線(xian)網(wǎng)絡(luò)����。
支持設(shè)置(zhi)安全無線網(wǎng)卡(ka)只能連指定SSID無(wu)線網(wǎng)絡(luò)(luo),無法連接(jie)非授權(quán)SSID����。
網(wǎng)卡與AP數(shù)(shu)據(jù)傳輸時(shí)自動(dong)進(jìn)行(xing)數(shù)據(jù)加密(mi),保證無線的空(kong)口安全����。
無線熱(re)點(diǎn)掃(sao)描及(ji)非法熱(re)點(diǎn)抑(yi)制:
背景:黑(hei)客在附近搭建(jian)一個(gè)一模一樣(yang)或者(zhe)類似的WIFI名稱,誘(you)使用(yong)戶連到虛假(jia)釣魚WIFI上����,黑客利(li)用分析軟(ruan)件從(cong)用戶上網(wǎng)產(chǎn)生(sheng)的數(shù)據(jù)(ju)包中分(fen)析提取用(yong)戶隱(yin)私信息����。
我們(men)通過WIPS無線入(ru)侵防(fang)御系統(tǒng)實(shí)時(shí)(shi)檢測(ce)周圍無(wu)線信號����,當(dāng)檢測(ce)出來的信號BSSID、且(qie)AP源MAC地址不(bu)在授權(quán)列(lie)表中時(shí)����,我們(men)向?qū)?yīng)的AP和(he)終端發(fā)送解(jie)除關(guān)(guan)聯(lián)幀,讓(rang)終端無法(fa)連上釣魚WIFI����。7×24小(xiao)時(shí)不間斷監(jiān)(jian)測網(wǎng)絡(luò)(luo)。
上網(wǎng)行為嚴(yán)格(ge)控制:
強(qiáng)大的管(guan)理:通過應(yīng)(ying)用識別技術(shù)����,可(ke)以根據(jù)應(yīng)(ying)用類型或者具(ju)體某一(yi)種應(yīng)(ying)用進(jìn)行封堵,包(bao)括視頻(pin)����、論壇、游戲����、金(jin)融����、下載等2400多種(zhong)網(wǎng)絡(luò)應(yīng)(ying)用����。
通過應(yīng)用識(shi)別技(ji)術(shù),可以(yi)根據(jù)應(yīng)(ying)用類型或者具(ju)體某一(yi)種應(yīng)(ying)用進(jìn)行封堵����,比(bi)如上班時(shí)(shi)間不允許炒股(gu),不允(yun)許P2P下載����,不允許(xu)外發(fā)敏感文(wen)件等; 支(zhi)持主流(liu)移動平臺����,可(ke)識別IM����、社交、Mail����、新(xin)聞����、炒股等應(yīng)用(yong)����。
無線控制器(qi)內(nèi)置千(qian)萬級別(bie)的URL分類庫,能(neng)夠?qū)RL進(jìn)行識(shi)別����,包含新聞(wen)、購物����、金融、教(jiao)育等18個(gè)種類(lei)的URL地址����; 準(zhǔn)(zhun)確識別目前(qian)主流網(wǎng)站,識(shi)別率(lv)高達(dá)99.9%����,有(you)效實(shí)現(xiàn)網(wǎng)頁過(guo)濾。例如禁止(zhi)登陸(lu)非法(fa)網(wǎng)站
通過基于時(shí)間(jian)段的訪(fang)問控制(zhi)策略(lve),實(shí)現(xiàn)(xian)不同的時(shí)間(jian)段不同的訪問(wen)權(quán)限����,比如上(shang)班時(shí)間(jian),禁止訪(fang)問網(wǎng)上銀行(xing)����、游戲、論(lun)壇貼吧(ba)等與工作(zuo)無關(guān)(guan)的應(yīng)用����,下班時(shí)(shi)間則不受限(xian)制。
辦公區(qū)域內(nèi)����,不(bu)同辦公部門總(zong)會有各自專屬(shu)的無線網(wǎng)絡(luò),并(bing)且不希(xi)望部(bu)門之外的成員(yuan)使用這個(gè)網(wǎng)(wang)絡(luò)����。無線網(wǎng)絡(luò)(luo)控制(zhi)器可以根據(jù)用(yong)戶的(de)屬性(xing),限制禁止非(fei)本部門(men)的用戶接入(ru)����。
典型無線網(wǎng)絡(luò)(luo)攻擊防(fang)護(hù):
對典型的(de)危險(xiǎn)攻擊行(xing)為進(jìn)行檢測����,當(dāng)(dang)超過設(shè)定(ding)的閾值后自動(dong)將攻(gong)擊者加入到(dao)黑名單(dan)中����,并凍結(jié)(jie)一定時(shí)間����,即(ji)時(shí)發(fā)現(xiàn)網(wǎng)(wang)絡(luò)攻擊并進(jìn)行(xing)防御。
檢測的攻擊包(bao)括:DDOS防御����、ARP掃描(miao)、IP掃描����、端口掃描(miao)防御(yu),禁止客戶端(duan)私設(shè)IP以(yi)及ARP����、網(wǎng)關(guān)欺騙防(fang)御、DHCP請求泛洪防(fang)御����。
無線(xian)射頻定時(shí)(shi)關(guān)閉開(kai)啟:
通過射頻(pin)關(guān)閉控制策(ce)略,可以指(zhi)定某SSID網(wǎng)絡(luò)����,定(ding)時(shí)自(zi)動關(guān)(guan)閉和開啟(qi)無線網(wǎng)絡(luò)(luo)的射頻信號����,晚(wan)上下班(ban)后自動關(guān)閉無(wu)線射頻(pin)信號���。
一方面(mian)可以節(jié)能減(jian)排���、節(jié)省電費(fèi)(fei)支出;另一方(fang)面又能防止(zhi)非法用戶利(li)用深夜時(shí)(shi)間入侵無線(xian)網(wǎng)絡(luò)���,做(zuo)一些非法(fa)的操作���。
有線無(wu)線一(yi)體化管理:
NAC的有線無線一(yi)體化,支持對有(you)線用戶的(de)接入認(rèn)證(zheng)���、訪問控制���、流量(liang)管理、上(shang)網(wǎng)行為審計(jì)等(deng)���,
并提供統(tǒng)(tong)一中(zhong)文Web管理界面���,一(yi)站式服(fu)務(wù),極大(da)的降低(di)網(wǎng)絡(luò)(luo)建設(shè)(she)成本���。
網(wǎng)絡(luò)分權(quán)(quan)分級管(guan)理:
分配不同的(de)管理員(yuan)分別管(guan)理各自權(quán)(quan)限區(qū)域(yu)的無(wu)線AP���,可以精細(xì)(xi)到對某AP分組(zu)有管理權(quán)限(xian),該管理員(yuan)可以在該(gai)AP分組上建(jian)立無線網(wǎng)絡(luò)(luo)���,能夠激活(huo)���、刪除(chu)接入點(diǎn),能夠(gou)對AP的配置進(jìn)(jin)行編輯修改(gai)���。
可指定(ding)管理員針對(dui)每個(gè)頁(ye)面的編(bian)輯或可查(cha)看權(quán)限���,控制(zhi)粒度到控(kong)制器上的各個(gè)(ge)頁面,對某個(gè)(ge)頁面沒有讀權(quán)(quan)限則登錄時(shí)(shi)不顯示���。
移動APP隨(sui)時(shí)隨(sui)地運(yùn)維管理(li):
支持跨互聯(lián)(lian)網(wǎng)運(yùn)(yun)維管理
登陸APP進(jìn)行維護(hù)(hu)管理:不同管(guan)理員(yuan)���,不同(tong)權(quán)限
查看網(wǎng)絡(luò)(luo)運(yùn)行(xing)情況:在(zai)線用戶���、在(zai)線AP數(shù)量(liang)、實(shí)時(shí)流量
無線(xian)網(wǎng)絡(luò)管理維護(hù)(hu):開啟(qi)關(guān)閉SSID���、終端(duan)綁定(ding)審批���、二維碼(ma)上網(wǎng)審核
故障、審批(pi)實(shí)時(shí)通(tong)知:AP離線警告(gao)���、服務(wù)(wu)器離線警告���、網(wǎng)(wang)絡(luò)攻擊告警(jing)
方案優(yōu)勢:
1、最豐富的(de)無線(xian)安全(quan)機(jī)制���,提供(gong)從安全(quan)接入到安(an)全上網(wǎng)(wang)等端到端(duan)的安全(quan)策略
2���、合理(li)管控工作人員(yuan)上網(wǎng)行(xing)為,提升(sheng)工作效率���、防止(zhi)帶寬浪(lang)費(fèi)���,有線無線(xian)雙重管控
3���、為會議室(shi),報(bào)告廳(ting)等人(ren)員密集區(qū)(qu)域接入網(wǎng)(wang)絡(luò)提高保證���,解(jie)決有線網(wǎng)口不(bu)足的問題(ti);
4���、為企業(yè)員(yuan)工的移動辦(ban)公提供支撐���,內(nèi)(nei)部員工可通過(guo)無線網(wǎng)絡(luò)隨時(shí)(shi)安全接入內(nèi)(nei)部網(wǎng)絡(luò),實(shí)現(xiàn)(xian)辦公���;
5���、內(nèi)部員(yuan)工賬號及個(gè)(ge)人信息綁定���,便(bian)于安全管理(li);
6���、內(nèi)部(bu)員工可通(tong)過自(zi)己的辦(ban)公設(shè)備在企業(yè)(ye)大樓(lou)內(nèi)快速移動辦(ban)公���,網(wǎng)絡(luò)(luo)接入更(geng)快速���,上網(wǎng)行(xing)為管理系統(tǒng)對(dui)員工上網(wǎng)行(xing)為進(jìn)行審計(jì)(ji)與管控
7、來訪客戶接入(ru)企業(yè)網(wǎng)(wang)絡(luò)���,可根據(jù)不(bu)同需求���,分配(pei)不同的上(shang)網(wǎng)權(quán)限,保證(zheng)了接入(ru)的安全性(xing)同時(shí)提升群眾(zhong)上網(wǎng)的體驗(yàn)(yan)
8���、豐富的認(rèn)(ren)證機(jī)制���,滿(man)足組(zu)織對無線(xian)網(wǎng)絡(luò)安(an)全、快速接入(ru)
9���、投資成本低���,通(tong)過部(bu)署無線控制器(qi)替換原有網(wǎng)(wang)絡(luò)的出口路由(you)、行為管理(li)以及無線(xian)控制器
