?
大型企業(yè)在(zai)無線網(wǎng)絡(luò)建設(shè)(she)期間(jian)要充分(fen)考慮訪客(領(lǐng)(ling)導(dǎo)、客戶、合作伙(huo)伴)接(jie)入網(wǎng)絡(luò)的需(xu)求。首先從安(an)全性考慮,訪客(ke)網(wǎng)絡(luò)必須要和(he)辦公(gong)網(wǎng)絡(luò)分開(kai),訪客(ke)網(wǎng)絡(luò)(luo)單獨提供給(gei)訪客(ke)使用。從用戶體(ti)驗角度(du)考慮,訪客接(jie)入網(wǎng)絡(luò)的驗證(zheng)方式一定要做(zuo)到簡單易行,繁(fan)瑣的(de)驗證(zheng)方式會降低(di)訪客對企(qi)業(yè)的整體(ti)印象。同時(shi)對于訪客網(wǎng)(wang)絡(luò),企業(yè)還(hai)需要建立(li)完善的網(wǎng)(wang)絡(luò)安全管理機(ji)制,避免由于訪(fang)客的(de)網(wǎng)絡(luò)不良訪問(wen)給企業(yè)帶來的(de)法律風(fēng)險。對于(yu)企業(yè)員工移(yi)動辦公上(shang)網(wǎng),更需要做到(dao)可管(guan)控,上(shang)網(wǎng)行為做到(dao)可追溯,企(qi)業(yè)有效的帶寬(kuan)資源(yuan)得到合理(li)的分配(pei)和保證,才(cai)能使(shi)企業(yè)(ye)的業(yè)務(wù)系(xi)統(tǒng)正常且(qie)穩(wěn)定高效地運(yun)行,同時(shi)保證企業(yè)信(xin)息安(an)全,避免機密信(xin)息泄露。
存在的問題(ti)(用戶需求)
1、接入不(bu)安全:缺(que)乏安(an)全可靠的(de)認證機制,企業(yè)(ye)無線網(wǎng)(wang)絡(luò)接(jie)入不安全
2、上網(wǎng)權(quán)限(xian)混亂:缺乏(fa)有效的(de)控制策略,員(yuan)工上網(wǎng)(wang)權(quán)限不分明
3、數(shù)據(jù)信息安全(quan):缺乏有(you)效的(de)數(shù)據(jù)加密(mi)機制,企業(yè)(ye)數(shù)據(jù)被黑客(ke)竊取篡改(gai)
4、無線信號差(cha):AP性能不佳,上(shang)網(wǎng)總(zong)掉線,點(dian)位規(guī)劃不合理(li),信號盲區(qū)多
5、漫游效果(guo)差:不能實(shi)現(xiàn)二三層漫游(you),移動辦公(gong)時,業(yè)務(wù)中斷(duan)
解決(jue)方案:

結(jié)合(he)用戶無線(xian)網(wǎng)絡(luò)需求情況(kuang),結(jié)合(he)產(chǎn)品自身技術(shù)(shu)特點,為了滿(man)足用戶構(gòu)建一(yi)個高(gao)速、穩(wěn)定(ding)、安全、可靠、易于(yu)管理的無線接(jie)入網(wǎng)絡(luò)的(de)需求,本設(shè)(she)計方案按(an)照AP+AC的(de)結(jié)構(gòu)化無線網(wǎng)(wang)絡(luò)解決(jue)方案進行設(shè)(she)計。具體設(shè)計為(wei)在總(zong)部設(shè)(she)置總部AC,在大型(xing)分支(zhi)機構(gòu)設(shè)置(zhi)分支AC與(yu)分支AP,中型(xing)分支機構(gòu)設(shè)計(ji)二級,三級交(jiao)換機,分(fen)支AP。小微型(xing)分支機構(gòu)直接(jie)設(shè)置分支AP???zong)部AC可以對(dui)大型分支機構(gòu)(gou)的AC進(jin)行管(guan)理,當(dāng)網(wǎng)(wang)點控制(zhi)器采用集中管(guan)理的模式進入(ru)到中心端控(kong)制器時,會自動(dong)下載中心端的(de)公共配置,比如(ru)IP組、MAC地址庫、時間(jian)計劃、角(jiao)色授權(quán)、認(ren)證頁面等 ???zong)部AC也可以直接(jie)管理中(zhong)小型(xing)分支機構(gòu)的分(fen)支AP,實現(xiàn)統(tǒng)一(yi)管理。
方案設(shè)(she)計:
安全無線整體(ti)解決方案(an):
接入前(qian)&接入(ru)時進行(xing)身份(fen)認證、安全(quan)無線網(wǎng)卡、賬(zhang)號綁定(ding)(硬件碼+手機(ji)號),非法熱點檢(jian)測及防御、網(wǎng)絡(luò)(luo)攻擊防護、射頻(pin)定時關(guān)(guan)閉及安全加固(gu)。
接入(ru)后&上網(wǎng)時(shi)進行訪問(wen)權(quán)限控制。
上網(wǎng)(wang)后進行上網(wǎng)(wang)行為記錄(lu)。
上網(wǎng)用戶身份(fen)實名認證(zheng):
無線辦公網(wǎng)采(cai)用802.1X/Portal/WAPI認證,外(wai)置AAA和RADIUS+AD用于存(cun)儲用戶(hu)賬號密碼。
每個(ge)賬號對應(yīng)一個(ge)員工(gong),包括(kuo)姓名、部門(men)、性別(bie)以及身份(fen)證、手機號等(deng)個人信息,保(bao)證每(mei)個上(shang)網(wǎng)的賬(zhang)號都是(shi)可尋的(de),便于安全管理(li)。
用戶(hu)輸入賬號密碼(ma)上網(wǎng)(wang)驗證時均采用(yong)加密(mi)傳輸,防止(zhi)黑客(ke)空中攔截,竊(qie)取賬號密(mi)碼等數(shù)據(jù)(ju)。
上網(wǎng)賬號自動(dong)綁定終端(duan):
自動將賬(zhang)號與終端的硬(ying)件特征碼進(jin)行綁(bang)定,防止賬號被(bei)他人使用或(huo)者被盜用(yong)。
每臺(tai)設(shè)備的硬件特(te)征碼是(shi)唯一的,無法通(tong)過軟件修(xiu)改。即使(shi)通過軟(ruan)件修改(gai)了仍然可以(yi)識別(bie)原始的。
每個(ge)賬號(hao)最多可以(yi)綁定(ding)5臺終端(duan),超過(guo)1臺時需要(yao)管理員(yuan)審核。
上網(wǎng)賬(zhang)號二(er)次綁定(ding)手機號碼(ma):
賬號首次登(deng)陸時(shi)需要(yao)綁定手機號并(bing)輸入(ru)短信驗證碼(ma),當(dāng)用戶(hu)賬號在新終(zhong)端登陸(lu)時(換終(zhong)端/被他用(yong)/被盜),不僅(jin)需要輸入(ru)密碼,還需要輸(shu)入短信驗(yan)證碼,解決(jue)員工賬(zhang)號認證的安(an)全問題
綁定手機(ji)號碼的用(yong)戶,可(ke)以自助重置(zhi)密碼和修改(gai)密碼,無需通過(guo)IT管理員。
用戶密碼管(guan)理及自助修改(gai):
無需通過管(guan)理員即可修(xiu)改密碼,提(ti)高效率及(ji)減輕(qing)管理員工(gong)作壓力。
通過口袋助理(li)、釘釘、企業(yè)(ye)號等(deng)手機MOA類APP軟(ruan)件進行(xing)無線密碼修(xiu)改。
若賬(zhang)號綁(bang)定了手機號(hao)碼,可通過手機(ji)驗證碼自助修(xiu)改。
上網(wǎng)終(zhong)端合法效驗:
采用安全無線(xian)網(wǎng)卡接(jie)入無線網(wǎng)絡(luò)(luo),終端與(yu)AP熱點的雙(shuang)向驗證,提(ti)高安全性。
可以將無(wu)線網(wǎng)絡(luò)設(shè)置(zhi)為只有安裝了(le)安全(quan)無線網(wǎng)卡的終(zhong)端才能(neng)接入(ru)無線網(wǎng)絡(luò)(luo)。
支持設(shè)(she)置安全無線(xian)網(wǎng)卡只能連指(zhi)定SSID無(wu)線網(wǎng)絡(luò),無法(fa)連接非授(shou)權(quán)SSID。
網(wǎng)卡與AP數(shù)據(jù)(ju)傳輸(shu)時自動進(jin)行數(shù)據(jù)(ju)加密(mi),保證無線(xian)的空口安全。
無線熱(re)點掃描及非法(fa)熱點抑制:
背景:黑客在附(fu)近搭建一(yi)個一模一樣或(huo)者類似(shi)的WIFI名(ming)稱,誘使用(yong)戶連到虛假(jia)釣魚(yu)WIFI上,黑客利(li)用分析軟(ruan)件從(cong)用戶(hu)上網(wǎng)產(chǎn)生(sheng)的數(shù)據(jù)包中分(fen)析提(ti)取用(yong)戶隱私(si)信息。
我們通過(guo)WIPS無線(xian)入侵防(fang)御系統(tǒng)實(shi)時檢(jian)測周(zhou)圍無線信號(hao),當(dāng)檢(jian)測出來的信(xin)號BSSID、且AP源MAC地址不(bu)在授權(quán)列(lie)表中時,我們(men)向?qū)?yīng)(ying)的AP和終端發(fā)(fa)送解除關(guān)(guan)聯(lián)幀,讓(rang)終端無法(fa)連上釣(diao)魚WIFI。7×24小時不間(jian)斷監(jiān)測網(wǎng)絡(luò)(luo)。
上網(wǎng)行為嚴(yan)格控制:
強大的管理(li):通過應(yīng)用識(shi)別技術(shù),可以(yi)根據(jù)應(yīng)用類型(xing)或者具(ju)體某一種應(yīng)用(yong)進行封堵,包(bao)括視頻、論壇(tan)、游戲、金融(rong)、下載等2400多種(zhong)網(wǎng)絡(luò)(luo)應(yīng)用。
通過應(yīng)用識(shi)別技術(shù)(shu),可以根據(jù)應(yīng)(ying)用類型(xing)或者具體某(mou)一種應(yīng)用進(jin)行封(feng)堵,比如上班時(shi)間不(bu)允許炒股,不允(yun)許P2P下載(zai),不允(yun)許外發(fā)(fa)敏感文件等(deng); 支持主流移動(dong)平臺,可識別(bie)IM、社交(jiao)、Mail、新聞、炒(chao)股等應(yīng)(ying)用。
無線(xian)控制(zhi)器內(nèi)(nei)置千萬級(ji)別的(de)URL分類庫,能夠?qū)?dui)URL進行識別,包(bao)含新聞(wen)、購物(wu)、金融、教育等18個(ge)種類的URL地(di)址; 準(zhǔn)確(que)識別目前主流(liu)網(wǎng)站,識別率高(gao)達99.9%,有效實現(xiàn)網(wǎng)(wang)頁過濾。例(li)如禁止登陸(lu)非法網(wǎng)站
通過基于時(shi)間段的(de)訪問控(kong)制策略,實現(xiàn)(xian)不同的時(shi)間段不同(tong)的訪問權(quán)(quan)限,比如(ru)上班時間,禁止(zhi)訪問網(wǎng)(wang)上銀行、游(you)戲、論壇貼吧等(deng)與工(gong)作無關(guān)的(de)應(yīng)用,下班(ban)時間則不受(shou)限制(zhi)。
辦公區(qū)域內(nèi),不(bu)同辦公部(bu)門總會有各自(zi)專屬(shu)的無線網(wǎng)絡(luò),并(bing)且不希(xi)望部門之外(wai)的成員(yuan)使用這(zhe)個網(wǎng)絡(luò)(luo)。無線網(wǎng)絡(luò)控制(zhi)器可以根據(jù)(ju)用戶(hu)的屬(shu)性,限制(zhi)禁止非本部(bu)門的(de)用戶接入。
典型無線網(wǎng)絡(luò)(luo)攻擊防護(hu):
對典(dian)型的危險攻擊(ji)行為進行檢(jian)測,當(dāng)(dang)超過設(shè)定(ding)的閾值后(hou)自動將攻(gong)擊者加(jia)入到黑名單中(zhong),并凍結(jié)一(yi)定時間,即時發(fā)(fa)現(xiàn)網(wǎng)(wang)絡(luò)攻(gong)擊并(bing)進行(xing)防御。
檢測(ce)的攻擊包括:DDOS防(fang)御、ARP掃(sao)描、IP掃描、端口掃(sao)描防御,禁(jin)止客戶(hu)端私(si)設(shè)IP以及ARP、網(wǎng)關(guān)欺(qi)騙防御(yu)、DHCP請求(qiu)泛洪防御。
無線射頻定(ding)時關(guān)閉(bi)開啟:
通過射頻關(guān)閉(bi)控制策(ce)略,可以指(zhi)定某(mou)SSID網(wǎng)絡(luò),定(ding)時自動(dong)關(guān)閉和開(kai)啟無線(xian)網(wǎng)絡(luò)的(de)射頻信(xin)號,晚上下(xia)班后自動關(guān)閉(bi)無線射頻信(xin)號。
一方面可(ke)以節(jié)(jie)能減排、節(jié)省(sheng)電費支出;另(ling)一方面又能(neng)防止非法(fa)用戶(hu)利用深夜時間(jian)入侵無線網(wǎng)絡(luò)(luo),做一些非(fei)法的操作。
有線無線一(yi)體化管理(li):
NAC的有線無線一(yi)體化,支持(chi)對有線用戶的(de)接入認證、訪(fang)問控制、流(liu)量管理、上網(wǎng)行(xing)為審計等,
并提供統(tǒng)一中(zhong)文Web管理(li)界面(mian),一站式服務(wù)(wu),極大的降低(di)網(wǎng)絡(luò)(luo)建設(shè)(she)成本。
網(wǎng)絡(luò)分(fen)權(quán)分級管(guan)理:
分配不同的(de)管理員(yuan)分別管理各(ge)自權(quán)限區(qū)(qu)域的無線AP,可(ke)以精細(xi)到對某AP分組有(you)管理(li)權(quán)限,該管理(li)員可以(yi)在該(gai)AP分組上建(jian)立無線網(wǎng)(wang)絡(luò),能夠(gou)激活(huo)、刪除接(jie)入點,能夠?qū)?dui)AP的配置(zhi)進行編輯修改(gai)。
可指定管理員(yuan)針對每(mei)個頁面的編(bian)輯或可(ke)查看(kan)權(quán)限,控制粒度(du)到控制器上(shang)的各(ge)個頁面,對某(mou)個頁面沒有讀(du)權(quán)限則(ze)登錄時不顯示(shi)。
移動APP隨時(shi)隨地運(yun)維管(guan)理:
支持(chi)跨互(hu)聯(lián)網(wǎng)運(yun)維管(guan)理
登陸APP進行維(wei)護管理:不同管(guan)理員,不同權(quán)限(xian)
查看網(wǎng)(wang)絡(luò)運行情況(kuang):在線(xian)用戶、在(zai)線AP數(shù)量、實時(shi)流量
無線(xian)網(wǎng)絡(luò)管理維(wei)護:開啟關(guān)(guan)閉SSID、終端綁定審(shen)批、二維碼上(shang)網(wǎng)審核
故障(zhang)、審批實時通(tong)知:AP離線警告(gao)、服務(wù)器(qi)離線警告(gao)、網(wǎng)絡(luò)(luo)攻擊告警(jing)
方案(an)優(yōu)勢:
1、最豐富的無線(xian)安全機(ji)制,提供(gong)從安全接入到(dao)安全上(shang)網(wǎng)等端到端的(de)安全策略
2、合理管(guan)控工(gong)作人員(yuan)上網(wǎng)行為,提升(sheng)工作效率、防(fang)止帶寬浪費,有(you)線無線(xian)雙重(zhong)管控(kong)
3、為會議室,報告(gao)廳等人員(yuan)密集區(qū)(qu)域接入網(wǎng)絡(luò)(luo)提高(gao)保證,解決有線(xian)網(wǎng)口不足(zu)的問題(ti);
4、為企(qi)業(yè)員(yuan)工的移動辦公(gong)提供(gong)支撐(cheng),內(nèi)部員工(gong)可通過(guo)無線網(wǎng)絡(luò)隨時(shi)安全接入內(nèi)部(bu)網(wǎng)絡(luò)(luo),實現(xiàn)辦公;
5、內(nèi)部員工(gong)賬號及個人(ren)信息綁(bang)定,便于(yu)安全管理;
6、內(nèi)部員工(gong)可通(tong)過自己的辦(ban)公設(shè)備在企(qi)業(yè)大樓內(nèi)快(kuai)速移動辦公,網(wǎng)(wang)絡(luò)接入(ru)更快速,上網(wǎng)行(xing)為管理(li)系統(tǒng)對員(yuan)工上網(wǎng)行(xing)為進行(xing)審計與管控
7、來訪客戶(hu)接入企業(yè)網(wǎng)絡(luò)(luo),可根據(jù)不同(tong)需求(qiu),分配不同(tong)的上網(wǎng)權(quán)限(xian),保證了接入的(de)安全性同時提(ti)升群(qun)眾上網(wǎng)的體(ti)驗
8、豐富的認證機(ji)制,滿足(zu)組織(zhi)對無(wu)線網(wǎng)絡(luò)安(an)全、快速接入
9、投資成(cheng)本低,通過(guo)部署無線控制(zhi)器替換原有(you)網(wǎng)絡(luò)的出口路(lu)由、行(xing)為管理以及無(wu)線控(kong)制器