?
大型企業(yè)在無(wu)線網(wǎng)絡(luò)建設(shè)(she)期間要充(chong)分考慮訪客(領(lǐng)(ling)導(dǎo)�、客戶(hu)����、合作伙伴)接入(ru)網(wǎng)絡(luò)的(de)需求����。首先(xian)從安全性考(kao)慮,訪客(ke)網(wǎng)絡(luò)必須要(yao)和辦(ban)公網(wǎng)絡(luò)分(fen)開����,訪客(ke)網(wǎng)絡(luò)單(dan)獨提供(gong)給訪客使用(yong)。從用戶體驗(yan)角度考(kao)慮��,訪客(ke)接入(ru)網(wǎng)絡(luò)的驗證(zheng)方式一定(ding)要做到簡單易(yi)行����,繁瑣(suo)的驗證方式(shi)會降低訪客對(dui)企業(yè)(ye)的整體(ti)印象。同時對于(yu)訪客網(wǎng)絡(luò)(luo)����,企業(yè)還(hai)需要建立(li)完善的網(wǎng)絡(luò)(luo)安全管(guan)理機(ji)制,避免由于(yu)訪客的(de)網(wǎng)絡(luò)不(bu)良訪(fang)問給企(qi)業(yè)帶來的法(fa)律風險。對于(yu)企業(yè)(ye)員工移動(dong)辦公(gong)上網(wǎng)�,更需(xu)要做到可管控(kong),上網(wǎng)行(xing)為做到可(ke)追溯��,企(qi)業(yè)有效的帶(dai)寬資源得到(dao)合理的分配(pei)和保證�,才能(neng)使企(qi)業(yè)的業(yè)(ye)務(wù)系統(tǒng)(tong)正常且穩(wěn)(wen)定高效(xiao)地運(yun)行,同(tong)時保(bao)證企業(yè)信息安(an)全�,避免機(ji)密信息泄露。
存在的(de)問題(ti)(用戶需求)
1����、接入不安全:缺(que)乏安全(quan)可靠的認證機(ji)制,企業(yè)無(wu)線網(wǎng)絡(luò)接入不(bu)安全(quan)
2�、上網(wǎng)權(quán)限(xian)混亂:缺乏有(you)效的控(kong)制策略(lve),員工上網(wǎng)權(quán)限(xian)不分明
3�、數(shù)據(jù)(ju)信息安全:缺乏(fa)有效的數(shù)據(jù)(ju)加密機制,企業(yè)(ye)數(shù)據(jù)被黑(hei)客竊取篡改(gai)
4��、無線信號(hao)差:AP性能不佳����,上(shang)網(wǎng)總掉線(xian),點位規(guī)劃(hua)不合理����,信號盲(mang)區(qū)多(duo)
5��、漫游效果差(cha):不能實(shi)現(xiàn)二(er)三層漫游����,移(yi)動辦公時����,業(yè)(ye)務(wù)中(zhong)斷
解決(jue)方案:
結(jié)合用戶無線(xian)網(wǎng)絡(luò)需求情況(kuang)��,結(jié)合產(chǎn)品(pin)自身(shen)技術(shù)特點�,為(wei)了滿(man)足用戶(hu)構(gòu)建一個高速(su)��、穩(wěn)定(ding)�、安全�、可靠��、易(yi)于管理的無線(xian)接入(ru)網(wǎng)絡(luò)的需求(qiu),本設(shè)(she)計方案按照AP+AC的(de)結(jié)構(gòu)化無線(xian)網(wǎng)絡(luò)解決方(fang)案進行設(shè)計(ji)��。具體設(shè)計為(wei)在總(zong)部設(shè)置總(zong)部AC,在大型分(fen)支機構(gòu)(gou)設(shè)置分(fen)支AC與(yu)分支AP����,中型分(fen)支機構(gòu)(gou)設(shè)計二級(ji),三級交(jiao)換機�,分支AP��。小微(wei)型分支機構(gòu)直(zhi)接設(shè)(she)置分支(zhi)AP�??偛緼C可以對(dui)大型分支機構(gòu)(gou)的AC進行管(guan)理,當網(wǎng)(wang)點控(kong)制器采用集中(zhong)管理的模式(shi)進入到中(zhong)心端控制(zhi)器時��,會自(zi)動下載中心(xin)端的公共配(pei)置��,比如IP組(zu)�、MAC地址庫、時間(jian)計劃(hua)�、角色(se)授權(quán)、認證頁面(mian)等 �。總部AC也可以(yi)直接管理中小(xiao)型分支機(ji)構(gòu)的分支AP����,實現(xiàn)(xian)統(tǒng)一管理(li)。
方案設(shè)(she)計:
安全無線整體(ti)解決方案(an):
接入(ru)前&接入時進行(xing)身份認證�、安全(quan)無線(xian)網(wǎng)卡、賬(zhang)號綁(bang)定(硬件碼(ma)+手機號)����,非法熱(re)點檢測及防御(yu)、網(wǎng)絡(luò)攻(gong)擊防護(hu)�、射頻定時關(guān)閉(bi)及安全加(jia)固��。
接入后(hou)&上網(wǎng)時進(jin)行訪(fang)問權(quán)限控(kong)制����。
上網(wǎng)后進(jin)行上(shang)網(wǎng)行為記錄��。
上網(wǎng)用(yong)戶身(shen)份實名(ming)認證:
無線辦公(gong)網(wǎng)采用802.1X/Portal/WAPI認證��,外(wai)置AAA和RADIUS+AD用(yong)于存儲(chu)用戶賬號密碼(ma)�。
每個賬號對應(yīng)(ying)一個員(yuan)工,包(bao)括姓名�、部門(men)、性別以(yi)及身份證�、手機(ji)號等個人(ren)信息(xi)��,保證每個上網(wǎng)(wang)的賬(zhang)號都是(shi)可尋的��,便于(yu)安全管理�。
用戶輸入賬(zhang)號密(mi)碼上網(wǎng)驗證(zheng)時均(jun)采用加密傳(chuan)輸,防止黑客(ke)空中攔(lan)截�,竊取賬號密(mi)碼等數(shù)(shu)據(jù)。
上網(wǎng)賬號自動(dong)綁定(ding)終端:
自動將賬號與(yu)終端的(de)硬件特(te)征碼進(jin)行綁定��,防止賬(zhang)號被他(ta)人使用或者被(bei)盜用(yong)����。
每臺設(shè)備的(de)硬件(jian)特征碼是唯(wei)一的(de)�,無法(fa)通過軟(ruan)件修改��。即(ji)使通(tong)過軟件(jian)修改了仍(reng)然可以識別(bie)原始的����。
每個賬號最多(duo)可以綁定(ding)5臺終(zhong)端,超過(guo)1臺時需要管(guan)理員審核����。
上網(wǎng)(wang)賬號二(er)次綁定手機號(hao)碼:
賬號(hao)首次登陸時(shi)需要綁定(ding)手機號(hao)并輸入短信驗(yan)證碼,當用(yong)戶賬(zhang)號在新終端(duan)登陸時(換終(zhong)端/被他用/被(bei)盜)����,不僅(jin)需要(yao)輸入密碼(ma),還需要輸入短(duan)信驗證碼�,解(jie)決員工賬號(hao)認證的安全(quan)問題
綁定手(shou)機號碼(ma)的用(yong)戶,可以自助(zhu)重置密碼和(he)修改密碼����,無需(xu)通過IT管理(li)員。
用戶密碼(ma)管理及自助修(xiu)改:
無需通(tong)過管理員即可(ke)修改(gai)密碼�,提高(gao)效率及減輕管(guan)理員工作(zuo)壓力。
通過口袋(dai)助理�、釘(ding)釘�、企業(yè)(ye)號等手機(ji)MOA類APP軟(ruan)件進行(xing)無線密碼修改(gai)����。
若賬號綁定了(le)手機(ji)號碼,可(ke)通過手機驗(yan)證碼自(zi)助修改(gai)����。
上網(wǎng)終(zhong)端合法效驗(yan):
采用安(an)全無線網(wǎng)卡接(jie)入無線網(wǎng)絡(luò),終(zhong)端與AP熱點的雙(shuang)向驗證��,提高安(an)全性�。
可以將無(wu)線網(wǎng)絡(luò)(luo)設(shè)置為只有(you)安裝了安全(quan)無線網(wǎng)卡的(de)終端(duan)才能接入(ru)無線網(wǎng)(wang)絡(luò)。
支持設(shè)(she)置安(an)全無線網(wǎng)卡(ka)只能連指(zhi)定SSID無線網(wǎng)絡(luò)(luo)��,無法(fa)連接非授權(quán)(quan)SSID����。
網(wǎng)卡與AP數(shù)據(jù)傳(chuan)輸時自動進(jin)行數(shù)(shu)據(jù)加密(mi)��,保證無線的空(kong)口安全����。
無線熱點(dian)掃描(miao)及非法(fa)熱點抑制(zhi):
背景:黑(hei)客在附(fu)近搭建一個一(yi)模一樣或者(zhe)類似的WIFI名稱,誘(you)使用(yong)戶連到虛假(jia)釣魚(yu)WIFI上��,黑(hei)客利用分(fen)析軟件從用戶(hu)上網(wǎng)產(chǎn)(chan)生的數(shù)據(jù)(ju)包中分析提取(qu)用戶隱私信(xin)息。
我們通過WIPS無(wu)線入侵防御(yu)系統(tǒng)實時檢(jian)測周圍無線信(xin)號�,當檢測出來(lai)的信號BSSID、且(qie)AP源MAC地址不(bu)在授權(quán)列表中(zhong)時����,我們向?qū)?dui)應(yīng)的AP和終端(duan)發(fā)送解除關(guān)聯(lián)(lian)幀,讓終端(duan)無法(fa)連上釣魚WIFI����。7×24小(xiao)時不間斷(duan)監(jiān)測網(wǎng)絡(luò)。
上網(wǎng)行為嚴格(ge)控制(zhi):
強大的管理(li):通過應(yīng)(ying)用識別(bie)技術(shù)�,可以(yi)根據(jù)應(yīng)用(yong)類型(xing)或者具(ju)體某一種應(yīng)(ying)用進行封(feng)堵,包括(kuo)視頻(pin)��、論壇����、游戲、金(jin)融�、下載等(deng)2400多種網(wǎng)絡(luò)(luo)應(yīng)用。
通過(guo)應(yīng)用識(shi)別技術(shù)����,可以根(gen)據(jù)應(yīng)用類(lei)型或者具體(ti)某一種應(yīng)(ying)用進行(xing)封堵,比(bi)如上班(ban)時間不允許炒(chao)股,不允許P2P下(xia)載��,不允許外(wai)發(fā)敏感(gan)文件(jian)等�; 支(zhi)持主流移動平(ping)臺,可(ke)識別IM����、社(she)交、Mail��、新(xin)聞��、炒股等應(yīng)(ying)用��。
無線控制(zhi)器內(nèi)置(zhi)千萬級別的URL分(fen)類庫�,能夠(gou)對URL進行(xing)識別,包含新(xin)聞��、購(gou)物�、金融、教育等(deng)18個種(zhong)類的URL地址(zhi)����; 準確(que)識別目前主流(liu)網(wǎng)站�,識(shi)別率高達99.9%,有(you)效實現(xiàn)(xian)網(wǎng)頁過(guo)濾����。例如禁(jin)止登陸(lu)非法網(wǎng)(wang)站
通過基于(yu)時間(jian)段的訪問控制(zhi)策略�,實(shi)現(xiàn)不同的時(shi)間段(duan)不同的訪問(wen)權(quán)限�,比如上(shang)班時間,禁止訪(fang)問網(wǎng)上(shang)銀行(xing)�、游戲、論壇(tan)貼吧(ba)等與工作(zuo)無關(guān)的(de)應(yīng)用�,下班(ban)時間則不(bu)受限制(zhi)。
辦公區(qū)域(yu)內(nèi)����,不同辦公部(bu)門總(zong)會有各自專屬(shu)的無(wu)線網(wǎng)絡(luò)(luo),并且不希望部(bu)門之(zhi)外的成員使(shi)用這個網(wǎng)(wang)絡(luò)����。無線(xian)網(wǎng)絡(luò)控制器可(ke)以根(gen)據(jù)用戶的屬性(xing),限制禁止非(fei)本部門的用戶(hu)接入(ru)�。
典型無線(xian)網(wǎng)絡(luò)(luo)攻擊(ji)防護:
對典型的危險(xian)攻擊行為(wei)進行檢測(ce),當超過(guo)設(shè)定(ding)的閾值(zhi)后自動(dong)將攻擊者(zhe)加入(ru)到黑(hei)名單中����,并凍結(jié)(jie)一定時(shi)間,即時發(fā)(fa)現(xiàn)網(wǎng)(wang)絡(luò)攻擊(ji)并進行防御����。
檢測的攻擊(ji)包括:DDOS防御(yu)��、ARP掃描����、IP掃(sao)描�、端口掃描防(fang)御,禁止客戶端(duan)私設(shè)IP以及ARP��、網(wǎng)關(guān)(guan)欺騙防御����、DHCP請(qing)求泛洪(hong)防御。
無線射頻定時(shi)關(guān)閉開啟:
通過射頻(pin)關(guān)閉控制策略(lve)����,可以指定某(mou)SSID網(wǎng)絡(luò),定(ding)時自(zi)動關(guān)閉和(he)開啟無(wu)線網(wǎng)絡(luò)的射(she)頻信號����,晚(wan)上下班(ban)后自動(dong)關(guān)閉(bi)無線(xian)射頻(pin)信號。
一方面(mian)可以節(jié)(jie)能減排����、節(jié)省電(dian)費支出(chu)�;另一方面又能(neng)防止非法用(yong)戶利用(yong)深夜時間入侵(qin)無線網(wǎng)絡(luò)����,做一(yi)些非法的(de)操作����。
有線無線一體(ti)化管理:
NAC的有線無(wu)線一(yi)體化(hua),支持對有線(xian)用戶的接入(ru)認證��、訪問控制(zhi)��、流量管理����、上網(wǎng)(wang)行為審計等,
并提供統(tǒng)一中(zhong)文Web管理界(jie)面�,一站(zhan)式服務(wù),極大的(de)降低網(wǎng)絡(luò)(luo)建設(shè)成本����。
網(wǎng)絡(luò)(luo)分權(quán)分級(ji)管理:
分配不同(tong)的管(guan)理員分別管理(li)各自(zi)權(quán)限(xian)區(qū)域的(de)無線AP,可以精細(xi)到對(dui)某AP分組(zu)有管理(li)權(quán)限��,該管(guan)理員可(ke)以在該AP分(fen)組上建立無線(xian)網(wǎng)絡(luò)�,能夠激(ji)活����、刪(shan)除接入點��,能夠(gou)對AP的配置進行(xing)編輯修(xiu)改��。
可指定管理(li)員針對(dui)每個頁面的編(bian)輯或可查看(kan)權(quán)限����,控(kong)制粒度到控制(zhi)器上的各個(ge)頁面,對(dui)某個頁(ye)面沒有讀(du)權(quán)限則(ze)登錄時(shi)不顯示�。
移動APP隨時隨地(di)運維(wei)管理:
支持跨(kua)互聯(lián)網(wǎng)(wang)運維管(guan)理
登陸APP進(jin)行維護管(guan)理:不(bu)同管(guan)理員,不同權(quán)限(xian)
查看網(wǎng)絡(luò)運(yun)行情況:在(zai)線用戶����、在線AP數(shù)(shu)量、實時流量(liang)
無線網(wǎng)絡(luò)(luo)管理(li)維護:開啟(qi)關(guān)閉(bi)SSID��、終端(duan)綁定審(shen)批����、二維碼上(shang)網(wǎng)審(shen)核
故障、審批實(shi)時通知:AP離(li)線警告�、服務(wù)(wu)器離(li)線警告、網(wǎng)(wang)絡(luò)攻擊(ji)告警
方案優(yōu)勢(shi):
1����、最豐富(fu)的無線安(an)全機(ji)制����,提(ti)供從(cong)安全接(jie)入到(dao)安全上網(wǎng)(wang)等端(duan)到端的(de)安全策(ce)略
2��、合理管控(kong)工作人員上(shang)網(wǎng)行(xing)為����,提升(sheng)工作效率(lv)��、防止帶寬浪(lang)費����,有線無(wu)線雙重(zhong)管控(kong)
3、為會議室(shi)����,報告廳等人(ren)員密集區(qū)域(yu)接入網(wǎng)絡(luò)(luo)提高保證,解(jie)決有線網(wǎng)口不(bu)足的問題(ti)����;
4、為企業(yè)(ye)員工的移動(dong)辦公提供支(zhi)撐�,內(nèi)部員(yuan)工可通過無(wu)線網(wǎng)絡(luò)隨時(shi)安全接(jie)入內(nèi)(nei)部網(wǎng)絡(luò)����,實現(xiàn)辦(ban)公����;
5、內(nèi)部員(yuan)工賬(zhang)號及個人(ren)信息綁定(ding)�,便于安全管(guan)理;
6�、內(nèi)部員工(gong)可通(tong)過自己的(de)辦公設(shè)備在(zai)企業(yè)大樓內(nèi)快(kuai)速移(yi)動辦公,網(wǎng)(wang)絡(luò)接(jie)入更快速��,上網(wǎng)(wang)行為管理(li)系統(tǒng)對員(yuan)工上網(wǎng)行(xing)為進行審計(ji)與管控
7��、來訪(fang)客戶接(jie)入企業(yè)網(wǎng)(wang)絡(luò)��,可根據(jù)(ju)不同需求(qiu)����,分配不同(tong)的上(shang)網(wǎng)權(quán)限,保證了(le)接入的(de)安全性同時提(ti)升群眾上(shang)網(wǎng)的體驗
8����、豐富(fu)的認證機制,滿(man)足組織(zhi)對無線網(wǎng)絡(luò)(luo)安全�、快(kuai)速接入
9��、投資成本低(di)�,通過部署無線(xian)控制器替換(huan)原有網(wǎng)絡(luò)的(de)出口路由����、行為(wei)管理以(yi)及無線控(kong)制器
