?
大型企業(yè)(ye)在無(wu)線網(wǎng)絡(luò)建設(shè)(she)期間(jian)要充分考慮訪(fang)客(領(lǐng)導(dǎo)、客戶��、合(he)作伙伴)接(jie)入網(wǎng)絡(luò)的需求(qiu)��。首先從安全(quan)性考慮,訪(fang)客網(wǎng)絡(luò)必(bi)須要和(he)辦公網(wǎng)絡(luò)分開(kai)��,訪客網(wǎng)絡(luò)單(dan)獨(dú)提供(gong)給訪客使(shi)用��。從用戶體(ti)驗(yàn)角度(du)考慮��,訪客(ke)接入網(wǎng)絡(luò)(luo)的驗(yàn)證(zheng)方式一(yi)定要做(zuo)到簡單易行(xing)��,繁瑣的驗(yàn)證(zheng)方式(shi)會降低訪(fang)客對(dui)企業(yè)的(de)整體印象��。同時(shí)(shi)對于訪客網(wǎng)(wang)絡(luò)��,企業(yè)(ye)還需(xu)要建(jian)立完善(shan)的網(wǎng)絡(luò)(luo)安全管理機(jī)(ji)制��,避免由(you)于訪客的網(wǎng)絡(luò)(luo)不良訪問給(gei)企業(yè)(ye)帶來的(de)法律風(fēng)險(xiǎn)��。對于(yu)企業(yè)員工移動(dòng)(dong)辦公(gong)上網(wǎng)��,更需(xu)要做到可(ke)管控��,上(shang)網(wǎng)行為做到可(ke)追溯��,企業(yè)有效(xiao)的帶寬(kuan)資源得到(dao)合理(li)的分(fen)配和(he)保證��,才能(neng)使企(qi)業(yè)的業(yè)(ye)務(wù)系統(tǒng)(tong)正常且(qie)穩(wěn)定高(gao)效地(di)運(yùn)行��,同(tong)時(shí)保證企(qi)業(yè)信息(xi)安全��,避(bi)免機(jī)密(mi)信息泄露��。
存在的問題(用(yong)戶需求)
1��、接入不安(an)全:缺乏(fa)安全可靠的(de)認(rèn)證機(jī)制(zhi)��,企業(yè)無線網(wǎng)(wang)絡(luò)接入不安全(quan)
2��、上網(wǎng)權(quán)(quan)限混亂:缺乏(fa)有效的控(kong)制策略��,員(yuan)工上網(wǎng)權(quán)限不(bu)分明
3��、數(shù)據(jù)信(xin)息安全(quan):缺乏有(you)效的數(shù)據(jù)加(jia)密機(jī)(ji)制��,企業(yè)數(shù)據(jù)(ju)被黑客竊取(qu)篡改
4��、無線信(xin)號差:AP性能不(bu)佳��,上網(wǎng)(wang)總掉線��,點(diǎn)位規(guī)(gui)劃不合理(li)��,信號(hao)盲區(qū)多
5��、漫游效果(guo)差:不能實(shí)現(xiàn)(xian)二三(san)層漫(man)游,移動(dòng)辦(ban)公時(shí)��,業(yè)務(wù)(wu)中斷(duan)
解決方案:
結(jié)合用(yong)戶無線網(wǎng)絡(luò)(luo)需求情況��,結(jié)合(he)產(chǎn)品自(zi)身技術(shù)特點(diǎn)(dian)��,為了滿足(zu)用戶構(gòu)建(jian)一個(gè)高速��、穩(wěn)定(ding)��、安全��、可靠(kao)��、易于管理的(de)無線接入網(wǎng)(wang)絡(luò)的需(xu)求��,本設(shè)計(jì)(ji)方案按照AP+AC的結(jié)(jie)構(gòu)化無線網(wǎng)絡(luò)(luo)解決(jue)方案進(jìn)行設(shè)計(jì)(ji)��。具體設(shè)計(jì)為在(zai)總部設(shè)置總部(bu)AC,在大(da)型分支機(jī)構(gòu)(gou)設(shè)置(zhi)分支AC與分(fen)支AP��,中型分(fen)支機(jī)(ji)構(gòu)設(shè)計(jì)二級(ji)��,三級(ji)交換機(jī)��,分(fen)支AP��。小微型(xing)分支機(jī)(ji)構(gòu)直接設(shè)(she)置分支AP��?�??zong)部AC可以對大型(xing)分支機(jī)構(gòu)的AC進(jìn)(jin)行管理��,當(dāng)網(wǎng)(wang)點(diǎn)控制器(qi)采用集(ji)中管理(li)的模式進(jìn)入(ru)到中心端控(kong)制器時(shí)��,會自動(dòng)(dong)下載中心(xin)端的公共(gong)配置��,比如IP組��、MAC地(di)址庫��、時(shí)間(jian)計(jì)劃(hua)��、角色授權(quán)��、認(rèn)(ren)證頁面等(deng) ��?�?偛?bu)AC也可以直接(jie)管理中小(xiao)型分支機(jī)(ji)構(gòu)的(de)分支(zhi)AP��,實(shí)現(xiàn)統(tǒng)(tong)一管理(li)��。
方案設(shè)計(jì)(ji):
安全無線整體(ti)解決(jue)方案(an):
接入(ru)前&接入(ru)時(shí)進(jìn)行身份認(rèn)(ren)證、安(an)全無(wu)線網(wǎng)卡��、賬號(hao)綁定(硬(ying)件碼+手(shou)機(jī)號)��,非法(fa)熱點(diǎn)檢測及防(fang)御��、網(wǎng)(wang)絡(luò)攻擊防(fang)護(hù)��、射頻(pin)定時(shí)關(guān)閉及安(an)全加固��。
接入(ru)后&上網(wǎng)時(shí)(shi)進(jìn)行訪問權(quán)限(xian)控制(zhi)��。
上網(wǎng)后(hou)進(jìn)行上(shang)網(wǎng)行(xing)為記(ji)錄��。
上網(wǎng)用(yong)戶身(shen)份實(shí)名認(rèn)證:
無線辦公(gong)網(wǎng)采用802.1X/Portal/WAPI認(rèn)(ren)證��,外(wai)置AAA和RADIUS+AD用于(yu)存儲用(yong)戶賬號密碼��。
每個(gè)賬號(hao)對應(yīng)(ying)一個(gè)員(yuan)工��,包括姓名(ming)��、部門��、性別以及(ji)身份證、手(shou)機(jī)號(hao)等個(gè)人信(xin)息��,保證(zheng)每個(gè)上網(wǎng)的(de)賬號都(dou)是可尋的��,便(bian)于安全管理��。
用戶(hu)輸入賬號(hao)密碼上(shang)網(wǎng)驗(yàn)證(zheng)時(shí)均采用加(jia)密傳(chuan)輸��,防止黑客空(kong)中攔截(jie)��,竊取賬號(hao)密碼(ma)等數(shù)據(jù)��。
上網(wǎng)賬(zhang)號自動(dòng)(dong)綁定終端(duan):
自動(dòng)將(jiang)賬號(hao)與終端的(de)硬件特(te)征碼進(jìn)行綁(bang)定��,防(fang)止賬號被他(ta)人使用或者被(bei)盜用��。
每臺設(shè)備(bei)的硬(ying)件特征碼(ma)是唯一(yi)的��,無法通過(guo)軟件(jian)修改(gai)��。即使通(tong)過軟(ruan)件修改了仍然(ran)可以識別原(yuan)始的(de)��。
每個(gè)賬號最多(duo)可以(yi)綁定5臺(tai)終端��,超過1臺(tai)時(shí)需要管(guan)理員(yuan)審核��。
上網(wǎng)賬(zhang)號二次綁定(ding)手機(jī)(ji)號碼:
賬號首(shou)次登陸(lu)時(shí)需要(yao)綁定手機(jī)號并(bing)輸入短信(xin)驗(yàn)證碼��,當(dāng)用戶(hu)賬號在新終端(duan)登陸時(shí)(換(huan)終端/被他用(yong)/被盜)��,不僅需(xu)要輸(shu)入密碼��,還需要(yao)輸入短(duan)信驗(yàn)證碼��,解(jie)決員工賬(zhang)號認(rèn)證的安(an)全問題(ti)
綁定手機(jī)號(hao)碼的用戶(hu)��,可以(yi)自助重置密(mi)碼和修(xiu)改密碼��,無需通(tong)過IT管理員��。
用戶(hu)密碼管理及自(zi)助修改:
無需通過管理(li)員即可修改密(mi)碼��,提高效(xiao)率及減輕(qing)管理(li)員工作壓力(li)��。
通過(guo)口袋(dai)助理(li)��、釘釘��、企業(yè)號(hao)等手機(jī)MOA類APP軟(ruan)件進(jìn)行(xing)無線密(mi)碼修改��。
若賬號綁定(ding)了手機(jī)號碼��,可(ke)通過手機(jī)(ji)驗(yàn)證碼(ma)自助修改(gai)。
上網(wǎng)終(zhong)端合(he)法效驗(yàn):
采用安全(quan)無線網(wǎng)卡(ka)接入無(wu)線網(wǎng)絡(luò)(luo)��,終端與AP熱點(diǎn)(dian)的雙向(xiang)驗(yàn)證��,提高(gao)安全性��。
可以將無(wu)線網(wǎng)(wang)絡(luò)設(shè)(she)置為只有(you)安裝(zhuang)了安(an)全無線網(wǎng)卡的(de)終端才能接入(ru)無線網(wǎng)絡(luò)��。
支持(chi)設(shè)置安(an)全無(wu)線網(wǎng)(wang)卡只能連(lian)指定SSID無線網(wǎng)絡(luò)(luo)��,無法(fa)連接非授權(quán)(quan)SSID��。
網(wǎng)卡與AP數(shù)據(jù)傳(chuan)輸時(shí)自動(dòng)進(jìn)(jin)行數(shù)據(jù)加密(mi)��,保證無線(xian)的空口安全��。
無線熱(re)點(diǎn)掃描(miao)及非法熱(re)點(diǎn)抑制:
背景:黑客(ke)在附近搭建一(yi)個(gè)一(yi)模一(yi)樣或(huo)者類似(shi)的WIFI名稱��,誘使(shi)用戶連(lian)到虛假釣(diao)魚WIFI上��,黑客(ke)利用分析軟(ruan)件從(cong)用戶(hu)上網(wǎng)產(chǎn)(chan)生的(de)數(shù)據(jù)包中分析(xi)提取用戶隱私(si)信息��。
我們通過WIPS無(wu)線入侵防御(yu)系統(tǒng)實(shí)時(shí)(shi)檢測周(zhou)圍無線信號(hao)��,當(dāng)檢(jian)測出來的信號(hao)BSSID��、且AP源(yuan)MAC地址(zhi)不在授權(quán)列表(biao)中時(shí)��,我們向?qū)?dui)應(yīng)的AP和終(zhong)端發(fā)送解除(chu)關(guān)聯(lián)(lian)幀��,讓終端(duan)無法連(lian)上釣魚(yu)WIFI��。7×24小時(shí)不間斷監(jiān)(jian)測網(wǎng)(wang)絡(luò)��。
上網(wǎng)(wang)行為嚴(yán)(yan)格控制:
強(qiáng)大的管(guan)理:通過應(yīng)用識(shi)別技術(shù)��,可(ke)以根據(jù)應(yīng)用類(lei)型或(huo)者具(ju)體某一種應(yīng)用(yong)進(jìn)行封(feng)堵��,包括視(shi)頻��、論(lun)壇��、游(you)戲��、金(jin)融��、下(xia)載等2400多種網(wǎng)絡(luò)(luo)應(yīng)用��。
通過應(yīng)用識別(bie)技術(shù)��,可(ke)以根據(jù)應(yīng)用類(lei)型或者(zhe)具體某一種應(yīng)(ying)用進(jìn)(jin)行封堵��,比(bi)如上班時(shí)間(jian)不允許炒(chao)股,不允許P2P下載(zai)��,不允(yun)許外(wai)發(fā)敏感文件等(deng)��; 支持主流移(yi)動(dòng)平臺��,可識別(bie)IM��、社交��、Mail��、新聞��、炒股(gu)等應(yīng)用��。
無線控(kong)制器內(nèi)置千(qian)萬級別的URL分類(lei)庫��,能夠?qū)?dui)URL進(jìn)行(xing)識別(bie)��,包含新(xin)聞��、購(gou)物��、金融��、教(jiao)育等18個(gè)(ge)種類的URL地址��; 準(zhǔn)(zhun)確識(shi)別目前主流網(wǎng)(wang)站��,識別率高(gao)達(dá)99.9%��,有效實(shí)現(xiàn)網(wǎng)(wang)頁過濾(lv)��。例如禁(jin)止登陸非法網(wǎng)(wang)站
通過基于時(shí)(shi)間段的訪(fang)問控制策略(lve)��,實(shí)現(xiàn)不同的(de)時(shí)間段不同的(de)訪問權(quán)(quan)限��,比如(ru)上班(ban)時(shí)間��,禁止訪問(wen)網(wǎng)上銀(yin)行��、游戲��、論(lun)壇貼吧等(deng)與工作無關(guān)(guan)的應(yīng)用��,下(xia)班時(shí)間則(ze)不受(shou)限制��。
辦公區(qū)域內(nèi)��,不(bu)同辦公部(bu)門總(zong)會有各自專屬(shu)的無(wu)線網(wǎng)(wang)絡(luò)��,并(bing)且不(bu)希望部門之外(wai)的成(cheng)員使用這(zhe)個(gè)網(wǎng)(wang)絡(luò)。無(wu)線網(wǎng)(wang)絡(luò)控制器可以(yi)根據(jù)用戶的(de)屬性��,限(xian)制禁止非本部(bu)門的用(yong)戶接入��。
典型無線網(wǎng)(wang)絡(luò)攻(gong)擊防(fang)護(hù):
對典(dian)型的危險(xiǎn)攻擊(ji)行為進(jìn)(jin)行檢測��,當(dāng)(dang)超過(guo)設(shè)定的閾(yu)值后自動(dòng)將攻(gong)擊者加(jia)入到黑(hei)名單中��,并(bing)凍結(jié)一定(ding)時(shí)間��,即時(shí)發(fā)現(xiàn)(xian)網(wǎng)絡(luò)攻擊并進(jìn)(jin)行防御��。
檢測的攻(gong)擊包括:DDOS防御(yu)��、ARP掃描��、IP掃描(miao)��、端口(kou)掃描防御(yu)��,禁止客(ke)戶端私設(shè)IP以(yi)及ARP��、網(wǎng)關(guān)欺騙防(fang)御��、DHCP請求泛洪防(fang)御��。
無線射(she)頻定時(shí)關(guān)(guan)閉開啟:
通過射頻關(guān)(guan)閉控制策略��,可(ke)以指(zhi)定某SSID網(wǎng)(wang)絡(luò)��,定時(shí)(shi)自動(dòng)(dong)關(guān)閉和開啟(qi)無線網(wǎng)絡(luò)的射(she)頻信號��,晚上(shang)下班(ban)后自動(dòng)(dong)關(guān)閉無線(xian)射頻信號(hao)��。
一方面可以(yi)節(jié)能減排��、節(jié)省(sheng)電費(fèi)(fei)支出��;另一方面(mian)又能防止非法(fa)用戶利用(yong)深夜時(shí)間入(ru)侵無線網(wǎng)絡(luò)(luo)��,做一些(xie)非法的操(cao)作��。
有線無線(xian)一體化管理(li):
NAC的有線無線一(yi)體化��,支(zhi)持對有線用戶(hu)的接入認(rèn)證、訪(fang)問控制(zhi)、流量管理��、上網(wǎng)(wang)行為審計(jì)等(deng),
并提供(gong)統(tǒng)一(yi)中文Web管理界面(mian)��,一站(zhan)式服(fu)務(wù),極大(da)的降低網(wǎng)絡(luò)(luo)建設(shè)成(cheng)本��。
網(wǎng)絡(luò)(luo)分權(quán)分(fen)級管理:
分配不同的(de)管理員分別(bie)管理各(ge)自權(quán)限(xian)區(qū)域的無(wu)線AP��,可以精細(xì)到(dao)對某AP分組有(you)管理權(quán)(quan)限��,該管理(li)員可(ke)以在(zai)該AP分組(zu)上建(jian)立無(wu)線網(wǎng)(wang)絡(luò)��,能夠激(ji)活��、刪除(chu)接入點(diǎn)��,能(neng)夠?qū)P的配(pei)置進(jìn)(jin)行編輯修(xiu)改��。
可指定(ding)管理員針對(dui)每個(gè)頁(ye)面的編輯或(huo)可查看(kan)權(quán)限��,控制(zhi)粒度(du)到控制器上的(de)各個(gè)頁(ye)面��,對某個(gè)(ge)頁面沒有讀(du)權(quán)限則(ze)登錄時(shí)不顯(xian)示��。
移動(dòng)APP隨時(shí)隨地(di)運(yùn)維管(guan)理:
支持跨(kua)互聯(lián)網(wǎng)運(yùn)維(wei)管理
登陸APP進(jìn)(jin)行維護(hù)管理(li):不同管(guan)理員(yuan)��,不同權(quán)限
查看(kan)網(wǎng)絡(luò)運(yùn)(yun)行情況:在線(xian)用戶��、在線AP數(shù)量(liang)��、實(shí)時(shí)流量
無線網(wǎng)絡(luò)管(guan)理維護(hù):開啟(qi)關(guān)閉SSID��、終端(duan)綁定審批��、二維(wei)碼上網(wǎng)審核
故障��、審批(pi)實(shí)時(shí)通知:AP離線(xian)警告��、服務(wù)器(qi)離線警(jing)告��、網(wǎng)絡(luò)攻(gong)擊告警
方案(an)優(yōu)勢:
1��、最豐富(fu)的無線安(an)全機(jī)制��,提(ti)供從(cong)安全(quan)接入到安全上(shang)網(wǎng)等端到端的(de)安全策略
2��、合理管控工(gong)作人員上(shang)網(wǎng)行為��,提升(sheng)工作效率��、防止(zhi)帶寬浪(lang)費(fèi)��,有線無(wu)線雙(shuang)重管控
3��、為會(hui)議室��,報(bào)告廳等(deng)人員密集區(qū)(qu)域接(jie)入網(wǎng)絡(luò)(luo)提高保證(zheng),解決(jue)有線(xian)網(wǎng)口不(bu)足的(de)問題��;
4��、為企業(yè)員工(gong)的移動(dòng)辦公提(ti)供支(zhi)撐��,內(nèi)部員(yuan)工可通(tong)過無線網(wǎng)(wang)絡(luò)隨時(shí)安全接(jie)入內(nèi)部網(wǎng)絡(luò)��,實(shí)(shi)現(xiàn)辦公��;
5��、內(nèi)部員工賬(zhang)號及個(gè)人(ren)信息綁(bang)定��,便于安(an)全管理��;
6��、內(nèi)部員(yuan)工可通過自己(ji)的辦公設(shè)(she)備在企(qi)業(yè)大樓內(nèi)快速(su)移動(dòng)辦公��,網(wǎng)(wang)絡(luò)接入(ru)更快速(su)��,上網(wǎng)行(xing)為管(guan)理系統(tǒng)對(dui)員工上網(wǎng)(wang)行為進(jìn)行審(shen)計(jì)與管控(kong)
7��、來訪客戶接入(ru)企業(yè)(ye)網(wǎng)絡(luò)��,可(ke)根據(jù)(ju)不同需求(qiu)��,分配不同(tong)的上網(wǎng)權(quán)限��,保(bao)證了接(jie)入的安全(quan)性同時(shí)提(ti)升群(qun)眾上網(wǎng)的體(ti)驗(yàn)
8��、豐富的認(rèn)(ren)證機(jī)制��,滿(man)足組織對(dui)無線網(wǎng)絡(luò)安(an)全��、快速接(jie)入
9��、投資成本(ben)低��,通過部署(shu)無線控(kong)制器(qi)替換原有網(wǎng)絡(luò)(luo)的出口路由(you)��、行為管理(li)以及無(wu)線控(kong)制器
