大型企業(yè)在(zai)無(wú)線網(wǎng)(wang)絡(luò)建設(shè)期間(jian)要充分考(kao)慮訪客（領(lǐng)導(dǎo)(dao)、客戶(hù)、合作伙(huo)伴）接入網(wǎng)絡(luò)(luo)的需(xu)求。首先從(cong)安全性(xing)考慮，訪客(ke)網(wǎng)絡(luò)必須(xu)要和(he)辦公網(wǎng)絡(luò)分開(kāi)(kai)，訪客網(wǎng)絡(luò)單(dan)獨(dú)提供給訪客(ke)使用。從用戶(hù)(hu)體驗(yàn)(yan)角度考慮，訪客(ke)接入網(wǎng)絡(luò)的驗(yàn)(yan)證方式一定要(yao)做到簡(jiǎn)單(dan)易行，繁瑣的(de)驗(yàn)證方式(shi)會(huì)降低訪(fang)客對(duì)企業(yè)的(de)整體印(yin)象。同時(shí)對(duì)(dui)于訪客網(wǎng)(wang)絡(luò)，企業(yè)還(hai)需要建立完(wan)善的(de)網(wǎng)絡(luò)安全(quan)管理機(jī)制，避(bi)免由于訪客(ke)的網(wǎng)絡(luò)不良訪(fang)問(wèn)給企業(yè)帶(dai)來(lái)的法(fa)律風(fēng)險(xiǎn)。對(duì)(dui)于企業(yè)員工移(yi)動(dòng)辦公(gong)上網(wǎng)，更需(xu)要做到可(ke)管控，上網(wǎng)行為(wei)做到可追溯(su)，企業(yè)(ye)有效的帶寬(kuan)資源(yuan)得到合理(li)的分配和保證(zheng)，才能使企業(yè)的(de)業(yè)務(wù)系統(tǒng)正(zheng)常且穩(wěn)定高效(xiao)地運(yùn)行，同(tong)時(shí)保(bao)證企業(yè)信息(xi)安全，避(bi)免機(jī)密信(xin)息泄露(lu)。

存在的(de)問(wèn)題（用(yong)戶(hù)需求）

1、接入不安全(quan)：缺乏安全(quan)可靠(kao)的認(rèn)證機(jī)制，企(qi)業(yè)無(wú)(wu)線網(wǎng)絡(luò)接(jie)入不安(an)全

2、上網(wǎng)權(quán)限混(hun)亂：缺乏有效的(de)控制策略(lve)，員工(gong)上網(wǎng)權(quán)(quan)限不分明

3、數(shù)據(jù)(ju)信息安全：缺(que)乏有效的數(shù)(shu)據(jù)加密機(jī)制(zhi)，企業(yè)數(shù)(shu)據(jù)被黑客竊取(qu)篡改(gai)

4、無(wú)線信號(hào)差(cha)：AP性能(neng)不佳，上網(wǎng)總掉(diao)線，點(diǎn)位規(guī)劃(hua)不合理(li)，信號(hào)盲區(qū)多

5、漫游效(xiao)果差：不(bu)能實(shí)現(xiàn)二(er)三層漫(man)游，移(yi)動(dòng)辦公(gong)時(shí)，業(yè)務(wù)中(zhong)斷

解決方(fang)案：

結(jié)合用(yong)戶(hù)無(wú)線網(wǎng)絡(luò)(luo)需求情況，結(jié)(jie)合產(chǎn)品(pin)自身技術(shù)(shu)特點(diǎn)(dian)，為了滿足(zu)用戶(hù)構(gòu)建一(yi)個(gè)高速、穩(wěn)定、安(an)全、可靠、易于管(guan)理的無(wú)(wu)線接入網(wǎng)絡(luò)(luo)的需(xu)求，本(ben)設(shè)計(jì)方案按照(zhao)AP+AC的結(jié)構(gòu)(gou)化無(wú)線網(wǎng)(wang)絡(luò)解(jie)決方案進(jìn)行(xing)設(shè)計(jì)。具體設(shè)(she)計(jì)為在總部設(shè)(she)置總部(bu)AC,在大型分支(zhi)機(jī)構(gòu)設(shè)置分支(zhi)AC與分支AP，中型(xing)分支機(jī)構(gòu)設(shè)計(jì)(ji)二級(jí)，三級(jí)(ji)交換機(jī)，分支AP。小(xiao)微型分(fen)支機(jī)構(gòu)直(zhi)接設(shè)(she)置分支AP?？偛?bu)AC可以對(duì)(dui)大型分(fen)支機(jī)構(gòu)的(de)AC進(jìn)行管理，當(dāng)(dang)網(wǎng)點(diǎn)控制器(qi)采用集中管理(li)的模式進(jìn)入(ru)到中心端控(kong)制器時(shí)，會(huì)自動(dòng)(dong)下載中(zhong)心端的公(gong)共配(pei)置，比如(ru)IP組、MAC地址庫(kù)、時(shí)(shi)間計(jì)劃、角(jiao)色授權(quán)、認(rèn)證頁(yè)(ye)面等 ?？偛緼C也可(ke)以直接(jie)管理中小(xiao)型分支(zhi)機(jī)構(gòu)的分支(zhi)AP，實(shí)現(xiàn)(xian)統(tǒng)一管理。

方案設(shè)計(jì)(ji)：

安全無(wú)線整體(ti)解決方(fang)案：

接入前&接(jie)入時(shí)(shi)進(jìn)行身份認(rèn)(ren)證、安全無(wú)(wu)線網(wǎng)卡、賬號(hào)綁(bang)定（硬(ying)件碼+手機(jī)號(hào)），非(fei)法熱點(diǎn)檢測(cè)及(ji)防御、網(wǎng)(wang)絡(luò)攻擊防(fang)護(hù)、射頻定時(shí)(shi)關(guān)閉(bi)及安全(quan)加固。

接入后&上網(wǎng)時(shí)(shi)進(jìn)行訪問(wèn)權(quán)(quan)限控制。

上網(wǎng)后進(jìn)(jin)行上網(wǎng)(wang)行為記錄。

上網(wǎng)用(yong)戶(hù)身份實(shí)名認(rèn)(ren)證：

無(wú)線辦(ban)公網(wǎng)采用802.1X/Portal/WAPI認(rèn)(ren)證，外置AAA和RADIUS+AD用(yong)于存儲(chǔ)用戶(hù)賬(zhang)號(hào)密碼。

每個(gè)賬號(hào)對(duì)(dui)應(yīng)一個(gè)員工(gong)，包括(kuo)姓名、部門(mén)、性(xing)別以及身(shen)份證、手機(jī)號(hào)等(deng)個(gè)人信息，保證(zheng)每個(gè)(ge)上網(wǎng)的賬(zhang)號(hào)都是可尋的(de)，便于安全(quan)管理。

用戶(hù)輸入賬(zhang)號(hào)密碼(ma)上網(wǎng)驗(yàn)(yan)證時(shí)均采(cai)用加密傳(chuan)輸，防止黑客(ke)空中攔截(jie)，竊取(qu)賬號(hào)密碼等數(shù)(shu)據(jù)。

上網(wǎng)賬號(hào)自動(dòng)(dong)綁定終(zhong)端：

自動(dòng)將賬號(hào)與(yu)終端的(de)硬件特征碼(ma)進(jìn)行(xing)綁定，防(fang)止賬(zhang)號(hào)被他(ta)人使用或(huo)者被盜(dao)用。

每臺(tái)設(shè)備(bei)的硬件特(te)征碼是唯一的(de)，無(wú)法(fa)通過(guò)軟(ruan)件修改。即使(shi)通過(guò)軟件(jian)修改了仍然可(ke)以識(shí)別(bie)原始的。

每個(gè)賬號(hào)(hao)最多可以綁(bang)定5臺(tái)(tai)終端，超過(guò)1臺(tái)時(shí)(shi)需要(yao)管理員審(shen)核。

上網(wǎng)賬(zhang)號(hào)二次綁(bang)定手機(jī)號(hào)(hao)碼：

賬號(hào)首次登(deng)陸時(shí)需要綁(bang)定手機(jī)號(hào)并(bing)輸入(ru)短信驗(yàn)證碼(ma)，當(dāng)用戶(hù)賬號(hào)(hao)在新終端登(deng)陸時(shí)(shi)（換終端/被他用(yong)/被盜），不僅需(xu)要輸入密碼(ma)，還需要輸(shu)入短信驗(yàn)證碼(ma)，解決員工賬(zhang)號(hào)認(rèn)證的(de)安全問(wèn)題

綁定(ding)手機(jī)號(hào)碼的用(yong)戶(hù)，可以自助(zhu)重置密碼和(he)修改密(mi)碼，無(wú)(wu)需通過(guò)IT管(guan)理員。

用戶(hù)密碼管理(li)及自助(zhu)修改(gai)：

無(wú)需(xu)通過(guò)管理員即(ji)可修改密碼(ma)，提高(gao)效率及減輕管(guan)理員工作壓力(li)。

通過(guò)口袋(dai)助理、釘釘、企業(yè)(ye)號(hào)等手(shou)機(jī)MOA類(lèi)APP軟件進(jìn)(jin)行無(wú)線密(mi)碼修改。

若賬號(hào)綁(bang)定了手機(jī)號(hào)(hao)碼，可通(tong)過(guò)手(shou)機(jī)驗(yàn)證(zheng)碼自助修改。

上網(wǎng)終端合法(fa)效驗(yàn)：

采用安全無(wú)(wu)線網(wǎng)卡(ka)接入無(wú)(wu)線網(wǎng)絡(luò)(luo)，終端與AP熱點(diǎn)的(de)雙向(xiang)驗(yàn)證，提高(gao)安全性。

可以將(jiang)無(wú)線網(wǎng)絡(luò)設(shè)(she)置為只有安裝(zhuang)了安全(quan)無(wú)線(xian)網(wǎng)卡的終端才(cai)能接入無(wú)(wu)線網(wǎng)絡(luò)。

支持設(shè)(she)置安(an)全無(wú)線(xian)網(wǎng)卡(ka)只能連指定(ding)SSID無(wú)線網(wǎng)絡(luò)(luo)，無(wú)法(fa)連接非(fei)授權(quán)SSID。

網(wǎng)卡與AP數(shù)(shu)據(jù)傳(chuan)輸時(shí)(shi)自動(dòng)進(jìn)行(xing)數(shù)據(jù)(ju)加密，保(bao)證無(wú)線的(de)空口安全。

無(wú)線熱點(diǎn)(dian)掃描及非法(fa)熱點(diǎn)抑制：

背景：黑客(ke)在附近搭建(jian)一個(gè)一模一(yi)樣或者類(lèi)(lei)似的WIFI名稱(chēng)(cheng)，誘使用(yong)戶(hù)連到虛(xu)假釣魚(yú)WIFI上，黑客(ke)利用分析(xi)軟件(jian)從用戶(hù)上網(wǎng)(wang)產(chǎn)生的數(shù)(shu)據(jù)包中分(fen)析提取用(yong)戶(hù)隱私信息(xi)。

我們通(tong)過(guò)WIPS無(wú)線入侵防(fang)御系統(tǒng)實(shí)時(shí)(shi)檢測(cè)(ce)周?chē)?wei)無(wú)線信號(hào)，當(dāng)檢(jian)測(cè)出(chu)來(lái)的信號(hào)BSSID、且(qie)AP源MAC地址不在(zai)授權(quán)列(lie)表中時(shí)(shi)，我們向?qū)?dui)應(yīng)的AP和終端(duan)發(fā)送(song)解除關(guān)聯(lián)幀(zhen)，讓終端無(wú)(wu)法連上釣(diao)魚(yú)WIFI。7×24小時(shí)不間斷(duan)監(jiān)測(cè)網(wǎng)絡(luò)。

上網(wǎng)(wang)行為(wei)嚴(yán)格控(kong)制：

強(qiáng)大的(de)管理(li)：通過(guò)(guo)應(yīng)用識(shí)別技術(shù)(shu)，可以(yi)根據(jù)應(yīng)用(yong)類(lèi)型或(huo)者具體某一(yi)種應(yīng)用進(jìn)(jin)行封堵，包括視(shi)頻、論(lun)壇、游戲、金(jin)融、下載(zai)等2400多種網(wǎng)(wang)絡(luò)應(yīng)用。

通過(guò)應(yīng)用(yong)識(shí)別技(ji)術(shù)，可以根據(jù)(ju)應(yīng)用類(lèi)型(xing)或者具體(ti)某一(yi)種應(yīng)(ying)用進(jìn)(jin)行封(feng)堵，比如上(shang)班時(shí)間不(bu)允許炒(chao)股，不允許P2P下載(zai)，不允許外發(fā)敏(min)感文件等； 支持(chi)主流(liu)移動(dòng)平臺(tái)，可識(shí)(shi)別IM、社交(jiao)、Mail、新聞、炒(chao)股等應(yīng)(ying)用。

無(wú)線(xian)控制(zhi)器內(nèi)置千(qian)萬(wàn)級(jí)別的(de)URL分類(lèi)庫(kù)，能夠(gou)對(duì)URL進(jìn)行(xing)識(shí)別，包含新(xin)聞、購(gòu)物、金(jin)融、教育等(deng)18個(gè)種類(lèi)的(de)URL地址； 準(zhǔn)(zhun)確識(shí)(shi)別目前(qian)主流網(wǎng)站(zhan)，識(shí)別率高(gao)達(dá)99.9%，有效實(shí)現(xiàn)網(wǎng)(wang)頁(yè)過(guò)濾(lv)。例如(ru)禁止登陸(lu)非法網(wǎng)站

通過(guò)基(ji)于時(shí)(shi)間段(duan)的訪問(wèn)控制(zhi)策略，實(shí)現(xiàn)不同(tong)的時(shí)間段不同(tong)的訪問(wèn)權(quán)(quan)限，比如上班時(shí)(shi)間，禁止(zhi)訪問(wèn)網(wǎng)(wang)上銀行(xing)、游戲(xi)、論壇貼吧等(deng)與工(gong)作無(wú)關(guān)的應(yīng)用(yong)，下班(ban)時(shí)間(jian)則不受(shou)限制。

辦公區(qū)(qu)域內(nèi)，不同(tong)辦公部(bu)門(mén)總會(huì)(hui)有各自專(zhuān)屬(shu)的無(wú)線網(wǎng)絡(luò)，并(bing)且不希望(wang)部門(mén)(men)之外(wai)的成(cheng)員使(shi)用這(zhe)個(gè)網(wǎng)(wang)絡(luò)。無(wú)線(xian)網(wǎng)絡(luò)控制(zhi)器可以根據(jù)(ju)用戶(hù)(hu)的屬性，限(xian)制禁止非(fei)本部門(mén)的用(yong)戶(hù)接入。

典型(xing)無(wú)線網(wǎng)絡(luò)攻擊(ji)防護(hù)：

對(duì)典(dian)型的危險(xiǎn)攻擊(ji)行為進(jìn)行檢測(cè)(ce)，當(dāng)超過(guò)(guo)設(shè)定的閾值后(hou)自動(dòng)將攻擊(ji)者加入到黑名(ming)單中(zhong)，并凍結(jié)(jie)一定(ding)時(shí)間(jian)，即時(shí)發(fā)現(xiàn)(xian)網(wǎng)絡(luò)攻擊并進(jìn)(jin)行防御。

檢測(cè)的(de)攻擊(ji)包括：DDOS防御、ARP掃描(miao)、IP掃描、端(duan)口掃描(miao)防御(yu)，禁止客戶(hù)端(duan)私設(shè)IP以(yi)及ARP、網(wǎng)關(guān)欺(qi)騙防御、DHCP請(qǐng)(qing)求泛洪(hong)防御。

無(wú)線(xian)射頻定時(shí)關(guān)閉(bi)開(kāi)啟：

通過(guò)射頻(pin)關(guān)閉控(kong)制策略，可以(yi)指定某(mou)SSID網(wǎng)絡(luò)，定時(shí)(shi)自動(dòng)關(guān)閉(bi)和開(kāi)啟無(wú)線(xian)網(wǎng)絡(luò)的射(she)頻信號(hào)，晚(wan)上下班后自動(dòng)(dong)關(guān)閉無(wú)(wu)線射頻信號(hào)(hao)。

一方面(mian)可以節(jié)能(neng)減排、節(jié)省(sheng)電費(fèi)支出(chu)；另一方面又(you)能防止非(fei)法用戶(hù)利用(yong)深夜(ye)時(shí)間入侵無(wú)(wu)線網(wǎng)絡(luò)，做一些(xie)非法的操作(zuo)。

有線無(wú)線(xian)一體化管理：

NAC的有線無(wú)(wu)線一體化，支持(chi)對(duì)有(you)線用戶(hù)的接(jie)入認(rèn)(ren)證、訪問(wèn)控(kong)制、流量管(guan)理、上網(wǎng)(wang)行為審計(jì)等(deng)，

并提供統(tǒng)一(yi)中文(wen)Web管理界面(mian)，一站式服(fu)務(wù)，極大的降低(di)網(wǎng)絡(luò)建設(shè)(she)成本。

網(wǎng)絡(luò)(luo)分權(quán)(quan)分級(jí)管理：

分配不同的管(guan)理員分別管(guan)理各自權(quán)(quan)限區(qū)域(yu)的無(wú)線(xian)AP，可以精細(xì)到對(duì)(dui)某AP分組有(you)管理權(quán)(quan)限，該管理員(yuan)可以在該(gai)AP分組上(shang)建立無(wú)(wu)線網(wǎng)絡(luò)，能夠(gou)激活、刪除接入(ru)點(diǎn)，能夠(gou)對(duì)AP的配置(zhi)進(jìn)行編輯修(xiu)改。

可指(zhi)定管理(li)員針(zhen)對(duì)每個(gè)頁(yè)面(mian)的編輯或可查(cha)看權(quán)限(xian)，控制粒度到(dao)控制器上的(de)各個(gè)(ge)頁(yè)面，對(duì)某個(gè)頁(yè)(ye)面沒(méi)(mei)有讀權(quán)限則登(deng)錄時(shí)不顯示(shi)。

移動(dòng)APP隨時(shí)隨地(di)運(yùn)維管理(li)：

支持跨(kua)互聯(lián)網(wǎng)運(yùn)維管(guan)理

登陸(lu)APP進(jìn)行維護(hù)(hu)管理：不(bu)同管理員，不(bu)同權(quán)限

查看網(wǎng)(wang)絡(luò)運(yùn)行情況(kuang)：在線(xian)用戶(hù)、在線AP數(shù)量(liang)、實(shí)時(shí)流量(liang)

無(wú)線網(wǎng)(wang)絡(luò)管理維(wei)護(hù)：開(kāi)啟關(guān)閉SSID、終(zhong)端綁定(ding)審批、二(er)維碼上網(wǎng)審(shen)核

故障(zhang)、審批實(shí)時(shí)通知(zhi)：AP離線警告(gao)、服務(wù)器離(li)線警告、網(wǎng)絡(luò)(luo)攻擊(ji)告警(jing)

方案優(yōu)勢(shì)(shi)：

1、最豐富的無(wú)線(xian)安全機(jī)制，提(ti)供從安(an)全接(jie)入到安全(quan)上網(wǎng)等端到端(duan)的安全策略

2、合理管控(kong)工作人員(yuan)上網(wǎng)行(xing)為，提升工作(zuo)效率、防止(zhi)帶寬浪費(fèi)(fei)，有線無(wú)(wu)線雙重管(guan)控

3、為會(huì)議(yi)室，報(bào)告廳(ting)等人員密集區(qū)(qu)域接入(ru)網(wǎng)絡(luò)提高保證(zheng)，解決有線網(wǎng)口(kou)不足的(de)問(wèn)題；

4、為企業(yè)員工的(de)移動(dòng)辦公提供(gong)支撐，內(nèi)部員工(gong)可通過(guò)無(wú)(wu)線網(wǎng)絡(luò)隨(sui)時(shí)安全(quan)接入內(nèi)部網(wǎng)(wang)絡(luò)，實(shí)(shi)現(xiàn)辦公；

5、內(nèi)部員(yuan)工賬號(hào)(hao)及個(gè)人信(xin)息綁定，便于安(an)全管(guan)理；

6、內(nèi)部員(yuan)工可通(tong)過(guò)自己的辦(ban)公設(shè)備在企(qi)業(yè)大樓內(nèi)快(kuai)速移動(dòng)辦(ban)公，網(wǎng)(wang)絡(luò)接(jie)入更快(kuai)速，上網(wǎng)(wang)行為(wei)管理系統(tǒng)對(duì)(dui)員工(gong)上網(wǎng)行(xing)為進(jìn)行審計(jì)(ji)與管控(kong)

7、來(lái)訪客戶(hù)(hu)接入企(qi)業(yè)網(wǎng)絡(luò)，可根(gen)據(jù)不同(tong)需求，分(fen)配不同的(de)上網(wǎng)(wang)權(quán)限(xian)，保證了接入的(de)安全性(xing)同時(shí)提升(sheng)群眾(zhong)上網(wǎng)的體驗(yàn)

8、豐富(fu)的認(rèn)證機(jī)制，滿(man)足組織對(duì)無(wú)線(xian)網(wǎng)絡(luò)(luo)安全、快速(su)接入(ru)

9、投資成(cheng)本低，通過(guò)部(bu)署無(wú)(wu)線控制器替換(huan)原有(you)網(wǎng)絡(luò)(luo)的出口路由(you)、行為管理以及(ji)無(wú)線控制器