大型企業(yè)在無(wu)線網(wǎng)(wang)絡(luò)建設(shè)期間要(yao)充分考慮訪客(ke)（領(lǐng)導(dao)、客戶、合作(zuo)伙伴(ban)）接入網(wǎng)絡(luò)(luo)的需求。首(shou)先從安全性考(kao)慮，訪客網(wǎng)絡(luò)必(bi)須要和辦(ban)公網(wǎng)絡(luò)分開(kai)，訪客網(wǎng)(wang)絡(luò)單(dan)獨提供給(gei)訪客使用。從(cong)用戶體驗角(jiao)度考慮，訪客(ke)接入(ru)網(wǎng)絡(luò)的驗(yan)證方式一定(ding)要做到簡單(dan)易行，繁瑣(suo)的驗證(zheng)方式(shi)會降低訪(fang)客對企(qi)業(yè)的整體(ti)印象。同(tong)時對于訪客(ke)網(wǎng)絡(luò)，企(qi)業(yè)還需要(yao)建立(li)完善的網(wǎng)(wang)絡(luò)安(an)全管(guan)理機制，避免(mian)由于訪客的網(wǎng)(wang)絡(luò)不良訪(fang)問給企業(yè)(ye)帶來的法(fa)律風險。對于(yu)企業(yè)員(yuan)工移動辦公(gong)上網(wǎng)(wang)，更需要做到(dao)可管(guan)控，上網(wǎng)行為(wei)做到(dao)可追(zhui)溯，企業(yè)(ye)有效的帶寬資(zi)源得到合理(li)的分配(pei)和保證，才能(neng)使企業(yè)的業(yè)務(wù)(wu)系統(tǒng)正常(chang)且穩(wěn)定(ding)高效地運行，同(tong)時保證(zheng)企業(yè)(ye)信息安全，避免(mian)機密(mi)信息泄(xie)露。

存在的問題（用(yong)戶需求）

1、接入不安全(quan)：缺乏安全(quan)可靠(kao)的認(ren)證機(ji)制，企業(yè)無線網(wǎng)(wang)絡(luò)接入不安全(quan)

2、上網(wǎng)權(quán)(quan)限混亂：缺乏(fa)有效的(de)控制(zhi)策略(lve)，員工上網(wǎng)權(quán)限(xian)不分明

3、數(shù)據(jù)信(xin)息安(an)全：缺乏有(you)效的數(shù)據(jù)加(jia)密機制(zhi)，企業(yè)數(shù)(shu)據(jù)被黑(hei)客竊取篡改

4、無線信(xin)號差：AP性(xing)能不佳，上(shang)網(wǎng)總掉線，點位(wei)規(guī)劃不合(he)理，信號盲區(qū)(qu)多

5、漫游效(xiao)果差(cha)：不能實現(xiàn)二三(san)層漫游，移動辦(ban)公時，業(yè)務(wù)中(zhong)斷

解決(jue)方案：

結(jié)合用戶(hu)無線網(wǎng)絡(luò)(luo)需求情況，結(jié)合(he)產(chǎn)品自身(shen)技術(shù)特(te)點，為了(le)滿足用戶(hu)構(gòu)建一(yi)個高速、穩(wěn)定、安(an)全、可靠、易(yi)于管(guan)理的無線接(jie)入網(wǎng)絡(luò)的(de)需求，本(ben)設(shè)計方案按(an)照AP+AC的結(jié)(jie)構(gòu)化(hua)無線網(wǎng)絡(luò)解決(jue)方案進行(xing)設(shè)計。具體(ti)設(shè)計為在(zai)總部設(shè)置總(zong)部AC,在大(da)型分支機(ji)構(gòu)設(shè)置分支AC與(yu)分支(zhi)AP，中型分支機(ji)構(gòu)設(shè)計二級(ji)，三級交換(huan)機，分支AP。小微型(xing)分支機(ji)構(gòu)直接設(shè)置(zhi)分支AP。總部AC可以(yi)對大型分(fen)支機(ji)構(gòu)的AC進行(xing)管理，當(dang)網(wǎng)點(dian)控制器采(cai)用集(ji)中管理(li)的模式進入到(dao)中心(xin)端控制器時(shi)，會自動下載中(zhong)心端的公共配(pei)置，比如IP組(zu)、MAC地址庫、時(shi)間計劃、角色授(shou)權(quán)、認證頁面(mian)等 ?？偛緼C也可(ke)以直接管理中(zhong)小型分(fen)支機構(gòu)(gou)的分支AP，實現(xiàn)(xian)統(tǒng)一管理。

方案設(shè)計：

安全無(wu)線整體(ti)解決方案：

接入前&接入時(shi)進行身份(fen)認證(zheng)、安全無(wu)線網(wǎng)卡、賬號綁(bang)定（硬件碼+手(shou)機號），非(fei)法熱(re)點檢測及(ji)防御、網(wǎng)(wang)絡(luò)攻(gong)擊防護、射(she)頻定時關(guān)(guan)閉及(ji)安全加固(gu)。

接入后&上(shang)網(wǎng)時進行訪(fang)問權(quán)限控制(zhi)。

上網(wǎng)后(hou)進行上(shang)網(wǎng)行為記錄。

上網(wǎng)用戶身份(fen)實名認證：

無線辦公(gong)網(wǎng)采用(yong)802.1X/Portal/WAPI認證(zheng)，外置AAA和RADIUS+AD用于(yu)存儲(chu)用戶賬號(hao)密碼。

每個賬號對應(yīng)(ying)一個(ge)員工，包括(kuo)姓名、部門、性別(bie)以及身份證(zheng)、手機號(hao)等個(ge)人信息，保(bao)證每個上網(wǎng)(wang)的賬號(hao)都是(shi)可尋的，便于安(an)全管理。

用戶輸入賬號(hao)密碼上網(wǎng)驗證(zheng)時均(jun)采用加密(mi)傳輸，防止黑客(ke)空中攔(lan)截，竊取賬號密(mi)碼等數(shù)據(jù)。

上網(wǎng)賬(zhang)號自動綁(bang)定終端(duan)：

自動將賬(zhang)號與終端(duan)的硬(ying)件特征碼進(jin)行綁定(ding)，防止賬號被(bei)他人使用或者(zhe)被盜用(yong)。

每臺設(shè)(she)備的硬件特征(zheng)碼是唯一(yi)的，無法通過(guo)軟件修改。即使(shi)通過軟(ruan)件修改(gai)了仍然可(ke)以識別(bie)原始的。

每個(ge)賬號(hao)最多(duo)可以綁定(ding)5臺終(zhong)端，超過1臺(tai)時需(xu)要管理員(yuan)審核。

上網(wǎng)(wang)賬號二(er)次綁定手機號(hao)碼：

賬號首次登陸(lu)時需(xu)要綁(bang)定手(shou)機號并輸入(ru)短信驗證碼，當(dang)用戶賬號(hao)在新終端登陸(lu)時（換(huan)終端(duan)/被他用/被(bei)盜），不僅需要輸(shu)入密碼(ma)，還需要輸入(ru)短信驗(yan)證碼，解決員工(gong)賬號(hao)認證(zheng)的安(an)全問(wen)題

綁定手機號碼(ma)的用(yong)戶，可(ke)以自助重置密(mi)碼和修改(gai)密碼(ma)，無需通過(guo)IT管理員。

用戶密碼管(guan)理及自助(zhu)修改：

無需通(tong)過管理(li)員即可修改密(mi)碼，提高(gao)效率及減(jian)輕管理(li)員工(gong)作壓力。

通過口袋(dai)助理、釘釘、企業(yè)(ye)號等手機(ji)MOA類APP軟件(jian)進行無線密碼(ma)修改。

若賬號(hao)綁定了手機號(hao)碼，可通過手機(ji)驗證碼自助修(xiu)改。

上網(wǎng)終端(duan)合法(fa)效驗：

采用安(an)全無(wu)線網(wǎng)卡接(jie)入無線網(wǎng)絡(luò)(luo)，終端與(yu)AP熱點(dian)的雙向驗(yan)證，提(ti)高安全(quan)性。

可以(yi)將無(wu)線網(wǎng)絡(luò)設(shè)(she)置為只(zhi)有安裝了安(an)全無線(xian)網(wǎng)卡的終端才(cai)能接入無線(xian)網(wǎng)絡(luò)。

支持設(shè)置安全(quan)無線網(wǎng)卡(ka)只能連指(zhi)定SSID無線(xian)網(wǎng)絡(luò)(luo)，無法連接(jie)非授權(quán)SSID。

網(wǎng)卡與AP數(shù)(shu)據(jù)傳輸時(shi)自動(dong)進行數(shù)據(jù)加密(mi)，保證無(wu)線的(de)空口安全。

無線熱(re)點掃描及(ji)非法熱點抑制(zhi)：

背景：黑客在(zai)附近搭建一個(ge)一模一樣或者(zhe)類似的(de)WIFI名稱(cheng)，誘使用戶連到(dao)虛假釣魚WIFI上，黑(hei)客利用分析(xi)軟件(jian)從用戶(hu)上網(wǎng)產(chǎn)生的數(shù)(shu)據(jù)包中分(fen)析提取用戶(hu)隱私信息。

我們通(tong)過WIPS無線入侵防(fang)御系(xi)統(tǒng)實時檢測(ce)周圍無線信(xin)號，當檢測(ce)出來的(de)信號BSSID、且AP源(yuan)MAC地址(zhi)不在授權(quán)列表(biao)中時，我們向?qū)?dui)應(yīng)的AP和終(zhong)端發(fā)送解(jie)除關(guān)聯(lián)幀，讓終(zhong)端無法連上(shang)釣魚WIFI。7×24小時不間(jian)斷監(jiān)測網(wǎng)絡(luò)。

上網(wǎng)(wang)行為嚴格控(kong)制：

強大(da)的管理(li)：通過應(yīng)用(yong)識別技術(shù)，可(ke)以根據(jù)應(yīng)用類(lei)型或者(zhe)具體某一(yi)種應(yīng)(ying)用進行封堵(du)，包括視頻、論壇(tan)、游戲(xi)、金融、下載(zai)等2400多種(zhong)網(wǎng)絡(luò)應(yīng)(ying)用。

通過應(yīng)(ying)用識別技(ji)術(shù)，可以根據(jù)(ju)應(yīng)用類(lei)型或者(zhe)具體某(mou)一種(zhong)應(yīng)用(yong)進行封堵，比如(ru)上班時間不允(yun)許炒(chao)股，不允許P2P下載(zai)，不允許外(wai)發(fā)敏感(gan)文件(jian)等； 支(zhi)持主流移動(dong)平臺，可識(shi)別IM、社(she)交、Mail、新聞、炒股等(deng)應(yīng)用。

無線控(kong)制器內(nèi)置千(qian)萬級別的(de)URL分類庫，能夠(gou)對URL進行識別，包(bao)含新(xin)聞、購物、金融(rong)、教育等18個種(zhong)類的URL地(di)址； 準確(que)識別目前主流(liu)網(wǎng)站，識(shi)別率高達99.9%，有(you)效實現(xiàn)網(wǎng)頁過(guo)濾。例如(ru)禁止登陸非法(fa)網(wǎng)站

通過基(ji)于時(shi)間段的訪問控(kong)制策(ce)略，實(shi)現(xiàn)不(bu)同的(de)時間段不同的(de)訪問(wen)權(quán)限，比如上班(ban)時間，禁止訪(fang)問網(wǎng)上銀行、游(you)戲、論壇貼吧等(deng)與工(gong)作無關(guān)的(de)應(yīng)用，下(xia)班時間則不(bu)受限制。

辦公區(qū)域內(nèi)(nei)，不同辦(ban)公部門總(zong)會有各自專屬(shu)的無線網(wǎng)絡(luò)，并(bing)且不希望(wang)部門之(zhi)外的成(cheng)員使用這(zhe)個網(wǎng)絡(luò)。無線(xian)網(wǎng)絡(luò)控(kong)制器可以根據(jù)(ju)用戶的屬性(xing)，限制禁止非本(ben)部門(men)的用戶(hu)接入。

典型(xing)無線網(wǎng)(wang)絡(luò)攻擊(ji)防護(hu)：

對典型(xing)的危險攻擊行(xing)為進行檢(jian)測，當(dang)超過設(shè)定(ding)的閾值后自(zi)動將攻(gong)擊者加(jia)入到黑名(ming)單中，并凍結(jié)(jie)一定時間，即時(shi)發(fā)現(xiàn)網(wǎng)(wang)絡(luò)攻(gong)擊并進行防(fang)御。

檢測的(de)攻擊包括(kuo)：DDOS防御、ARP掃描、IP掃描(miao)、端口掃描防(fang)御，禁止客戶(hu)端私設(shè)IP以(yi)及ARP、網(wǎng)關(guān)(guan)欺騙防(fang)御、DHCP請求(qiu)泛洪防御。

無線射頻定(ding)時關(guān)(guan)閉開啟：

通過(guo)射頻關(guān)閉控(kong)制策略，可以(yi)指定某(mou)SSID網(wǎng)絡(luò)，定時自動(dong)關(guān)閉和開(kai)啟無(wu)線網(wǎng)絡(luò)(luo)的射頻信號，晚(wan)上下(xia)班后自動(dong)關(guān)閉無線射頻(pin)信號。

一方面可以節(jié)(jie)能減排、節(jié)省電(dian)費支出；另一(yi)方面又(you)能防止非法用(yong)戶利用深夜時(shi)間入侵(qin)無線網(wǎng)(wang)絡(luò)，做一些(xie)非法的操作(zuo)。

有線無線(xian)一體化管理(li)：

NAC的有線無線(xian)一體化，支(zhi)持對(dui)有線(xian)用戶的接入(ru)認證、訪(fang)問控制、流量(liang)管理、上網(wǎng)(wang)行為審計(ji)等，

并提供(gong)統(tǒng)一中文Web管(guan)理界面，一站式(shi)服務(wù)，極大的(de)降低網(wǎng)絡(luò)(luo)建設(shè)成本。

網(wǎng)絡(luò)分權(quán)分級(ji)管理(li)：

分配不(bu)同的管理員分(fen)別管(guan)理各自權(quán)(quan)限區(qū)域的無(wu)線AP，可以精(jing)細到對某AP分(fen)組有管(guan)理權(quán)(quan)限，該管(guan)理員可以(yi)在該AP分組(zu)上建立無線網(wǎng)(wang)絡(luò)，能(neng)夠激(ji)活、刪除接(jie)入點，能夠?qū)?dui)AP的配(pei)置進行編輯修(xiu)改。

可指定(ding)管理員針(zhen)對每個頁面的(de)編輯或可(ke)查看權(quán)限(xian)，控制(zhi)粒度(du)到控制器(qi)上的各個(ge)頁面，對某個(ge)頁面沒(mei)有讀(du)權(quán)限則(ze)登錄時不顯示(shi)。

移動APP隨時(shi)隨地運(yun)維管理：

支持跨(kua)互聯(lián)網(wǎng)運維管(guan)理

登陸APP進行(xing)維護管理：不(bu)同管理員(yuan)，不同權(quán)(quan)限

查看(kan)網(wǎng)絡(luò)運行情況(kuang)：在線用戶、在(zai)線AP數(shù)量(liang)、實時流量

無線網(wǎng)絡(luò)(luo)管理維(wei)護：開啟關(guān)(guan)閉SSID、終端綁(bang)定審批、二維碼(ma)上網(wǎng)審核(he)

故障、審批(pi)實時通(tong)知：AP離(li)線警告、服務(wù)器(qi)離線警告(gao)、網(wǎng)絡(luò)(luo)攻擊告警

方案優(yōu)勢(shi)：

1、最豐富的無線(xian)安全機制(zhi)，提供從(cong)安全(quan)接入到安全上(shang)網(wǎng)等(deng)端到(dao)端的安全策略(lve)

2、合理管(guan)控工作人(ren)員上網(wǎng)行為，提(ti)升工作效(xiao)率、防止帶(dai)寬浪(lang)費，有線無(wu)線雙重管控

3、為會議(yi)室，報告廳(ting)等人(ren)員密集區(qū)域(yu)接入網(wǎng)絡(luò)提(ti)高保證，解決有(you)線網(wǎng)口不足(zu)的問(wen)題；

4、為企業(yè)員工(gong)的移動辦(ban)公提供支撐，內(nèi)(nei)部員工可通(tong)過無線網(wǎng)(wang)絡(luò)隨時安全接(jie)入內(nèi)部網(wǎng)絡(luò)，實(shi)現(xiàn)辦公(gong)；

5、內(nèi)部員工賬(zhang)號及個人信(xin)息綁(bang)定，便于安全管(guan)理；

6、內(nèi)部員工(gong)可通過自(zi)己的辦公設(shè)備(bei)在企業(yè)大樓內(nèi)(nei)快速移動辦(ban)公，網(wǎng)絡(luò)接(jie)入更快速，上網(wǎng)(wang)行為管理系統(tǒng)(tong)對員工上(shang)網(wǎng)行(xing)為進行審(shen)計與管控(kong)

7、來訪客(ke)戶接入企(qi)業(yè)網(wǎng)絡(luò)(luo)，可根據(jù)不同需(xu)求，分(fen)配不(bu)同的(de)上網(wǎng)(wang)權(quán)限，保證了(le)接入的安全性(xing)同時(shi)提升(sheng)群眾上網(wǎng)的(de)體驗

8、豐富的認證機(ji)制，滿足組(zu)織對無線網(wǎng)(wang)絡(luò)安全、快(kuai)速接(jie)入

9、投資成本(ben)低，通過部署無(wu)線控制器替(ti)換原有(you)網(wǎng)絡(luò)的(de)出口路由、行為(wei)管理以及(ji)無線(xian)控制器