?
大型企業(yè)在無(wu)線網(wǎng)絡建設(she)期間(jian)要充分考慮訪(fang)客(領(ling)導�����、客(ke)戶、合作伙伴(ban))接入網(wǎng)(wang)絡的需求。首(shou)先從安全性(xing)考慮(lv)�����,訪客網(wǎng)絡必須(xu)要和辦(ban)公網(wǎng)絡分開(kai)�����,訪客網(wǎng)(wang)絡單獨提(ti)供給訪客使用(yong)�����。從用(yong)戶體(ti)驗角度考慮�����,訪(fang)客接入網(wǎng)(wang)絡的驗證方(fang)式一定要做到(dao)簡單易(yi)行,繁瑣的(de)驗證方式會降(jiang)低訪客對企(qi)業(yè)的整(zheng)體印象�����。同(tong)時對于訪客(ke)網(wǎng)絡�����,企業(yè)還(hai)需要建立完善(shan)的網(wǎng)(wang)絡安全管理(li)機制,避免由(you)于訪客的(de)網(wǎng)絡不(bu)良訪問給企(qi)業(yè)帶來的(de)法律風險(xian)�����。對于企(qi)業(yè)員工(gong)移動辦公上(shang)網(wǎng)�����,更需要做到(dao)可管(guan)控�����,上(shang)網(wǎng)行為做到可(ke)追溯�����,企(qi)業(yè)有效的帶寬(kuan)資源得到合(he)理的分配和保(bao)證�����,才能使企業(yè)(ye)的業(yè)(ye)務系統(tǒng)正常(chang)且穩(wěn)定高效地(di)運行�����,同時(shi)保證企(qi)業(yè)信息安全�����,避(bi)免機(ji)密信息(xi)泄露。
存在的(de)問題(ti)(用戶需求(qiu))
1�����、接入(ru)不安(an)全:缺(que)乏安(an)全可靠的認(ren)證機制�����,企業(yè)無(wu)線網(wǎng)絡接入不(bu)安全
2�����、上網(wǎng)權限(xian)混亂:缺乏有(you)效的(de)控制策略�����,員工(gong)上網(wǎng)(wang)權限不(bu)分明
3�����、數(shù)據(jù)信(xin)息安全(quan):缺乏有(you)效的數(shù)據(jù)加密(mi)機制�����,企業(yè)數(shù)(shu)據(jù)被(bei)黑客竊取篡(cuan)改
4�����、無線信號差(cha):AP性能(neng)不佳(jia)�����,上網(wǎng)總(zong)掉線�����,點位(wei)規(guī)劃不合理(li)�����,信號盲區(qū)多
5�����、漫游效(xiao)果差:不能實現(xiàn)(xian)二三層漫游(you)�����,移動辦公時(shi)�����,業(yè)務中(zhong)斷
解決方(fang)案:
結合用戶無線(xian)網(wǎng)絡需求情況(kuang),結合產(chǎn)品(pin)自身技術特點(dian)�����,為了滿足(zu)用戶構(gou)建一個(ge)高速�����、穩(wěn)定�����、安(an)全�����、可(ke)靠�����、易于(yu)管理的無線(xian)接入網(wǎng)絡的需(xu)求�����,本(ben)設計方(fang)案按照AP+AC的結(jie)構化無線網(wǎng)絡(luo)解決(jue)方案進(jin)行設計(ji)�����。具體設(she)計為在(zai)總部設置(zhi)總部AC,在大(da)型分支機(ji)構設置分(fen)支AC與分支(zhi)AP�����,中型分支機(ji)構設計(ji)二級�����,三(san)級交換機(ji)�����,分支AP�����。小(xiao)微型分支(zhi)機構直接(jie)設置(zhi)分支AP�����?����?偛?bu)AC可以對大型(xing)分支機構的AC進(jin)行管理(li),當網(wǎng)(wang)點控制(zhi)器采用集(ji)中管理(li)的模(mo)式進入到中心(xin)端控制器時�����,會(hui)自動(dong)下載(zai)中心端的公(gong)共配置(zhi)�����,比如IP組�����、MAC地址庫(ku)�����、時間計(ji)劃�����、角色(se)授權�����、認證頁面(mian)等 ?����??zong)部AC也可以直接(jie)管理(li)中小型(xing)分支機構的(de)分支AP�����,實現(xiàn)(xian)統(tǒng)一管理�����。
方案設計:
安全無(wu)線整體(ti)解決方案:
接入前(qian)&接入時(shi)進行(xing)身份認(ren)證�����、安(an)全無(wu)線網(wǎng)卡(ka)�����、賬號綁定(硬(ying)件碼+手機號(hao))�����,非法熱點(dian)檢測及防御�����、網(wǎng)(wang)絡攻擊(ji)防護�����、射(she)頻定時關閉及(ji)安全(quan)加固�����。
接入后&上網(wǎng)時(shi)進行訪問(wen)權限控制�����。
上網(wǎng)后進行(xing)上網(wǎng)行為記(ji)錄�����。
上網(wǎng)用戶身份(fen)實名認(ren)證:
無線辦(ban)公網(wǎng)采用802.1X/Portal/WAPI認證(zheng)�����,外置AAA和RADIUS+AD用于(yu)存儲用戶(hu)賬號密碼(ma)�����。
每個賬號(hao)對應(ying)一個員工,包括(kuo)姓名(ming)�����、部門(men)�����、性別以及身(shen)份證�����、手機號等(deng)個人信息(xi)�����,保證每個上網(wǎng)(wang)的賬號都是可(ke)尋的(de)�����,便于安全(quan)管理�����。
用戶輸入(ru)賬號密碼(ma)上網(wǎng)(wang)驗證時均采用(yong)加密傳(chuan)輸�����,防(fang)止黑客(ke)空中攔截�����,竊取(qu)賬號(hao)密碼等(deng)數(shù)據(jù)�����。
上網(wǎng)賬(zhang)號自動(dong)綁定(ding)終端:
自動(dong)將賬號與終(zhong)端的硬件特征(zheng)碼進行綁(bang)定�����,防止賬號(hao)被他人使用或(huo)者被盜用�����。
每臺(tai)設備的(de)硬件(jian)特征碼是唯(wei)一的�����,無法通(tong)過軟件修(xiu)改�����。即使通過軟(ruan)件修改了仍(reng)然可(ke)以識(shi)別原始的(de)。
每個賬號最(zui)多可以(yi)綁定(ding)5臺終端�����,超(chao)過1臺時需要(yao)管理員審核(he)�����。
上網(wǎng)(wang)賬號(hao)二次(ci)綁定手機號(hao)碼:
賬號首(shou)次登(deng)陸時需要(yao)綁定手機(ji)號并(bing)輸入(ru)短信驗(yan)證碼�����,當(dang)用戶賬號在新(xin)終端登(deng)陸時(換(huan)終端/被(bei)他用(yong)/被盜)�����,不僅需要(yao)輸入密碼�����,還(hai)需要輸入(ru)短信驗證碼�����,解(jie)決員工賬號認(ren)證的安全問題(ti)
綁定(ding)手機號碼的用(yong)戶�����,可以自(zi)助重置(zhi)密碼和(he)修改密碼�����,無需(xu)通過IT管(guan)理員�����。
用戶密碼管(guan)理及自(zi)助修改:
無需通過管理(li)員即可修(xiu)改密碼�����,提(ti)高效率及減(jian)輕管理員工作(zuo)壓力�����。
通過口(kou)袋助理�����、釘釘(ding)�����、企業(yè)號等手機(ji)MOA類APP軟件(jian)進行無線(xian)密碼修改。
若賬號綁定(ding)了手機號碼(ma)�����,可通(tong)過手機(ji)驗證碼自助(zhu)修改(gai)�����。
上網(wǎng)終端合(he)法效驗(yan):
采用安(an)全無線網(wǎng)卡(ka)接入無(wu)線網(wǎng)絡(luo)�����,終端與(yu)AP熱點的雙(shuang)向驗(yan)證�����,提(ti)高安全(quan)性�����。
可以(yi)將無線網(wǎng)絡設(she)置為只有安裝(zhuang)了安全無(wu)線網(wǎng)(wang)卡的終端才(cai)能接入無(wu)線網(wǎng)絡�����。
支持設置安全(quan)無線網(wǎng)卡(ka)只能連指定SSID無(wu)線網(wǎng)絡�����,無(wu)法連(lian)接非授權(quan)SSID�����。
網(wǎng)卡與AP數(shù)(shu)據(jù)傳輸時自(zi)動進行(xing)數(shù)據(jù)加密(mi)�����,保證無線(xian)的空口安全(quan)�����。
無線熱(re)點掃(sao)描及非法熱(re)點抑制:
背景:黑客在附(fu)近搭建一(yi)個一模一樣(yang)或者類似(shi)的WIFI名稱(cheng)�����,誘使用(yong)戶連到虛假(jia)釣魚WIFI上�����,黑(hei)客利(li)用分(fen)析軟(ruan)件從(cong)用戶上網(wǎng)產(chǎn)(chan)生的數(shù)(shu)據(jù)包中分(fen)析提取用(yong)戶隱私信息(xi)�����。
我們通過WIPS無線(xian)入侵(qin)防御系統(tǒng)實(shi)時檢測(ce)周圍無(wu)線信號,當檢(jian)測出來的信號(hao)BSSID�����、且AP源MAC地址(zhi)不在授權列(lie)表中(zhong)時�����,我們向?qū)?ying)的AP和終(zhong)端發(fā)送解除關(guan)聯(lián)幀�����,讓終端無(wu)法連(lian)上釣魚(yu)WIFI�����。7×24小時(shi)不間斷(duan)監(jiān)測網(wǎng)絡(luo)�����。
上網(wǎng)行為嚴格(ge)控制:
強大(da)的管理(li):通過應用識(shi)別技(ji)術�����,可以根據(jù)應(ying)用類型或(huo)者具體(ti)某一種應用(yong)進行(xing)封堵�����,包(bao)括視(shi)頻�����、論壇�����、游戲�����、金(jin)融�����、下載等(deng)2400多種網(wǎng)絡應(ying)用�����。
通過應(ying)用識(shi)別技術(shu),可以根據(jù)(ju)應用(yong)類型或者具體(ti)某一種(zhong)應用(yong)進行封堵�����,比如(ru)上班時(shi)間不允許炒(chao)股�����,不允許(xu)P2P下載�����,不允許外(wai)發(fā)敏感(gan)文件等�����; 支(zhi)持主(zhu)流移動(dong)平臺�����,可識別(bie)IM�����、社交�����、Mail�����、新聞(wen)�����、炒股等(deng)應用�����。
無線(xian)控制器內(nèi)置千(qian)萬級別的(de)URL分類庫�����,能(neng)夠?qū)?dui)URL進行識別�����,包含(han)新聞�����、購物�����、金融(rong)�����、教育等18個(ge)種類的URL地址�����; 準(zhun)確識別(bie)目前主流網(wǎng)站(zhan)�����,識別率高達(da)99.9%,有效實現(xiàn)網(wǎng)(wang)頁過濾�����。例如(ru)禁止登陸(lu)非法網(wǎng)站(zhan)
通過基于時(shi)間段的(de)訪問控制(zhi)策略,實(shi)現(xiàn)不同的時間(jian)段不同(tong)的訪問權(quan)限�����,比如(ru)上班時間�����,禁(jin)止訪問(wen)網(wǎng)上銀行、游(you)戲�����、論壇(tan)貼吧等與工(gong)作無關的應用(yong)�����,下班時間則(ze)不受限制(zhi)�����。
辦公區(qū)域內(nèi)(nei)�����,不同辦公部門(men)總會有(you)各自(zi)專屬的無線網(wǎng)(wang)絡,并且(qie)不希望部(bu)門之外的成員(yuan)使用這個網(wǎng)絡(luo)�����。無線網(wǎng)絡(luo)控制(zhi)器可以根(gen)據(jù)用戶(hu)的屬性�����,限制(zhi)禁止非本(ben)部門的用(yong)戶接入�����。
典型無(wu)線網(wǎng)絡攻(gong)擊防護:
對典型的危(wei)險攻擊行為(wei)進行檢(jian)測�����,當(dang)超過(guo)設定的閾值后(hou)自動將(jiang)攻擊者(zhe)加入到黑(hei)名單(dan)中�����,并凍(dong)結一定時間�����,即(ji)時發(fā)現(xiàn)網(wǎng)絡(luo)攻擊并進行(xing)防御�����。
檢測的攻(gong)擊包(bao)括:DDOS防御(yu)、ARP掃描�����、IP掃(sao)描�����、端口掃描防(fang)御�����,禁止客戶端(duan)私設IP以及ARP�����、網(wǎng)關(guan)欺騙防御�����、DHCP請(qing)求泛洪防御�����。
無線射(she)頻定時關(guan)閉開啟:
通過(guo)射頻(pin)關閉控制策略(lve),可以(yi)指定某(mou)SSID網(wǎng)絡�����,定時(shi)自動關閉和開(kai)啟無線網(wǎng)絡的(de)射頻(pin)信號(hao)�����,晚上下班(ban)后自動關閉無(wu)線射頻信號(hao)�����。
一方面可以(yi)節(jié)能減排�����、節(jié)省(sheng)電費(fei)支出�����;另一(yi)方面(mian)又能防止(zhi)非法用(yong)戶利用深(shen)夜時(shi)間入(ru)侵無線網(wǎng)(wang)絡�����,做一些非(fei)法的操作�����。
有線無(wu)線一體化(hua)管理(li):
NAC的有線(xian)無線(xian)一體化(hua)�����,支持對有線(xian)用戶(hu)的接(jie)入認(ren)證、訪問控(kong)制�����、流量管(guan)理、上網(wǎng)行為審(shen)計等�����,
并提供統(tǒng)(tong)一中文Web管理(li)界面�����,一站(zhan)式服(fu)務�����,極(ji)大的降低(di)網(wǎng)絡(luo)建設成(cheng)本。
網(wǎng)絡(luo)分權(quan)分級管理(li):
分配不同的(de)管理員分(fen)別管理各自(zi)權限(xian)區(qū)域的無線AP,可(ke)以精細(xi)到對(dui)某AP分組有(you)管理權(quan)限�����,該管理(li)員可以在(zai)該AP分組(zu)上建立無(wu)線網(wǎng)絡�����,能夠(gou)激活(huo)�����、刪除接(jie)入點(dian)�����,能夠?qū)P的配置(zhi)進行編(bian)輯修改(gai)。
可指(zhi)定管理員針(zhen)對每個頁面的(de)編輯或(huo)可查(cha)看權限�����,控(kong)制粒度到控制(zhi)器上的各個(ge)頁面,對(dui)某個頁(ye)面沒有讀權限(xian)則登錄時(shi)不顯(xian)示�����。
移動APP隨(sui)時隨地運(yun)維管理(li):
支持跨互聯(lián)網(wǎng)(wang)運維管理
登陸APP進行(xing)維護管理:不(bu)同管(guan)理員,不(bu)同權限(xian)
查看網(wǎng)絡運(yun)行情(qing)況:在線用戶�����、在(zai)線AP數(shù)量�����、實時(shi)流量
無線網(wǎng)絡管(guan)理維護:開啟(qi)關閉SSID、終端綁定(ding)審批�����、二維碼上(shang)網(wǎng)審核
故障�����、審批實(shi)時通知(zhi):AP離線警告(gao)�����、服務器(qi)離線警告(gao)�����、網(wǎng)絡攻擊(ji)告警
方案優(yōu)勢(shi):
1�����、最豐富的(de)無線(xian)安全機制�����,提(ti)供從安全接入(ru)到安全上(shang)網(wǎng)等端到(dao)端的(de)安全策略(lve)
2�����、合理(li)管控工作人(ren)員上網(wǎng)行為�����,提(ti)升工(gong)作效率�����、防止(zhi)帶寬浪(lang)費�����,有線無線雙(shuang)重管控
3�����、為會(hui)議室�����,報(bao)告廳等人員(yuan)密集區(qū)域接(jie)入網(wǎng)(wang)絡提高保證(zheng)�����,解決有(you)線網(wǎng)口不足(zu)的問題�����;
4�����、為企業(yè)員(yuan)工的移動辦公(gong)提供支撐�����,內(nèi)部(bu)員工(gong)可通過無(wu)線網(wǎng)絡(luo)隨時(shi)安全(quan)接入內(nèi)部網(wǎng)絡(luo)�����,實現(xiàn)辦公(gong)�����;
5�����、內(nèi)部員工賬(zhang)號及個人信息(xi)綁定,便于安(an)全管(guan)理�����;
6�����、內(nèi)部員工可(ke)通過自己(ji)的辦(ban)公設(she)備在企業(yè)大樓(lou)內(nèi)快(kuai)速移(yi)動辦公(gong)�����,網(wǎng)絡接入(ru)更快速�����,上網(wǎng)(wang)行為管理系(xi)統(tǒng)對員工上(shang)網(wǎng)行(xing)為進行(xing)審計與(yu)管控
7�����、來訪客戶(hu)接入企業(yè)(ye)網(wǎng)絡�����,可根據(jù)不(bu)同需求�����,分配不(bu)同的上網(wǎng)權(quan)限�����,保證了(le)接入的安(an)全性同時(shi)提升群眾上(shang)網(wǎng)的(de)體驗
8�����、豐富的認證機(ji)制�����,滿足組織對(dui)無線網(wǎng)絡(luo)安全�����、快速接入(ru)
9�����、投資成本低�����,通(tong)過部署無(wu)線控制器替(ti)換原有網(wǎng)(wang)絡的出口路由(you)、行為管理以及(ji)無線控制器(qi)
