?
大型企業(yè)(ye)在無(wú)線網(wǎng)絡(luò)(luo)建設(shè)期(qi)間要充分考慮(lv)訪客(領(lǐng)導(dǎo)(dao)����、客戶、合作伙(huo)伴)接入網(wǎng)(wang)絡(luò)的需求����。首(shou)先從安全性(xing)考慮(lv),訪客(ke)網(wǎng)絡(luò)必須要和(he)辦公網(wǎng)絡(luò)(luo)分開(kāi)����,訪客網(wǎng)(wang)絡(luò)單獨(dú)提供給(gei)訪客使(shi)用。從用(yong)戶體驗(yàn)角(jiao)度考慮����,訪(fang)客接入(ru)網(wǎng)絡(luò)的驗(yàn)(yan)證方式(shi)一定要做(zuo)到簡(jiǎn)單(dan)易行����,繁瑣的驗(yàn)(yan)證方式會(huì)降(jiang)低訪(fang)客對(duì)企業(yè)的整(zheng)體印象����。同(tong)時(shí)對(duì)于(yu)訪客(ke)網(wǎng)絡(luò),企業(yè)(ye)還需要建(jian)立完善(shan)的網(wǎng)絡(luò)安全管(guan)理機(jī)制����,避(bi)免由于訪(fang)客的網(wǎng)絡(luò)(luo)不良訪(fang)問(wèn)給(gei)企業(yè)(ye)帶來(lái)的法律(lv)風(fēng)險(xiǎn)。對(duì)于企業(yè)(ye)員工移動(dòng)辦公(gong)上網(wǎng)����,更需(xu)要做到可(ke)管控,上(shang)網(wǎng)行為做(zuo)到可追(zhui)溯����,企業(yè)有(you)效的帶寬資源(yuan)得到合理的分(fen)配和保證����,才能(neng)使企業(yè)的業(yè)(ye)務(wù)系(xi)統(tǒng)正常(chang)且穩(wěn)定(ding)高效地運(yùn)行,同(tong)時(shí)保證企業(yè)信(xin)息安全����,避免機(jī)(ji)密信息泄露(lu)����。
存在的問(wèn)題(用(yong)戶需求)
1����、接入不安(an)全:缺(que)乏安全(quan)可靠(kao)的認(rèn)證機(jī)(ji)制,企業(yè)無(wú)(wu)線網(wǎng)絡(luò)(luo)接入(ru)不安全
2����、上網(wǎng)權(quán)限混(hun)亂:缺乏有效(xiao)的控制策(ce)略,員工上(shang)網(wǎng)權(quán)限不分(fen)明
3����、數(shù)據(jù)(ju)信息(xi)安全:缺乏有(you)效的數(shù)據(jù)加密(mi)機(jī)制,企業(yè)數(shù)據(jù)(ju)被黑(hei)客竊(qie)取篡改
4����、無(wú)線(xian)信號(hào)(hao)差:AP性(xing)能不(bu)佳,上網(wǎng)總(zong)掉線(xian)����,點(diǎn)位(wei)規(guī)劃不合理(li),信號(hào)盲區(qū)多
5����、漫游效(xiao)果差(cha):不能(neng)實(shí)現(xiàn)二三層漫(man)游����,移動(dòng)辦公時(shí)(shi)����,業(yè)務(wù)中斷
解決方案:
結(jié)合用(yong)戶無(wú)線網(wǎng)絡(luò)(luo)需求情(qing)況,結(jié)合產(chǎn)品(pin)自身技(ji)術(shù)特(te)點(diǎn)����,為(wei)了滿足用戶(hu)構(gòu)建一個(gè)(ge)高速、穩(wěn)定����、安全(quan)、可靠����、易于管(guan)理的無(wú)線接入(ru)網(wǎng)絡(luò)的需求(qiu),本設(shè)(she)計(jì)方案按(an)照AP+AC的結(jié)(jie)構(gòu)化(hua)無(wú)線網(wǎng)絡(luò)解決(jue)方案進(jìn)行(xing)設(shè)計(jì)����。具體(ti)設(shè)計(jì)為在總(zong)部設(shè)(she)置總部AC,在大型(xing)分支機(jī)構(gòu)設(shè)置(zhi)分支AC與分(fen)支AP����,中型分支(zhi)機(jī)構(gòu)設(shè)計(jì)(ji)二級(jí)����,三級(jí)交換(huan)機(jī)����,分支(zhi)AP。小微型分支機(jī)(ji)構(gòu)直接(jie)設(shè)置分支AP����。總部(bu)AC可以對(duì)大(da)型分支機(jī)構(gòu)的(de)AC進(jìn)行管理(li)����,當(dāng)網(wǎng)點(diǎn)控制器(qi)采用集(ji)中管(guan)理的模(mo)式進(jìn)入到中(zhong)心端控制器(qi)時(shí),會(huì)自動(dòng)下(xia)載中心端的(de)公共配置����,比如(ru)IP組、MAC地址庫(kù)����、時(shí)間(jian)計(jì)劃(hua)、角色授權(quán)(quan)、認(rèn)證(zheng)頁(yè)面(mian)等 ����。總部AC也(ye)可以(yi)直接管理中(zhong)小型分支機(jī)(ji)構(gòu)的分支(zhi)AP����,實(shí)現(xiàn)統(tǒng)一(yi)管理(li)。
方案設(shè)計(jì):
安全無(wú)(wu)線整體解決(jue)方案:
接入前&接入時(shí)(shi)進(jìn)行身份(fen)認(rèn)證����、安全無(wú)(wu)線網(wǎng)(wang)卡����、賬號(hào)綁定(ding)(硬件碼+手機(jī)(ji)號(hào))����,非法熱點(diǎn)檢(jian)測(cè)及防御(yu)����、網(wǎng)絡(luò)攻擊防護(hù)(hu)、射頻定時(shí)關(guān)(guan)閉及安全加(jia)固����。
接入后&上(shang)網(wǎng)時(shí)進(jìn)(jin)行訪(fang)問(wèn)權(quán)限控制(zhi)����。
上網(wǎng)后進(jìn)行(xing)上網(wǎng)行為記(ji)錄����。
上網(wǎng)用戶身(shen)份實(shí)名認(rèn)(ren)證:
無(wú)線(xian)辦公網(wǎng)采(cai)用802.1X/Portal/WAPI認(rèn)證��,外置(zhi)AAA和RADIUS+AD用于存儲(chǔ)(chu)用戶(hu)賬號(hào)密碼��。
每個(gè)賬號(hào)對(duì)(dui)應(yīng)一個(gè)(ge)員工��,包括姓(xing)名��、部門(mén)��、性別(bie)以及身份證(zheng)��、手機(jī)號(hào)等個(gè)人(ren)信息��,保證(zheng)每個(gè)(ge)上網(wǎng)的(de)賬號(hào)(hao)都是可尋(xun)的��,便于(yu)安全管理��。
用戶(hu)輸入賬號(hào)密(mi)碼上網(wǎng)驗(yàn)證時(shí)(shi)均采用(yong)加密傳輸(shu)��,防止黑客空(kong)中攔截(jie),竊取(qu)賬號(hào)密(mi)碼等數(shù)據(jù)��。
上網(wǎng)賬號(hào)自(zi)動(dòng)綁(bang)定終端:
自動(dòng)(dong)將賬號(hào)與終(zhong)端的硬件特征(zheng)碼進(jìn)行綁定��,防(fang)止賬號(hào)(hao)被他人(ren)使用或者被盜(dao)用��。
每臺(tái)設(shè)備的硬(ying)件特征碼是(shi)唯一的��,無(wú)法(fa)通過(guò)(guo)軟件修改��。即(ji)使通(tong)過(guò)軟件修改了(le)仍然可以識(shí)別(bie)原始的��。
每個(gè)賬(zhang)號(hào)最多(duo)可以(yi)綁定5臺(tái)終(zhong)端��,超過(guò)1臺(tái)(tai)時(shí)需要管理員(yuan)審核��。
上網(wǎng)(wang)賬號(hào)(hao)二次綁定手機(jī)(ji)號(hào)碼:
賬號(hào)首次登(deng)陸時(shí)需要綁定(ding)手機(jī)號(hào)(hao)并輸入(ru)短信驗(yàn)證(zheng)碼��,當(dāng)用戶(hu)賬號(hào)在(zai)新終端登陸時(shí)(shi)(換終端/被(bei)他用(yong)/被盜)��,不(bu)僅需要輸入(ru)密碼��,還(hai)需要(yao)輸入短信驗(yàn)(yan)證碼��,解決員(yuan)工賬號(hào)認(rèn)(ren)證的安全問(wèn)(wen)題
綁定手機(jī)號(hào)碼(ma)的用戶��,可以(yi)自助重置密(mi)碼和(he)修改密(mi)碼,無(wú)需通過(guò)(guo)IT管理(li)員��。
用戶密碼(ma)管理及自助(zhu)修改:
無(wú)需通過(guò)管(guan)理員即可修改(gai)密碼��,提高效率(lv)及減輕(qing)管理員工作壓(ya)力��。
通過(guò)口袋(dai)助理(li)��、釘釘��、企(qi)業(yè)號(hào)(hao)等手機(jī)MOA類(lei)APP軟件進(jìn)行無(wú)(wu)線密(mi)碼修改��。
若賬號(hào)(hao)綁定了手機(jī)(ji)號(hào)碼��,可通(tong)過(guò)手機(jī)驗(yàn)證碼(ma)自助修(xiu)改��。
上網(wǎng)終端合法(fa)效驗(yàn):
采用安全(quan)無(wú)線(xian)網(wǎng)卡接入無(wú)線(xian)網(wǎng)絡(luò)��,終端與AP熱(re)點(diǎn)的雙(shuang)向驗(yàn)證��,提高安(an)全性��。
可以將無(wú)線(xian)網(wǎng)絡(luò)設(shè)置為(wei)只有安裝了安(an)全無(wú)線網(wǎng)(wang)卡的終端(duan)才能接(jie)入無(wú)線網(wǎng)(wang)絡(luò)��。
支持設(shè)置安全(quan)無(wú)線(xian)網(wǎng)卡只能連指(zhi)定SSID無(wú)(wu)線網(wǎng)絡(luò)��,無(wú)法(fa)連接非授(shou)權(quán)SSID��。
網(wǎng)卡與AP數(shù)據(jù)傳(chuan)輸時(shí)自動(dòng)(dong)進(jìn)行數(shù)(shu)據(jù)加(jia)密��,保證無(wú)線(xian)的空口安全��。
無(wú)線(xian)熱點(diǎn)(dian)掃描及非法熱(re)點(diǎn)抑(yi)制:
背景:黑客在(zai)附近搭建一(yi)個(gè)一模一樣(yang)或者類似的(de)WIFI名稱��,誘使(shi)用戶(hu)連到虛(xu)假釣魚(yú)WIFI上��,黑(hei)客利用分析(xi)軟件從用戶(hu)上網(wǎng)產(chǎn)(chan)生的數(shù)據(jù)包中(zhong)分析提取用戶(hu)隱私信息��。
我們通過(guò)(guo)WIPS無(wú)線入侵(qin)防御系統(tǒng)實(shí)(shi)時(shí)檢測(cè)周圍(wei)無(wú)線信號(hào)��,當(dāng)檢(jian)測(cè)出來(lái)的(de)信號(hào)(hao)BSSID��、且AP源MAC地(di)址不在授權(quán)(quan)列表中時(shí)(shi)��,我們向(xiang)對(duì)應(yīng)的AP和(he)終端(duan)發(fā)送解(jie)除關(guān)聯(lián)(lian)幀��,讓終(zhong)端無(wú)法連上釣(diao)魚(yú)WIFI��。7×24小時(shí)不間(jian)斷監(jiān)(jian)測(cè)網(wǎng)絡(luò)��。
上網(wǎng)行為(wei)嚴(yán)格控制:
強(qiáng)大(da)的管理:通過(guò)(guo)應(yīng)用識(shí)(shi)別技術(shù)��,可(ke)以根(gen)據(jù)應(yīng)用類型或(huo)者具體某(mou)一種應(yīng)用(yong)進(jìn)行封堵,包括(kuo)視頻��、論壇��、游戲(xi)��、金融��、下(xia)載等2400多(duo)種網(wǎng)絡(luò)(luo)應(yīng)用��。
通過(guò)(guo)應(yīng)用(yong)識(shí)別技術(shù)(shu)��,可以根(gen)據(jù)應(yīng)用類(lei)型或者具體(ti)某一種應(yīng)用(yong)進(jìn)行封堵��,比(bi)如上班時(shí)間不(bu)允許炒股��,不(bu)允許P2P下載��,不(bu)允許(xu)外發(fā)敏感(gan)文件等��; 支持主(zhu)流移動(dòng)平(ping)臺(tái)��,可識(shí)別IM��、社交(jiao)��、Mail��、新聞��、炒股等應(yīng)(ying)用��。
無(wú)線控(kong)制器內(nèi)置千(qian)萬(wàn)級(jí)別(bie)的URL分類庫(kù)��,能夠(gou)對(duì)URL進(jìn)行識(shí)(shi)別��,包(bao)含新聞��、購(gòu)物(wu)��、金融(rong)��、教育等(deng)18個(gè)種類的URL地址(zhi)��; 準(zhǔn)確識(shí)別目前(qian)主流網(wǎng)站��,識(shí)(shi)別率高達(dá)(da)99.9%��,有效實(shí)現(xiàn)網(wǎng)頁(yè)(ye)過(guò)濾��。例如(ru)禁止登陸非(fei)法網(wǎng)站
通過(guò)基于(yu)時(shí)間(jian)段的訪問(wèn)控制(zhi)策略(lve),實(shí)現(xiàn)不同(tong)的時(shí)間段(duan)不同的訪(fang)問(wèn)權(quán)(quan)限��,比如(ru)上班時(shí)間��,禁止(zhi)訪問(wèn)(wen)網(wǎng)上銀(yin)行��、游戲��、論壇(tan)貼吧(ba)等與工作(zuo)無(wú)關(guān)的應(yīng)用(yong)��,下班時(shí)(shi)間則不受限(xian)制��。
辦公區(qū)域內(nèi)(nei)��,不同辦公部(bu)門(mén)總會(huì)有各(ge)自專屬的無(wú)(wu)線網(wǎng)絡(luò)(luo)��,并且不希望部(bu)門(mén)之外的成(cheng)員使用這個(gè)網(wǎng)(wang)絡(luò)��。無(wú)線網(wǎng)(wang)絡(luò)控制器可(ke)以根據(jù)用(yong)戶的屬(shu)性��,限制禁(jin)止非(fei)本部門(mén)(men)的用戶接入��。
典型無(wú)(wu)線網(wǎng)絡(luò)(luo)攻擊防(fang)護(hù):
對(duì)典型的(de)危險(xiǎn)攻擊(ji)行為進(jìn)行檢(jian)測(cè)��,當(dāng)(dang)超過(guò)(guo)設(shè)定的(de)閾值后自動(dòng)將(jiang)攻擊(ji)者加入(ru)到黑名單(dan)中��,并凍結(jié)(jie)一定(ding)時(shí)間��,即(ji)時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)(luo)攻擊并進(jìn)行(xing)防御��。
檢測(cè)的(de)攻擊包括:DDOS防御(yu)��、ARP掃描(miao)��、IP掃描��、端口掃描(miao)防御��,禁止客(ke)戶端私設(shè)(she)IP以及ARP��、網(wǎng)(wang)關(guān)欺騙防(fang)御��、DHCP請(qǐng)求泛(fan)洪防御��。
無(wú)線射頻定(ding)時(shí)關(guān)(guan)閉開(kāi)啟:
通過(guò)射頻關(guān)閉(bi)控制(zhi)策略��,可以指定(ding)某SSID網(wǎng)絡(luò)��,定(ding)時(shí)自動(dòng)關(guān)閉和(he)開(kāi)啟無(wú)(wu)線網(wǎng)絡(luò)的(de)射頻信號(hào)��,晚(wan)上下班后自(zi)動(dòng)關(guān)閉無(wú)線(xian)射頻信號(hào)(hao)��。
一方面可以節(jié)(jie)能減排(pai)、節(jié)省電費(fèi)(fei)支出��;另一方面(mian)又能防止非(fei)法用戶利用深(shen)夜時(shí)間(jian)入侵無(wú)(wu)線網(wǎng)絡(luò)��,做一(yi)些非(fei)法的(de)操作��。
有線無(wú)(wu)線一體(ti)化管(guan)理:
NAC的有線無(wú)(wu)線一(yi)體化��,支持對(duì)有(you)線用戶的接入(ru)認(rèn)證��、訪問(wèn)控制(zhi)��、流量管理��、上網(wǎng)(wang)行為審計(jì)等(deng)��,
并提供統(tǒng)一中(zhong)文Web管理界面(mian)��,一站(zhan)式服務(wù)��,極大的(de)降低網(wǎng)(wang)絡(luò)建設(shè)(she)成本��。
網(wǎng)絡(luò)分(fen)權(quán)分級(jí)管理(li):
分配不同的(de)管理員(yuan)分別管理(li)各自權(quán)限區(qū)(qu)域的無(wú)(wu)線AP��,可以精(jing)細(xì)到(dao)對(duì)某AP分組(zu)有管(guan)理權(quán)限��,該管理(li)員可以在該AP分(fen)組上建立無(wú)(wu)線網(wǎng)絡(luò)��,能(neng)夠激活(huo)��、刪除接入(ru)點(diǎn)��,能(neng)夠?qū)P的配(pei)置進(jìn)行編輯修(xiu)改��。
可指定管理(li)員針對(duì)每個(gè)頁(yè)(ye)面的編(bian)輯或可查看權(quán)(quan)限��,控制粒(li)度到控制器(qi)上的(de)各個(gè)(ge)頁(yè)面(mian)��,對(duì)某個(gè)頁(yè)面(mian)沒(méi)有讀權(quán)(quan)限則登錄時(shí)不(bu)顯示��。
移動(dòng)APP隨時(shí)隨(sui)地運(yùn)維管(guan)理:
支持(chi)跨互聯(lián)網(wǎng)(wang)運(yùn)維管理
登陸APP進(jìn)行維護(hù)(hu)管理:不同管(guan)理員(yuan)��,不同(tong)權(quán)限
查看網(wǎng)(wang)絡(luò)運(yùn)(yun)行情況(kuang):在線用(yong)戶��、在線(xian)AP數(shù)量��、實(shí)時(shí)(shi)流量
無(wú)線網(wǎng)(wang)絡(luò)管(guan)理維護(hù):開(kāi)啟(qi)關(guān)閉SSID��、終端綁定(ding)審批(pi)��、二維(wei)碼上網(wǎng)(wang)審核
故障��、審批實(shí)時(shí)(shi)通知:AP離線警(jing)告、服務(wù)(wu)器離線警(jing)告��、網(wǎng)絡(luò)攻擊告(gao)警
方案優(yōu)勢(shì):
1��、最豐富(fu)的無(wú)線安全(quan)機(jī)制��,提供(gong)從安全接入(ru)到安全上(shang)網(wǎng)等(deng)端到端的安全(quan)策略
2��、合理(li)管控工作人(ren)員上網(wǎng)行為(wei)��,提升工作效(xiao)率��、防止帶(dai)寬浪(lang)費(fèi)��,有線無(wú)(wu)線雙重(zhong)管控
3��、為會(huì)(hui)議室��,報(bào)告(gao)廳等(deng)人員密集區(qū)域(yu)接入網(wǎng)絡(luò)提高(gao)保證��,解決有線(xian)網(wǎng)口不足的問(wèn)(wen)題��;
4��、為企業(yè)員(yuan)工的移動(dòng)辦(ban)公提(ti)供支(zhi)撐��,內(nèi)部(bu)員工可通過(guò)無(wú)(wu)線網(wǎng)絡(luò)隨時(shí)(shi)安全接(jie)入內(nèi)部網(wǎng)絡(luò)��,實(shí)(shi)現(xiàn)辦公��;
5��、內(nèi)部員工賬號(hào)(hao)及個(gè)人信息(xi)綁定��,便于(yu)安全(quan)管理��;
6��、內(nèi)部員工可通(tong)過(guò)自己的辦(ban)公設(shè)備在(zai)企業(yè)(ye)大樓內(nèi)快速移(yi)動(dòng)辦公��,網(wǎng)絡(luò)接(jie)入更快速��,上(shang)網(wǎng)行(xing)為管(guan)理系(xi)統(tǒng)對(duì)員(yuan)工上網(wǎng)(wang)行為進(jìn)行(xing)審計(jì)與管控(kong)
7��、來(lái)訪客戶接(jie)入企業(yè)網(wǎng)絡(luò)��,可(ke)根據(jù)不同需求(qiu)��,分配不(bu)同的上網(wǎng)(wang)權(quán)限(xian)��,保證了接入(ru)的安全(quan)性同時(shí)提升(sheng)群眾上網(wǎng)(wang)的體(ti)驗(yàn)
8��、豐富的認(rèn)證(zheng)機(jī)制,滿足組(zu)織對(duì)無(wú)線網(wǎng)(wang)絡(luò)安全��、快速接(jie)入
9��、投資成(cheng)本低��,通(tong)過(guò)部署(shu)無(wú)線控制(zhi)器替換原(yuan)有網(wǎng)(wang)絡(luò)的(de)出口路(lu)由��、行(xing)為管理以(yi)及無(wú)線(xian)控制器
