?
大型(xing)企業(yè)(ye)在無線(xian)網(wǎng)絡(luò)(luo)建設(shè)(she)期間要充分(fen)考慮(lv)訪客(領(lǐng)(ling)導(dǎo)���、客戶���、合作伙(huo)伴)接入(ru)網(wǎng)絡(luò)的需(xu)求���。首先從(cong)安全(quan)性考(kao)慮���,訪客網(wǎng)絡(luò)(luo)必須要(yao)和辦公(gong)網(wǎng)絡(luò)(luo)分開,訪客(ke)網(wǎng)絡(luò)單(dan)獨(dú)提(ti)供給訪客(ke)使用(yong)���。從用戶體驗(yàn)角(jiao)度考慮(lv)���,訪客(ke)接入網(wǎng)絡(luò)的驗(yàn)(yan)證方(fang)式一定要做到(dao)簡(jiǎn)單易行(xing),繁瑣的驗(yàn)證方(fang)式會(huì)(hui)降低(di)訪客對(duì)企(qi)業(yè)的整(zheng)體印象���。同時(shí)(shi)對(duì)于訪客(ke)網(wǎng)絡(luò)���,企業(yè)還(hai)需要建(jian)立完善的網(wǎng)絡(luò)(luo)安全管(guan)理機(jī)制(zhi),避免由于訪(fang)客的網(wǎng)絡(luò)不(bu)良訪(fang)問給企業(yè)帶來(lai)的法律(lv)風(fēng)險(xiǎn)。對(duì)于(yu)企業(yè)員工移動(dòng)(dong)辦公上網(wǎng)(wang)���,更需(xu)要做到(dao)可管控(kong)���,上網(wǎng)行為做(zuo)到可追溯,企(qi)業(yè)有效(xiao)的帶寬資(zi)源得到合理的(de)分配和(he)保證���,才能使(shi)企業(yè)的業(yè)務(wù)(wu)系統(tǒng)正常且(qie)穩(wěn)定(ding)高效地運(yùn)行���,同(tong)時(shí)保證企(qi)業(yè)信息(xi)安全,避免機(jī)(ji)密信息(xi)泄露���。
存在的問題(ti)(用戶(hu)需求)
1���、接入不(bu)安全:缺乏(fa)安全可靠(kao)的認(rèn)證機(jī)制,企(qi)業(yè)無線網(wǎng)(wang)絡(luò)接入不安全(quan)
2���、上網(wǎng)權(quán)限混(hun)亂:缺乏有效的(de)控制策(ce)略���,員工上網(wǎng)(wang)權(quán)限不分明(ming)
3、數(shù)據(jù)信息安全(quan):缺乏有(you)效的數(shù)(shu)據(jù)加密機(jī)制(zhi)���,企業(yè)數(shù)據(jù)被黑(hei)客竊(qie)取篡(cuan)改
4���、無線(xian)信號(hào)差:AP性(xing)能不佳���,上(shang)網(wǎng)總掉線,點(diǎn)位(wei)規(guī)劃不合(he)理���,信(xin)號(hào)盲區(qū)多
5���、漫游(you)效果差:不(bu)能實(shí)現(xiàn)二三層(ceng)漫游���,移(yi)動(dòng)辦(ban)公時(shí)���,業(yè)務(wù)中(zhong)斷
解決方(fang)案:
結(jié)合用戶無(wu)線網(wǎng)絡(luò)需求情(qing)況,結(jié)(jie)合產(chǎn)品(pin)自身(shen)技術(shù)特點(diǎn)���,為(wei)了滿足用(yong)戶構(gòu)建(jian)一個(gè)高速(su)���、穩(wěn)定(ding)、安全���、可(ke)靠���、易于管理的(de)無線(xian)接入網(wǎng)絡(luò)的(de)需求(qiu)���,本設(shè)計(jì)方(fang)案按照AP+AC的結(jié)構(gòu)(gou)化無線網(wǎng)(wang)絡(luò)解(jie)決方案進(jìn)行(xing)設(shè)計(jì)。具體(ti)設(shè)計(jì)為在(zai)總部設(shè)置(zhi)總部AC,在大型(xing)分支機(jī)構(gòu)設(shè)置(zhi)分支AC與分支AP���,中(zhong)型分支(zhi)機(jī)構(gòu)設(shè)計(jì)(ji)二級(jí)���,三(san)級(jí)交換機(jī),分(fen)支AP���。小微型(xing)分支機(jī)構(gòu)直(zhi)接設(shè)置分(fen)支AP���。總部AC可以對(duì)(dui)大型分(fen)支機(jī)構(gòu)(gou)的AC進(jìn)行管理(li)���,當(dāng)網(wǎng)點(diǎn)控制(zhi)器采用集中(zhong)管理的模(mo)式進(jìn)入到中(zhong)心端控制器時(shí)(shi)���,會(huì)自(zi)動(dòng)下載(zai)中心端(duan)的公共配(pei)置,比(bi)如IP組���、MAC地(di)址庫(kù)���、時(shí)(shi)間計(jì)(ji)劃���、角色授權(quán)(quan)、認(rèn)證頁(yè)(ye)面等 ���?��?偛緼C也(ye)可以(yi)直接(jie)管理中小型分(fen)支機(jī)構(gòu)(gou)的分支AP,實(shí)(shi)現(xiàn)統(tǒng)一(yi)管理���。
方案(an)設(shè)計(jì)(ji):
安全無線整體(ti)解決方案(an):
接入(ru)前&接入時(shí)進(jìn)行(xing)身份(fen)認(rèn)證���、安全無(wu)線網(wǎng)卡(ka)���、賬號(hào)綁定(硬件(jian)碼+手機(jī)號(hào)(hao))���,非法熱點(diǎn)檢測(cè)(ce)及防御(yu)、網(wǎng)絡(luò)攻擊防護(hù)(hu)���、射頻定時(shí)關(guān)(guan)閉及安(an)全加固���。
接入后&上網(wǎng)(wang)時(shí)進(jìn)行(xing)訪問權(quán)限控(kong)制���。
上網(wǎng)后進(jìn)行上(shang)網(wǎng)行(xing)為記錄。
上網(wǎng)用(yong)戶身份實(shí)名認(rèn)(ren)證:
無線辦(ban)公網(wǎng)采用802.1X/Portal/WAPI認(rèn)(ren)證���,外置(zhi)AAA和RADIUS+AD用于存儲(chǔ)(chu)用戶(hu)賬號(hào)密碼(ma)���。
每個(gè)賬(zhang)號(hào)對(duì)(dui)應(yīng)一個(gè)員工(gong),包括姓名���、部門(men)��、性別以及身(shen)份證��、手機(jī)(ji)號(hào)等(deng)個(gè)人(ren)信息��,保證(zheng)每個(gè)上(shang)網(wǎng)的賬號(hào)都(dou)是可尋的��,便于(yu)安全(quan)管理��。
用戶輸入賬號(hào)(hao)密碼上網(wǎng)(wang)驗(yàn)證時(shí)均(jun)采用加(jia)密傳輸��,防(fang)止黑(hei)客空中攔(lan)截��,竊(qie)取賬號(hào)密碼(ma)等數(shù)(shu)據(jù)��。
上網(wǎng)(wang)賬號(hào)自(zi)動(dòng)綁定終端(duan):
自動(dòng)將(jiang)賬號(hào)與終端的(de)硬件特(te)征碼(ma)進(jìn)行綁定(ding)��,防止賬號(hào)(hao)被他人使(shi)用或者被盜(dao)用��。
每臺(tái)設(shè)(she)備的硬(ying)件特征碼(ma)是唯一的(de)��,無法通過軟(ruan)件修改��。即使(shi)通過(guo)軟件(jian)修改了仍然(ran)可以識(shí)別(bie)原始的(de)��。
每個(gè)賬號(hào)(hao)最多可以綁定(ding)5臺(tái)終端(duan)��,超過1臺(tái)時(shí)需要(yao)管理員(yuan)審核��。
上網(wǎng)賬(zhang)號(hào)二次綁定手(shou)機(jī)號(hào)碼:
賬號(hào)首次(ci)登陸時(shí)需要(yao)綁定手機(jī)(ji)號(hào)并輸(shu)入短(duan)信驗(yàn)證碼(ma)��,當(dāng)用戶賬號(hào)(hao)在新終(zhong)端登陸時(shí)(換終(zhong)端/被他用/被盜(dao))��,不僅需要輸入(ru)密碼��,還需要輸(shu)入短(duan)信驗(yàn)證碼��,解決(jue)員工賬號(hào)認(rèn)(ren)證的安全問題(ti)
綁定手機(jī)(ji)號(hào)碼的(de)用戶��,可以自(zi)助重(zhong)置密碼和修(xiu)改密碼��,無(wu)需通過(guo)IT管理員��。
用戶密(mi)碼管理(li)及自助修改:
無需通過管(guan)理員(yuan)即可(ke)修改(gai)密碼��,提(ti)高效(xiao)率及(ji)減輕管理員(yuan)工作(zuo)壓力��。
通過(guo)口袋助(zhu)理��、釘釘��、企業(yè)(ye)號(hào)等(deng)手機(jī)MOA類APP軟件(jian)進(jìn)行無線密碼(ma)修改��。
若賬(zhang)號(hào)綁定了手(shou)機(jī)號(hào)碼��,可通(tong)過手機(jī)驗(yàn)證碼(ma)自助修(xiu)改��。
上網(wǎng)終端合(he)法效驗(yàn):
采用安全無(wu)線網(wǎng)卡接(jie)入無線網(wǎng)絡(luò)��,終(zhong)端與AP熱(re)點(diǎn)的雙(shuang)向驗(yàn)證��,提(ti)高安全(quan)性��。
可以將無線網(wǎng)(wang)絡(luò)設(shè)置(zhi)為只有(you)安裝了安全無(wu)線網(wǎng)卡的終(zhong)端才能(neng)接入無線(xian)網(wǎng)絡(luò)。
支持(chi)設(shè)置(zhi)安全無線網(wǎng)卡(ka)只能連指定SSID無(wu)線網(wǎng)絡(luò)��,無(wu)法連接非(fei)授權(quán)SSID��。
網(wǎng)卡與AP數(shù)據(jù)傳(chuan)輸時(shí)自(zi)動(dòng)進(jìn)行(xing)數(shù)據(jù)加密,保證(zheng)無線的(de)空口安全。
無線(xian)熱點(diǎn)(dian)掃描及(ji)非法熱點(diǎn)抑制(zhi):
背景:黑(hei)客在附近搭建(jian)一個(gè)一模一樣(yang)或者類似(shi)的WIFI名稱(cheng)��,誘使用戶連(lian)到虛假(jia)釣魚WIFI上,黑(hei)客利用分(fen)析軟(ruan)件從用戶上網(wǎng)(wang)產(chǎn)生的數(shù)據(jù)包(bao)中分(fen)析提(ti)取用(yong)戶隱私信息��。
我們通(tong)過WIPS無線入(ru)侵防御系統(tǒng)實(shí)(shi)時(shí)檢測(cè)周圍(wei)無線信號(hào)��,當(dāng)檢(jian)測(cè)出來(lai)的信號(hào)BSSID��、且AP源MAC地(di)址不在授(shou)權(quán)列(lie)表中時(shí)��,我們向(xiang)對(duì)應(yīng)的AP和終(zhong)端發(fā)(fa)送解除關(guān)聯(lián)幀(zhen)��,讓終(zhong)端無(wu)法連上(shang)釣魚WIFI��。7×24小時(shí)(shi)不間斷(duan)監(jiān)測(cè)(ce)網(wǎng)絡(luò)(luo)��。
上網(wǎng)(wang)行為(wei)嚴(yán)格(ge)控制:
強(qiáng)大的(de)管理:通過應(yīng)(ying)用識(shí)別技術(shù)(shu)��,可以(yi)根據(jù)應(yīng)用(yong)類型或者具體(ti)某一種應(yīng)用(yong)進(jìn)行封堵��,包括(kuo)視頻(pin)��、論壇��、游戲��、金融(rong)��、下載等2400多種網(wǎng)(wang)絡(luò)應(yīng)用��。
通過應(yīng)(ying)用識(shí)(shi)別技(ji)術(shù)��,可以根(gen)據(jù)應(yīng)用類型(xing)或者(zhe)具體某一種(zhong)應(yīng)用進(jìn)(jin)行封堵(du)��,比如上班(ban)時(shí)間不允許炒(chao)股��,不允許P2P下(xia)載��,不允許(xu)外發(fā)敏(min)感文件等��; 支持(chi)主流移動(dòng)(dong)平臺(tái)��,可識(shí)別IM��、社(she)交、Mail��、新聞��、炒股等(deng)應(yīng)用(yong)��。
無線控(kong)制器內(nèi)(nei)置千萬(wàn)級(jí)別(bie)的URL分類庫(kù)��,能(neng)夠?qū)?dui)URL進(jìn)行識(shí)(shi)別��,包含新聞(wen)��、購(gòu)物��、金融��、教(jiao)育等18個(gè)種(zhong)類的(de)URL地址��; 準(zhǔn)確識(shí)(shi)別目前主流(liu)網(wǎng)站��,識(shí)別率(lv)高達(dá)(da)99.9%��,有效實(shí)現(xiàn)(xian)網(wǎng)頁(yè)(ye)過濾��。例如禁止(zhi)登陸非法網(wǎng)(wang)站
通過基(ji)于時(shí)間段(duan)的訪問控(kong)制策(ce)略��,實(shí)現(xiàn)不(bu)同的時(shí)間段(duan)不同的訪(fang)問權(quán)(quan)限,比如(ru)上班時(shí)間��,禁止(zhi)訪問網(wǎng)上(shang)銀行��、游戲(xi)��、論壇貼吧等(deng)與工作無(wu)關(guān)的應(yīng)用(yong)��,下班(ban)時(shí)間則(ze)不受限制(zhi)��。
辦公區(qū)域內(nèi)��,不(bu)同辦公部(bu)門總會(huì)有各(ge)自專屬(shu)的無線網(wǎng)(wang)絡(luò)��,并(bing)且不希望(wang)部門之(zhi)外的成員使用(yong)這個(gè)網(wǎng)絡(luò)��。無(wu)線網(wǎng)絡(luò)控制(zhi)器可(ke)以根據(jù)用戶(hu)的屬性��,限(xian)制禁止非本部(bu)門的用戶接(jie)入��。
典型無線網(wǎng)絡(luò)(luo)攻擊防(fang)護(hù):
對(duì)典型的(de)危險(xiǎn)(xian)攻擊行為(wei)進(jìn)行檢測(cè)(ce)��,當(dāng)超過設(shè)定(ding)的閾值后(hou)自動(dòng)將攻擊者(zhe)加入到黑名(ming)單中��,并凍結(jié)(jie)一定時(shí)間��,即(ji)時(shí)發(fā)(fa)現(xiàn)網(wǎng)絡(luò)(luo)攻擊并進(jìn)(jin)行防御(yu)��。
檢測(cè)的(de)攻擊包括:DDOS防御(yu)��、ARP掃描��、IP掃(sao)描��、端口掃(sao)描防御��,禁止客(ke)戶端私設(shè)IP以(yi)及ARP��、網(wǎng)關(guān)欺騙防(fang)御��、DHCP請(qǐng)(qing)求泛洪防(fang)御��。
無線射頻定時(shí)(shi)關(guān)閉開(kai)啟:
通過(guo)射頻關(guān)閉控(kong)制策略(lve)��,可以指定某SSID網(wǎng)(wang)絡(luò)��,定時(shí)(shi)自動(dòng)關(guān)閉(bi)和開(kai)啟無線網(wǎng)絡(luò)(luo)的射頻信號(hào)(hao)��,晚上下班后自(zi)動(dòng)關(guān)閉無線(xian)射頻信號(hào)(hao)��。
一方面可(ke)以節(jié)能(neng)減排��、節(jié)省(sheng)電費(fèi)支出(chu);另一方面(mian)又能(neng)防止非(fei)法用戶利用深(shen)夜時(shí)間入侵(qin)無線網(wǎng)絡(luò)��,做(zuo)一些非(fei)法的操作��。
有線無線一(yi)體化管理:
NAC的有線無線一(yi)體化(hua)��,支持對(duì)有線用(yong)戶的接入認(rèn)證(zheng)��、訪問控制��、流(liu)量管理(li)��、上網(wǎng)行為審(shen)計(jì)等��,
并提供(gong)統(tǒng)一(yi)中文Web管理界(jie)面��,一站式(shi)服務(wù)��,極大(da)的降低網(wǎng)絡(luò)建(jian)設(shè)成(cheng)本��。
網(wǎng)絡(luò)分權(quán)分(fen)級(jí)管理:
分配不(bu)同的管(guan)理員分別(bie)管理各自權(quán)限(xian)區(qū)域的(de)無線AP��,可以精(jing)細(xì)到對(duì)某AP分(fen)組有管理權(quán)(quan)限��,該(gai)管理員可以在(zai)該AP分組上(shang)建立無線網(wǎng)(wang)絡(luò)��,能(neng)夠激活��、刪除(chu)接入點(diǎn)��,能夠(gou)對(duì)AP的(de)配置進(jìn)行(xing)編輯修(xiu)改��。
可指定管理員(yuan)針對(duì)每(mei)個(gè)頁(yè)(ye)面的(de)編輯(ji)或可查看權(quán)(quan)限��,控制(zhi)粒度到控(kong)制器上(shang)的各(ge)個(gè)頁(yè)面��,對(duì)某個(gè)(ge)頁(yè)面沒有讀權(quán)(quan)限則登錄時(shí)(shi)不顯示��。
移動(dòng)APP隨時(shí)隨地(di)運(yùn)維管理(li):
支持跨互聯(lián)(lian)網(wǎng)運(yùn)維管理
登陸(lu)APP進(jìn)行維護(hù)管理(li):不同(tong)管理員��,不同權(quán)(quan)限
查看網(wǎng)絡(luò)運(yùn)行(xing)情況:在(zai)線用戶(hu)��、在線AP數(shù)量��、實(shí)(shi)時(shí)流量
無線網(wǎng)絡(luò)(luo)管理(li)維護(hù):開(kai)啟關(guān)(guan)閉SSID��、終端綁定(ding)審批��、二維(wei)碼上網(wǎng)(wang)審核
故障��、審批(pi)實(shí)時(shí)通知:AP離(li)線警(jing)告��、服務(wù)器(qi)離線警告(gao)、網(wǎng)絡(luò)(luo)攻擊告(gao)警
方案優(yōu)(you)勢(shì):
1��、最豐富的(de)無線安全機(jī)(ji)制��,提供從(cong)安全(quan)接入到安全(quan)上網(wǎng)等端到端(duan)的安(an)全策略
2��、合理(li)管控工作人(ren)員上網(wǎng)行為(wei)��,提升工作(zuo)效率��、防止帶寬(kuan)浪費(fèi)��,有(you)線無(wu)線雙重(zhong)管控
3��、為會(huì)(hui)議室��,報(bào)(bao)告廳等人(ren)員密(mi)集區(qū)域(yu)接入網(wǎng)絡(luò)提(ti)高保證(zheng)��,解決有線(xian)網(wǎng)口不足的問(wen)題��;
4��、為企業(yè)員工(gong)的移動(dòng)辦公(gong)提供(gong)支撐(cheng)��,內(nèi)部員(yuan)工可通過無(wu)線網(wǎng)絡(luò)(luo)隨時(shí)安全(quan)接入內(nèi)部網(wǎng)(wang)絡(luò)��,實(shí)現(xiàn)(xian)辦公��;
5��、內(nèi)部員工(gong)賬號(hào)及(ji)個(gè)人信息(xi)綁定(ding)��,便于安全(quan)管理��;
6��、內(nèi)部員工(gong)可通過自己的(de)辦公(gong)設(shè)備在企業(yè)(ye)大樓內(nèi)快速移(yi)動(dòng)辦公��,網(wǎng)(wang)絡(luò)接入(ru)更快速��,上網(wǎng)(wang)行為管(guan)理系統(tǒng)(tong)對(duì)員工上網(wǎng)行(xing)為進(jìn)(jin)行審計(jì)(ji)與管控(kong)
7��、來訪客戶(hu)接入企業(yè)網(wǎng)絡(luò)(luo)��,可根(gen)據(jù)不同需求(qiu)��,分配不同的(de)上網(wǎng)權(quán)(quan)限��,保證(zheng)了接入(ru)的安(an)全性同時(shí)提(ti)升群眾上網(wǎng)的(de)體驗(yàn)
8��、豐富的認(rèn)證(zheng)機(jī)制,滿足(zu)組織對(duì)無線網(wǎng)(wang)絡(luò)安全��、快速接(jie)入
9��、投資成本低(di)��,通過(guo)部署無(wu)線控制器(qi)替換原有網(wǎng)絡(luò)(luo)的出口(kou)路由��、行為(wei)管理以及無線(xian)控制(zhi)器
