?
大型企(qi)業(yè)在無(wú)線網(wǎng)絡(luò)(luo)建設(shè)(she)期間(jian)要充分考慮(lv)訪客(領(lǐng)導(dǎo)��、客戶(hu)��、合作伙(huo)伴)接入(ru)網(wǎng)絡(luò)(luo)的需求��。首先從(cong)安全(quan)性考慮��,訪客(ke)網(wǎng)絡(luò)(luo)必須要和辦公(gong)網(wǎng)絡(luò)分開��,訪客(ke)網(wǎng)絡(luò)單(dan)獨(dú)提供給訪客(ke)使用��。從用戶體(ti)驗(yàn)角度考慮,訪(fang)客接入網(wǎng)(wang)絡(luò)的驗(yàn)(yan)證方(fang)式一定(ding)要做到簡(jiǎn)單(dan)易行��,繁瑣(suo)的驗(yàn)(yan)證方式會(huì)降低(di)訪客對(duì)企業(yè)(ye)的整(zheng)體印象��。同時(shí)對(duì)(dui)于訪客(ke)網(wǎng)絡(luò)(luo)��,企業(yè)還(hai)需要建立(li)完善的網(wǎng)(wang)絡(luò)安(an)全管理(li)機(jī)制(zhi)��,避免由(you)于訪(fang)客的網(wǎng)絡(luò)不良(liang)訪問給(gei)企業(yè)帶來(lái)(lai)的法律風(fēng)險(xiǎn)��。對(duì)(dui)于企業(yè)員工(gong)移動(dòng)辦(ban)公上(shang)網(wǎng)��,更需要做到(dao)可管(guan)控��,上網(wǎng)行(xing)為做到(dao)可追溯��,企業(yè)(ye)有效(xiao)的帶寬資(zi)源得到合理的(de)分配和保證��,才(cai)能使企業(yè)(ye)的業(yè)務(wù)系(xi)統(tǒng)正常且穩(wěn)定(ding)高效地運(yùn)行(xing)��,同時(shí)(shi)保證企業(yè)(ye)信息(xi)安全��,避免機(jī)(ji)密信(xin)息泄露��。
存在的問題(ti)(用戶需求)
1、接入(ru)不安全:缺乏安(an)全可靠的認(rèn)(ren)證機(jī)制��,企業(yè)(ye)無(wú)線網(wǎng)絡(luò)(luo)接入不安全(quan)
2��、上網(wǎng)(wang)權(quán)限混亂:缺乏(fa)有效的控制策(ce)略��,員工(gong)上網(wǎng)權(quán)限不分(fen)明
3��、數(shù)據(jù)信息(xi)安全:缺乏(fa)有效的(de)數(shù)據(jù)(ju)加密機(jī)制��,企業(yè)(ye)數(shù)據(jù)被黑(hei)客竊(qie)取篡改(gai)
4��、無(wú)線信(xin)號(hào)差:AP性能(neng)不佳(jia)��,上網(wǎng)(wang)總掉線��,點(diǎn)(dian)位規(guī)劃不(bu)合理��,信號(hào)盲(mang)區(qū)多
5��、漫游效果差:不(bu)能實(shí)現(xiàn)二(er)三層漫游��,移動(dòng)(dong)辦公時(shí)��,業(yè)務(wù)(wu)中斷
解決方(fang)案:
結(jié)合用(yong)戶無(wú)線(xian)網(wǎng)絡(luò)(luo)需求情況��,結(jié)(jie)合產(chǎn)品自(zi)身技術(shù)特(te)點(diǎn)��,為了滿足用(yong)戶構(gòu)建一個(gè)高(gao)速��、穩(wěn)定(ding)��、安全��、可靠��、易于(yu)管理的無(wú)(wu)線接入網(wǎng)(wang)絡(luò)的需求��,本設(shè)(she)計(jì)方案(an)按照AP+AC的結(jié)(jie)構(gòu)化無(wú)線網(wǎng)(wang)絡(luò)解決方案(an)進(jìn)行設(shè)計(jì)��。具體(ti)設(shè)計(jì)為在總部(bu)設(shè)置總部AC,在大(da)型分(fen)支機(jī)(ji)構(gòu)設(shè)置分(fen)支AC與(yu)分支AP��,中型(xing)分支機(jī)構(gòu)設(shè)計(jì)(ji)二級(jí)(ji)��,三級(jí)交換(huan)機(jī)��,分(fen)支AP��。小微型分(fen)支機(jī)構(gòu)直(zhi)接設(shè)(she)置分支AP��?�??zong)部AC可以對(duì)大(da)型分(fen)支機(jī)構(gòu)的AC進(jìn)(jin)行管理,當(dāng)(dang)網(wǎng)點(diǎn)控制器采(cai)用集中管理的(de)模式(shi)進(jìn)入到(dao)中心端控制器(qi)時(shí)��,會(huì)自動(dòng)(dong)下載中(zhong)心端的(de)公共配(pei)置��,比如(ru)IP組��、MAC地址(zhi)庫(kù)��、時(shí)間(jian)計(jì)劃��、角色(se)授權(quán)��、認(rèn)證頁(yè)面(mian)等 ��?�??zong)部AC也可以直(zhi)接管(guan)理中小型分支(zhi)機(jī)構(gòu)(gou)的分支AP��,實(shí)現(xiàn)(xian)統(tǒng)一管(guan)理��。
方案設(shè)計(jì)(ji):
安全無(wú)(wu)線整體(ti)解決(jue)方案:
接入前(qian)&接入時(shí)進(jìn)行(xing)身份認(rèn)證(zheng)��、安全無(wú)線網(wǎng)(wang)卡��、賬號(hào)綁定(硬(ying)件碼+手機(jī)號(hào)(hao))��,非法熱點(diǎn)檢測(cè)(ce)及防御��、網(wǎng)絡(luò)(luo)攻擊防(fang)護(hù)��、射頻定(ding)時(shí)關(guān)閉及安(an)全加固��。
接入(ru)后&上(shang)網(wǎng)時(shí)進(jìn)(jin)行訪問(wen)權(quán)限(xian)控制��。
上網(wǎng)后進(jìn)(jin)行上(shang)網(wǎng)行為記錄��。
上網(wǎng)用戶身(shen)份實(shí)名認(rèn)(ren)證:
無(wú)線辦公網(wǎng)采(cai)用802.1X/Portal/WAPI認(rèn)證��,外(wai)置AAA和RADIUS+AD用于存儲(chǔ)(chu)用戶賬號(hào)密碼(ma)��。
每個(gè)賬號(hào)對(duì)(dui)應(yīng)一個(gè)(ge)員工��,包(bao)括姓名��、部(bu)門��、性別以及(ji)身份證��、手(shou)機(jī)號(hào)等個(gè)人(ren)信息��,保證每個(gè)(ge)上網(wǎng)的賬號(hào)(hao)都是(shi)可尋的��,便于安(an)全管(guan)理。
用戶輸入賬號(hào)(hao)密碼上網(wǎng)驗(yàn)證(zheng)時(shí)均采用加密(mi)傳輸��,防止黑(hei)客空中攔截��,竊(qie)取賬號(hào)密碼等(deng)數(shù)據(jù)��。
上網(wǎng)賬(zhang)號(hào)自動(dòng)綁定終(zhong)端:
自動(dòng)將賬號(hào)與(yu)終端的硬件特(te)征碼進(jìn)行綁(bang)定��,防止賬號(hào)(hao)被他人使用或(huo)者被盜(dao)用��。
每臺(tái)設(shè)備的硬(ying)件特征碼(ma)是唯一的(de)��,無(wú)法通過軟件(jian)修改��。即(ji)使通過(guo)軟件修改(gai)了仍然(ran)可以識(shí)(shi)別原始的(de)��。
每個(gè)賬(zhang)號(hào)最多可以(yi)綁定5臺(tái)終(zhong)端��,超過1臺(tái)(tai)時(shí)需(xu)要管理員(yuan)審核��。
上網(wǎng)賬號(hào)(hao)二次(ci)綁定手機(jī)(ji)號(hào)碼:
賬號(hào)首(shou)次登陸時(shí)需(xu)要綁(bang)定手機(jī)(ji)號(hào)并輸入(ru)短信驗(yàn)(yan)證碼��,當(dāng)用戶賬(zhang)號(hào)在新終(zhong)端登(deng)陸時(shí)(shi)(換終端(duan)/被他用/被(bei)盜)��,不僅需要(yao)輸入密碼��,還(hai)需要輸入短信(xin)驗(yàn)證碼��,解決員(yuan)工賬(zhang)號(hào)認(rèn)證的安全(quan)問題
綁定手機(jī)(ji)號(hào)碼的用(yong)戶��,可以(yi)自助重置密碼(ma)和修改密碼��,無(wú)(wu)需通(tong)過IT管理(li)員��。
用戶密碼(ma)管理及自助修(xiu)改:
無(wú)需通過管(guan)理員(yuan)即可修(xiu)改密(mi)碼��,提高效(xiao)率及減輕管(guan)理員工作壓力(li)��。
通過口(kou)袋助理��、釘釘(ding)��、企業(yè)號(hào)(hao)等手機(jī)(ji)MOA類APP軟件進(jìn)行無(wú)(wu)線密碼修改(gai)��。
若賬號(hào)綁(bang)定了手機(jī)(ji)號(hào)碼��,可(ke)通過手機(jī)(ji)驗(yàn)證碼自(zi)助修改��。
上網(wǎng)終端合(he)法效驗(yàn):
采用安全無(wú)線(xian)網(wǎng)卡接入無(wú)線(xian)網(wǎng)絡(luò)��,終端與(yu)AP熱點(diǎn)的(de)雙向驗(yàn)證(zheng)��,提高安全性(xing)。
可以將(jiang)無(wú)線(xian)網(wǎng)絡(luò)設(shè)置(zhi)為只(zhi)有安裝(zhuang)了安全無(wú)線(xian)網(wǎng)卡的(de)終端才能接(jie)入無(wú)線網(wǎng)絡(luò)��。
支持設(shè)置安(an)全無(wú)線網(wǎng)(wang)卡只能(neng)連指(zhi)定SSID無(wú)線網(wǎng)絡(luò)(luo)��,無(wú)法連接非(fei)授權(quán)SSID��。
網(wǎng)卡(ka)與AP數(shù)(shu)據(jù)傳輸時(shí)自動(dòng)(dong)進(jìn)行數(shù)據(jù)加(jia)密��,保(bao)證無(wú)線(xian)的空口安全��。
無(wú)線熱點(diǎn)掃(sao)描及非(fei)法熱點(diǎn)抑制:
背景:黑客在附(fu)近搭建(jian)一個(gè)一模(mo)一樣(yang)或者類似(shi)的WIFI名稱(cheng)��,誘使用戶(hu)連到虛假(jia)釣魚(yu)WIFI上��,黑(hei)客利用(yong)分析軟件從用(yong)戶上網(wǎng)產(chǎn)生的(de)數(shù)據(jù)包(bao)中分析提取(qu)用戶隱私信(xin)息��。
我們通(tong)過WIPS無(wú)線入侵(qin)防御系統(tǒng)實(shí)時(shí)(shi)檢測(cè)周圍(wei)無(wú)線(xian)信號(hào)��,當(dāng)檢(jian)測(cè)出來(lái)的信號(hào)(hao)BSSID��、且AP源(yuan)MAC地址不在(zai)授權(quán)列表中(zhong)時(shí)��,我們向?qū)?yīng)(ying)的AP和終(zhong)端發(fā)送(song)解除關(guān)聯(lián)(lian)幀��,讓終端無(wú)(wu)法連上釣魚(yu)WIFI。7×24小時(shí)(shi)不間(jian)斷監(jiān)測(cè)網(wǎng)絡(luò)��。
上網(wǎng)行(xing)為嚴(yán)格控制:
強(qiáng)大的(de)管理:通過(guo)應(yīng)用識(shí)別(bie)技術(shù)��,可以根(gen)據(jù)應(yīng)用類(lei)型或者具體某(mou)一種應(yīng)(ying)用進(jìn)(jin)行封堵��,包括視(shi)頻��、論(lun)壇��、游戲��、金融(rong)��、下載等2400多種網(wǎng)(wang)絡(luò)應(yīng)用(yong)��。
通過應(yīng)(ying)用識(shí)別技術(shù)(shu)��,可以根據(jù)應(yīng)用(yong)類型或者具體(ti)某一種(zhong)應(yīng)用進(jìn)(jin)行封堵��,比如(ru)上班(ban)時(shí)間(jian)不允許炒股��,不(bu)允許P2P下載��,不(bu)允許(xu)外發(fā)敏感(gan)文件(jian)等��; 支持主(zhu)流移動(dòng)平臺(tái)��,可(ke)識(shí)別IM��、社交��、Mail��、新聞(wen)��、炒股等(deng)應(yīng)用��。
無(wú)線控制器內(nèi)(nei)置千萬(wàn)(wan)級(jí)別的URL分(fen)類庫(kù)��,能(neng)夠?qū)RL進(jìn)行(xing)識(shí)別��,包含新(xin)聞��、購(gòu)物��、金(jin)融��、教育(yu)等18個(gè)種類的(de)URL地址��; 準(zhǔn)(zhun)確識(shí)別目前(qian)主流(liu)網(wǎng)站��,識(shí)(shi)別率高達(dá)(da)99.9%,有效實(shí)現(xiàn)網(wǎng)頁(yè)(ye)過濾(lv)��。例如禁(jin)止登陸(lu)非法網(wǎng)站(zhan)
通過基于(yu)時(shí)間段的訪(fang)問控(kong)制策略(lve)��,實(shí)現(xiàn)不(bu)同的時(shí)間段(duan)不同的訪問權(quán)(quan)限��,比如上班(ban)時(shí)間(jian)��,禁止訪(fang)問網(wǎng)上(shang)銀行��、游(you)戲��、論壇貼吧等(deng)與工作無(wú)關(guān)的(de)應(yīng)用(yong)��,下班時(shí)(shi)間則不受(shou)限制��。
辦公(gong)區(qū)域內(nèi)��,不同(tong)辦公部門(men)總會(huì)有各自專(zhuan)屬的無(wú)線網(wǎng)(wang)絡(luò)��,并且不希望(wang)部門之外的成(cheng)員使用(yong)這個(gè)網(wǎng)絡(luò)��。無(wú)線(xian)網(wǎng)絡(luò)控制器可(ke)以根據(jù)用(yong)戶的屬(shu)性��,限制(zhi)禁止非本部門(men)的用戶接(jie)入��。
典型(xing)無(wú)線網(wǎng)絡(luò)攻擊(ji)防護(hù):
對(duì)典型的危(wei)險(xiǎn)攻擊行為(wei)進(jìn)行檢測(cè)��,當(dāng)超(chao)過設(shè)定的閾值(zhi)后自動(dòng)(dong)將攻擊(ji)者加入到黑(hei)名單中(zhong)��,并凍(dong)結(jié)一定時(shí)(shi)間��,即時(shí)發(fā)現(xiàn)網(wǎng)(wang)絡(luò)攻擊并(bing)進(jìn)行防御��。
檢測(cè)的(de)攻擊包括(kuo):DDOS防御��、ARP掃描��、IP掃描(miao)��、端口掃描防(fang)御��,禁止客戶端(duan)私設(shè)IP以及(ji)ARP��、網(wǎng)關(guān)欺騙防(fang)御��、DHCP請(qǐng)求泛(fan)洪防御��。
無(wú)線(xian)射頻(pin)定時(shí)關(guān)閉開(kai)啟:
通過(guo)射頻關(guān)閉控(kong)制策略��,可以(yi)指定某SSID網(wǎng)絡(luò)(luo)��,定時(shí)自動(dòng)(dong)關(guān)閉(bi)和開啟無(wú)線(xian)網(wǎng)絡(luò)的射頻(pin)信號(hào),晚(wan)上下(xia)班后自(zi)動(dòng)關(guān)閉(bi)無(wú)線射頻信(xin)號(hào)��。
一方面可以節(jié)(jie)能減排��、節(jié)省電(dian)費(fèi)支(zhi)出��;另一方(fang)面又能防(fang)止非(fei)法用(yong)戶利用深夜時(shí)(shi)間入侵無(wú)(wu)線網(wǎng)絡(luò)��,做一些(xie)非法的(de)操作��。
有線無(wú)線(xian)一體化(hua)管理:
NAC的有線無(wú)線一(yi)體化��,支持對(duì)有(you)線用戶的接入(ru)認(rèn)證��、訪問控(kong)制��、流(liu)量管(guan)理��、上網(wǎng)行(xing)為審計(jì)等(deng)��,
并提供統(tǒng)(tong)一中文Web管(guan)理界面��,一站式(shi)服務(wù)(wu)��,極大的降低網(wǎng)(wang)絡(luò)建設(shè)成本��。
網(wǎng)絡(luò)分權(quán)(quan)分級(jí)管理(li):
分配不同(tong)的管理員(yuan)分別(bie)管理各自權(quán)限(xian)區(qū)域的(de)無(wú)線AP��,可以精細(xì)(xi)到對(duì)某(mou)AP分組(zu)有管理權(quán)限��,該(gai)管理(li)員可以在該AP分(fen)組上建立無(wú)(wu)線網(wǎng)絡(luò)��,能夠激(ji)活��、刪除接入點(diǎn)(dian)��,能夠?qū)P的(de)配置進(jìn)(jin)行編輯修改(gai)��。
可指定管理(li)員針對(duì)(dui)每個(gè)頁(yè)面的編(bian)輯或可(ke)查看權(quán)(quan)限��,控制粒(li)度到(dao)控制器上的各(ge)個(gè)頁(yè)(ye)面��,對(duì)(dui)某個(gè)(ge)頁(yè)面沒有讀(du)權(quán)限則登(deng)錄時(shí)不顯示��。
移動(dòng)APP隨時(shí)隨地(di)運(yùn)維管(guan)理:
支持跨互聯(lián)網(wǎng)(wang)運(yùn)維(wei)管理
登陸APP進(jìn)行維護(hù)(hu)管理:不同管(guan)理員��,不(bu)同權(quán)限
查看網(wǎng)絡(luò)運(yùn)(yun)行情況:在線(xian)用戶(hu)��、在線AP數(shù)(shu)量��、實(shí)時(shí)流(liu)量
無(wú)線網(wǎng)(wang)絡(luò)管理維(wei)護(hù):開啟關(guān)閉(bi)SSID��、終端綁定(ding)審批、二(er)維碼上網(wǎng)審(shen)核
故障(zhang)��、審批實(shí)(shi)時(shí)通知:AP離線警(jing)告��、服(fu)務(wù)器離線警(jing)告��、網(wǎng)絡(luò)攻擊(ji)告警
方案優(yōu)(you)勢(shì):
1��、最豐富的無(wú)(wu)線安全機(jī)(ji)制��,提供從(cong)安全接入(ru)到安全(quan)上網(wǎng)(wang)等端到端的(de)安全策略
2��、合理管控(kong)工作人(ren)員上網(wǎng)行為��,提(ti)升工作效(xiao)率��、防(fang)止帶寬(kuan)浪費(fèi)��,有線無(wú)(wu)線雙重管(guan)控
3��、為會(huì)議(yi)室��,報(bào)告廳等(deng)人員密集區(qū)域(yu)接入網(wǎng)絡(luò)提(ti)高保證��,解決有(you)線網(wǎng)口不足(zu)的問題��;
4��、為企業(yè)員(yuan)工的移動(dòng)辦公(gong)提供支撐��,內(nèi)部(bu)員工可通過無(wú)(wu)線網(wǎng)絡(luò)隨(sui)時(shí)安全接入內(nèi)(nei)部網(wǎng)絡(luò)��,實(shí)現(xiàn)(xian)辦公��;
5��、內(nèi)部員工賬號(hào)(hao)及個(gè)人(ren)信息綁定��,便于(yu)安全管(guan)理��;
6��、內(nèi)部員工可通(tong)過自己的辦(ban)公設(shè)備(bei)在企(qi)業(yè)大樓內(nèi)(nei)快速(su)移動(dòng)辦公(gong)��,網(wǎng)絡(luò)接入更(geng)快速��,上(shang)網(wǎng)行為管理系(xi)統(tǒng)對(duì)員工上網(wǎng)(wang)行為(wei)進(jìn)行審(shen)計(jì)與管(guan)控
7��、來(lái)訪(fang)客戶接入(ru)企業(yè)(ye)網(wǎng)絡(luò)��,可根據(jù)不(bu)同需求��,分配不(bu)同的上網(wǎng)(wang)權(quán)限(xian),保證了(le)接入的安(an)全性同時(shí)提(ti)升群(qun)眾上網(wǎng)(wang)的體驗(yàn)
8��、豐富的(de)認(rèn)證機(jī)制��,滿足(zu)組織(zhi)對(duì)無(wú)線網(wǎng)絡(luò)安(an)全��、快(kuai)速接入
9��、投資成本(ben)低��,通過(guo)部署無(wú)線(xian)控制器替(ti)換原有網(wǎng)(wang)絡(luò)的出口路(lu)由��、行為管理(li)以及無(wú)線控(kong)制器(qi)
