?
大型企業(yè)在(zai)無(wú)線(xian)網(wǎng)絡(luò)建設(shè)(she)期間要充分考(kao)慮訪客(領(lǐng)導(dǎo)��、客(ke)戶��、合作(zuo)伙伴)接(jie)入網(wǎng)絡(luò)的需(xu)求��。首先從(cong)安全性(xing)考慮��,訪客網(wǎng)(wang)絡(luò)必須要和(he)辦公網(wǎng)絡(luò)分(fen)開��,訪客網(wǎng)絡(luò)單(dan)獨(dú)提供給訪(fang)客使(shi)用��。從用戶體驗(yàn)(yan)角度(du)考慮��,訪客(ke)接入(ru)網(wǎng)絡(luò)的驗(yàn)證方(fang)式一定(ding)要做到簡(jiǎn)單(dan)易行��,繁瑣的(de)驗(yàn)證方(fang)式會(huì)降(jiang)低訪客(ke)對(duì)企業(yè)(ye)的整(zheng)體印(yin)象��。同時(shí)對(duì)于訪(fang)客網(wǎng)絡(luò)(luo)��,企業(yè)還需(xu)要建立完善的(de)網(wǎng)絡(luò)安全(quan)管理機(jī)制(zhi)��,避免由于訪(fang)客的網(wǎng)絡(luò)不良(liang)訪問(wen)給企(qi)業(yè)帶來的(de)法律風(fēng)險(xiǎn)��。對(duì)(dui)于企業(yè)員(yuan)工移(yi)動(dòng)辦公上(shang)網(wǎng)��,更需要做(zuo)到可管(guan)控��,上(shang)網(wǎng)行為做(zuo)到可追溯(su)��,企業(yè)有效(xiao)的帶寬資源得(de)到合理的(de)分配(pei)和保(bao)證��,才能使企(qi)業(yè)的業(yè)務(wù)系(xi)統(tǒng)正常且穩(wěn)定(ding)高效地運(yùn)(yun)行��,同時(shí)保證企(qi)業(yè)信息安(an)全��,避免機(jī)密(mi)信息泄露��。
存在(zai)的問題(用(yong)戶需求)
1��、接入不安全:缺(que)乏安全可(ke)靠的(de)認(rèn)證機(jī)(ji)制��,企(qi)業(yè)無(wú)線網(wǎng)絡(luò)接(jie)入不安全(quan)
2��、上網(wǎng)(wang)權(quán)限混亂:缺(que)乏有效的控制(zhi)策略��,員(yuan)工上網(wǎng)權(quán)限(xian)不分明
3��、數(shù)據(jù)信息安(an)全:缺乏有效的(de)數(shù)據(jù)加密(mi)機(jī)制��,企(qi)業(yè)數(shù)據(jù)(ju)被黑客竊取(qu)篡改
4��、無(wú)線信號(hào)差:AP性(xing)能不佳��,上(shang)網(wǎng)總掉線(xian)��,點(diǎn)位規(guī)劃不(bu)合理(li)��,信號(hào)盲區(qū)多(duo)
5��、漫游效果差(cha):不能實(shí)現(xiàn)(xian)二三層漫游��,移(yi)動(dòng)辦公時(shí)(shi)��,業(yè)務(wù)中(zhong)斷
解決(jue)方案:
結(jié)合用戶(hu)無(wú)線網(wǎng)絡(luò)需(xu)求情況(kuang),結(jié)合產(chǎn)(chan)品自身技(ji)術(shù)特點(diǎn)��,為(wei)了滿足(zu)用戶構(gòu)建一個(gè)(ge)高速��、穩(wěn)定(ding)��、安全(quan)��、可靠��、易于(yu)管理的(de)無(wú)線(xian)接入網(wǎng)(wang)絡(luò)的需求��,本(ben)設(shè)計(jì)方案按(an)照AP+AC的結(jié)構(gòu)(gou)化無(wú)(wu)線網(wǎng)絡(luò)解(jie)決方案(an)進(jìn)行設(shè)(she)計(jì)��。具體設(shè)計(jì)(ji)為在總部(bu)設(shè)置總部AC,在(zai)大型分支機(jī)構(gòu)(gou)設(shè)置(zhi)分支AC與分(fen)支AP��,中(zhong)型分(fen)支機(jī)(ji)構(gòu)設(shè)計(jì)二級(jí)��,三(san)級(jí)交換(huan)機(jī)��,分支AP��。小(xiao)微型分(fen)支機(jī)(ji)構(gòu)直接設(shè)置(zhi)分支AP��?�?偛緼C可(ke)以對(duì)大型分(fen)支機(jī)構(gòu)的(de)AC進(jìn)行管理(li),當(dāng)網(wǎng)點(diǎn)控制(zhi)器采用集(ji)中管理的模(mo)式進(jìn)入到中(zhong)心端(duan)控制器時(shí)��,會(huì)(hui)自動(dòng)下載中心(xin)端的公共(gong)配置(zhi)��,比如IP組��、MAC地址(zhi)庫(kù)��、時(shí)(shi)間計(jì)劃��、角色授(shou)權(quán)��、認(rèn)證頁(yè)(ye)面等 ��?�?偛緼C也(ye)可以(yi)直接管(guan)理中小(xiao)型分支機(jī)(ji)構(gòu)的分(fen)支AP��,實(shí)現(xiàn)統(tǒng)一管(guan)理��。
方案設(shè)(she)計(jì):
安全(quan)無(wú)線整體解(jie)決方案:
接入前&接(jie)入時(shí)進(jìn)行身(shen)份認(rèn)證��、安全(quan)無(wú)線網(wǎng)卡��、賬號(hào)(hao)綁定(硬件(jian)碼+手機(jī)號(hào)(hao))��,非法熱點(diǎn)檢測(cè)(ce)及防御��、網(wǎng)絡(luò)(luo)攻擊防護(hù)(hu)��、射頻定時(shí)關(guān)(guan)閉及安全加固(gu)��。
接入后&上網(wǎng)(wang)時(shí)進(jìn)(jin)行訪問(wen)權(quán)限控制��。
上網(wǎng)(wang)后進(jìn)行上網(wǎng)行(xing)為記錄(lu)��。
上網(wǎng)(wang)用戶身份實(shí)(shi)名認(rèn)(ren)證:
無(wú)線辦公網(wǎng)采(cai)用802.1X/Portal/WAPI認(rèn)證��,外置AAA和(he)RADIUS+AD用于存儲(chǔ)用戶(hu)賬號(hào)密碼��。
每個(gè)賬號(hào)對(duì)(dui)應(yīng)一個(gè)員工(gong)��,包括(kuo)姓名��、部門��、性別(bie)以及身份(fen)證��、手(shou)機(jī)號(hào)等個(gè)人信(xin)息��,保證每個(gè)(ge)上網(wǎng)的(de)賬號(hào)都是可(ke)尋的��,便于安(an)全管理。
用戶輸入(ru)賬號(hào)密碼上(shang)網(wǎng)驗(yàn)證時(shí)均(jun)采用加密(mi)傳輸��,防止黑(hei)客空中攔截��,竊(qie)取賬號(hào)密(mi)碼等數(shù)據(jù)��。
上網(wǎng)賬號(hào)自動(dòng)(dong)綁定終端:
自動(dòng)(dong)將賬號(hào)與終端(duan)的硬(ying)件特征(zheng)碼進(jìn)行綁定��,防(fang)止賬號(hào)被(bei)他人使用或(huo)者被盜用(yong)��。
每臺(tái)設(shè)備的(de)硬件特征碼(ma)是唯(wei)一的��,無(wú)法通過(guo)軟件修(xiu)改��。即使(shi)通過軟件修改(gai)了仍然(ran)可以識(shí)別原始(shi)的��。
每個(gè)賬號(hào)最多(duo)可以綁定5臺(tái)終(zhong)端��,超過1臺(tái)(tai)時(shí)需要管理員(yuan)審核��。
上網(wǎng)(wang)賬號(hào)二次綁(bang)定手機(jī)號(hào)碼:
賬號(hào)首次登陸(lu)時(shí)需要(yao)綁定手(shou)機(jī)號(hào)并輸入(ru)短信(xin)驗(yàn)證碼��,當(dāng)用(yong)戶賬號(hào)在(zai)新終端登(deng)陸時(shí)(換(huan)終端/被他(ta)用/被盜(dao))��,不僅需要輸(shu)入密碼��,還(hai)需要(yao)輸入短信驗(yàn)證(zheng)碼��,解(jie)決員工(gong)賬號(hào)認(rèn)證(zheng)的安全問題(ti)
綁定手機(jī)號(hào)碼(ma)的用戶(hu)��,可以自助(zhu)重置密(mi)碼和修改密(mi)碼��,無(wú)需(xu)通過(guo)IT管理員��。
用戶密碼(ma)管理及自助(zhu)修改:
無(wú)需通過管(guan)理員即可修改(gai)密碼��,提高效(xiao)率及(ji)減輕管(guan)理員工作壓(ya)力��。
通過口(kou)袋助(zhu)理��、釘釘��、企(qi)業(yè)號(hào)等手機(jī)MOA類(lei)APP軟件進(jìn)行(xing)無(wú)線密碼(ma)修改(gai)��。
若賬(zhang)號(hào)綁定了手(shou)機(jī)號(hào)(hao)碼��,可通過手(shou)機(jī)驗(yàn)證碼自助(zhu)修改(gai)��。
上網(wǎng)(wang)終端合(he)法效驗(yàn)(yan):
采用安全無(wú)線(xian)網(wǎng)卡接(jie)入無(wú)線網(wǎng)(wang)絡(luò)��,終端與(yu)AP熱點(diǎn)的雙向驗(yàn)(yan)證��,提高(gao)安全性(xing)。
可以將無(wú)線(xian)網(wǎng)絡(luò)設(shè)置為(wei)只有(you)安裝了安全無(wú)(wu)線網(wǎng)(wang)卡的終端才能(neng)接入無(wú)線網(wǎng)絡(luò)(luo)��。
支持設(shè)置(zhi)安全無(wú)線(xian)網(wǎng)卡只(zhi)能連指(zhi)定SSID無(wú)線網(wǎng)絡(luò)(luo)��,無(wú)法(fa)連接非(fei)授權(quán)SSID��。
網(wǎng)卡與AP數(shù)據(jù)傳(chuan)輸時(shí)自動(dòng)進(jìn)(jin)行數(shù)據(jù)加(jia)密��,保證無(wú)線的(de)空口安全(quan)��。
無(wú)線熱點(diǎn)掃描(miao)及非法熱點(diǎn)抑(yi)制:
背景:黑客在附(fu)近搭建(jian)一個(gè)一(yi)模一(yi)樣或(huo)者類似的WIFI名(ming)稱��,誘(you)使用戶連到虛(xu)假釣魚WIFI上��,黑客(ke)利用分析(xi)軟件(jian)從用戶上網(wǎng)(wang)產(chǎn)生的數(shù)據(jù)包(bao)中分析提(ti)取用戶(hu)隱私信息(xi)��。
我們(men)通過WIPS無(wú)線(xian)入侵防御(yu)系統(tǒng)實(shí)時(shí)檢測(cè)(ce)周圍無(wú)線(xian)信號(hào)��,當(dāng)檢測(cè)出(chu)來的(de)信號(hào)BSSID��、且AP源MAC地址(zhi)不在授權(quán)列表(biao)中時(shí)��,我們(men)向?qū)?yīng)的AP和終(zhong)端發(fā)送解(jie)除關(guān)聯(lián)幀��,讓終(zhong)端無(wú)法連上釣(diao)魚WIFI��。7×24小時(shí)不間斷(duan)監(jiān)測(cè)網(wǎng)(wang)絡(luò)��。
上網(wǎng)行(xing)為嚴(yán)格(ge)控制:
強(qiáng)大(da)的管理:通過(guo)應(yīng)用識(shí)別技術(shù)(shu)��,可以根據(jù)應(yīng)(ying)用類(lei)型或者具體(ti)某一(yi)種應(yīng)(ying)用進(jìn)(jin)行封堵��,包括視(shi)頻��、論壇��、游(you)戲��、金(jin)融��、下載(zai)等2400多種網(wǎng)絡(luò)(luo)應(yīng)用(yong)��。
通過應(yīng)(ying)用識(shí)別技(ji)術(shù)��,可以(yi)根據(jù)(ju)應(yīng)用類型或者(zhe)具體某一種應(yīng)(ying)用進(jìn)(jin)行封堵��,比(bi)如上班(ban)時(shí)間不(bu)允許炒股��,不允(yun)許P2P下(xia)載��,不允許(xu)外發(fā)敏感(gan)文件等; 支持(chi)主流(liu)移動(dòng)(dong)平臺(tái)��,可識(shí)(shi)別IM��、社交(jiao)��、Mail��、新聞��、炒(chao)股等應(yīng)用��。
無(wú)線控(kong)制器內(nèi)置(zhi)千萬(wàn)級(jí)別的URL分(fen)類庫(kù)��,能(neng)夠?qū)RL進(jìn)行識(shí)(shi)別��,包含新(xin)聞��、購(gòu)(gou)物��、金融��、教育等(deng)18個(gè)種類的(de)URL地址��; 準(zhǔn)(zhun)確識(shí)別目(mu)前主流(liu)網(wǎng)站��,識(shí)(shi)別率(lv)高達(dá)99.9%��,有效實(shí)(shi)現(xiàn)網(wǎng)頁(yè)(ye)過濾��。例如禁(jin)止登(deng)陸非法(fa)網(wǎng)站
通過基于(yu)時(shí)間段(duan)的訪問控制(zhi)策略��,實(shí)現(xiàn)不(bu)同的時(shí)(shi)間段不同(tong)的訪問權(quán)限(xian)��,比如上班時(shí)(shi)間��,禁(jin)止訪問(wen)網(wǎng)上銀行��、游(you)戲��、論壇(tan)貼吧等與工作(zuo)無(wú)關(guān)的應(yīng)(ying)用��,下班時(shí)間(jian)則不受限制(zhi)��。
辦公區(qū)域內(nèi)(nei)��,不同辦(ban)公部門總(zong)會(huì)有各自專(zhuan)屬的無(wú)線(xian)網(wǎng)絡(luò)��,并且不希(xi)望部(bu)門之外的成(cheng)員使(shi)用這個(gè)網(wǎng)絡(luò)(luo)��。無(wú)線網(wǎng)絡(luò)控(kong)制器可以根據(jù)(ju)用戶的屬(shu)性��,限制禁止非(fei)本部門的用(yong)戶接(jie)入。
典型無(wú)線(xian)網(wǎng)絡(luò)(luo)攻擊防護(hù):
對(duì)典型的(de)危險(xiǎn)攻擊行為(wei)進(jìn)行檢測(cè)��,當(dāng)超(chao)過設(shè)定的閾(yu)值后自動(dòng)將(jiang)攻擊者加(jia)入到(dao)黑名單中��,并凍(dong)結(jié)一定時(shí)間(jian)��,即時(shí)發(fā)現(xiàn)網(wǎng)(wang)絡(luò)攻(gong)擊并進(jìn)行防(fang)御��。
檢測(cè)(ce)的攻擊(ji)包括:DDOS防御��、ARP掃描(miao)��、IP掃描��、端口掃(sao)描防御��,禁止客(ke)戶端私設(shè)IP以及(ji)ARP��、網(wǎng)關(guān)欺騙防(fang)御��、DHCP請(qǐng)求泛(fan)洪防御��。
無(wú)線(xian)射頻定(ding)時(shí)關(guān)閉開啟(qi):
通過射頻(pin)關(guān)閉控制(zhi)策略(lve)��,可以(yi)指定某SSID網(wǎng)(wang)絡(luò)��,定時(shí)自動(dòng)關(guān)(guan)閉和開啟無(wú)(wu)線網(wǎng)絡(luò)的射頻(pin)信號(hào)��,晚上(shang)下班后自動(dòng)(dong)關(guān)閉無(wú)線射頻(pin)信號(hào)��。
一方(fang)面可以節(jié)能(neng)減排��、節(jié)省(sheng)電費(fèi)(fei)支出��;另(ling)一方面又(you)能防止非(fei)法用戶利(li)用深夜時(shí)間入(ru)侵無(wú)線網(wǎng)絡(luò)��,做(zuo)一些(xie)非法的操作(zuo)��。
有線(xian)無(wú)線一(yi)體化管理(li):
NAC的有線(xian)無(wú)線一體化(hua)��,支持(chi)對(duì)有線用戶的(de)接入認(rèn)證��、訪(fang)問控制(zhi)��、流量(liang)管理��、上(shang)網(wǎng)行為審計(jì)等(deng)��,
并提(ti)供統(tǒng)一(yi)中文Web管(guan)理界面��,一(yi)站式服務(wù)��,極(ji)大的降低網(wǎng)絡(luò)(luo)建設(shè)(she)成本。
網(wǎng)絡(luò)分權(quán)分(fen)級(jí)管理:
分配不同(tong)的管理員(yuan)分別管理各自(zi)權(quán)限區(qū)域的(de)無(wú)線AP��,可以(yi)精細(xì)到對(duì)(dui)某AP分組有(you)管理權(quán)限(xian)��,該管理(li)員可以在該(gai)AP分組上建(jian)立無(wú)線網(wǎng)絡(luò)��,能(neng)夠激活(huo)��、刪除接入點(diǎn)(dian)��,能夠?qū)?dui)AP的配置進(jìn)行編(bian)輯修改��。
可指(zhi)定管理員針(zhen)對(duì)每個(gè)頁(yè)面的(de)編輯或可查看(kan)權(quán)限��,控制粒(li)度到控制器上(shang)的各個(gè)頁(yè)面(mian)��,對(duì)某個(gè)頁(yè)面(mian)沒有(you)讀權(quán)限則登(deng)錄時(shí)不顯(xian)示��。
移動(dòng)APP隨時(shí)(shi)隨地運(yùn)(yun)維管理(li):
支持跨(kua)互聯(lián)網(wǎng)運(yùn)維管(guan)理
登陸APP進(jìn)(jin)行維(wei)護(hù)管理(li):不同管理員��,不(bu)同權(quán)限
查看網(wǎng)絡(luò)(luo)運(yùn)行情況:在(zai)線用戶��、在線(xian)AP數(shù)量(liang)��、實(shí)時(shí)流量(liang)
無(wú)線網(wǎng)絡(luò)管(guan)理維(wei)護(hù):開啟(qi)關(guān)閉(bi)SSID��、終端綁(bang)定審批��、二維碼(ma)上網(wǎng)審核(he)
故障��、審批實(shí)時(shí)(shi)通知:AP離線(xian)警告(gao)��、服務(wù)器離線警(jing)告��、網(wǎng)絡(luò)攻(gong)擊告警(jing)
方案優(yōu)(you)勢(shì):
1��、最豐富的無(wú)(wu)線安全機(jī)制(zhi)��,提供從安全(quan)接入(ru)到安全上網(wǎng)等(deng)端到端(duan)的安全(quan)策略
2��、合理管控工作(zuo)人員上網(wǎng)行為(wei)��,提升工作效率(lv)��、防止帶寬浪(lang)費(fèi)��,有線無(wú)(wu)線雙重管(guan)控
3��、為會(huì)(hui)議室��,報(bào)告廳(ting)等人(ren)員密集區(qū)域接(jie)入網(wǎng)絡(luò)提高(gao)保證��,解(jie)決有線網(wǎng)口不(bu)足的(de)問題;
4��、為企業(yè)員(yuan)工的移動(dòng)辦公(gong)提供支撐(cheng)��,內(nèi)部員工可(ke)通過無(wú)(wu)線網(wǎng)絡(luò)隨時(shí)安(an)全接入(ru)內(nèi)部網(wǎng)絡(luò)��,實(shí)現(xiàn)(xian)辦公��;
5��、內(nèi)部員工(gong)賬號(hào)及個(gè)(ge)人信息(xi)綁定(ding)��,便于安全(quan)管理��;
6��、內(nèi)部員工可(ke)通過自(zi)己的辦(ban)公設(shè)備在企(qi)業(yè)大(da)樓內(nèi)快速移(yi)動(dòng)辦公��,網(wǎng)絡(luò)接(jie)入更快速(su)��,上網(wǎng)行為管理(li)系統(tǒng)(tong)對(duì)員工(gong)上網(wǎng)行(xing)為進(jìn)行審計(jì)(ji)與管(guan)控
7��、來訪客戶(hu)接入企業(yè)(ye)網(wǎng)絡(luò)��,可(ke)根據(jù)不同(tong)需求,分配(pei)不同的(de)上網(wǎng)(wang)權(quán)限(xian)��,保證了接(jie)入的安全性同(tong)時(shí)提(ti)升群眾上網(wǎng)(wang)的體驗(yàn)
8��、豐富的認(rèn)(ren)證機(jī)制��,滿足組(zu)織對(duì)無(wú)線網(wǎng)絡(luò)(luo)安全��、快(kuai)速接入
9��、投資成本低(di)��,通過部署(shu)無(wú)線(xian)控制器(qi)替換原有網(wǎng)絡(luò)(luo)的出口路由(you)��、行為管(guan)理以(yi)及無(wú)線控(kong)制器
