?
大型企業(yè)在無(wu)線網(wǎng)(wang)絡(luò)建設(shè)期(qi)間要充分考慮(lv)訪客(領(lǐng)(ling)導(dǎo)、客戶���、合作(zuo)伙伴)接入(ru)網(wǎng)絡(luò)的需求(qiu)���。首先從安全(quan)性考(kao)慮,訪客(ke)網(wǎng)絡(luò)必(bi)須要和(he)辦公網(wǎng)絡(luò)(luo)分開���,訪(fang)客網(wǎng)絡(luò)單獨(dú)提(ti)供給訪(fang)客使(shi)用���。從用戶體驗(yàn)(yan)角度考慮,訪客(ke)接入網(wǎng)絡(luò)的(de)驗(yàn)證(zheng)方式一(yi)定要做到(dao)簡單易行���,繁(fan)瑣的驗(yàn)(yan)證方式會降(jiang)低訪客對企業(yè)(ye)的整體印象(xiang)���。同時對(dui)于訪客網(wǎng)絡(luò)(luo)���,企業(yè)還(hai)需要建立完(wan)善的網(wǎng)(wang)絡(luò)安全管理機(jī)(ji)制���,避免由于訪(fang)客的網(wǎng)絡(luò)不(bu)良訪(fang)問給企(qi)業(yè)帶來的(de)法律風(fēng)險(xiǎn)���。對(dui)于企業(yè)員工(gong)移動辦公上(shang)網(wǎng),更需(xu)要做到可管控(kong)���,上網(wǎng)行(xing)為做到可追(zhui)溯���,企業(yè)有效(xiao)的帶(dai)寬資源得到(dao)合理的分配(pei)和保證,才能(neng)使企業(yè)的業(yè)務(wù)(wu)系統(tǒng)正常且(qie)穩(wěn)定高效(xiao)地運(yùn)行���,同(tong)時保證企(qi)業(yè)信息安全���,避(bi)免機(jī)(ji)密信息泄露。
存在的(de)問題(ti)(用戶需(xu)求)
1���、接入不安全:缺(que)乏安全(quan)可靠的認(rèn)(ren)證機(jī)制���,企業(yè)(ye)無線網(wǎng)(wang)絡(luò)接入不(bu)安全
2���、上網(wǎng)權(quán)限(xian)混亂:缺乏有(you)效的控制策略(lve),員工上網(wǎng)權(quán)(quan)限不分明(ming)
3���、數(shù)據(jù)(ju)信息(xi)安全:缺(que)乏有效的數(shù)(shu)據(jù)加(jia)密機(jī)制(zhi)���,企業(yè)數(shù)(shu)據(jù)被黑(hei)客竊(qie)取篡改
4、無線信號差:AP性(xing)能不佳���,上網(wǎng)總(zong)掉線(xian)���,點(diǎn)位規(guī)劃不(bu)合理,信號(hao)盲區(qū)多
5���、漫游效(xiao)果差:不能(neng)實(shí)現(xiàn)(xian)二三層(ceng)漫游���,移(yi)動辦公時,業(yè)務(wù)(wu)中斷(duan)
解決方案:
結(jié)合用(yong)戶無線網(wǎng)絡(luò)(luo)需求情況���,結(jié)合(he)產(chǎn)品自身技(ji)術(shù)特點(diǎn)���,為了(le)滿足用戶構(gòu)(gou)建一(yi)個高(gao)速���、穩(wěn)定、安全(quan)���、可靠、易于管理(li)的無線接(jie)入網(wǎng)絡(luò)的需求(qiu)���,本設(shè)計(jì)(ji)方案(an)按照AP+AC的(de)結(jié)構(gòu)(gou)化無線(xian)網(wǎng)絡(luò)解(jie)決方案進(jìn)行設(shè)(she)計(jì)���。具體(ti)設(shè)計(jì)為在總部(bu)設(shè)置總部AC,在大(da)型分支機(jī)構(gòu)設(shè)(she)置分(fen)支AC與分支AP,中(zhong)型分支機(jī)構(gòu)(gou)設(shè)計(jì)二級���,三(san)級交換機(jī)���,分(fen)支AP。小微型分支(zhi)機(jī)構(gòu)直接設(shè)(she)置分(fen)支AP���?��?偛緼C可(ke)以對大(da)型分(fen)支機(jī)構(gòu)的AC進(jìn)行(xing)管理���,當(dāng)(dang)網(wǎng)點(diǎn)控制器采(cai)用集中(zhong)管理(li)的模(mo)式進(jìn)入到中心(xin)端控制器(qi)時,會自(zi)動下(xia)載中心端的公(gong)共配置���,比如IP組(zu)���、MAC地址庫、時(shi)間計(jì)劃(hua)���、角色(se)授權(quán)(quan)���、認(rèn)證頁面等 ?��??zong)部AC也可以直接(jie)管理中小型(xing)分支機(jī)(ji)構(gòu)的分支(zhi)AP���,實(shí)現(xiàn)統(tǒng)一管(guan)理。
方案設(shè)計(jì)(ji):
安全無線(xian)整體解決方(fang)案:
接入(ru)前&接入時進(jìn)行(xing)身份(fen)認(rèn)證(zheng)���、安全無(wu)線網(wǎng)卡(ka)���、賬號(hao)綁定(硬件(jian)碼+手(shou)機(jī)號)���,非法(fa)熱點(diǎn)檢測(ce)及防(fang)御、網(wǎng)絡(luò)攻擊防(fang)護(hù)���、射頻定時(shi)關(guān)閉及安全加(jia)固���。
接入后&上網(wǎng)時(shi)進(jìn)行訪(fang)問權(quán)(quan)限控制。
上網(wǎng)后進(jìn)行(xing)上網(wǎng)行為(wei)記錄���。
上網(wǎng)用(yong)戶身(shen)份實(shí)(shi)名認(rèn)證(zheng):
無線辦公(gong)網(wǎng)采用802.1X/Portal/WAPI認(rèn)證(zheng),外置AAA和RADIUS+AD用(yong)于存儲(chu)用戶賬號(hao)密碼���。
每個賬號(hao)對應(yīng)(ying)一個員工(gong)���,包括姓名(ming)、部門���、性(xing)別以(yi)及身份證(zheng)���、手機(jī)號(hao)等個(ge)人信息���,保證每(mei)個上網(wǎng)的賬號(hao)都是可尋的(de),便于安(an)全管理���。
用戶(hu)輸入賬號密(mi)碼上網(wǎng)(wang)驗(yàn)證(zheng)時均采用加(jia)密傳輸���,防止(zhi)黑客空中(zhong)攔截,竊取(qu)賬號密碼等數(shù)(shu)據(jù)���。
上網(wǎng)賬號(hao)自動綁定(ding)終端:
自動將賬號與(yu)終端的硬(ying)件特征(zheng)碼進(jìn)(jin)行綁定���,防止賬(zhang)號被他人使(shi)用或者被盜用(yong)。
每臺設(shè)(she)備的(de)硬件特征碼(ma)是唯一的(de)���,無法通過(guo)軟件修改���。即(ji)使通(tong)過軟件修(xiu)改了仍(reng)然可(ke)以識別原始(shi)的。
每個賬(zhang)號最多可(ke)以綁定5臺終(zhong)端���,超過1臺時需(xu)要管理(li)員審(shen)核���。
上網(wǎng)(wang)賬號二次綁定(ding)手機(jī)號(hao)碼:
賬號首次(ci)登陸(lu)時需要綁(bang)定手機(jī)(ji)號并輸入短(duan)信驗(yàn)證碼���,當(dāng)(dang)用戶(hu)賬號在新(xin)終端(duan)登陸時(換終(zhong)端/被他(ta)用/被盜(dao)),不僅需要輸入(ru)密碼���,還需要輸(shu)入短信驗(yàn)(yan)證碼���,解決員工(gong)賬號認(rèn)證(zheng)的安全(quan)問題
綁定手機(jī)號(hao)碼的用戶,可(ke)以自助重(zhong)置密(mi)碼和(he)修改(gai)密碼���,無需(xu)通過(guo)IT管理員���。
用戶(hu)密碼管理(li)及自(zi)助修(xiu)改:
無需通過管理(li)員即可修改(gai)密碼,提(ti)高效率及(ji)減輕(qing)管理員工作壓(ya)力���。
通過(guo)口袋助理(li)、釘釘���、企業(yè)號(hao)等手機(jī)MOA類APP軟件(jian)進(jìn)行無線(xian)密碼修改���。
若賬號綁(bang)定了手機(jī)號(hao)碼,可(ke)通過手(shou)機(jī)驗(yàn)證碼自助(zhu)修改(gai)。
上網(wǎng)終(zhong)端合法效驗(yàn)(yan):
采用安全(quan)無線網(wǎng)卡接入(ru)無線網(wǎng)絡(luò)(luo)���,終端與AP熱點(diǎn)的(de)雙向驗(yàn)(yan)證���,提高安全(quan)性。
可以將無(wu)線網(wǎng)(wang)絡(luò)設(shè)置(zhi)為只有(you)安裝了安全無(wu)線網(wǎng)卡的終(zhong)端才能(neng)接入(ru)無線(xian)網(wǎng)絡(luò)���。
支持設(shè)(she)置安全(quan)無線網(wǎng)(wang)卡只(zhi)能連指(zhi)定SSID無(wu)線網(wǎng)絡(luò)���,無法連(lian)接非(fei)授權(quán)SSID。
網(wǎng)卡與AP數(shù)據(jù)傳(chuan)輸時自(zi)動進(jìn)(jin)行數(shù)據(jù)(ju)加密���,保證(zheng)無線的空口安(an)全���。
無線熱點(diǎn)掃描(miao)及非法熱點(diǎn)抑(yi)制:
背景:黑客在附(fu)近搭建(jian)一個一模一(yi)樣或者類(lei)似的WIFI名稱,誘使(shi)用戶連(lian)到虛假釣魚WIFI上(shang)���,黑客利用(yong)分析軟件從(cong)用戶上網(wǎng)產(chǎn)(chan)生的數(shù)據(jù)(ju)包中分析提取(qu)用戶隱私信(xin)息���。
我們通過(guo)WIPS無線入侵防(fang)御系(xi)統(tǒng)實(shí)時檢(jian)測周(zhou)圍無線信號���,當(dāng)(dang)檢測出來的(de)信號(hao)BSSID���、且AP源MAC地(di)址不在(zai)授權(quán)(quan)列表中時,我(wo)們向?qū)?dui)應(yīng)的AP和終(zhong)端發(fā)(fa)送解(jie)除關(guān)聯(lián)(lian)幀���,讓終(zhong)端無法連上(shang)釣魚WIFI���。7×24小時不間(jian)斷監(jiān)測網(wǎng)(wang)絡(luò)。
上網(wǎng)行為嚴(yán)(yan)格控制:
強(qiáng)大的管理:通(tong)過應(yīng)用識別(bie)技術(shù)���,可以根據(jù)(ju)應(yīng)用類型或(huo)者具體某一(yi)種應(yīng)用進(jìn)行(xing)封堵���,包括(kuo)視頻、論壇(tan)���、游戲���、金融、下載(zai)等2400多種網(wǎng)(wang)絡(luò)應(yīng)用���。
通過應(yīng)用識別(bie)技術(shù),可以根據(jù)(ju)應(yīng)用類型或(huo)者具(ju)體某一種(zhong)應(yīng)用進(jìn)行封堵(du)���,比如(ru)上班時間不(bu)允許炒股���,不(bu)允許P2P下載���,不(bu)允許外(wai)發(fā)敏感文(wen)件等; 支持(chi)主流移動平臺(tai)���,可識別IM���、社交���、Mail���、新(xin)聞���、炒股等應(yīng)用(yong)���。
無線(xian)控制器內(nèi)(nei)置千萬級(ji)別的URL分類庫(ku),能夠?qū)RL進(jìn)(jin)行識別���,包(bao)含新聞���、購(gou)物、金融���、教育(yu)等18個(ge)種類的URL地址; 準(zhǔn)(zhun)確識別目(mu)前主流網(wǎng)(wang)站���,識別(bie)率高達(dá)99.9%���,有(you)效實(shí)現(xiàn)網(wǎng)頁(ye)過濾。例如禁止(zhi)登陸非法網(wǎng)站(zhan)
通過基于時間(jian)段的(de)訪問控制策(ce)略���,實(shí)現(xiàn)不同(tong)的時間段不同(tong)的訪問權(quán)限(xian)���,比如上班時間(jian),禁止訪問網(wǎng)上(shang)銀行���、游(you)戲���、論壇(tan)貼吧等與(yu)工作無關(guān)的應(yīng)(ying)用,下班(ban)時間則不受(shou)限制(zhi)���。
辦公區(qū)(qu)域內(nèi)���,不(bu)同辦公(gong)部門(men)總會有各自(zi)專屬的無(wu)線網(wǎng)絡(luò)���,并且(qie)不希望部門之(zhi)外的成(cheng)員使用這個網(wǎng)(wang)絡(luò)���。無線網(wǎng)絡(luò)控(kong)制器可以根(gen)據(jù)用戶的屬(shu)性���,限制(zhi)禁止非本部(bu)門的用戶接(jie)入���。
典型無線網(wǎng)絡(luò)(luo)攻擊防(fang)護(hù):
對典型(xing)的危險(xiǎn)攻擊行(xing)為進(jìn)行檢(jian)測,當(dāng)超(chao)過設(shè)定的閾(yu)值后自動將攻(gong)擊者加入到黑(hei)名單中���,并(bing)凍結(jié)(jie)一定時(shi)間���,即時發(fā)(fa)現(xiàn)網(wǎng)(wang)絡(luò)攻擊并進(jìn)(jin)行防御。
檢測(ce)的攻(gong)擊包括:DDOS防(fang)御、ARP掃(sao)描���、IP掃(sao)描、端口(kou)掃描防御���,禁(jin)止客戶(hu)端私設(shè)IP以及(ji)ARP���、網(wǎng)關(guān)欺騙(pian)防御(yu)���、DHCP請求泛洪防御(yu)���。
無線(xian)射頻定(ding)時關(guān)閉開啟:
通過射(she)頻關(guān)(guan)閉控制策略(lve)���,可以指定某(mou)SSID網(wǎng)絡(luò)���,定時自(zi)動關(guān)閉和開啟(qi)無線網(wǎng)絡(luò)的(de)射頻信號,晚上(shang)下班(ban)后自動(dong)關(guān)閉無線射(she)頻信(xin)號���。
一方面可以(yi)節(jié)能減(jian)排���、節(jié)省(sheng)電費(fèi)支(zhi)出���;另一方面又(you)能防止非(fei)法用戶(hu)利用(yong)深夜時間入(ru)侵無線(xian)網(wǎng)絡(luò),做一(yi)些非法的(de)操作。
有線無線(xian)一體(ti)化管理:
NAC的有線無(wu)線一體化���,支(zhi)持對有(you)線用戶的(de)接入(ru)認(rèn)證���、訪問(wen)控制、流量(liang)管理(li)���、上網(wǎng)行為審(shen)計(jì)等(deng)���,
并提供(gong)統(tǒng)一中文Web管(guan)理界(jie)面���,一(yi)站式服(fu)務(wù)���,極大(da)的降低網(wǎng)(wang)絡(luò)建設(shè)(she)成本(ben)。
網(wǎng)絡(luò)(luo)分權(quán)分級管(guan)理:
分配(pei)不同(tong)的管理員分(fen)別管理各自權(quán)(quan)限區(qū)域的無(wu)線AP���,可以(yi)精細(xì)(xi)到對(dui)某AP分組有管(guan)理權(quán)限(xian)���,該管理員(yuan)可以(yi)在該AP分組上建(jian)立無線網(wǎng)(wang)絡(luò),能夠激活(huo)���、刪除接入(ru)點(diǎn)���,能夠?qū)P的(de)配置(zhi)進(jìn)行編輯修(xiu)改���。
可指定管理(li)員針(zhen)對每(mei)個頁面的編輯(ji)或可查(cha)看權(quán)限,控制(zhi)粒度(du)到控制器上的(de)各個頁面(mian)���,對某(mou)個頁面沒有(you)讀權(quán)限則登(deng)錄時不顯示(shi)���。
移動APP隨(sui)時隨(sui)地運(yùn)維管理(li):
支持跨(kua)互聯(lián)網(wǎng)運(yùn)維管(guan)理
登陸APP進(jìn)行維護(hù)(hu)管理:不(bu)同管(guan)理員(yuan),不同(tong)權(quán)限
查看網(wǎng)絡(luò)(luo)運(yùn)行情況(kuang):在線用戶���、在(zai)線AP數(shù)量���、實(shí)時(shi)流量
無線網(wǎng)絡(luò)(luo)管理(li)維護(hù):開啟(qi)關(guān)閉SSID、終端綁(bang)定審批���、二(er)維碼上網(wǎng)審(shen)核
故障(zhang)���、審批實(shí)時(shi)通知(zhi):AP離線警(jing)告、服務(wù)器離(li)線警告���、網(wǎng)(wang)絡(luò)攻擊告(gao)警
方案優(yōu)勢:
1���、最豐富的無(wu)線安全機(jī)制(zhi)���,提供從安(an)全接入到安全(quan)上網(wǎng)等(deng)端到(dao)端的(de)安全策略(lve)
2、合理管控(kong)工作人(ren)員上網(wǎng)行為(wei)���,提升(sheng)工作效率(lv)���、防止帶寬浪(lang)費(fèi),有線無線(xian)雙重管(guan)控
3���、為會議室,報(bào)告(gao)廳等人員(yuan)密集區(qū)(qu)域接入網(wǎng)(wang)絡(luò)提高保證���,解(jie)決有(you)線網(wǎng)口(kou)不足的問題���;
4、為企業(yè)(ye)員工的移動(dong)辦公提供支(zhi)撐���,內(nèi)部(bu)員工可通(tong)過無線網(wǎng)絡(luò)(luo)隨時安(an)全接入內(nèi)(nei)部網(wǎng)絡(luò)���,實(shí)(shi)現(xiàn)辦公(gong)���;
5、內(nèi)部員(yuan)工賬號及(ji)個人(ren)信息綁(bang)定���,便于安全管(guan)理���;
6、內(nèi)部員(yuan)工可通過自(zi)己的辦公設(shè)備(bei)在企業(yè)(ye)大樓內(nèi)快速移(yi)動辦公���,網(wǎng)絡(luò)(luo)接入(ru)更快(kuai)速���,上網(wǎng)行為管(guan)理系統(tǒng)對(dui)員工上(shang)網(wǎng)行(xing)為進(jìn)行審計(jì)(ji)與管(guan)控
7、來訪客戶接(jie)入企業(yè)網(wǎng)絡(luò)(luo)���,可根據(jù)不同(tong)需求���,分配不同(tong)的上網(wǎng)權(quán)限(xian),保證了接入(ru)的安全性同(tong)時提升群(qun)眾上網(wǎng)的體驗(yàn)(yan)
8���、豐富的認(rèn)證(zheng)機(jī)制���,滿足組織(zhi)對無線(xian)網(wǎng)絡(luò)安全���、快速(su)接入(ru)
9、投資成本(ben)低���,通過部署無(wu)線控制(zhi)器替換原有(you)網(wǎng)絡(luò)(luo)的出口(kou)路由���、行為(wei)管理以(yi)及無線控制(zhi)器
