?
大型企業(yè)在無(wú)(wu)線網(wǎng)絡(luò)建設(shè)(she)期間要充分考(kao)慮訪客(領(lǐng)導(dǎo)��、客(ke)戶、合作(zuo)伙伴)接入網(wǎng)絡(luò)(luo)的需(xu)求��。首先(xian)從安全性考(kao)慮��,訪客網(wǎng)絡(luò)必(bi)須要(yao)和辦(ban)公網(wǎng)絡(luò)分(fen)開(kāi)��,訪(fang)客網(wǎng)絡(luò)單獨(dú)(du)提供給訪客(ke)使用��。從用戶(hu)體驗(yàn)角(jiao)度考慮��,訪(fang)客接入網(wǎng)(wang)絡(luò)的驗(yàn)(yan)證方式一定(ding)要做到(dao)簡(jiǎn)單(dan)易行(xing)��,繁瑣(suo)的驗(yàn)證方式會(huì)(hui)降低訪(fang)客對(duì)企業(yè)的整(zheng)體印(yin)象��。同時(shí)(shi)對(duì)于訪客網(wǎng)絡(luò)(luo)��,企業(yè)還需要建(jian)立完善的網(wǎng)(wang)絡(luò)安全管理(li)機(jī)制(zhi)��,避免由于(yu)訪客的網(wǎng)(wang)絡(luò)不良訪(fang)問(wèn)給企業(yè)帶來(lái)(lai)的法律(lv)風(fēng)險(xiǎn)��。對(duì)于企業(yè)(ye)員工(gong)移動(dòng)辦公上(shang)網(wǎng)��,更需要做到(dao)可管控��,上網(wǎng)行(xing)為做到可追溯(su)��,企業(yè)有效的(de)帶寬(kuan)資源得到(dao)合理的分(fen)配和保證��,才(cai)能使企業(yè)的業(yè)(ye)務(wù)系統(tǒng)正常(chang)且穩(wěn)定高(gao)效地運(yùn)行��,同(tong)時(shí)保證(zheng)企業(yè)信(xin)息安全��,避免(mian)機(jī)密信息泄(xie)露��。
存在的問(wèn)(wen)題(用戶需求)
1��、接入不(bu)安全:缺乏安全(quan)可靠(kao)的認(rèn)證(zheng)機(jī)制��,企業(yè)無(wú)(wu)線網(wǎng)絡(luò)(luo)接入不(bu)安全(quan)
2��、上網(wǎng)權(quán)(quan)限混(hun)亂:缺乏(fa)有效的控制策(ce)略,員工上網(wǎng)權(quán)(quan)限不分明(ming)
3��、數(shù)據(jù)信息安(an)全:缺乏(fa)有效的數(shù)據(jù)加(jia)密機(jī)制��,企業(yè)(ye)數(shù)據(jù)被黑客竊(qie)取篡(cuan)改
4��、無(wú)線信(xin)號(hào)差:AP性(xing)能不佳��,上網(wǎng)(wang)總掉線��,點(diǎn)(dian)位規(guī)(gui)劃不合理(li)��,信號(hào)盲區(qū)(qu)多
5��、漫游效果(guo)差:不能實(shí)現(xiàn)(xian)二三層(ceng)漫游��,移(yi)動(dòng)辦公時(shí)(shi)��,業(yè)務(wù)(wu)中斷
解決方案(an):
結(jié)合用戶無(wú)線(xian)網(wǎng)絡(luò)需求情況(kuang)��,結(jié)合產(chǎn)品(pin)自身(shen)技術(shù)特(te)點(diǎn)��,為了滿足用(yong)戶構(gòu)建一個(gè)高(gao)速��、穩(wěn)定��、安(an)全��、可靠��、易于(yu)管理的無(wú)線接(jie)入網(wǎng)絡(luò)的需(xu)求��,本設(shè)計(jì)(ji)方案按照AP+AC的(de)結(jié)構(gòu)化(hua)無(wú)線網(wǎng)(wang)絡(luò)解決(jue)方案進(jìn)(jin)行設(shè)計(jì)��。具(ju)體設(shè)計(jì)為在總(zong)部設(shè)置總(zong)部AC,在大(da)型分支(zhi)機(jī)構(gòu)設(shè)置分支(zhi)AC與分支AP��,中型分(fen)支機(jī)構(gòu)設(shè)計(jì)(ji)二級(jí)��,三級(jí)交換(huan)機(jī)��,分(fen)支AP��。小微(wei)型分支機(jī)(ji)構(gòu)直接設(shè)(she)置分(fen)支AP��?�?偛緼C可以(yi)對(duì)大型分支機(jī)(ji)構(gòu)的AC進(jìn)行管理(li)��,當(dāng)網(wǎng)點(diǎn)控(kong)制器采用集(ji)中管理(li)的模式進(jìn)入到(dao)中心(xin)端控制(zhi)器時(shí)��,會(huì)(hui)自動(dòng)下載(zai)中心端的(de)公共配置��,比如(ru)IP組、MAC地址庫(kù)��、時(shí)(shi)間計(jì)劃��、角色(se)授權(quán)��、認(rèn)(ren)證頁(yè)面等 ��?�?偛?bu)AC也可以直接(jie)管理中小(xiao)型分支機(jī)構(gòu)(gou)的分(fen)支AP��,實(shí)現(xiàn)統(tǒng)一(yi)管理��。
方案設(shè)計(jì)(ji):
安全無(wú)線(xian)整體解(jie)決方案:
接入前&接(jie)入時(shí)進(jìn)行身份(fen)認(rèn)證��、安(an)全無(wú)(wu)線網(wǎng)卡(ka)��、賬號(hào)綁定(硬(ying)件碼+手機(jī)(ji)號(hào))��,非法(fa)熱點(diǎn)(dian)檢測(cè)及防御��、網(wǎng)(wang)絡(luò)攻擊(ji)防護(hù)��、射頻定(ding)時(shí)關(guān)閉及安全(quan)加固��。
接入(ru)后&上網(wǎng)時(shí)進(jìn)行(xing)訪問(wèn)(wen)權(quán)限(xian)控制��。
上網(wǎng)(wang)后進(jìn)(jin)行上網(wǎng)行為(wei)記錄��。
上網(wǎng)(wang)用戶身(shen)份實(shí)名認(rèn)證(zheng):
無(wú)線辦公網(wǎng)采(cai)用802.1X/Portal/WAPI認(rèn)證(zheng)��,外置AAA和RADIUS+AD用于存(cun)儲(chǔ)用戶賬(zhang)號(hào)密(mi)碼��。
每個(gè)賬(zhang)號(hào)對(duì)(dui)應(yīng)一個(gè)員工��,包(bao)括姓名��、部(bu)門(mén)��、性別(bie)以及身份(fen)證��、手機(jī)號(hào)等(deng)個(gè)人信息(xi)��,保證每(mei)個(gè)上網(wǎng)的賬號(hào)(hao)都是可尋(xun)的��,便于安全管(guan)理��。
用戶輸入(ru)賬號(hào)密碼上網(wǎng)(wang)驗(yàn)證時(shí)均采用(yong)加密傳輸��,防止(zhi)黑客空中攔(lan)截,竊取賬(zhang)號(hào)密碼等數(shù)據(jù)(ju)��。
上網(wǎng)(wang)賬號(hào)自動(dòng)(dong)綁定(ding)終端:
自動(dòng)將(jiang)賬號(hào)與(yu)終端的(de)硬件特征碼進(jìn)(jin)行綁定(ding)��,防止賬號(hào)被(bei)他人使(shi)用或者(zhe)被盜(dao)用��。
每臺(tái)設(shè)(she)備的硬件特征(zheng)碼是唯一的��,無(wú)(wu)法通過(guò)軟(ruan)件修改��。即(ji)使通過(guò)軟(ruan)件修改了仍然(ran)可以識(shí)別原(yuan)始的��。
每個(gè)(ge)賬號(hào)最多可(ke)以綁定5臺(tái)終(zhong)端��,超(chao)過(guò)1臺(tái)時(shí)(shi)需要管理員審(shen)核��。
上網(wǎng)(wang)賬號(hào)二次(ci)綁定手機(jī)(ji)號(hào)碼:
賬號(hào)首次(ci)登陸時(shí)(shi)需要綁定(ding)手機(jī)號(hào)(hao)并輸入(ru)短信(xin)驗(yàn)證碼��,當(dāng)用(yong)戶賬號(hào)(hao)在新終端登陸(lu)時(shí)(換終端/被(bei)他用/被(bei)盜)��,不(bu)僅需要輸入(ru)密碼��,還(hai)需要(yao)輸入短信驗(yàn)(yan)證碼��,解決員(yuan)工賬號(hào)(hao)認(rèn)證的安(an)全問(wèn)(wen)題
綁定手機(jī)號(hào)(hao)碼的用戶��,可以(yi)自助重(zhong)置密碼(ma)和修(xiu)改密(mi)碼��,無(wú)需通過(guò)IT管(guan)理員��。
用戶密碼管理(li)及自助修(xiu)改:
無(wú)需通過(guò)管理(li)員即可修(xiu)改密(mi)碼��,提高效(xiao)率及減輕管理(li)員工作(zuo)壓力��。
通過(guò)口(kou)袋助理��、釘釘��、企(qi)業(yè)號(hào)等手(shou)機(jī)MOA類APP軟件(jian)進(jìn)行無(wú)(wu)線密(mi)碼修(xiu)改��。
若賬號(hào)(hao)綁定了手機(jī)號(hào)(hao)碼��,可通過(guò)手機(jī)(ji)驗(yàn)證(zheng)碼自助修(xiu)改��。
上網(wǎng)終端(duan)合法效(xiao)驗(yàn):
采用安全(quan)無(wú)線網(wǎng)(wang)卡接入(ru)無(wú)線網(wǎng)(wang)絡(luò)��,終端(duan)與AP熱點(diǎn)(dian)的雙向(xiang)驗(yàn)證��,提高安全(quan)性��。
可以將無(wú)線網(wǎng)(wang)絡(luò)設(shè)置(zhi)為只(zhi)有安裝了(le)安全無(wú)線網(wǎng)(wang)卡的終端才(cai)能接入無(wú)線網(wǎng)(wang)絡(luò)��。
支持(chi)設(shè)置安全無(wú)(wu)線網(wǎng)卡(ka)只能連指(zhi)定SSID無(wú)線網(wǎng)(wang)絡(luò),無(wú)法連接(jie)非授權(quán)SSID��。
網(wǎng)卡(ka)與AP數(shù)(shu)據(jù)傳輸(shu)時(shí)自動(dòng)進(jìn)行數(shù)(shu)據(jù)加密��,保證(zheng)無(wú)線的空口(kou)安全��。
無(wú)線(xian)熱點(diǎn)(dian)掃描(miao)及非法(fa)熱點(diǎn)抑制:
背景:黑客在(zai)附近搭(da)建一個(gè)一(yi)模一樣或者類(lei)似的WIFI名稱,誘使(shi)用戶連到虛(xu)假釣(diao)魚(yú)WIFI上,黑(hei)客利用分析(xi)軟件(jian)從用戶上網(wǎng)(wang)產(chǎn)生的數(shù)(shu)據(jù)包中分析(xi)提取用戶(hu)隱私信息。
我們通過(guò)WIPS無(wú)線(xian)入侵防御(yu)系統(tǒng)實(shí)時(shí)檢測(cè)(ce)周圍無(wú)(wu)線信號(hào)(hao)��,當(dāng)檢測(cè)出(chu)來(lái)的信號(hào)(hao)BSSID��、且AP源MAC地(di)址不在(zai)授權(quán)列表(biao)中時(shí)��,我(wo)們向(xiang)對(duì)應(yīng)的AP和(he)終端發(fā)(fa)送解(jie)除關(guān)聯(lián)幀��,讓終(zhong)端無(wú)(wu)法連上釣(diao)魚(yú)WIFI��。7×24小時(shí)不(bu)間斷監(jiān)測(cè)網(wǎng)絡(luò)(luo)��。
上網(wǎng)行為(wei)嚴(yán)格(ge)控制:
強(qiáng)大的管理:通(tong)過(guò)應(yīng)用識(shí)(shi)別技術(shù),可以根(gen)據(jù)應(yīng)用類型或(huo)者具體某一種(zhong)應(yīng)用進(jìn)行封堵(du)��,包括視頻��、論壇(tan)、游戲��、金(jin)融��、下載等2400多種(zhong)網(wǎng)絡(luò)應(yīng)用。
通過(guò)應(yīng)用(yong)識(shí)別技術(shù)��,可(ke)以根據(jù)應(yīng)(ying)用類型(xing)或者具體某一(yi)種應(yīng)用進(jìn)(jin)行封堵��,比如上(shang)班時(shí)間不允(yun)許炒(chao)股��,不允許(xu)P2P下載��,不允(yun)許外發(fā)敏感(gan)文件等��; 支持主(zhu)流移動(dòng)平臺(tái)��,可(ke)識(shí)別IM��、社交(jiao)��、Mail��、新聞(wen)��、炒股等應(yīng)用��。
無(wú)線控制器內(nèi)(nei)置千(qian)萬(wàn)級(jí)(ji)別的URL分類庫(kù)��,能(neng)夠?qū)?dui)URL進(jìn)行(xing)識(shí)別,包(bao)含新聞��、購(gòu)物(wu)��、金融��、教育等(deng)18個(gè)種類的URL地(di)址; 準(zhǔn)確識(shí)(shi)別目前主(zhu)流網(wǎng)站��,識(shí)別(bie)率高達(dá)(da)99.9%��,有效實(shí)現(xiàn)(xian)網(wǎng)頁(yè)過(guò)濾��。例如(ru)禁止登陸(lu)非法(fa)網(wǎng)站
通過(guò)(guo)基于時(shí)間(jian)段的(de)訪問(wèn)(wen)控制(zhi)策略,實(shí)現(xiàn)(xian)不同的時(shí)間(jian)段不(bu)同的(de)訪問(wèn)權(quán)(quan)限�,比如(ru)上班(ban)時(shí)間,禁止訪問(wèn)(wen)網(wǎng)上銀行�����、游戲(xi)�����、論壇貼吧等與(yu)工作無(wú)關(guān)的應(yīng)(ying)用�����,下班時(shí)(shi)間則不受限(xian)制�。
辦公區(qū)域(yu)內(nèi)����,不同(tong)辦公部門(mén)總(zong)會(huì)有(you)各自專屬(shu)的無(wú)(wu)線網(wǎng)絡(luò)���,并且不(bu)希望(wang)部門(mén)之外的成(cheng)員使用這(zhe)個(gè)網(wǎng)絡(luò)。無(wú)(wu)線網(wǎng)(wang)絡(luò)控制器(qi)可以根據(jù)用戶(hu)的屬性��,限(xian)制禁(jin)止非本部門(mén)(men)的用戶接入�����。
典型(xing)無(wú)線網(wǎng)絡(luò)攻(gong)擊防(fang)護(hù):
對(duì)典型的危(wei)險(xiǎn)攻擊行為(wei)進(jìn)行檢測(cè)�����,當(dāng)(dang)超過(guò)(guo)設(shè)定的閾值(zhi)后自動(dòng)將攻擊(ji)者加入到(dao)黑名單中�����,并(bing)凍結(jié)(jie)一定時(shí)間�����,即(ji)時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)攻(gong)擊并進(jìn)行防御(yu)�����。
檢測(cè)的攻擊包(bao)括:DDOS防(fang)御����、ARP掃(sao)描、IP掃描��、端口掃(sao)描防御�,禁(jin)止客戶端私設(shè)(she)IP以及(ji)ARP、網(wǎng)關(guān)欺騙防(fang)御�、DHCP請(qǐng)(qing)求泛洪防(fang)御。
無(wú)線射頻定(ding)時(shí)關(guān)(guan)閉開(kāi)啟:
通過(guò)射頻(pin)關(guān)閉(bi)控制策略�,可以(yi)指定某SSID網(wǎng)絡(luò),定(ding)時(shí)自動(dòng)關(guān)(guan)閉和開(kāi)啟無(wú)(wu)線網(wǎng)(wang)絡(luò)的(de)射頻信號(hào)���,晚(wan)上下班(ban)后自動(dòng)(dong)關(guān)閉無(wú)(wu)線射頻信號(hào)(hao)��。
一方面可以(yi)節(jié)能(neng)減排�、節(jié)省電費(fèi)(fei)支出�����;另一方(fang)面又能防止(zhi)非法(fa)用戶利用深夜(ye)時(shí)間入侵(qin)無(wú)線網(wǎng)絡(luò)���,做一(yi)些非法(fa)的操作(zuo)���。
有線無(wú)(wu)線一體(ti)化管理(li):
NAC的有線無(wú)線一(yi)體化(hua)��,支持(chi)對(duì)有線用(yong)戶的接入(ru)認(rèn)證���、訪(fang)問(wèn)控制、流量(liang)管理��、上(shang)網(wǎng)行為審(shen)計(jì)等�,
并提供(gong)統(tǒng)一中(zhong)文Web管理(li)界面,一站(zhan)式服(fu)務(wù)�����,極大的降(jiang)低網(wǎng)絡(luò)建設(shè)(she)成本���。
網(wǎng)絡(luò)分權(quán)(quan)分級(jí)管理:
分配不同的(de)管理員分別(bie)管理(li)各自權(quán)限(xian)區(qū)域(yu)的無(wú)線AP����,可以(yi)精細(xì)到對(duì)某AP分(fen)組有管理(li)權(quán)限(xian)�,該管理員可以(yi)在該AP分組上建(jian)立無(wú)線網(wǎng)絡(luò),能(neng)夠激活��、刪除接(jie)入點(diǎn)��,能夠(gou)對(duì)AP的配置進(jìn)(jin)行編輯修改(gai)。
可指(zhi)定管理員(yuan)針對(duì)每(mei)個(gè)頁(yè)面的(de)編輯或可查看(kan)權(quán)限�,控制粒(li)度到控制器(qi)上的(de)各個(gè)頁(yè)面(mian)�����,對(duì)某個(gè)(ge)頁(yè)面沒(méi)(mei)有讀權(quán)(quan)限則登錄(lu)時(shí)不顯示��。
移動(dòng)APP隨時(shí)(shi)隨地運(yùn)維(wei)管理:
支持(chi)跨互聯(lián)(lian)網(wǎng)運(yùn)維管理(li)
登陸(lu)APP進(jìn)行維護(hù)管(guan)理:不同管理員(yuan)��,不同(tong)權(quán)限(xian)
查看(kan)網(wǎng)絡(luò)運(yùn)行(xing)情況(kuang):在線(xian)用戶����、在線AP數(shù)(shu)量、實(shí)時(shí)(shi)流量
無(wú)線網(wǎng)(wang)絡(luò)管理維(wei)護(hù):開(kāi)(kai)啟關(guān)閉SSID��、終端(duan)綁定(ding)審批�����、二(er)維碼(ma)上網(wǎng)(wang)審核
故障��、審批實(shí)(shi)時(shí)通知:AP離線警(jing)告����、服務(wù)器離(li)線警(jing)告、網(wǎng)絡(luò)攻擊告(gao)警
方案優(yōu)勢(shì)(shi):
1、最豐富的無(wú)線(xian)安全機(jī)制(zhi)�����,提供從(cong)安全(quan)接入到安全上(shang)網(wǎng)等(deng)端到端的安全(quan)策略(lve)
2�����、合理管控(kong)工作人(ren)員上網(wǎng)行(xing)為�,提升(sheng)工作(zuo)效率、防止帶寬(kuan)浪費(fèi)���,有(you)線無(wú)(wu)線雙(shuang)重管控
3���、為會(huì)(hui)議室,報(bào)告(gao)廳等人(ren)員密集區(qū)域接(jie)入網(wǎng)絡(luò)(luo)提高保(bao)證�����,解決(jue)有線網(wǎng)口(kou)不足的問(wèn)題�����;
4���、為企業(yè)員工的(de)移動(dòng)辦公提供(gong)支撐�����,內(nèi)部(bu)員工可通(tong)過(guò)無(wú)(wu)線網(wǎng)絡(luò)(luo)隨時(shí)(shi)安全接(jie)入內(nèi)部網(wǎng)絡(luò)(luo)��,實(shí)現(xiàn)辦公(gong)����;
5���、內(nèi)部員工賬(zhang)號(hào)及個(gè)人信(xin)息綁定�����,便于(yu)安全管(guan)理��;
6���、內(nèi)部員工(gong)可通過(guò)自(zi)己的辦(ban)公設(shè)備在企業(yè)(ye)大樓(lou)內(nèi)快(kuai)速移動(dòng)辦(ban)公,網(wǎng)(wang)絡(luò)接入(ru)更快速(su)��,上網(wǎng)行為管(guan)理系統(tǒng)對(duì)員工(gong)上網(wǎng)行為進(jìn)行(xing)審計(jì)與管控(kong)
7�����、來(lái)訪客戶接入(ru)企業(yè)網(wǎng)(wang)絡(luò),可根據(jù)不同(tong)需求�,分配不(bu)同的上(shang)網(wǎng)權(quán)(quan)限,保證了接入(ru)的安全(quan)性同時(shí)(shi)提升群眾上網(wǎng)(wang)的體驗(yàn)
8�����、豐富(fu)的認(rèn)證(zheng)機(jī)制(zhi)��,滿足組織對(duì)(dui)無(wú)線網(wǎng)絡(luò)安全(quan)����、快速接入
9、投資(zi)成本低�����,通過(guò)部(bu)署無(wú)(wu)線控(kong)制器替(ti)換原有網(wǎng)絡(luò)(luo)的出口路由(you)��、行為管(guan)理以及無(wú)(wu)線控(kong)制器
