?
大型企業(yè)在無(wu)線網(wǎng)絡(luo)建設(she)期間要充分考(kao)慮訪客(ke)(領導(dao)、客戶�、合作伙(huo)伴)接入網(wǎng)絡的(de)需求(qiu)����。首先從(cong)安全性考(kao)慮���,訪(fang)客網(wǎng)絡(luo)必須要和(he)辦公網(wǎng)(wang)絡分開,訪客(ke)網(wǎng)絡單獨提(ti)供給(gei)訪客使用��。從用(yong)戶體(ti)驗角度(du)考慮�����,訪客(ke)接入網(wǎng)絡(luo)的驗(yan)證方式一定要(yao)做到簡單(dan)易行(xing)�,繁瑣的驗證(zheng)方式會降低(di)訪客對企業(yè)的(de)整體印象����。同時(shi)對于訪客網(wǎng)絡(luo),企業(yè)還(hai)需要(yao)建立(li)完善的網(wǎng)絡(luo)安全管理機(ji)制���,避免由(you)于訪客的(de)網(wǎng)絡不(bu)良訪問(wen)給企業(yè)帶來的(de)法律(lv)風險����。對(dui)于企業(yè)員工移(yi)動辦公上(shang)網(wǎng),更需要做(zuo)到可管(guan)控�����,上網(wǎng)行為做(zuo)到可(ke)追溯�����,企業(yè)有(you)效的帶寬(kuan)資源得到合理(li)的分配和保(bao)證�,才能使企(qi)業(yè)的業(yè)務系統(tǒng)(tong)正常且(qie)穩(wěn)定高效地(di)運行,同時(shi)保證企業(yè)信(xin)息安(an)全��,避免(mian)機密(mi)信息泄露�����。
存在的問題(ti)(用戶需求)
1��、接入不安全(quan):缺乏(fa)安全可(ke)靠的(de)認證機制��,企業(yè)(ye)無線網(wǎng)絡接(jie)入不安全
2��、上網(wǎng)權限混亂(luan):缺乏有(you)效的控制策略(lve)�����,員工上網(wǎng)權限(xian)不分(fen)明
3、數(shù)據(jù)信(xin)息安全:缺乏有(you)效的數(shù)據(jù)加(jia)密機制�,企業(yè)(ye)數(shù)據(jù)被黑客(ke)竊取篡改(gai)
4、無線信號(hao)差:AP性能不(bu)佳����,上網(wǎng)總掉線(xian),點位規(guī)劃(hua)不合理��,信號(hao)盲區(qū)多
5�����、漫游效果差(cha):不能實現(xiàn)二三(san)層漫游�,移動(dong)辦公時,業(yè)務(wu)中斷
解決方案:
結合(he)用戶無(wu)線網(wǎng)絡(luo)需求情(qing)況����,結合產(chǎn)(chan)品自身(shen)技術(shu)特點,為了滿(man)足用(yong)戶構建一個高(gao)速��、穩(wěn)(wen)定����、安全、可靠���、易(yi)于管(guan)理的無線接(jie)入網(wǎng)絡(luo)的需求��,本(ben)設計方(fang)案按照AP+AC的結(jie)構化(hua)無線網(wǎng)絡(luo)解決(jue)方案進行(xing)設計���。具體設(she)計為在總(zong)部設置總部AC,在(zai)大型分支機(ji)構設置分支(zhi)AC與分支AP,中型(xing)分支(zhi)機構設計(ji)二級(ji)����,三級交換機(ji),分支AP��。小微型(xing)分支機構(gou)直接設置分(fen)支AP�����?�?偛?bu)AC可以對大型分(fen)支機構的AC進行(xing)管理��,當網(wǎng)點控(kong)制器采用集中(zhong)管理(li)的模式進(jin)入到中心端控(kong)制器時�,會自動(dong)下載中心(xin)端的公共(gong)配置,比如IP組(zu)�、MAC地址庫����、時間(jian)計劃�、角色授(shou)權、認(ren)證頁面等(deng) ��?���?偛緼C也可以直(zhi)接管理中小(xiao)型分支機構(gou)的分支AP,實現(xiàn)(xian)統(tǒng)一(yi)管理����。
方案設計:
安全無線整體(ti)解決方案(an):
接入前&接(jie)入時(shi)進行身份認證(zheng)、安全無(wu)線網(wǎng)卡���、賬(zhang)號綁定(硬件碼(ma)+手機(ji)號)����,非(fei)法熱點檢(jian)測及(ji)防御、網(wǎng)絡(luo)攻擊防護、射(she)頻定(ding)時關閉及(ji)安全(quan)加固(gu)。
接入后&上(shang)網(wǎng)時進行訪(fang)問權限控制(zhi)。
上網(wǎng)后進行上(shang)網(wǎng)行為(wei)記錄�����。
上網(wǎng)用戶(hu)身份實名認(ren)證:
無線辦公(gong)網(wǎng)采用802.1X/Portal/WAPI認證(zheng)�����,外置AAA和RADIUS+AD用于(yu)存儲(chu)用戶(hu)賬號密碼(ma)�����。
每個賬號對(dui)應一個員(yuan)工�����,包(bao)括姓名�����、部門�����、性(xing)別以及身份證(zheng)�����、手機(ji)號等個人信(xin)息�����,保證(zheng)每個上網(wǎng)(wang)的賬(zhang)號都是(shi)可尋的,便于安(an)全管理�����。
用戶輸入賬號(hao)密碼上網(wǎng)(wang)驗證(zheng)時均采用加(jia)密傳(chuan)輸�����,防止(zhi)黑客(ke)空中攔(lan)截�����,竊(qie)取賬(zhang)號密(mi)碼等數(shù)據(jù)�����。
上網(wǎng)賬號自動(dong)綁定終端:
自動將賬(zhang)號與終端(duan)的硬(ying)件特征碼進(jin)行綁定(ding)�����,防止賬號被(bei)他人使用或(huo)者被盜(dao)用�����。
每臺設備的硬(ying)件特征碼(ma)是唯(wei)一的,無法通過(guo)軟件(jian)修改�����。即使通過(guo)軟件修改(gai)了仍然可以識(shi)別原始(shi)的�����。
每個賬號最多(duo)可以綁定5臺終(zhong)端�����,超過(guo)1臺時需要管(guan)理員審核�����。
上網(wǎng)賬號二(er)次綁定手機號(hao)碼:
賬號首次登(deng)陸時需要綁(bang)定手(shou)機號并輸(shu)入短信(xin)驗證碼(ma)�����,當用戶賬號在(zai)新終(zhong)端登陸時(換(huan)終端/被(bei)他用(yong)/被盜)�����,不僅(jin)需要輸入(ru)密碼(ma)�����,還需要(yao)輸入短信驗證(zheng)碼�����,解決(jue)員工賬號認(ren)證的安全(quan)問題(ti)
綁定(ding)手機號碼(ma)的用戶(hu)�����,可以(yi)自助重(zhong)置密(mi)碼和修改密(mi)碼�����,無需通過(guo)IT管理員�����。
用戶密碼管理(li)及自(zi)助修改:
無需(xu)通過管(guan)理員(yuan)即可修改(gai)密碼�����,提(ti)高效率及減(jian)輕管(guan)理員工作壓(ya)力�����。
通過口袋(dai)助理、釘(ding)釘�����、企業(yè)號等手(shou)機MOA類APP軟件進行(xing)無線密碼修(xiu)改�����。
若賬(zhang)號綁定了手(shou)機號碼�����,可通(tong)過手機驗證(zheng)碼自助修改(gai)�����。
上網(wǎng)(wang)終端合(he)法效(xiao)驗:
采用安(an)全無線網(wǎng)卡(ka)接入無線網(wǎng)(wang)絡�����,終端與AP熱(re)點的雙(shuang)向驗證�����,提(ti)高安全性(xing)�����。
可以將(jiang)無線(xian)網(wǎng)絡設置為(wei)只有安裝了安(an)全無線網(wǎng)(wang)卡的終端才(cai)能接(jie)入無(wu)線網(wǎng)絡�����。
支持設置安全(quan)無線(xian)網(wǎng)卡只能連指(zhi)定SSID無線網(wǎng)絡(luo)�����,無法連接(jie)非授權SSID�����。
網(wǎng)卡與(yu)AP數(shù)據(jù)傳輸(shu)時自動進(jin)行數(shù)據(jù)加(jia)密�����,保(bao)證無線(xian)的空口(kou)安全(quan)�����。
無線(xian)熱點掃描(miao)及非(fei)法熱點抑制(zhi):
背景:黑(hei)客在附(fu)近搭建一(yi)個一模一(yi)樣或者類(lei)似的(de)WIFI名稱�����,誘使(shi)用戶連到虛(xu)假釣魚(yu)WIFI上,黑客利用分(fen)析軟(ruan)件從用戶上(shang)網(wǎng)產(chǎn)生的數(shù)(shu)據(jù)包中分(fen)析提取(qu)用戶隱私信息(xi)�����。
我們通(tong)過WIPS無線入侵防(fang)御系統(tǒng)實(shi)時檢(jian)測周(zhou)圍無線信(xin)號�����,當檢(jian)測出(chu)來的信號(hao)BSSID�����、且AP源MAC地(di)址不在授權(quan)列表中時(shi)�����,我們向?qū)?de)AP和終端發(fā)送(song)解除關聯(lián)(lian)幀�����,讓(rang)終端(duan)無法(fa)連上釣魚WIFI�����。7×24小(xiao)時不間斷監(jiān)(jian)測網(wǎng)絡�����。
上網(wǎng)(wang)行為嚴格控制(zhi):
強大的管理:通(tong)過應用識別(bie)技術�����,可(ke)以根據(jù)應用(yong)類型或(huo)者具體某一種(zhong)應用進行封(feng)堵�����,包(bao)括視頻�����、論壇�����、游(you)戲�����、金(jin)融�����、下載等(deng)2400多種(zhong)網(wǎng)絡應用(yong)。
通過應用識別(bie)技術�����,可以根據(jù)(ju)應用(yong)類型或者具(ju)體某一種應(ying)用進(jin)行封堵(du)�����,比如上班時(shi)間不(bu)允許炒股�����,不允(yun)許P2P下(xia)載�����,不允許(xu)外發(fā)敏感文(wen)件等�����; 支持(chi)主流移動(dong)平臺�����,可(ke)識別IM�����、社交�����、Mail�����、新(xin)聞�����、炒股等應用(yong)�����。
無線控制器(qi)內(nèi)置千萬級別(bie)的URL分類庫�����,能夠(gou)對URL進行識別,包(bao)含新聞(wen)�����、購物�����、金融(rong)�����、教育等18個種類(lei)的URL地址(zhi)�����; 準確識別(bie)目前主流網(wǎng)站(zhan)�����,識別率高(gao)達99.9%�����,有效實現(xiàn)網(wǎng)(wang)頁過濾�����。例如禁(jin)止登(deng)陸非法網(wǎng)(wang)站
通過基(ji)于時間段的(de)訪問(wen)控制(zhi)策略�����,實現(xiàn)不同(tong)的時間段不同(tong)的訪問權(quan)限�����,比如上班(ban)時間�����,禁止訪(fang)問網(wǎng)(wang)上銀行�����、游戲(xi)�����、論壇貼(tie)吧等與工(gong)作無關的應(ying)用�����,下班時間則(ze)不受(shou)限制(zhi)。
辦公區(qū)域(yu)內(nèi)�����,不同(tong)辦公(gong)部門(men)總會(hui)有各(ge)自專屬的(de)無線網(wǎng)絡�����,并且(qie)不希望(wang)部門(men)之外(wai)的成員使用這(zhe)個網(wǎng)絡�����。無線(xian)網(wǎng)絡控制器(qi)可以根據(jù)用戶(hu)的屬性�����,限制(zhi)禁止非本部門(men)的用戶接入(ru)�����。
典型無線網(wǎng)(wang)絡攻(gong)擊防護(hu):
對典型(xing)的危險攻擊行(xing)為進(jin)行檢測�����,當(dang)超過設定的(de)閾值后(hou)自動將(jiang)攻擊(ji)者加(jia)入到黑(hei)名單中�����,并(bing)凍結一定時間(jian)�����,即時發(fā)現(xiàn)(xian)網(wǎng)絡攻(gong)擊并(bing)進行(xing)防御(yu)�����。
檢測的攻擊(ji)包括:DDOS防御�����、ARP掃描(miao)�����、IP掃描�����、端口掃描(miao)防御�����,禁(jin)止客戶端(duan)私設IP以及ARP、網(wǎng)(wang)關欺騙防御�����、DHCP請(qing)求泛洪防(fang)御�����。
無線射頻定時(shi)關閉開(kai)啟:
通過(guo)射頻關(guan)閉控制策略�����,可(ke)以指(zhi)定某SSID網(wǎng)絡(luo)�����,定時自動關閉(bi)和開(kai)啟無線網(wǎng)(wang)絡的(de)射頻信號(hao)�����,晚上下班后(hou)自動關閉無(wu)線射頻信號(hao)�����。
一方(fang)面可以(yi)節(jié)能減排�����、節(jié)(jie)省電費支出(chu);另一方面又能(neng)防止非法用戶(hu)利用深(shen)夜時(shi)間入侵無(wu)線網(wǎng)絡�����,做(zuo)一些非法的操(cao)作�����。
有線無(wu)線一體(ti)化管理:
NAC的有(you)線無線一體(ti)化�����,支持對有(you)線用戶的(de)接入認(ren)證�����、訪問控制(zhi)�����、流量管(guan)理�����、上網(wǎng)行為審(shen)計等�����,
并提供統(tǒng)(tong)一中文Web管理界(jie)面�����,一(yi)站式(shi)服務�����,極大的(de)降低(di)網(wǎng)絡建設(she)成本(ben)�����。
網(wǎng)絡(luo)分權(quan)分級(ji)管理:
分配不同(tong)的管理員分(fen)別管(guan)理各(ge)自權(quan)限區(qū)域的無線(xian)AP�����,可以精(jing)細到對某AP分組(zu)有管理權限(xian)�����,該管理員可以(yi)在該AP分組上建(jian)立無線網(wǎng)絡�����,能(neng)夠激活、刪除(chu)接入點�����,能夠(gou)對AP的配置進行(xing)編輯修改(gai)�����。
可指定管理(li)員針對每(mei)個頁(ye)面的(de)編輯或可查看(kan)權限�����,控制粒度(du)到控制器(qi)上的各(ge)個頁面�����,對(dui)某個頁面沒有(you)讀權限則登(deng)錄時不顯示(shi)�����。
移動(dong)APP隨時隨地運(yun)維管理:
支持跨互聯(lián)(lian)網(wǎng)運維管理(li)
登陸APP進行維(wei)護管理:不同管(guan)理員(yuan)�����,不同權限
查看網(wǎng)絡(luo)運行情況(kuang):在線用(yong)戶�����、在線AP數(shù)量(liang)�����、實時流量
無線網(wǎng)絡管(guan)理維護:開啟關(guan)閉SSID�����、終(zhong)端綁定審批�����、二(er)維碼(ma)上網(wǎng)審核
故障(zhang)�����、審批(pi)實時通知:AP離線(xian)警告�����、服務器離(li)線警告(gao)、網(wǎng)絡攻(gong)擊告警
方案優(yōu)(you)勢:
1�����、最豐(feng)富的(de)無線(xian)安全機制�����,提供(gong)從安全接入(ru)到安全上網(wǎng)等(deng)端到端的安全(quan)策略
2�����、合理管(guan)控工(gong)作人員(yuan)上網(wǎng)(wang)行為�����,提(ti)升工作效率�����、防(fang)止帶(dai)寬浪費�����,有線無(wu)線雙重管控
3�����、為會議室�����,報(bao)告廳(ting)等人員密(mi)集區(qū)域接(jie)入網(wǎng)絡提高保(bao)證�����,解決有線網(wǎng)(wang)口不足(zu)的問題�����;
4�����、為企(qi)業(yè)員工的移(yi)動辦公提供(gong)支撐�����,內(nèi)部(bu)員工可(ke)通過無(wu)線網(wǎng)絡隨時(shi)安全(quan)接入內(nèi)(nei)部網(wǎng)(wang)絡�����,實現(xiàn)辦(ban)公;
5�����、內(nèi)部(bu)員工賬號及(ji)個人(ren)信息綁定�����,便于(yu)安全管理(li)�����;
6�����、內(nèi)部員(yuan)工可通過自(zi)己的(de)辦公設備在(zai)企業(yè)大樓內(nèi)(nei)快速移(yi)動辦公�����,網(wǎng)(wang)絡接入(ru)更快(kuai)速�����,上網(wǎng)行(xing)為管(guan)理系統(tǒng)對(dui)員工上網(wǎng)行(xing)為進行(xing)審計與管(guan)控
7�����、來訪客戶接入(ru)企業(yè)網(wǎng)絡(luo)�����,可根據(jù)不同(tong)需求�����,分(fen)配不同的(de)上網(wǎng)權限�����,保證(zheng)了接(jie)入的安全(quan)性同時提升群(qun)眾上網(wǎng)的(de)體驗
8�����、豐富的認證(zheng)機制�����,滿足組織(zhi)對無(wu)線網(wǎng)絡安全�����、快(kuai)速接入
9、投資成(cheng)本低�����,通過部(bu)署無(wu)線控(kong)制器替換原(yuan)有網(wǎng)絡的出(chu)口路由�����、行為管(guan)理以及(ji)無線控制(zhi)器
