大型企業(yè)在無(wu)線網(wǎng)絡(luò)(luo)建設(shè)期間(jian)要充分考慮訪(fang)客（領(lǐng)導(dǎo)(dao)、客戶、合作(zuo)伙伴）接入(ru)網(wǎng)絡(luò)的(de)需求。首(shou)先從安全(quan)性考慮，訪客網(wǎng)(wang)絡(luò)必(bi)須要和辦公(gong)網(wǎng)絡(luò)分開(kai)，訪客網(wǎng)絡(luò)單獨(du)提供給(gei)訪客使用(yong)。從用戶體驗角(jiao)度考慮(lv)，訪客接入網(wǎng)絡(luò)(luo)的驗證方(fang)式一定要(yao)做到簡單易行(xing)，繁瑣的驗證(zheng)方式(shi)會降(jiang)低訪客對(dui)企業(yè)的整(zheng)體印象。同時對(dui)于訪客網(wǎng)絡(luò)，企(qi)業(yè)還需(xu)要建立完善的(de)網(wǎng)絡(luò)安(an)全管理機制(zhi)，避免(mian)由于(yu)訪客(ke)的網(wǎng)(wang)絡(luò)不良(liang)訪問給(gei)企業(yè)帶(dai)來的法律風(fēng)險(xian)。對于企(qi)業(yè)員工移動辦(ban)公上網(wǎng)，更(geng)需要做到(dao)可管控，上網(wǎng)(wang)行為做到可追(zhui)溯，企業(yè)(ye)有效(xiao)的帶(dai)寬資源得到(dao)合理的(de)分配和保證，才(cai)能使企業(yè)的業(yè)(ye)務(wù)系統(tǒng)正(zheng)常且穩(wěn)(wen)定高效地運(yun)行，同時保證(zheng)企業(yè)信息(xi)安全(quan)，避免(mian)機密(mi)信息泄露(lu)。

存在的問題（用(yong)戶需(xu)求）

1、接入(ru)不安全：缺乏(fa)安全(quan)可靠的認(ren)證機制(zhi)，企業(yè)無線網(wǎng)(wang)絡(luò)接入不安全(quan)

2、上網(wǎng)(wang)權(quán)限混(hun)亂：缺乏(fa)有效的控制策(ce)略，員(yuan)工上(shang)網(wǎng)權(quán)限不(bu)分明

3、數(shù)據(jù)信息安(an)全：缺乏(fa)有效的數(shù)(shu)據(jù)加密機(ji)制，企(qi)業(yè)數(shù)(shu)據(jù)被黑客竊取(qu)篡改

4、無線信號(hao)差：AP性能不(bu)佳，上網(wǎng)總(zong)掉線，點位規(guī)(gui)劃不合理，信(xin)號盲區(qū)多(duo)

5、漫游效果差(cha)：不能實現(xiàn)二三(san)層漫游，移動(dong)辦公時，業(yè)(ye)務(wù)中斷

解決方案：

結(jié)合用戶無(wu)線網(wǎng)(wang)絡(luò)需求情況(kuang)，結(jié)合(he)產(chǎn)品自身(shen)技術(shù)特點(dian)，為了滿(man)足用戶構(gòu)建一(yi)個高速、穩(wěn)定、安(an)全、可靠(kao)、易于(yu)管理的無線接(jie)入網(wǎng)絡(luò)的需求(qiu)，本設(shè)計方案(an)按照AP+AC的結(jié)(jie)構(gòu)化無(wu)線網(wǎng)(wang)絡(luò)解決方(fang)案進行設(shè)(she)計。具體(ti)設(shè)計為(wei)在總部設(shè)(she)置總部AC,在(zai)大型(xing)分支機(ji)構(gòu)設(shè)置(zhi)分支AC與分(fen)支AP，中型(xing)分支機(ji)構(gòu)設(shè)計(ji)二級，三級交換(huan)機，分支(zhi)AP。小微(wei)型分支(zhi)機構(gòu)直接(jie)設(shè)置分支(zhi)AP。總部AC可以對(dui)大型分支(zhi)機構(gòu)(gou)的AC進(jin)行管(guan)理，當(dāng)網(wǎng)點(dian)控制器采(cai)用集中管理的(de)模式(shi)進入到中(zhong)心端控制器時(shi)，會自動下載中(zhong)心端(duan)的公共配置，比(bi)如IP組、MAC地(di)址庫、時間計(ji)劃、角色授權(quán)、認(ren)證頁(ye)面等 ?？偛?bu)AC也可(ke)以直接管理中(zhong)小型(xing)分支(zhi)機構(gòu)(gou)的分(fen)支AP，實(shi)現(xiàn)統(tǒng)一管理。

方案設(shè)(she)計：

安全無線(xian)整體解(jie)決方案：

接入前&接入時(shi)進行身(shen)份認證、安(an)全無線網(wǎng)卡(ka)、賬號綁(bang)定（硬件碼+手(shou)機號），非法(fa)熱點檢測(ce)及防御、網(wǎng)絡(luò)攻(gong)擊防護、射頻(pin)定時(shi)關(guān)閉及安(an)全加(jia)固。

接入后(hou)&上網(wǎng)時(shi)進行訪(fang)問權(quán)限控(kong)制。

上網(wǎng)后(hou)進行上網(wǎng)行為(wei)記錄(lu)。

上網(wǎng)(wang)用戶(hu)身份實(shi)名認(ren)證：

無線辦公網(wǎng)(wang)采用802.1X/Portal/WAPI認證，外置(zhi)AAA和RADIUS+AD用于(yu)存儲用(yong)戶賬號密碼(ma)。

每個賬號對應(yīng)(ying)一個(ge)員工(gong)，包括姓名(ming)、部門(men)、性別以(yi)及身(shen)份證(zheng)、手機(ji)號等個人(ren)信息，保證(zheng)每個上網(wǎng)(wang)的賬號都(dou)是可尋的，便于(yu)安全管(guan)理。

用戶(hu)輸入賬號密碼(ma)上網(wǎng)(wang)驗證時均采(cai)用加密(mi)傳輸，防止黑客(ke)空中攔截，竊取(qu)賬號(hao)密碼等(deng)數(shù)據(jù)。

上網(wǎng)賬號(hao)自動綁定(ding)終端(duan)：

自動將(jiang)賬號(hao)與終端的硬件(jian)特征碼進行綁(bang)定，防止賬號被(bei)他人(ren)使用(yong)或者被(bei)盜用(yong)。

每臺設(shè)備的(de)硬件特征(zheng)碼是唯一的(de)，無法通過軟件(jian)修改。即使通(tong)過軟件修改了(le)仍然可以(yi)識別原始的。

每個賬號最多(duo)可以綁(bang)定5臺終端(duan)，超過1臺(tai)時需要管理員(yuan)審核。

上網(wǎng)賬(zhang)號二次綁定手(shou)機號(hao)碼：

賬號首次登(deng)陸時需要綁定(ding)手機號并(bing)輸入短信(xin)驗證碼(ma)，當(dāng)用戶賬號(hao)在新終(zhong)端登陸時（換(huan)終端/被他(ta)用/被盜），不僅需(xu)要輸入密碼(ma)，還需(xu)要輸(shu)入短信驗證碼(ma)，解決員工賬(zhang)號認證(zheng)的安全問題

綁定手機(ji)號碼的用戶(hu)，可以(yi)自助重置密(mi)碼和修(xiu)改密(mi)碼，無(wu)需通過(guo)IT管理(li)員。

用戶密碼(ma)管理及自(zi)助修改(gai)：

無需通過管(guan)理員(yuan)即可修改密(mi)碼，提高(gao)效率及減輕管(guan)理員工作(zuo)壓力(li)。

通過口袋(dai)助理、釘釘、企業(yè)(ye)號等手(shou)機MOA類APP軟(ruan)件進行(xing)無線密碼修改(gai)。

若賬號綁定了(le)手機號碼(ma)，可通(tong)過手機(ji)驗證碼自助修(xiu)改。

上網(wǎng)終端合法(fa)效驗(yan)：

采用安全無(wu)線網(wǎng)卡接入無(wu)線網(wǎng)絡(luò)，終端(duan)與AP熱(re)點的雙向驗證(zheng)，提高安(an)全性。

可以將(jiang)無線網(wǎng)(wang)絡(luò)設(shè)置為只有(you)安裝了安全無(wu)線網(wǎng)(wang)卡的終端(duan)才能(neng)接入無線網(wǎng)絡(luò)(luo)。

支持設(shè)置安全(quan)無線(xian)網(wǎng)卡只能連(lian)指定(ding)SSID無線網(wǎng)(wang)絡(luò)，無法連接非(fei)授權(quán)SSID。

網(wǎng)卡與AP數(shù)據(jù)(ju)傳輸(shu)時自動(dong)進行數(shù)據(jù)加(jia)密，保證無(wu)線的空(kong)口安全。

無線熱點(dian)掃描及非法(fa)熱點抑制：

背景(jing)：黑客在(zai)附近(jin)搭建(jian)一個(ge)一模(mo)一樣或者(zhe)類似的WIFI名稱(cheng)，誘使(shi)用戶連到虛假(jia)釣魚(yu)WIFI上，黑客利用(yong)分析軟件從用(yong)戶上網(wǎng)產(chǎn)(chan)生的數(shù)據(jù)包(bao)中分析提(ti)取用戶隱私信(xin)息。

我們通過WIPS無線(xian)入侵防(fang)御系(xi)統(tǒng)實時(shi)檢測周圍無(wu)線信號，當(dāng)檢(jian)測出來(lai)的信(xin)號BSSID、且AP源MAC地(di)址不(bu)在授權(quán)列(lie)表中時，我們(men)向?qū)?yīng)的AP和終(zhong)端發(fā)送解除(chu)關(guān)聯(lián)(lian)幀，讓終端無法(fa)連上釣魚WIFI。7×24小(xiao)時不間斷(duan)監(jiān)測網(wǎng)絡(luò)(luo)。

上網(wǎng)行為(wei)嚴格控制(zhi)：

強大的管(guan)理：通(tong)過應(yīng)用識別技(ji)術(shù)，可(ke)以根據(jù)應(yīng)(ying)用類型或(huo)者具(ju)體某一種應(yīng)用(yong)進行封堵，包(bao)括視頻、論壇(tan)、游戲、金融(rong)、下載(zai)等2400多種網(wǎng)絡(luò)(luo)應(yīng)用。

通過應(yīng)用(yong)識別技術(shù)，可(ke)以根(gen)據(jù)應(yīng)用(yong)類型或者具體(ti)某一(yi)種應(yīng)用進行(xing)封堵(du)，比如上(shang)班時間(jian)不允許炒(chao)股，不允(yun)許P2P下載，不允許(xu)外發(fā)敏感文(wen)件等； 支持(chi)主流移動平臺(tai)，可識(shi)別IM、社(she)交、Mail、新聞、炒股(gu)等應(yīng)用。

無線控(kong)制器內(nèi)(nei)置千萬(wan)級別的URL分類庫(ku)，能夠?qū)?dui)URL進行識別，包(bao)含新聞、購物(wu)、金融、教(jiao)育等18個(ge)種類的URL地址(zhi)； 準確識(shi)別目前主流網(wǎng)(wang)站，識別率高(gao)達99.9%，有(you)效實現(xiàn)網(wǎng)頁過(guo)濾。例(li)如禁止登(deng)陸非法網(wǎng)站(zhan)

通過(guo)基于(yu)時間(jian)段的訪問(wen)控制策略，實現(xiàn)(xian)不同的時間段(duan)不同的訪(fang)問權(quán)限，比如(ru)上班(ban)時間(jian)，禁止(zhi)訪問網(wǎng)(wang)上銀行、游(you)戲、論壇(tan)貼吧等與工作(zuo)無關(guān)的應(yīng)用，下(xia)班時(shi)間則不受(shou)限制。

辦公區(qū)域內(nèi)(nei)，不同辦公部門(men)總會(hui)有各自專(zhuan)屬的無線網(wǎng)(wang)絡(luò)，并且(qie)不希望部門之(zhi)外的成(cheng)員使用這(zhe)個網(wǎng)(wang)絡(luò)。無線(xian)網(wǎng)絡(luò)控制器可(ke)以根據(jù)用戶(hu)的屬性(xing)，限制禁止非本(ben)部門的用戶接(jie)入。

典型無線(xian)網(wǎng)絡(luò)攻擊防護(hu)：

對典型的危險(xian)攻擊行為(wei)進行檢測，當(dāng)(dang)超過設(shè)定的(de)閾值后自動將(jiang)攻擊者加(jia)入到黑(hei)名單中，并凍(dong)結(jié)一定時(shi)間，即(ji)時發(fā)現(xiàn)網(wǎng)絡(luò)攻(gong)擊并進行(xing)防御。

檢測的攻(gong)擊包括：DDOS防御(yu)、ARP掃描(miao)、IP掃描、端口掃(sao)描防御，禁止客(ke)戶端(duan)私設(shè)IP以及ARP、網(wǎng)(wang)關(guān)欺騙防(fang)御、DHCP請求(qiu)泛洪防御。

無線射(she)頻定時關(guān)閉(bi)開啟：

通過射(she)頻關(guān)閉控制(zhi)策略，可(ke)以指定某SSID網(wǎng)(wang)絡(luò)，定(ding)時自動(dong)關(guān)閉和開啟無(wu)線網(wǎng)絡(luò)的射(she)頻信號，晚上下(xia)班后自動(dong)關(guān)閉無線(xian)射頻信號。

一方面可以(yi)節(jié)能減排、節(jié)(jie)省電費支出；另(ling)一方面(mian)又能防(fang)止非法(fa)用戶利用深(shen)夜時間(jian)入侵無線網(wǎng)(wang)絡(luò)，做一些(xie)非法(fa)的操作。

有線無線一體(ti)化管(guan)理：

NAC的有線無線(xian)一體化，支持對(dui)有線(xian)用戶的接入(ru)認證、訪問(wen)控制、流量管(guan)理、上網(wǎng)行為(wei)審計等，

并提(ti)供統(tǒng)一中文Web管(guan)理界面，一站式(shi)服務(wù)，極大的降(jiang)低網(wǎng)絡(luò)建(jian)設(shè)成本。

網(wǎng)絡(luò)分權(quán)(quan)分級管理(li)：

分配不同(tong)的管理員(yuan)分別管理各自(zi)權(quán)限區(qū)域(yu)的無線AP，可(ke)以精細(xi)到對某AP分組(zu)有管理(li)權(quán)限，該管理(li)員可以在該(gai)AP分組(zu)上建立(li)無線網(wǎng)絡(luò)，能夠(gou)激活、刪除接入(ru)點，能夠?qū)?dui)AP的配置進(jin)行編輯修改(gai)。

可指定管(guan)理員針(zhen)對每個頁(ye)面的(de)編輯(ji)或可(ke)查看權(quán)(quan)限，控制粒(li)度到控(kong)制器(qi)上的各(ge)個頁面，對某個(ge)頁面沒有讀權(quán)(quan)限則登錄時(shi)不顯示。

移動APP隨時(shi)隨地(di)運維管理：

支持(chi)跨互聯(lián)網(wǎng)運維(wei)管理

登陸APP進(jin)行維護(hu)管理：不同管理(li)員，不(bu)同權(quán)限(xian)

查看(kan)網(wǎng)絡(luò)運(yun)行情況：在(zai)線用戶、在線(xian)AP數(shù)量、實時(shi)流量

無線網(wǎng)絡(luò)(luo)管理(li)維護：開(kai)啟關(guān)閉(bi)SSID、終端(duan)綁定審批(pi)、二維碼上網(wǎng)審(shen)核

故障、審批(pi)實時(shi)通知：AP離(li)線警告、服務(wù)器(qi)離線警告、網(wǎng)(wang)絡(luò)攻擊告(gao)警

方案優(yōu)勢：

1、最豐富的(de)無線安(an)全機制，提供從(cong)安全(quan)接入(ru)到安(an)全上網(wǎng)(wang)等端到端的安(an)全策略

2、合理管控(kong)工作(zuo)人員上網(wǎng)行為(wei)，提升(sheng)工作效率、防(fang)止帶(dai)寬浪費，有線(xian)無線雙(shuang)重管控

3、為會(hui)議室(shi)，報告廳(ting)等人員(yuan)密集區(qū)域接(jie)入網(wǎng)絡(luò)(luo)提高保證，解(jie)決有線網(wǎng)口(kou)不足的問題(ti)；

4、為企業(yè)(ye)員工的移(yi)動辦公提(ti)供支撐(cheng)，內(nèi)部員工可通(tong)過無線網(wǎng)絡(luò)隨(sui)時安全接(jie)入內(nèi)(nei)部網(wǎng)(wang)絡(luò)，實現(xiàn)辦(ban)公；

5、內(nèi)部員(yuan)工賬號及個人(ren)信息綁定，便(bian)于安全管理(li)；

6、內(nèi)部員工(gong)可通(tong)過自己的辦公(gong)設(shè)備在企業(yè)大(da)樓內(nèi)(nei)快速移動(dong)辦公，網(wǎng)絡(luò)(luo)接入更快(kuai)速，上網(wǎng)(wang)行為管理系(xi)統(tǒng)對員(yuan)工上網(wǎng)行(xing)為進(jin)行審計與管(guan)控

7、來訪客戶(hu)接入企(qi)業(yè)網(wǎng)(wang)絡(luò)，可根(gen)據(jù)不同需(xu)求，分配(pei)不同的上網(wǎng)權(quán)(quan)限，保證了接(jie)入的安全性同(tong)時提升群眾上(shang)網(wǎng)的體驗(yan)

8、豐富的認(ren)證機制，滿(man)足組織(zhi)對無(wu)線網(wǎng)(wang)絡(luò)安(an)全、快速(su)接入

9、投資成本低(di)，通過部署(shu)無線控制器替(ti)換原有(you)網(wǎng)絡(luò)的(de)出口路(lu)由、行(xing)為管理(li)以及無線控制(zhi)器