?
大型(xing)企業(yè)在無(wú)(wu)線網(wǎng)絡(luò)建設(shè)(she)期間要充分考(kao)慮訪客(領(lǐng)導(dǎo)、客(ke)戶、合作伙伴(ban))接入網(wǎng)絡(luò)(luo)的需(xu)求����。首先從(cong)安全性考慮����,訪(fang)客網(wǎng)絡(luò)必(bi)須要(yao)和辦公網(wǎng)絡(luò)分(fen)開(kāi),訪客網(wǎng)絡(luò)(luo)單獨(dú)提供(gong)給訪客使用����。從(cong)用戶體驗(yàn)(yan)角度(du)考慮,訪客接入(ru)網(wǎng)絡(luò)(luo)的驗(yàn)證方(fang)式一定要做到(dao)簡(jiǎn)單易行(xing)����,繁瑣的驗(yàn)(yan)證方式會(huì)降低(di)訪客(ke)對(duì)企(qi)業(yè)的整體印象(xiang)。同時(shí)對(duì)(dui)于訪客網(wǎng)絡(luò)(luo)����,企業(yè)還(hai)需要建立(li)完善的(de)網(wǎng)絡(luò)安全管(guan)理機(jī)制,避免(mian)由于訪客的網(wǎng)(wang)絡(luò)不良訪問(wèn)(wen)給企業(yè)帶(dai)來(lái)的法律(lv)風(fēng)險(xiǎn)(xian)����。對(duì)于企(qi)業(yè)員工(gong)移動(dòng)(dong)辦公上網(wǎng)����,更需(xu)要做到可管控(kong)����,上網(wǎng)(wang)行為做到可(ke)追溯,企(qi)業(yè)有效(xiao)的帶寬資(zi)源得到合理的(de)分配和保(bao)證����,才能使企業(yè)(ye)的業(yè)務(wù)系(xi)統(tǒng)正常(chang)且穩(wěn)定高(gao)效地運(yùn)行,同時(shí)(shi)保證企業(yè)(ye)信息安全����,避(bi)免機(jī)密(mi)信息泄露。
存在的問(wèn)題(用(yong)戶需(xu)求)
1����、接入不安全:缺(que)乏安全可靠(kao)的認(rèn)證機(jī)制,企(qi)業(yè)無(wú)線網(wǎng)(wang)絡(luò)接入不安全(quan)
2����、上網(wǎng)權(quán)限(xian)混亂(luan):缺乏(fa)有效的控(kong)制策略,員(yuan)工上網(wǎng)權(quán)限不(bu)分明(ming)
3����、數(shù)據(jù)信(xin)息安全:缺(que)乏有效的(de)數(shù)據(jù)加密(mi)機(jī)制����,企(qi)業(yè)數(shù)據(jù)(ju)被黑客(ke)竊取(qu)篡改
4����、無(wú)線信號(hào)差(cha):AP性能不佳����,上(shang)網(wǎng)總掉線,點(diǎn)(dian)位規(guī)劃不合理(li)����,信號(hào)盲(mang)區(qū)多
5、漫游效果差:不(bu)能實(shí)現(xiàn)(xian)二三層(ceng)漫游����,移動(dòng)(dong)辦公時(shí),業(yè)務(wù)中(zhong)斷
解決方案:
結(jié)合用戶無(wú)(wu)線網(wǎng)絡(luò)(luo)需求情況����,結(jié)合(he)產(chǎn)品自身技術(shù)(shu)特點(diǎn),為了滿足(zu)用戶構(gòu)建一個(gè)(ge)高速����、穩(wěn)(wen)定����、安全(quan)����、可靠(kao)、易于(yu)管理的無(wú)線(xian)接入網(wǎng)(wang)絡(luò)的需(xu)求����,本設(shè)計(jì)(ji)方案按(an)照AP+AC的結(jié)(jie)構(gòu)化無(wú)(wu)線網(wǎng)絡(luò)解(jie)決方案進(jìn)行設(shè)(she)計(jì)。具(ju)體設(shè)計(jì)為在(zai)總部設(shè)置總部(bu)AC,在大型分支(zhi)機(jī)構(gòu)設(shè)(she)置分支AC與分(fen)支AP����,中型分(fen)支機(jī)(ji)構(gòu)設(shè)計(jì)(ji)二級(jí)(ji),三級(jí)交換(huan)機(jī)����,分支(zhi)AP。小微型分支機(jī)(ji)構(gòu)直(zhi)接設(shè)置(zhi)分支(zhi)AP����。總部AC可以對(duì)(dui)大型分支機(jī)構(gòu)(gou)的AC進(jìn)行管理����,當(dāng)(dang)網(wǎng)點(diǎn)控(kong)制器采(cai)用集(ji)中管(guan)理的模式進(jìn)(jin)入到中心端控(kong)制器(qi)時(shí)����,會(huì)自動(dòng)下載(zai)中心端(duan)的公共配置(zhi)����,比如IP組����、MAC地址庫(kù)(ku)、時(shí)間計(jì)劃����、角(jiao)色授權(quán)、認(rèn)證(zheng)頁(yè)面等 ����。總(zong)部AC也可(ke)以直接管(guan)理中(zhong)小型(xing)分支機(jī)構(gòu)(gou)的分支AP����,實(shí)現(xiàn)(xian)統(tǒng)一管理(li)。
方案設(shè)計(jì)(ji):
安全(quan)無(wú)線整體解(jie)決方案:
接入前&接入時(shí)(shi)進(jìn)行(xing)身份認(rèn)證����、安全(quan)無(wú)線網(wǎng)卡(ka)����、賬號(hào)綁定(ding)(硬件碼+手(shou)機(jī)號(hào)(hao))����,非法熱(re)點(diǎn)檢測(cè)及防(fang)御、網(wǎng)絡(luò)攻擊防(fang)護(hù)����、射頻定(ding)時(shí)關(guān)閉及安(an)全加固。
接入后&上網(wǎng)時(shí)(shi)進(jìn)行訪問(wèn)權(quán)限(xian)控制����。
上網(wǎng)后進(jìn)(jin)行上網(wǎng)(wang)行為記錄(lu)。
上網(wǎng)用戶身(shen)份實(shí)名認(rèn)證(zheng):
無(wú)線辦公(gong)網(wǎng)采用802.1X/Portal/WAPI認(rèn)證����,外(wai)置AAA和RADIUS+AD用于(yu)存儲(chǔ)用戶賬(zhang)號(hào)密碼。
每個(gè)賬(zhang)號(hào)對(duì)(dui)應(yīng)一(yi)個(gè)員工����,包括(kuo)姓名、部門(mén)����、性(xing)別以及身份(fen)證����、手機(jī)號(hào)等個(gè)(ge)人信(xin)息����,保證每(mei)個(gè)上網(wǎng)的賬號(hào)(hao)都是(shi)可尋的,便于安(an)全管理����。
用戶輸(shu)入賬號(hào)密碼(ma)上網(wǎng)(wang)驗(yàn)證時(shí)均(jun)采用(yong)加密傳輸����,防止(zhi)黑客(ke)空中攔截,竊(qie)取賬號(hào)密(mi)碼等數(shù)據(jù)����。
上網(wǎng)(wang)賬號(hào)自動(dòng)(dong)綁定終端:
自動(dòng)將賬(zhang)號(hào)與(yu)終端的硬件(jian)特征(zheng)碼進(jìn)行綁(bang)定,防止賬號(hào)(hao)被他人使用或(huo)者被盜用����。
每臺(tái)設(shè)(she)備的硬件特(te)征碼是唯(wei)一的,無(wú)法通(tong)過(guò)軟件修改(gai)����。即使通(tong)過(guò)軟(ruan)件修改了仍然(ran)可以識(shí)別原(yuan)始的����。
每個(gè)賬(zhang)號(hào)最多可(ke)以綁定(ding)5臺(tái)終端(duan)����,超過(guò)(guo)1臺(tái)時(shí)需要(yao)管理(li)員審核(he)。
上網(wǎng)賬號(hào)二(er)次綁定手機(jī)(ji)號(hào)碼:
賬號(hào)首次登陸(lu)時(shí)需要(yao)綁定手機(jī)號(hào)(hao)并輸入短信(xin)驗(yàn)證碼(ma)����,當(dāng)用戶賬號(hào)(hao)在新(xin)終端(duan)登陸時(shí)(換終端(duan)/被他用/被盜),不(bu)僅需要輸(shu)入密(mi)碼����,還需要(yao)輸入短(duan)信驗(yàn)證碼,解決(jue)員工賬號(hào)(hao)認(rèn)證的(de)安全(quan)問(wèn)題
綁定手(shou)機(jī)號(hào)碼的用(yong)戶����,可以自(zi)助重置密碼(ma)和修改密碼(ma),無(wú)需通過(guò)IT管(guan)理員����。
用戶密碼(ma)管理及自助(zhu)修改:
無(wú)需(xu)通過(guò)管(guan)理員即可修改(gai)密碼,提高效率(lv)及減輕管理員(yuan)工作壓力(li)。
通過(guò)口袋助(zhu)理����、釘釘(ding)、企業(yè)(ye)號(hào)等手機(jī)MOA類(lèi)APP軟(ruan)件進(jìn)行無(wú)線密(mi)碼修改����。
若賬號(hào)(hao)綁定了(le)手機(jī)(ji)號(hào)碼,可通過(guò)(guo)手機(jī)驗(yàn)(yan)證碼自(zi)助修(xiu)改����。
上網(wǎng)終端(duan)合法效(xiao)驗(yàn):
采用安全無(wú)線(xian)網(wǎng)卡(ka)接入無(wú)線(xian)網(wǎng)絡(luò),終端與AP熱(re)點(diǎn)的(de)雙向驗(yàn)(yan)證����,提高安全(quan)性。
可以將無(wú)線網(wǎng)(wang)絡(luò)設(shè)置為只(zhi)有安(an)裝了安全無(wú)(wu)線網(wǎng)卡的終(zhong)端才(cai)能接入(ru)無(wú)線網(wǎng)絡(luò)����。
支持(chi)設(shè)置安全(quan)無(wú)線網(wǎng)卡(ka)只能(neng)連指(zhi)定SSID無(wú)線網(wǎng)絡(luò)(luo)����,無(wú)法連接非授(shou)權(quán)SSID。
網(wǎng)卡與AP數(shù)據(jù)(ju)傳輸時(shí)自動(dòng)進(jìn)(jin)行數(shù)(shu)據(jù)加(jia)密����,保證無(wú)(wu)線的空口安(an)全����。
無(wú)線熱點(diǎn)掃(sao)描及非法熱點(diǎn)(dian)抑制:
背景:黑客在(zai)附近搭建一個(gè)(ge)一模一樣或(huo)者類(lèi)(lei)似的(de)WIFI名稱(chēng)����,誘(you)使用(yong)戶連到(dao)虛假釣魚(yú)(yu)WIFI上,黑客利用分(fen)析軟件從用(yong)戶上網(wǎng)(wang)產(chǎn)生(sheng)的數(shù)據(jù)包中(zhong)分析提取用(yong)戶隱私信息����。
我們通(tong)過(guò)WIPS無(wú)線入(ru)侵防(fang)御系統(tǒng)實(shí)時(shí)檢(jian)測(cè)周?chē)鸁o(wú)線信(xin)號(hào),當(dāng)檢(jian)測(cè)出來(lái)(lai)的信號(hào)BSSID����、且(qie)AP源MAC地址不在授(shou)權(quán)列表中時(shí),我(wo)們向?qū)?dui)應(yīng)的AP和(he)終端發(fā)送解除(chu)關(guān)聯(lián)(lian)幀����,讓終端(duan)無(wú)法(fa)連上釣魚(yú)WIFI。7×24小時(shí)(shi)不間斷(duan)監(jiān)測(cè)網(wǎng)絡(luò)����。
上網(wǎng)行(xing)為嚴(yán)格控制:
強(qiáng)大的管(guan)理:通過(guò)應(yīng)(ying)用識(shí)別(bie)技術(shù)(shu),可以根據(jù)應(yīng)(ying)用類(lèi)型或者具(ju)體某一種應(yīng)用(yong)進(jìn)行(xing)封堵����,包(bao)括視頻����、論(lun)壇����、游(you)戲、金融(rong)����、下載等2400多(duo)種網(wǎng)絡(luò)應(yīng)(ying)用。
通過(guò)應(yīng)用識(shí)別(bie)技術(shù)����,可以根據(jù)(ju)應(yīng)用類(lèi)(lei)型或者具(ju)體某(mou)一種應(yīng)用(yong)進(jìn)行封(feng)堵,比如上班時(shí)(shi)間不允許炒股(gu)����,不允許P2P下載(zai),不允許外發(fā)敏(min)感文(wen)件等����; 支持主(zhu)流移動(dòng)平(ping)臺(tái)����,可識(shí)(shi)別IM����、社交(jiao)����、Mail、新聞(wen)����、炒股等應(yīng)(ying)用。
無(wú)線控制器(qi)內(nèi)置千萬(wàn)級(jí)別(bie)的URL分類(lèi)庫(kù)����,能夠(gou)對(duì)URL進(jìn)行(xing)識(shí)別(bie),包含新聞����、購(gòu)(gou)物、金融(rong)����、教育(yu)等18個(gè)種(zhong)類(lèi)的URL地址(zhi); 準(zhǔn)確識(shí)(shi)別目前主流(liu)網(wǎng)站����,識(shí)別(bie)率高(gao)達(dá)99.9%����,有效(xiao)實(shí)現(xiàn)網(wǎng)(wang)頁(yè)過(guò)濾(lv)����。例如禁止(zhi)登陸非法網(wǎng)(wang)站
通過(guò)基于時(shí)(shi)間段的(de)訪問(wèn)控制策略(lve),實(shí)現(xiàn)(xian)不同的時(shí)間段(duan)不同的訪問(wèn)(wen)權(quán)限����,比(bi)如上班時(shí)間,禁(jin)止訪問(wèn)網(wǎng)(wang)上銀行����、游(you)戲、論壇(tan)貼吧等與(yu)工作(zuo)無(wú)關(guān)的應(yīng)(ying)用����,下班時(shí)間(jian)則不受限(xian)制。
辦公區(qū)域內(nèi)(nei)����,不同辦公部(bu)門(mén)總(zong)會(huì)有(you)各自專(zhuān)屬的(de)無(wú)線網(wǎng)絡(luò),并(bing)且不希(xi)望部門(mén)(men)之外的(de)成員使用這個(gè)(ge)網(wǎng)絡(luò)����。無(wú)線(xian)網(wǎng)絡(luò)(luo)控制器可以根(gen)據(jù)用(yong)戶的屬性(xing),限制禁止(zhi)非本(ben)部門(mén)的(de)用戶(hu)接入����。
典型無(wú)線網(wǎng)絡(luò)(luo)攻擊防護(hù):
對(duì)典型的(de)危險(xiǎn)(xian)攻擊行為進(jìn)(jin)行檢測(cè),當(dāng)超(chao)過(guò)設(shè)定的閾值(zhi)后自動(dòng)將(jiang)攻擊(ji)者加入到黑名(ming)單中����,并凍結(jié)(jie)一定時(shí)間(jian),即時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)(luo)攻擊并進(jìn)行(xing)防御����。
檢測(cè)的(de)攻擊包括(kuo):DDOS防御、ARP掃描����、IP掃(sao)描、端口掃描(miao)防御����,禁止客(ke)戶端私設(shè)IP以及(ji)ARP、網(wǎng)關(guān)欺騙防(fang)御����、DHCP請(qǐng)求泛(fan)洪防御����。
無(wú)線射頻(pin)定時(shí)(shi)關(guān)閉開(kāi)啟:
通過(guò)射頻(pin)關(guān)閉控(kong)制策略����,可以指(zhi)定某SSID網(wǎng)絡(luò),定時(shí)(shi)自動(dòng)關(guān)閉(bi)和開(kāi)啟無(wú)線(xian)網(wǎng)絡(luò)的射(she)頻信(xin)號(hào)����,晚上下(xia)班后自動(dòng)關(guān)閉(bi)無(wú)線射頻信號(hào)(hao)。
一方面(mian)可以節(jié)能(neng)減排����、節(jié)省電費(fèi)(fei)支出;另(ling)一方面又能(neng)防止非法(fa)用戶利用(yong)深夜時(shí)間(jian)入侵(qin)無(wú)線網(wǎng)絡(luò)����,做一(yi)些非法的操作(zuo)。
有線無(wú)線(xian)一體化管理:
NAC的有線無(wú)線(xian)一體化����,支持對(duì)(dui)有線用(yong)戶的接入(ru)認(rèn)證、訪(fang)問(wèn)控制����、流(liu)量管理����、上(shang)網(wǎng)行為審計(jì)(ji)等����,
并提供統(tǒng)(tong)一中文Web管理(li)界面����,一站(zhan)式服務(wù),極大的(de)降低網(wǎng)絡(luò)(luo)建設(shè)成(cheng)本����。
網(wǎng)絡(luò)(luo)分權(quán)分級(jí)管理(li):
分配不同的(de)管理員(yuan)分別(bie)管理各(ge)自權(quán)限區(qū)域的(de)無(wú)線(xian)AP,可以精細(xì)到(dao)對(duì)某(mou)AP分組有管理權(quán)(quan)限����,該管理員(yuan)可以在該AP分組(zu)上建立(li)無(wú)線網(wǎng)(wang)絡(luò),能夠(gou)激活����、刪除接(jie)入點(diǎn)(dian),能夠?qū)P的(de)配置(zhi)進(jìn)行編輯修改(gai)����。
可指定(ding)管理員針對(duì)(dui)每個(gè)頁(yè)面(mian)的編輯(ji)或可查看(kan)權(quán)限����,控制粒(li)度到控制器上(shang)的各個(gè)頁(yè)(ye)面����,對(duì)(dui)某個(gè)頁(yè)面沒(méi)有(you)讀權(quán)(quan)限則登錄時(shí)不(bu)顯示(shi)。
移動(dòng)(dong)APP隨時(shí)(shi)隨地運(yùn)維管理(li):
支持跨互聯(lián)(lian)網(wǎng)運(yùn)(yun)維管理
登陸APP進(jìn)行維(wei)護(hù)管理:不(bu)同管理(li)員����,不同(tong)權(quán)限
查看網(wǎng)絡(luò)運(yùn)行(xing)情況:在線(xian)用戶、在(zai)線AP數(shù)量(liang)����、實(shí)時(shí)流量
無(wú)線網(wǎng)絡(luò)管理(li)維護(hù):開(kāi)啟(qi)關(guān)閉SSID、終端(duan)綁定審批(pi)����、二維碼上(shang)網(wǎng)審核
故障、審批實(shí)(shi)時(shí)通知:AP離線警(jing)告����、服(fu)務(wù)器離線(xian)警告、網(wǎng)(wang)絡(luò)攻擊告警
方案優(yōu)勢(shì)(shi):
1����、最豐(feng)富的無(wú)線安全(quan)機(jī)制����,提供從安(an)全接(jie)入到安全上(shang)網(wǎng)等(deng)端到端的(de)安全策(ce)略
2����、合理管控工(gong)作人(ren)員上網(wǎng)行為(wei),提升工作效(xiao)率����、防止帶(dai)寬浪費(fèi)����,有線(xian)無(wú)線(xian)雙重管控(kong)
3、為會(huì)(hui)議室����,報(bào)(bao)告廳等人(ren)員密集區(qū)域接(jie)入網(wǎng)絡(luò)提高保(bao)證,解決(jue)有線網(wǎng)(wang)口不(bu)足的問(wèn)題(ti)����;
4、為企業(yè)員工(gong)的移動(dòng)(dong)辦公(gong)提供支(zhi)撐����,內(nèi)部(bu)員工可通過(guò)(guo)無(wú)線(xian)網(wǎng)絡(luò)(luo)隨時(shí)安全(quan)接入內(nèi)部網(wǎng)(wang)絡(luò)����,實(shí)現(xiàn)辦公����;
5、內(nèi)部(bu)員工賬號(hào)及個(gè)(ge)人信息(xi)綁定����,便于(yu)安全管理;
6����、內(nèi)部員(yuan)工可通(tong)過(guò)自己的(de)辦公設(shè)(she)備在(zai)企業(yè)大樓內(nèi)快(kuai)速移動(dòng)辦(ban)公,網(wǎng)絡(luò)接入(ru)更快速����,上網(wǎng)行(xing)為管(guan)理系統(tǒng)(tong)對(duì)員工上網(wǎng)(wang)行為進(jìn)行審(shen)計(jì)與管(guan)控
7、來(lái)訪客戶接入(ru)企業(yè)網(wǎng)(wang)絡(luò)����,可根據(jù)不(bu)同需(xu)求,分(fen)配不同的上(shang)網(wǎng)權(quán)限����,保證(zheng)了接入(ru)的安全性同時(shí)(shi)提升群(qun)眾上(shang)網(wǎng)的體(ti)驗(yàn)
8����、豐富的認(rèn)(ren)證機(jī)制(zhi)����,滿足(zu)組織對(duì)(dui)無(wú)線(xian)網(wǎng)絡(luò)安(an)全、快(kuai)速接入
9����、投資成(cheng)本低(di),通過(guò)部署無(wú)線(xian)控制器替換原(yuan)有網(wǎng)絡(luò)的出口(kou)路由����、行為管理(li)以及無(wú)線(xian)控制器
