?
大型(xing)企業(yè)在無線(xian)網(wǎng)絡(luò)建設(shè)期間(jian)要充分考慮(lv)訪客(領(lǐng)導(dǎo)(dao)��、客戶、合作(zuo)伙伴)接入網(wǎng)絡(luò)(luo)的需求��。首先從(cong)安全性考慮,訪(fang)客網(wǎng)絡(luò)必須要(yao)和辦公(gong)網(wǎng)絡(luò)分(fen)開,訪客(ke)網(wǎng)絡(luò)單(dan)獨(dú)提(ti)供給訪客使(shi)用��。從用戶(hu)體驗(yàn)角度(du)考慮��,訪(fang)客接(jie)入網(wǎng)絡(luò)(luo)的驗(yàn)證方式(shi)一定要(yao)做到(dao)簡單易行��,繁(fan)瑣的驗(yàn)證方式(shi)會降低訪(fang)客對(dui)企業(yè)的整體(ti)印象��。同時(shi)對于訪客(ke)網(wǎng)絡(luò)��,企業(yè)還需(xu)要建立完善(shan)的網(wǎng)絡(luò)安(an)全管理機(jī)制(zhi)��,避免由于訪客(ke)的網(wǎng)(wang)絡(luò)不良訪問給(gei)企業(yè)帶來(lai)的法律風(fēng)險(xiǎn)��。對(dui)于企業(yè)員工(gong)移動辦(ban)公上(shang)網(wǎng)��,更需要做到(dao)可管控��,上網(wǎng)(wang)行為(wei)做到可追溯��,企(qi)業(yè)有效的帶寬(kuan)資源(yuan)得到合理(li)的分配和保(bao)證��,才能使企業(yè)(ye)的業(yè)務(wù)(wu)系統(tǒng)正常且穩(wěn)(wen)定高效地運(yùn)行(xing)��,同時保證企業(yè)(ye)信息安全��,避(bi)免機(jī)密信息泄(xie)露��。
存在的(de)問題(用(yong)戶需求)
1��、接入(ru)不安全(quan):缺乏安(an)全可靠(kao)的認(rèn)證機(jī)制(zhi)��,企業(yè)無線網(wǎng)絡(luò)(luo)接入不安全
2��、上網(wǎng)權(quán)限混亂(luan):缺乏有效的控(kong)制策(ce)略��,員工上(shang)網(wǎng)權(quán)限不分(fen)明
3��、數(shù)據(jù)(ju)信息安全(quan):缺乏有效(xiao)的數(shù)據(jù)加密(mi)機(jī)制��,企(qi)業(yè)數(shù)(shu)據(jù)被(bei)黑客竊取篡改(gai)
4��、無線信號差:AP性(xing)能不佳��,上網(wǎng)(wang)總掉(diao)線��,點(diǎn)位(wei)規(guī)劃不合理��,信(xin)號盲區(qū)多
5��、漫游(you)效果差:不能實(shí)(shi)現(xiàn)二三(san)層漫游��,移動辦(ban)公時,業(yè)務(wù)中(zhong)斷
解決方(fang)案:
結(jié)合用戶無線(xian)網(wǎng)絡(luò)需求情(qing)況��,結(jié)合產(chǎn)品自(zi)身技術(shù)特點(diǎn)��,為(wei)了滿足用戶(hu)構(gòu)建一個高速(su)��、穩(wěn)定��、安全(quan)��、可靠��、易于管(guan)理的無線接(jie)入網(wǎng)絡(luò)的(de)需求��,本設(shè)計(jì)(ji)方案按照(zhao)AP+AC的結(jié)構(gòu)(gou)化無線網(wǎng)(wang)絡(luò)解決方案進(jìn)(jin)行設(shè)計(jì)��。具體(ti)設(shè)計(jì)為在總(zong)部設(shè)置總部AC,在(zai)大型分支機(jī)構(gòu)(gou)設(shè)置分(fen)支AC與分支(zhi)AP��,中型分支(zhi)機(jī)構(gòu)設(shè)計(jì)二級(ji)��,三級交換機(jī)��,分(fen)支AP��。小(xiao)微型(xing)分支(zhi)機(jī)構(gòu)直接設(shè)(she)置分支AP��。總(zong)部AC可以對大型(xing)分支機(jī)構(gòu)的(de)AC進(jìn)行管(guan)理��,當(dāng)網(wǎng)點(diǎn)控(kong)制器采用集中(zhong)管理的模式進(jìn)(jin)入到中心端(duan)控制器時��,會自(zi)動下(xia)載中(zhong)心端的公共配(pei)置��,比(bi)如IP組��、MAC地址(zhi)庫��、時間計(jì)劃��、角(jiao)色授(shou)權(quán)��、認(rèn)證頁(ye)面等 ��?�?偛緼C也(ye)可以直(zhi)接管理(li)中小型分(fen)支機(jī)構(gòu)的(de)分支AP��,實(shí)現(xiàn)統(tǒng)(tong)一管理��。
方案設(shè)計(jì):
安全(quan)無線整體(ti)解決方案:
接入前&接入時(shi)進(jìn)行身(shen)份認(rèn)證��、安全(quan)無線網(wǎng)卡��、賬(zhang)號綁定(ding)(硬件碼+手(shou)機(jī)號)��,非法熱(re)點(diǎn)檢測及(ji)防御��、網(wǎng)(wang)絡(luò)攻(gong)擊防護(hù)��、射頻(pin)定時(shi)關(guān)閉及(ji)安全加固��。
接入(ru)后&上網(wǎng)時進(jìn)行(xing)訪問(wen)權(quán)限控制��。
上網(wǎng)后進(jìn)行上(shang)網(wǎng)行為記錄��。
上網(wǎng)(wang)用戶(hu)身份實(shí)名認(rèn)證(zheng):
無線(xian)辦公網(wǎng)采用802.1X/Portal/WAPI認(rèn)(ren)證��,外置AAA和RADIUS+AD用(yong)于存儲用(yong)戶賬號(hao)密碼��。
每個賬號(hao)對應(yīng)(ying)一個員工��,包(bao)括姓名��、部門(men)��、性別(bie)以及身(shen)份證��、手(shou)機(jī)號等個人(ren)信息��,保證每個(ge)上網(wǎng)(wang)的賬(zhang)號都是可尋(xun)的,便于安全管(guan)理��。
用戶輸入賬號(hao)密碼上網(wǎng)驗(yàn)證(zheng)時均采用(yong)加密傳(chuan)輸��,防止(zhi)黑客空中攔截(jie)��,竊取賬號密(mi)碼等(deng)數(shù)據(jù)��。
上網(wǎng)賬號自(zi)動綁定終端(duan):
自動將賬號與(yu)終端的(de)硬件特征碼進(jìn)(jin)行綁定��,防(fang)止賬號被(bei)他人使用或者(zhe)被盜用��。
每臺(tai)設(shè)備的硬件特(te)征碼是(shi)唯一的��,無(wu)法通過軟(ruan)件修改��。即使(shi)通過軟(ruan)件修改了(le)仍然可以(yi)識別原始(shi)的��。
每個賬號最(zui)多可以綁(bang)定5臺終(zhong)端��,超過1臺(tai)時需(xu)要管理員(yuan)審核��。
上網(wǎng)(wang)賬號二次綁定(ding)手機(jī)號碼:
賬號首(shou)次登陸時(shi)需要(yao)綁定(ding)手機(jī)號(hao)并輸入短(duan)信驗(yàn)證碼��,當(dāng)(dang)用戶賬號在新(xin)終端登陸時(shi)(換終端/被他(ta)用/被(bei)盜)��,不僅需(xu)要輸入(ru)密碼��,還需要(yao)輸入短信(xin)驗(yàn)證(zheng)碼��,解決員(yuan)工賬號認(rèn)證的(de)安全問(wen)題
綁定(ding)手機(jī)號碼(ma)的用戶��,可(ke)以自助重置(zhi)密碼(ma)和修改密(mi)碼��,無需通過IT管(guan)理員��。
用戶密碼(ma)管理及自助修(xiu)改:
無需通過管(guan)理員(yuan)即可修改密(mi)碼��,提高效率(lv)及減輕管理(li)員工作壓力��。
通過口(kou)袋助理��、釘釘��、企(qi)業(yè)號等手機(jī)(ji)MOA類APP軟件(jian)進(jìn)行(xing)無線密碼修改(gai)��。
若賬號綁(bang)定了手(shou)機(jī)號碼��,可通(tong)過手機(jī)(ji)驗(yàn)證碼(ma)自助(zhu)修改��。
上網(wǎng)終(zhong)端合(he)法效(xiao)驗(yàn):
采用安(an)全無線(xian)網(wǎng)卡接入(ru)無線網(wǎng)絡(luò),終(zhong)端與AP熱點(diǎn)的雙(shuang)向驗(yàn)證��,提(ti)高安全性��。
可以將(jiang)無線網(wǎng)(wang)絡(luò)設(shè)置(zhi)為只有安裝(zhuang)了安全(quan)無線網(wǎng)卡的終(zhong)端才(cai)能接入(ru)無線網(wǎng)絡(luò)��。
支持(chi)設(shè)置安(an)全無線(xian)網(wǎng)卡只能(neng)連指定SSID無線網(wǎng)(wang)絡(luò)��,無法(fa)連接非授(shou)權(quán)SSID��。
網(wǎng)卡(ka)與AP數(shù)據(jù)傳輸時(shi)自動進(jìn)(jin)行數(shù)(shu)據(jù)加密��,保證(zheng)無線的空(kong)口安全��。
無線熱點(diǎn)(dian)掃描及(ji)非法熱點(diǎn)抑(yi)制:
背景(jing):黑客在附近(jin)搭建(jian)一個一模一樣(yang)或者(zhe)類似的(de)WIFI名稱��,誘使用戶(hu)連到虛(xu)假釣魚(yu)WIFI上��,黑客利用分(fen)析軟(ruan)件從(cong)用戶上網(wǎng)(wang)產(chǎn)生(sheng)的數(shù)據(jù)包中(zhong)分析(xi)提取用戶(hu)隱私信息(xi)��。
我們通過WIPS無(wu)線入侵防御(yu)系統(tǒng)(tong)實(shí)時檢測周(zhou)圍無線(xian)信號(hao)��,當(dāng)檢測(ce)出來(lai)的信(xin)號BSSID��、且AP源MAC地址(zhi)不在授權(quán)(quan)列表中時��,我們(men)向?qū)?yīng)的AP和(he)終端發(fā)(fa)送解(jie)除關(guān)聯(lián)幀��,讓(rang)終端無(wu)法連上釣魚(yu)WIFI��。7×24小時不(bu)間斷監(jiān)測(ce)網(wǎng)絡(luò)(luo)��。
上網(wǎng)(wang)行為嚴(yán)格控(kong)制:
強(qiáng)大的管(guan)理:通(tong)過應(yīng)用識別(bie)技術(shù)(shu)��,可以根(gen)據(jù)應(yīng)用類型(xing)或者具體某(mou)一種應(yīng)(ying)用進(jìn)行封堵��,包(bao)括視頻��、論壇��、游(you)戲��、金融��、下載等(deng)2400多種(zhong)網(wǎng)絡(luò)應(yīng)用��。
通過(guo)應(yīng)用(yong)識別(bie)技術(shù)��,可(ke)以根據(jù)應(yīng)(ying)用類型或者(zhe)具體某一(yi)種應(yīng)用進(jìn)(jin)行封堵��,比(bi)如上班時(shi)間不允許炒股(gu)��,不允許P2P下(xia)載,不允許(xu)外發(fā)敏感文(wen)件等(deng)��; 支持主流(liu)移動平臺��,可(ke)識別IM��、社交��、Mail��、新聞(wen)��、炒股等應(yīng)用(yong)��。
無線控(kong)制器內(nèi)置(zhi)千萬級別(bie)的URL分(fen)類庫��,能夠?qū)RL進(jìn)(jin)行識別��,包(bao)含新(xin)聞��、購(gou)物��、金融(rong)��、教育等18個(ge)種類(lei)的URL地址(zhi)��; 準(zhǔn)確識別(bie)目前(qian)主流(liu)網(wǎng)站(zhan)��,識別率(lv)高達(dá)(da)99.9%��,有效實(shí)現(xiàn)網(wǎng)頁(ye)過濾��。例如禁止(zhi)登陸非法網(wǎng)站(zhan)
通過基(ji)于時間段(duan)的訪問控制策(ce)略��,實(shí)現(xiàn)不(bu)同的時間段不(bu)同的訪問(wen)權(quán)限(xian)��,比如上班時(shi)間��,禁止訪(fang)問網(wǎng)上銀行(xing)��、游戲��、論壇貼(tie)吧等與(yu)工作(zuo)無關(guān)的(de)應(yīng)用��,下(xia)班時間則不(bu)受限制��。
辦公區(qū)域(yu)內(nèi)��,不同辦公部(bu)門總會有(you)各自(zi)專屬(shu)的無線(xian)網(wǎng)絡(luò)(luo)��,并且不希望(wang)部門(men)之外的成員(yuan)使用這個網(wǎng)(wang)絡(luò)��。無線網(wǎng)絡(luò)控(kong)制器可(ke)以根(gen)據(jù)用(yong)戶的屬(shu)性,限(xian)制禁止非(fei)本部門(men)的用戶(hu)接入��。
典型無線(xian)網(wǎng)絡(luò)攻(gong)擊防護(hù):
對典型(xing)的危險(xiǎn)(xian)攻擊行為(wei)進(jìn)行檢測��,當(dāng)超(chao)過設(shè)(she)定的閾值后自(zi)動將攻擊者加(jia)入到(dao)黑名單中(zhong)��,并凍結(jié)一定(ding)時間��,即時(shi)發(fā)現(xiàn)網(wǎng)絡(luò)攻(gong)擊并進(jìn)(jin)行防御��。
檢測的攻擊(ji)包括:DDOS防御��、ARP掃描(miao)��、IP掃描��、端(duan)口掃描防(fang)御��,禁止客戶(hu)端私設(shè)IP以(yi)及ARP��、網(wǎng)關(guān)(guan)欺騙防御(yu)��、DHCP請求泛洪(hong)防御��。
無線射頻定(ding)時關(guān)(guan)閉開啟:
通過射頻關(guān)(guan)閉控制策略��,可(ke)以指定某SSID網(wǎng)絡(luò)(luo)��,定時自動關(guān)閉(bi)和開啟無(wu)線網(wǎng)絡(luò)的(de)射頻信號��,晚上(shang)下班后自動關(guān)(guan)閉無(wu)線射頻信號��。
一方面可以節(jié)(jie)能減排��、節(jié)省電(dian)費(fèi)支出��;另一(yi)方面又能防止(zhi)非法用戶利用(yong)深夜時(shi)間入侵無(wu)線網(wǎng)絡(luò)��,做一些(xie)非法的操(cao)作��。
有線無線(xian)一體化管理:
NAC的有線無(wu)線一(yi)體化��,支持對(dui)有線(xian)用戶的接入(ru)認(rèn)證��、訪問控制(zhi)��、流量管理��、上網(wǎng)(wang)行為審計(jì)(ji)等��,
并提(ti)供統(tǒng)(tong)一中文Web管理(li)界面(mian)��,一站式服務(wù)(wu),極大(da)的降低網(wǎng)絡(luò)(luo)建設(shè)成本��。
網(wǎng)絡(luò)分(fen)權(quán)分級(ji)管理:
分配不同(tong)的管理(li)員分別(bie)管理各自權(quán)限(xian)區(qū)域的無線AP��,可(ke)以精細(xì)到對(dui)某AP分組(zu)有管理權(quán)(quan)限��,該(gai)管理員(yuan)可以在該AP分(fen)組上建立無線(xian)網(wǎng)絡(luò)��,能夠激活(huo)��、刪除接入點(diǎn)��,能(neng)夠?qū)?dui)AP的配置進(jìn)行編(bian)輯修改��。
可指定管(guan)理員針對(dui)每個(ge)頁面(mian)的編輯(ji)或可查(cha)看權(quán)限��,控制(zhi)粒度(du)到控(kong)制器上的各(ge)個頁面��,對(dui)某個頁(ye)面沒有讀權(quán)(quan)限則登(deng)錄時不顯(xian)示��。
移動(dong)APP隨時隨地運(yùn)維(wei)管理(li):
支持跨互(hu)聯(lián)網(wǎng)運(yùn)(yun)維管理
登陸(lu)APP進(jìn)行維(wei)護(hù)管理:不同(tong)管理(li)員��,不(bu)同權(quán)限
查看網(wǎng)絡(luò)(luo)運(yùn)行情況:在(zai)線用戶��、在(zai)線AP數(shù)(shu)量��、實(shí)(shi)時流量
無線網(wǎng)絡(luò)(luo)管理(li)維護(hù):開(kai)啟關(guān)閉(bi)SSID��、終端綁定審批(pi)��、二維碼上網(wǎng)審(shen)核
故障��、審(shen)批實(shí)時通知:AP離(li)線警告��、服務(wù)器(qi)離線警告(gao)��、網(wǎng)絡(luò)攻擊告(gao)警
方案優(yōu)勢(shi):
1、最豐(feng)富的無線安全(quan)機(jī)制(zhi),提供從安全接(jie)入到安(an)全上(shang)網(wǎng)等端到(dao)端的安全(quan)策略
2��、合理管(guan)控工作(zuo)人員上網(wǎng)行(xing)為��,提升工作效(xiao)率��、防止帶寬浪(lang)費(fèi)��,有(you)線無(wu)線雙重管(guan)控
3��、為會議(yi)室��,報(bào)告(gao)廳等人員密(mi)集區(qū)域接入(ru)網(wǎng)絡(luò)提(ti)高保證(zheng)��,解決有線(xian)網(wǎng)口(kou)不足的問題��;
4��、為企業(yè)員工(gong)的移(yi)動辦公提供(gong)支撐��,內(nèi)部(bu)員工可(ke)通過(guo)無線(xian)網(wǎng)絡(luò)隨時(shi)安全接入內(nèi)部(bu)網(wǎng)絡(luò)��,實(shí)(shi)現(xiàn)辦公��;
5��、內(nèi)部員工(gong)賬號及個(ge)人信(xin)息綁(bang)定��,便于安全管(guan)理��;
6��、內(nèi)部員工(gong)可通過(guo)自己的辦公設(shè)(she)備在企(qi)業(yè)大(da)樓內(nèi)快速移(yi)動辦公��,網(wǎng)絡(luò)接(jie)入更快(kuai)速��,上網(wǎng)行為管(guan)理系統(tǒng)對員工(gong)上網(wǎng)行(xing)為進(jìn)行(xing)審計(jì)與管控
7��、來訪(fang)客戶接入企(qi)業(yè)網(wǎng)絡(luò)��,可根據(jù)(ju)不同需求(qiu),分配不同的上(shang)網(wǎng)權(quán)限��,保證(zheng)了接入的安全(quan)性同時提(ti)升群(qun)眾上網(wǎng)的體驗(yàn)(yan)
8��、豐富的認(rèn)(ren)證機(jī)制��,滿(man)足組織對無(wu)線網(wǎng)絡(luò)(luo)安全��、快速(su)接入
9��、投資成(cheng)本低��,通(tong)過部署無線(xian)控制器(qi)替換原(yuan)有網(wǎng)絡(luò)(luo)的出口(kou)路由(you)��、行為管(guan)理以及無線(xian)控制器
