?
大型(xing)企業(yè)在(zai)無線網(wǎng)絡建(jian)設期間要(yao)充分(fen)考慮訪客(領(ling)導、客戶、合作伙(huo)伴)接入網(wǎng)(wang)絡的需求(qiu)。首先從安全性(xing)考慮,訪客網(wǎng)(wang)絡必(bi)須要和辦公(gong)網(wǎng)絡分開(kai),訪客網(wǎng)絡(luo)單獨提供給訪(fang)客使用。從用戶(hu)體驗(yan)角度考(kao)慮,訪客接(jie)入網(wǎng)絡的驗證(zheng)方式(shi)一定要做到簡(jian)單易(yi)行,繁瑣的驗證(zheng)方式會降低訪(fang)客對企業(yè)的整(zheng)體印象。同時對(dui)于訪(fang)客網(wǎng)絡,企業(yè)(ye)還需要建(jian)立完善(shan)的網(wǎng)絡安(an)全管理(li)機制(zhi),避免由于(yu)訪客的網(wǎng)絡不(bu)良訪問給企(qi)業(yè)帶來的(de)法律風險。對(dui)于企(qi)業(yè)員工(gong)移動辦(ban)公上網(wǎng),更需要(yao)做到可管控(kong),上網(wǎng)行為(wei)做到可追溯,企(qi)業(yè)有(you)效的帶寬資(zi)源得到合(he)理的分配(pei)和保(bao)證,才能使企業(yè)(ye)的業(yè)務系統(tǒng)正(zheng)常且(qie)穩(wěn)定高效地運(yun)行,同時(shi)保證企業(yè)(ye)信息安全,避免(mian)機密信(xin)息泄露(lu)。
存在的問(wen)題(用戶(hu)需求)
1、接入不安(an)全:缺乏安全可(ke)靠的認證機制(zhi),企業(yè)(ye)無線(xian)網(wǎng)絡接入(ru)不安(an)全
2、上網(wǎng)權限混亂(luan):缺乏有效(xiao)的控制(zhi)策略,員工(gong)上網(wǎng)權限不分(fen)明
3、數(shù)據(jù)信(xin)息安全:缺乏(fa)有效的(de)數(shù)據(jù)加密(mi)機制,企業(yè)數(shù)據(jù)(ju)被黑客竊取(qu)篡改(gai)
4、無線信號(hao)差:AP性能(neng)不佳,上網(wǎng)總(zong)掉線,點位(wei)規(guī)劃(hua)不合理,信號盲(mang)區(qū)多
5、漫游效果差(cha):不能實現(xiàn)二三(san)層漫游,移(yi)動辦(ban)公時,業(yè)務中斷(duan)
解決(jue)方案(an):

結合用戶(hu)無線網(wǎng)絡(luo)需求情況(kuang),結合產(chǎn)品自身(shen)技術(shu)特點,為了滿足(zu)用戶(hu)構建(jian)一個高速(su)、穩(wěn)定、安全(quan)、可靠(kao)、易于(yu)管理的(de)無線接(jie)入網(wǎng)絡的(de)需求,本設(she)計方案(an)按照AP+AC的結構化(hua)無線(xian)網(wǎng)絡(luo)解決方案進行(xing)設計。具體設(she)計為在(zai)總部設置總(zong)部AC,在大型分支(zhi)機構設(she)置分支AC與分支(zhi)AP,中型分支機(ji)構設計二(er)級,三級交(jiao)換機,分支AP。小微(wei)型分支機構直(zhi)接設(she)置分支AP??偛?bu)AC可以(yi)對大(da)型分支機構的(de)AC進行(xing)管理,當網(wǎng)(wang)點控制(zhi)器采用集中管(guan)理的模式進入(ru)到中心(xin)端控制器時(shi),會自動下(xia)載中心端的(de)公共配置(zhi),比如IP組(zu)、MAC地址庫、時間計(ji)劃、角色授(shou)權、認證頁面(mian)等 ???zong)部AC也可以直(zhi)接管理(li)中小(xiao)型分(fen)支機構的分(fen)支AP,實現(xiàn)統(tǒng)一管(guan)理。
方案設計(ji):
安全無線整體(ti)解決方(fang)案:
接入前&接入(ru)時進行(xing)身份(fen)認證、安(an)全無線網(wǎng)卡(ka)、賬號綁定(硬件(jian)碼+手(shou)機號),非(fei)法熱點檢(jian)測及防御、網(wǎng)絡(luo)攻擊防護、射(she)頻定時(shi)關閉及安全加(jia)固。
接入后&上(shang)網(wǎng)時進行(xing)訪問權限控制(zhi)。
上網(wǎng)后進(jin)行上(shang)網(wǎng)行為(wei)記錄(lu)。
上網(wǎng)用戶身(shen)份實名認證(zheng):
無線辦公(gong)網(wǎng)采(cai)用802.1X/Portal/WAPI認(ren)證,外置AAA和RADIUS+AD用于(yu)存儲用戶賬號(hao)密碼。
每個賬(zhang)號對應一(yi)個員工,包括(kuo)姓名、部門、性(xing)別以(yi)及身份證、手(shou)機號等個(ge)人信息,保(bao)證每個上網(wǎng)(wang)的賬號都是(shi)可尋(xun)的,便于(yu)安全管理。
用戶輸入賬號(hao)密碼上網(wǎng)(wang)驗證時均(jun)采用加密(mi)傳輸(shu),防止黑客空中(zhong)攔截,竊取賬(zhang)號密碼(ma)等數(shù)據(jù)(ju)。
上網(wǎng)賬號(hao)自動綁(bang)定終端:
自動將賬號(hao)與終端的硬(ying)件特征碼進(jin)行綁定,防止(zhi)賬號被他人(ren)使用或者被盜(dao)用。
每臺設備的硬(ying)件特(te)征碼是唯一的(de),無法通過軟(ruan)件修(xiu)改。即使通過軟(ruan)件修改了仍(reng)然可以(yi)識別原始的。
每個(ge)賬號最多可(ke)以綁定5臺終端(duan),超過1臺時需要(yao)管理員審核。
上網(wǎng)賬號二(er)次綁定手機(ji)號碼:
賬號首次登(deng)陸時需要綁定(ding)手機號并(bing)輸入(ru)短信驗(yan)證碼,當用戶賬(zhang)號在新(xin)終端登陸時(shi)(換終端/被(bei)他用/被盜(dao)),不僅需要(yao)輸入密碼,還(hai)需要輸(shu)入短信驗(yan)證碼(ma),解決(jue)員工賬(zhang)號認證(zheng)的安全問題
綁定手(shou)機號碼(ma)的用(yong)戶,可(ke)以自助重置密(mi)碼和修(xiu)改密碼,無(wu)需通(tong)過IT管理員。
用戶(hu)密碼管理(li)及自助(zhu)修改:
無需(xu)通過管理員即(ji)可修改密(mi)碼,提高(gao)效率及減(jian)輕管理員工作(zuo)壓力。
通過口袋助(zhu)理、釘(ding)釘、企業(yè)號(hao)等手機MOA類(lei)APP軟件(jian)進行無線密(mi)碼修改。
若賬號(hao)綁定了(le)手機號碼,可通(tong)過手機驗(yan)證碼自助修改(gai)。
上網(wǎng)終(zhong)端合法效驗(yan):
采用安全無(wu)線網(wǎng)卡接入無(wu)線網(wǎng)(wang)絡,終端與AP熱點(dian)的雙向驗證,提(ti)高安全性(xing)。
可以(yi)將無(wu)線網(wǎng)絡設(she)置為(wei)只有安裝了(le)安全無(wu)線網(wǎng)卡的終端(duan)才能接入無(wu)線網(wǎng)絡。
支持設(she)置安全(quan)無線網(wǎng)卡只能(neng)連指定SSID無(wu)線網(wǎng)絡,無法連(lian)接非授權SSID。
網(wǎng)卡與AP數(shù)據(jù)傳(chuan)輸時(shi)自動進行數(shù)(shu)據(jù)加密,保證(zheng)無線的空口(kou)安全。
無線熱點掃描(miao)及非(fei)法熱點(dian)抑制:
背景:黑客在(zai)附近搭(da)建一(yi)個一模一樣(yang)或者類似的WIFI名(ming)稱,誘(you)使用戶連(lian)到虛假釣魚WIFI上(shang),黑客利用分(fen)析軟(ruan)件從用(yong)戶上(shang)網(wǎng)產(chǎn)生的(de)數(shù)據(jù)包中分(fen)析提取用(yong)戶隱私信息(xi)。
我們通過(guo)WIPS無線入侵防御(yu)系統(tǒng)實時檢(jian)測周圍無(wu)線信(xin)號,當檢測出(chu)來的信號BSSID、且AP源(yuan)MAC地址不(bu)在授權列(lie)表中時,我(wo)們向?qū)?dui)應的AP和(he)終端(duan)發(fā)送解除關聯(lián)(lian)幀,讓(rang)終端(duan)無法連上釣魚(yu)WIFI。7×24小時不間斷(duan)監(jiān)測網(wǎng)(wang)絡。
上網(wǎng)行為(wei)嚴格控制:
強大的管理(li):通過應用識(shi)別技術,可(ke)以根(gen)據(jù)應用類型或(huo)者具體(ti)某一種應用進(jin)行封堵,包(bao)括視頻、論壇、游(you)戲、金融、下載等(deng)2400多種網(wǎng)絡應(ying)用。
通過應用識(shi)別技術(shu),可以根據(jù)應用(yong)類型或者具(ju)體某一種(zhong)應用進行封堵(du),比如上班時間(jian)不允(yun)許炒股,不允許(xu)P2P下載(zai),不允許外發(fā)(fa)敏感(gan)文件(jian)等; 支持(chi)主流移動(dong)平臺,可識(shi)別IM、社交、Mail、新(xin)聞、炒股(gu)等應用。
無線控制器(qi)內(nèi)置千(qian)萬級別的URL分(fen)類庫,能夠?qū)?dui)URL進行識(shi)別,包含新聞、購(gou)物、金(jin)融、教育(yu)等18個種(zhong)類的URL地址; 準確(que)識別目前主(zhu)流網(wǎng)站,識別(bie)率高達99.9%,有效實(shi)現(xiàn)網(wǎng)頁過(guo)濾。例如禁止(zhi)登陸非(fei)法網(wǎng)站
通過基于(yu)時間段(duan)的訪(fang)問控制(zhi)策略,實(shi)現(xiàn)不同的(de)時間段不同的(de)訪問權限,比(bi)如上班時間,禁(jin)止訪(fang)問網(wǎng)(wang)上銀行、游戲、論(lun)壇貼吧(ba)等與工(gong)作無關的應(ying)用,下(xia)班時間(jian)則不受限制。
辦公(gong)區(qū)域內(nèi)(nei),不同辦公部門(men)總會有各自(zi)專屬的無線網(wǎng)(wang)絡,并且不(bu)希望部門之外(wai)的成員使用(yong)這個網(wǎng)絡。無線(xian)網(wǎng)絡(luo)控制器可(ke)以根據(jù)用(yong)戶的屬性,限(xian)制禁止(zhi)非本部門(men)的用戶(hu)接入(ru)。
典型無線網(wǎng)絡(luo)攻擊防(fang)護:
對典型的危(wei)險攻擊(ji)行為(wei)進行(xing)檢測(ce),當超過設(she)定的閾值后(hou)自動將攻擊者(zhe)加入到(dao)黑名單中(zhong),并凍結一定時(shi)間,即時發(fā)(fa)現(xiàn)網(wǎng)絡攻(gong)擊并進行防(fang)御。
檢測的攻擊包(bao)括:DDOS防(fang)御、ARP掃描(miao)、IP掃描、端口掃(sao)描防御,禁止(zhi)客戶端私(si)設IP以及ARP、網(wǎng)關(guan)欺騙防御(yu)、DHCP請求泛洪防御(yu)。
無線射頻定時(shi)關閉(bi)開啟:
通過射頻(pin)關閉控制(zhi)策略,可(ke)以指定某(mou)SSID網(wǎng)絡,定時(shi)自動(dong)關閉(bi)和開啟無線(xian)網(wǎng)絡的射頻信(xin)號,晚(wan)上下班后自(zi)動關閉(bi)無線射頻信(xin)號。
一方面可以(yi)節(jié)能減排(pai)、節(jié)省電(dian)費支出;另(ling)一方面(mian)又能防止非法(fa)用戶(hu)利用深夜時間(jian)入侵無線網(wǎng)絡(luo),做一些非法的(de)操作。
有線無(wu)線一體(ti)化管理:
NAC的有(you)線無線(xian)一體(ti)化,支持對有線(xian)用戶的接(jie)入認證(zheng)、訪問控制、流(liu)量管(guan)理、上網(wǎng)行為審(shen)計等,
并提供統(tǒng)(tong)一中文Web管理(li)界面,一站(zhan)式服(fu)務,極(ji)大的降低網(wǎng)(wang)絡建設成本(ben)。
網(wǎng)絡分權分級(ji)管理:
分配不同的(de)管理員分(fen)別管(guan)理各自權限(xian)區(qū)域的無線(xian)AP,可以精細(xi)到對某AP分(fen)組有管理(li)權限,該管理(li)員可以在該(gai)AP分組上建(jian)立無線(xian)網(wǎng)絡,能夠激活(huo)、刪除接入點(dian),能夠?qū)?dui)AP的配置(zhi)進行(xing)編輯修(xiu)改。
可指定管理員(yuan)針對每個頁(ye)面的(de)編輯或(huo)可查看權限(xian),控制粒度(du)到控制器上的(de)各個頁面,對(dui)某個頁面沒(mei)有讀權限則登(deng)錄時不(bu)顯示。
移動APP隨時隨(sui)地運維(wei)管理:
支持跨互(hu)聯(lián)網(wǎng)運維(wei)管理(li)
登陸APP進(jin)行維(wei)護管理:不同管(guan)理員,不同(tong)權限(xian)
查看網(wǎng)絡運行(xing)情況:在(zai)線用戶、在(zai)線AP數(shù)(shu)量、實(shi)時流量(liang)
無線網(wǎng)絡管(guan)理維護:開(kai)啟關閉SSID、終(zhong)端綁定審(shen)批、二維碼(ma)上網(wǎng)審核(he)
故障、審批(pi)實時(shi)通知:AP離線警告(gao)、服務器離(li)線警(jing)告、網(wǎng)(wang)絡攻擊(ji)告警
方案優(yōu)勢(shi):
1、最豐富的無線(xian)安全(quan)機制,提供從安(an)全接入到安(an)全上網(wǎng)等(deng)端到端(duan)的安全(quan)策略(lve)
2、合理管控工(gong)作人員上(shang)網(wǎng)行為(wei),提升工作(zuo)效率、防止(zhi)帶寬(kuan)浪費,有線無(wu)線雙重管(guan)控
3、為會議(yi)室,報(bao)告廳等人(ren)員密集區(qū)(qu)域接(jie)入網(wǎng)(wang)絡提(ti)高保(bao)證,解決(jue)有線(xian)網(wǎng)口不(bu)足的問題;
4、為企業(yè)員工的(de)移動辦(ban)公提供支撐(cheng),內(nèi)部員工可通(tong)過無線網(wǎng)絡隨(sui)時安全(quan)接入內(nèi)部(bu)網(wǎng)絡(luo),實現(xiàn)辦公;
5、內(nèi)部員工賬(zhang)號及個人(ren)信息綁定(ding),便于安全管理(li);
6、內(nèi)部員工可通(tong)過自己的(de)辦公設(she)備在企業(yè)(ye)大樓內(nèi)快速移(yi)動辦公,網(wǎng)(wang)絡接入(ru)更快速,上(shang)網(wǎng)行為管(guan)理系統(tǒng)對員(yuan)工上網(wǎng)(wang)行為進(jin)行審計與管控(kong)
7、來訪客戶接(jie)入企(qi)業(yè)網(wǎng)(wang)絡,可根據(jù)(ju)不同需求,分(fen)配不同(tong)的上網(wǎng)權(quan)限,保證(zheng)了接入的安(an)全性同時提升(sheng)群眾上網(wǎng)的(de)體驗
8、豐富的認證機(ji)制,滿足組(zu)織對無(wu)線網(wǎng)絡安全、快(kuai)速接入(ru)
9、投資成本(ben)低,通過部署無(wu)線控制(zhi)器替換原有網(wǎng)(wang)絡的(de)出口路由(you)、行為管(guan)理以及(ji)無線控制(zhi)器