?
大型企業(yè)(ye)在無線(xian)網(wǎng)絡(luò)(luo)建設(shè)期(qi)間要充分(fen)考慮訪客(ke)(領(lǐng)導(dǎo)�����、客(ke)戶�����、合作伙伴)接(jie)入網(wǎng)(wang)絡(luò)的需求�����。首先(xian)從安全性考慮(lv)�����,訪客網(wǎng)(wang)絡(luò)必須要和(he)辦公網(wǎng)絡(luò)(luo)分開(kai)�����,訪客網(wǎng)(wang)絡(luò)單獨(dú)提供(gong)給訪客(ke)使用�����。從用(yong)戶體驗(yàn)角度考(kao)慮�����,訪客接(jie)入網(wǎng)絡(luò)(luo)的驗(yàn)證方式(shi)一定要(yao)做到簡單易(yi)行,繁(fan)瑣的(de)驗(yàn)證(zheng)方式會(huì)降(jiang)低訪客(ke)對企業(yè)(ye)的整體印象�����。同(tong)時(shí)對于訪客網(wǎng)(wang)絡(luò)�����,企業(yè)還(hai)需要建(jian)立完善(shan)的網(wǎng)絡(luò)安(an)全管理機(jī)(ji)制�����,避免由(you)于訪客的(de)網(wǎng)絡(luò)不(bu)良訪問給(gei)企業(yè)帶(dai)來的法律風(fēng)(feng)險(xiǎn)�����。對于(yu)企業(yè)員工移動(dòng)(dong)辦公上網(wǎng)�����,更需(xu)要做到可管(guan)控�����,上網(wǎng)(wang)行為做(zuo)到可追溯,企業(yè)(ye)有效的(de)帶寬資源得(de)到合理的分配(pei)和保證�����,才能(neng)使企業(yè)(ye)的業(yè)務(wù)系統(tǒng)(tong)正常且穩(wěn)定高(gao)效地運(yùn)行�����,同(tong)時(shí)保證企(qi)業(yè)信(xin)息安全(quan)�����,避免機(jī)密(mi)信息泄(xie)露�����。
存在的問題(用(yong)戶需求(qiu))
1�����、接入不安全:缺(que)乏安全(quan)可靠的認(rèn)(ren)證機(jī)制�����,企(qi)業(yè)無線(xian)網(wǎng)絡(luò)接入不(bu)安全
2�����、上網(wǎng)權(quán)限混(hun)亂:缺(que)乏有效的控制(zhi)策略�����,員工(gong)上網(wǎng)權(quán)限不(bu)分明
3�����、數(shù)據(jù)信(xin)息安全:缺乏(fa)有效的數(shù)據(jù)(ju)加密(mi)機(jī)制�����,企業(yè)數(shù)(shu)據(jù)被黑客竊(qie)取篡改
4�����、無線信號差(cha):AP性能不佳(jia)�����,上網(wǎng)總掉線�����,點(diǎn)(dian)位規(guī)劃不(bu)合理,信號盲(mang)區(qū)多
5�����、漫游(you)效果差:不能(neng)實(shí)現(xiàn)二三(san)層漫游�����,移動(dòng)辦(ban)公時(shí)�����,業(yè)務(wù)中(zhong)斷
解決方案:
結(jié)合(he)用戶無(wu)線網(wǎng)絡(luò)(luo)需求情(qing)況�����,結(jié)合產(chǎn)品自(zi)身技術(shù)特(te)點(diǎn)�����,為(wei)了滿足用戶構(gòu)(gou)建一個(gè)高速(su)�����、穩(wěn)定�����、安全�����、可(ke)靠�����、易于管理的(de)無線接(jie)入網(wǎng)絡(luò)的(de)需求(qiu)�����,本設(shè)計(jì)方案按(an)照AP+AC的結(jié)構(gòu)化(hua)無線網(wǎng)(wang)絡(luò)解(jie)決方案進(jìn)行設(shè)(she)計(jì)�����。具體設(shè)(she)計(jì)為(wei)在總部設(shè)置(zhi)總部(bu)AC,在大(da)型分支(zhi)機(jī)構(gòu)設(shè)置(zhi)分支AC與分支AP�����,中(zhong)型分支機(jī)構(gòu)(gou)設(shè)計(jì)二級�����,三(san)級交換機(jī),分支(zhi)AP�����。小微型分(fen)支機(jī)(ji)構(gòu)直接設(shè)置分(fen)支AP�����?����?偛緼C可以對(dui)大型分(fen)支機(jī)構(gòu)的(de)AC進(jìn)行管理(li)�����,當(dāng)網(wǎng)點(diǎn)控制(zhi)器采用集中(zhong)管理的模(mo)式進(jìn)入到中(zhong)心端控制(zhi)器時(shí)(shi)�����,會(huì)自動(dòng)(dong)下載中(zhong)心端的公共(gong)配置�����,比如IP組(zu)�����、MAC地址庫�����、時(shí)間計(jì)(ji)劃�����、角(jiao)色授(shou)權(quán)�����、認(rèn)證(zheng)頁面等 �����?����?偛緼C也(ye)可以直(zhi)接管理中(zhong)小型(xing)分支機(jī)構(gòu)的分(fen)支AP�����,實(shí)現(xiàn)(xian)統(tǒng)一管(guan)理。
方案(an)設(shè)計(jì):
安全無線整(zheng)體解決(jue)方案:
接入前(qian)&接入時(shí)進(jìn)行身(shen)份認(rèn)證�����、安全無(wu)線網(wǎng)(wang)卡�����、賬號綁定(ding)(硬件碼+手機(jī)(ji)號)�����,非法熱(re)點(diǎn)檢測(ce)及防(fang)御�����、網(wǎng)(wang)絡(luò)攻擊防護(hù)(hu)�����、射頻(pin)定時(shí)關(guān)閉及安(an)全加固�����。
接入后&上(shang)網(wǎng)時(shí)進(jìn)行(xing)訪問(wen)權(quán)限(xian)控制�����。
上網(wǎng)后進(jìn)(jin)行上網(wǎng)行(xing)為記錄�����。
上網(wǎng)(wang)用戶身份(fen)實(shí)名(ming)認(rèn)證:
無線辦公(gong)網(wǎng)采用802.1X/Portal/WAPI認(rèn)證(zheng)�����,外置AAA和RADIUS+AD用于存(cun)儲(chǔ)用戶(hu)賬號密碼�����。
每個(gè)(ge)賬號(hao)對應(yīng)(ying)一個(gè)員工(gong)�����,包括(kuo)姓名�����、部門�����、性(xing)別以(yi)及身份證(zheng)、手機(jī)號(hao)等個(gè)(ge)人信息�����,保證(zheng)每個(gè)上網(wǎng)(wang)的賬(zhang)號都是可尋的(de)�����,便于安全管(guan)理�����。
用戶輸入賬(zhang)號密碼上網(wǎng)驗(yàn)(yan)證時(shí)均采用加(jia)密傳輸�����,防止黑(hei)客空中攔截(jie)�����,竊取賬(zhang)號密碼等數(shù)(shu)據(jù)�����。
上網(wǎng)賬(zhang)號自動(dòng)綁定(ding)終端:
自動(dòng)(dong)將賬(zhang)號與終端的(de)硬件(jian)特征碼(ma)進(jìn)行綁定�����,防(fang)止賬號(hao)被他人(ren)使用或者被盜(dao)用�����。
每臺設(shè)備的硬(ying)件特征(zheng)碼是(shi)唯一的�����,無(wu)法通過(guo)軟件修(xiu)改�����。即使通過(guo)軟件修改了仍(reng)然可以(yi)識別原始的�����。
每個(gè)賬(zhang)號最多可以綁(bang)定5臺終(zhong)端�����,超(chao)過1臺時(shí)需要管(guan)理員審核�����。
上網(wǎng)賬號(hao)二次綁定手(shou)機(jī)號(hao)碼:
賬號首(shou)次登陸時(shí)(shi)需要綁定(ding)手機(jī)號并(bing)輸入短信(xin)驗(yàn)證碼,當(dāng)用戶(hu)賬號在新終端(duan)登陸時(shí)(shi)(換終端(duan)/被他用/被(bei)盜)�����,不僅需要輸(shu)入密碼�����,還需要(yao)輸入短信驗(yàn)證(zheng)碼�����,解決員(yuan)工賬(zhang)號認(rèn)證的(de)安全問題(ti)
綁定手(shou)機(jī)號(hao)碼的(de)用戶�����,可以自助(zhu)重置密(mi)碼和修改密碼(ma)�����,無需通過IT管(guan)理員(yuan)�����。
用戶密碼管理(li)及自(zi)助修改:
無需通(tong)過管理(li)員即可修(xiu)改密(mi)碼,提高效率及(ji)減輕管理員工(gong)作壓力(li)�����。
通過口(kou)袋助理�����、釘釘(ding)�����、企業(yè)號等手機(jī)(ji)MOA類APP軟(ruan)件進(jìn)行無線(xian)密碼修(xiu)改�����。
若賬號綁(bang)定了手(shou)機(jī)號碼(ma)�����,可通過手(shou)機(jī)驗(yàn)證(zheng)碼自助(zhu)修改�����。
上網(wǎng)終端(duan)合法(fa)效驗(yàn):
采用安全(quan)無線網(wǎng)卡接入(ru)無線(xian)網(wǎng)絡(luò)�����,終端(duan)與AP熱點(diǎn)(dian)的雙向驗(yàn)證�����,提(ti)高安全性(xing)�����。
可以將無線網(wǎng)(wang)絡(luò)設(shè)置(zhi)為只有安裝(zhuang)了安全無線(xian)網(wǎng)卡(ka)的終(zhong)端才能接(jie)入無(wu)線網(wǎng)絡(luò)�����。
支持設(shè)置安(an)全無線網(wǎng)卡(ka)只能連指(zhi)定SSID無線網(wǎng)絡(luò)(luo)�����,無法連接非(fei)授權(quán)SSID�����。
網(wǎng)卡與AP數(shù)(shu)據(jù)傳輸(shu)時(shí)自動(dòng)進(jìn)(jin)行數(shù)據(jù)加(jia)密�����,保(bao)證無線(xian)的空(kong)口安全。
無線熱點(diǎn)掃描(miao)及非法熱點(diǎn)(dian)抑制(zhi):
背景:黑客(ke)在附(fu)近搭建(jian)一個(gè)一(yi)模一樣或者類(lei)似的WIFI名稱�����,誘(you)使用戶連(lian)到虛假釣魚WIFI上(shang)�����,黑客利(li)用分析軟(ruan)件從用戶(hu)上網(wǎng)產(chǎn)生(sheng)的數(shù)(shu)據(jù)包中(zhong)分析提取(qu)用戶隱私信息(xi)�����。
我們通過(guo)WIPS無線入(ru)侵防御系統(tǒng)(tong)實(shí)時(shí)(shi)檢測周圍無線(xian)信號�����,當(dāng)檢(jian)測出(chu)來的信號BSSID�����、且AP源(yuan)MAC地址不在(zai)授權(quán)列表(biao)中時(shí)�����,我們(men)向?qū)?yīng)的AP和終(zhong)端發(fā)(fa)送解除(chu)關(guān)聯(lián)(lian)幀�����,讓(rang)終端無(wu)法連上釣魚WIFI�����。7×24小(xiao)時(shí)不間斷監(jiān)(jian)測網(wǎng)(wang)絡(luò)�����。
上網(wǎng)行為(wei)嚴(yán)格控(kong)制:
強(qiáng)大的管理(li):通過應(yīng)(ying)用識(shi)別技術(shù)(shu)�����,可以根據(jù)應(yīng)(ying)用類型或者(zhe)具體某一種應(yīng)(ying)用進(jìn)行封(feng)堵�����,包(bao)括視(shi)頻�����、論壇�����、游(you)戲、金融�����、下(xia)載等2400多(duo)種網(wǎng)絡(luò)應(yīng)用�����。
通過(guo)應(yīng)用識別(bie)技術(shù)�����,可(ke)以根(gen)據(jù)應(yīng)(ying)用類型或(huo)者具體某(mou)一種應(yīng)用進(jìn)行(xing)封堵�����,比如上班(ban)時(shí)間不允(yun)許炒股�����,不(bu)允許P2P下載�����,不允(yun)許外發(fā)(fa)敏感(gan)文件等�����; 支持(chi)主流移(yi)動(dòng)平臺(tai)�����,可識別IM�����、社交(jiao)�����、Mail�����、新聞�����、炒(chao)股等(deng)應(yīng)用�����。
無線控制(zhi)器內(nèi)(nei)置千萬級別的(de)URL分類庫,能夠?qū)?dui)URL進(jìn)行識別�����,包含(han)新聞�����、購物�����、金融(rong)�����、教育等(deng)18個(gè)種類的URL地址(zhi)�����; 準(zhǔn)確識(shi)別目前主流網(wǎng)(wang)站�����,識別率(lv)高達(dá)(da)99.9%�����,有效實(shí)現(xiàn)網(wǎng)頁(ye)過濾�����。例如(ru)禁止登(deng)陸非法網(wǎng)(wang)站
通過基(ji)于時(shí)間段的(de)訪問控(kong)制策(ce)略�����,實(shí)現(xiàn)(xian)不同的(de)時(shí)間段不同(tong)的訪問(wen)權(quán)限�����,比如(ru)上班(ban)時(shí)間(jian)�����,禁止訪問(wen)網(wǎng)上銀行(xing)�����、游戲�����、論壇(tan)貼吧等(deng)與工作無(wu)關(guān)的應(yīng)用,下(xia)班時(shí)間則不(bu)受限制(zhi)�����。
辦公區(qū)域內(nèi)(nei)�����,不同(tong)辦公部門總(zong)會(huì)有(you)各自專屬的(de)無線網(wǎng)絡(luò)�����,并且(qie)不希望部門(men)之外的(de)成員(yuan)使用這個(gè)網(wǎng)絡(luò)(luo)�����。無線網(wǎng)(wang)絡(luò)控(kong)制器(qi)可以(yi)根據(jù)用戶的屬(shu)性�����,限制禁止非(fei)本部門的用戶(hu)接入�����。
典型無線網(wǎng)(wang)絡(luò)攻擊防護(hù)(hu):
對典型的危險(xiǎn)(xian)攻擊行為進(jìn)(jin)行檢測�����,當(dāng)(dang)超過設(shè)定(ding)的閾(yu)值后自動(dòng)(dong)將攻(gong)擊者加入(ru)到黑名單中(zhong)�����,并凍結(jié)一定時(shí)(shi)間�����,即時(shí)發(fā)現(xiàn)(xian)網(wǎng)絡(luò)攻擊并進(jìn)(jin)行防御(yu)�����。
檢測的攻(gong)擊包(bao)括:DDOS防御(yu)�����、ARP掃描�����、IP掃描(miao)、端口掃描防(fang)御�����,禁止客戶端(duan)私設(shè)IP以及ARP�����、網(wǎng)(wang)關(guān)欺(qi)騙防御�����、DHCP請(qing)求泛(fan)洪防御�����。
無線射頻定(ding)時(shí)關(guān)閉開啟(qi):
通過射頻關(guān)(guan)閉控制策略�����,可(ke)以指定某SSID網(wǎng)絡(luò)(luo)�����,定時(shí)自動(dòng)(dong)關(guān)閉和開啟無(wu)線網(wǎng)絡(luò)的射(she)頻信號(hao)�����,晚上下(xia)班后自動(dòng)(dong)關(guān)閉無線射(she)頻信號�����。
一方面可以節(jié)(jie)能減排�����、節(jié)省(sheng)電費(fèi)支出(chu)�����;另一方面(mian)又能防止(zhi)非法用戶利用(yong)深夜時(shí)(shi)間入侵無線網(wǎng)(wang)絡(luò)�����,做一些非法(fa)的操作�����。
有線無(wu)線一體化管理(li):
NAC的有線無(wu)線一體化�����,支(zhi)持對有線用(yong)戶的(de)接入認(rèn)證(zheng)、訪問控制�����、流(liu)量管理�����、上網(wǎng)(wang)行為審(shen)計(jì)等�����,
并提(ti)供統(tǒng)一中文(wen)Web管理界面�����,一(yi)站式服務(wù)�����,極(ji)大的(de)降低網(wǎng)絡(luò)建設(shè)(she)成本�����。
網(wǎng)絡(luò)分權(quán)(quan)分級(ji)管理:
分配(pei)不同的管理員(yuan)分別管(guan)理各(ge)自權(quán)限區(qū)域的(de)無線(xian)AP�����,可以精細(xì)到對(dui)某AP分組(zu)有管理權(quán)限,該(gai)管理員(yuan)可以在該AP分組(zu)上建立無線網(wǎng)(wang)絡(luò)�����,能夠激(ji)活�����、刪除接(jie)入點(diǎn)�����,能夠?qū)?dui)AP的配(pei)置進(jìn)(jin)行編輯修改(gai)�����。
可指定管理(li)員針對每個(gè)(ge)頁面的(de)編輯(ji)或可查看權(quán)(quan)限�����,控(kong)制粒度到(dao)控制器(qi)上的(de)各個(gè)頁面�����,對某(mou)個(gè)頁面沒有讀(du)權(quán)限則登錄時(shí)(shi)不顯示�����。
移動(dòng)(dong)APP隨時(shí)隨地運(yùn)維(wei)管理:
支持跨互聯(lián)(lian)網(wǎng)運(yùn)維管理(li)
登陸APP進(jìn)行維(wei)護(hù)管理:不同(tong)管理(li)員�����,不同權(quán)限(xian)
查看網(wǎng)(wang)絡(luò)運(yùn)行情況:在(zai)線用戶(hu)�����、在線AP數(shù)量(liang)�����、實(shí)時(shí)流量
無線網(wǎng)絡(luò)管理(li)維護(hù):開啟(qi)關(guān)閉SSID�����、終端(duan)綁定(ding)審批�����、二維碼(ma)上網(wǎng)(wang)審核
故障�����、審批實(shí)時(shí)(shi)通知:AP離線警告(gao)、服務(wù)(wu)器離線(xian)警告�����、網(wǎng)絡(luò)攻擊(ji)告警
方案優(yōu)勢:
1、最豐富的(de)無線安全機(jī)(ji)制,提供從安(an)全接(jie)入到安全(quan)上網(wǎng)等端(duan)到端的安全(quan)策略
2�����、合理管(guan)控工(gong)作人員上網(wǎng)行(xing)為�����,提升工作效(xiao)率�����、防止帶(dai)寬浪費(fèi)(fei)�����,有線無線雙(shuang)重管控(kong)
3�����、為會(huì)議室,報(bào)告(gao)廳等(deng)人員密(mi)集區(qū)域接入(ru)網(wǎng)絡(luò)提高(gao)保證(zheng)�����,解決(jue)有線網(wǎng)口(kou)不足的問題�����;
4�����、為企業(yè)(ye)員工的移(yi)動(dòng)辦公(gong)提供(gong)支撐�����,內(nèi)部(bu)員工可(ke)通過(guo)無線網(wǎng)絡(luò)隨時(shí)(shi)安全(quan)接入(ru)內(nèi)部(bu)網(wǎng)絡(luò)�����,實(shí)現(xiàn)(xian)辦公�����;
5、內(nèi)部(bu)員工(gong)賬號及個(gè)(ge)人信(xin)息綁定(ding)�����,便于(yu)安全管(guan)理�����;
6�����、內(nèi)部員工可(ke)通過(guo)自己的辦(ban)公設(shè)備在(zai)企業(yè)大樓內(nèi)快(kuai)速移動(dòng)辦公(gong)�����,網(wǎng)絡(luò)接(jie)入更(geng)快速�����,上(shang)網(wǎng)行為管理(li)系統(tǒng)對員工(gong)上網(wǎng)行為進(jìn)(jin)行審計(jì)與(yu)管控
7�����、來訪(fang)客戶接入(ru)企業(yè)(ye)網(wǎng)絡(luò)�����,可根(gen)據(jù)不同(tong)需求�����,分配不(bu)同的上網(wǎng)權(quán)(quan)限�����,保證了接(jie)入的安全性同(tong)時(shí)提升群眾上(shang)網(wǎng)的體驗(yàn)(yan)
8�����、豐富(fu)的認(rèn)(ren)證機(jī)制(zhi)�����,滿足組織(zhi)對無線(xian)網(wǎng)絡(luò)安全�����、快(kuai)速接(jie)入
9�����、投資成本(ben)低,通過部署(shu)無線控制(zhi)器替換原(yuan)有網(wǎng)(wang)絡(luò)的出口路(lu)由�����、行為管理(li)以及無線控(kong)制器(qi)
