?
大型企(qi)業(yè)在無(wú)線(xian)網(wǎng)絡(luò)建設(shè)期間(jian)要充分考(kao)慮訪客(領(lǐng)(ling)導(dǎo)��、客戶(hu)、合作伙伴)接(jie)入網(wǎng)絡(luò)(luo)的需求(qiu)��。首先從安全(quan)性考(kao)慮��,訪客網(wǎng)(wang)絡(luò)必須要(yao)和辦公(gong)網(wǎng)絡(luò)分開(kāi)(kai)��,訪客網(wǎng)絡(luò)單(dan)獨(dú)提供(gong)給訪客使用(yong)��。從用戶(hu)體驗(yàn)角度(du)考慮(lv)��,訪客接(jie)入網(wǎng)絡(luò)的(de)驗(yàn)證方式(shi)一定要做到簡(jiǎn)(jian)單易行,繁(fan)瑣的驗(yàn)證(zheng)方式會(huì)降低訪(fang)客對(duì)企(qi)業(yè)的(de)整體(ti)印象��。同時(shí)對(duì)于(yu)訪客網(wǎng)(wang)絡(luò)��,企業(yè)還需(xu)要建立完善(shan)的網(wǎng)絡(luò)安(an)全管理(li)機(jī)制��,避免(mian)由于訪客的網(wǎng)(wang)絡(luò)不良訪(fang)問(wèn)給企業(yè)(ye)帶來(lái)的法(fa)律風(fēng)險(xiǎn)��。對(duì)(dui)于企業(yè)員工移(yi)動(dòng)辦公上網(wǎng)��,更(geng)需要做到可(ke)管控��,上網(wǎng)(wang)行為做(zuo)到可追溯(su)��,企業(yè)有效的帶(dai)寬資源(yuan)得到(dao)合理的分配(pei)和保證(zheng)��,才能使企業(yè)(ye)的業(yè)務(wù)(wu)系統(tǒng)正常且穩(wěn)(wen)定高效(xiao)地運(yùn)行��,同時(shí)保(bao)證企業(yè)信息(xi)安全��,避(bi)免機(jī)(ji)密信(xin)息泄(xie)露��。
存在的問(wèn)題(ti)(用戶需求(qiu))
1��、接入不安全:缺(que)乏安全可靠(kao)的認(rèn)證機(jī)(ji)制��,企業(yè)無(wú)(wu)線網(wǎng)絡(luò)接入(ru)不安全(quan)
2、上網(wǎng)權(quán)限混亂(luan):缺乏有效的控(kong)制策略��,員工(gong)上網(wǎng)權(quán)限(xian)不分明(ming)
3��、數(shù)據(jù)信息安(an)全:缺乏有(you)效的數(shù)(shu)據(jù)加密機(jī)制(zhi)��,企業(yè)數(shù)據(jù)(ju)被黑客(ke)竊取篡(cuan)改
4��、無(wú)線信號(hào)差(cha):AP性能不佳(jia)��,上網(wǎng)(wang)總掉線��,點(diǎn)位(wei)規(guī)劃不(bu)合理��,信號(hào)盲區(qū)(qu)多
5��、漫游效果(guo)差:不能實(shí)現(xiàn)二(er)三層(ceng)漫游��,移動(dòng)辦公(gong)時(shí)��,業(yè)務(wù)中(zhong)斷
解決方(fang)案:
結(jié)合用戶無(wú)線(xian)網(wǎng)絡(luò)(luo)需求情(qing)況��,結(jié)(jie)合產(chǎn)(chan)品自身(shen)技術(shù)(shu)特點(diǎn)��,為了滿(man)足用戶構(gòu)(gou)建一個(gè)高速��、穩(wěn)(wen)定��、安全(quan)��、可靠��、易(yi)于管理的(de)無(wú)線接入網(wǎng)(wang)絡(luò)的(de)需求��,本設(shè)計(jì)(ji)方案按照AP+AC的(de)結(jié)構(gòu)化無(wú)線(xian)網(wǎng)絡(luò)解決(jue)方案進(jìn)行設(shè)計(jì)(ji)��。具體設(shè)計(jì)(ji)為在總(zong)部設(shè)置總(zong)部AC,在大型(xing)分支機(jī)(ji)構(gòu)設(shè)置(zhi)分支AC與分支(zhi)AP��,中型分支機(jī)(ji)構(gòu)設(shè)計(jì)二(er)級(jí)��,三級(jí)交換(huan)機(jī)��,分支AP��。小微型(xing)分支機(jī)構(gòu)直(zhi)接設(shè)置(zhi)分支AP��?�?偛?bu)AC可以對(duì)大型(xing)分支機(jī)(ji)構(gòu)的AC進(jìn)行(xing)管理,當(dāng)(dang)網(wǎng)點(diǎn)控制器采(cai)用集(ji)中管理(li)的模式進(jìn)(jin)入到中心端控(kong)制器時(shí),會(huì)自(zi)動(dòng)下載中心(xin)端的公共配置(zhi)��,比如IP組��、MAC地(di)址庫(kù)(ku)��、時(shí)間計(jì)劃��、角(jiao)色授權(quán)��、認(rèn)證(zheng)頁(yè)面(mian)等 ��?�?偛?bu)AC也可以直接(jie)管理中小型(xing)分支機(jī)構(gòu)的分(fen)支AP,實(shí)現(xiàn)統(tǒng)(tong)一管理��。
方案設(shè)計(jì):
安全無(wú)(wu)線整(zheng)體解決方(fang)案:
接入前&接入時(shí)(shi)進(jìn)行身份認(rèn)證(zheng)��、安全(quan)無(wú)線(xian)網(wǎng)卡��、賬號(hào)(hao)綁定(硬(ying)件碼+手機(jī)號(hào))��,非(fei)法熱點(diǎn)檢(jian)測(cè)及(ji)防御��、網(wǎng)絡(luò)攻(gong)擊防護(hù)��、射頻定(ding)時(shí)關(guān)(guan)閉及安(an)全加固��。
接入(ru)后&上網(wǎng)時(shí)進(jìn)行(xing)訪問(wèn)權(quán)(quan)限控制(zhi)。
上網(wǎng)后進(jìn)行上(shang)網(wǎng)行為記(ji)錄��。
上網(wǎng)(wang)用戶身份實(shí)名(ming)認(rèn)證(zheng):
無(wú)線辦公網(wǎng)(wang)采用(yong)802.1X/Portal/WAPI認(rèn)證(zheng)��,外置AAA和RADIUS+AD用(yong)于存儲(chǔ)(chu)用戶賬(zhang)號(hào)密碼��。
每個(gè)賬號(hào)(hao)對(duì)應(yīng)一個(gè)員工(gong)��,包括(kuo)姓名��、部門(mén)��、性(xing)別以及身(shen)份證��、手機(jī)號(hào)等(deng)個(gè)人信息��,保證(zheng)每個(gè)上網(wǎng)(wang)的賬號(hào)(hao)都是(shi)可尋的(de)��,便于安全(quan)管理��。
用戶(hu)輸入賬號(hào)密碼(ma)上網(wǎng)驗(yàn)(yan)證時(shí)均采用(yong)加密(mi)傳輸��,防止黑客(ke)空中(zhong)攔截��,竊(qie)取賬號(hào)密碼(ma)等數(shù)據(jù)��。
上網(wǎng)賬(zhang)號(hào)自動(dòng)綁(bang)定終端:
自動(dòng)(dong)將賬號(hào)(hao)與終端的(de)硬件特(te)征碼進(jìn)(jin)行綁定,防止賬(zhang)號(hào)被他人使用(yong)或者(zhe)被盜用(yong)��。
每臺(tái)設(shè)備(bei)的硬(ying)件特(te)征碼是(shi)唯一的��,無(wú)法(fa)通過(guò)軟件(jian)修改��。即使通過(guò)(guo)軟件修改(gai)了仍然可以識(shí)(shi)別原始的��。
每個(gè)(ge)賬號(hào)最多(duo)可以綁(bang)定5臺(tái)終端��,超過(guò)(guo)1臺(tái)時(shí)需要(yao)管理員審核��。
上網(wǎng)賬(zhang)號(hào)二次綁定手(shou)機(jī)號(hào)碼:
賬號(hào)首次登(deng)陸時(shí)需要綁(bang)定手機(jī)(ji)號(hào)并輸入(ru)短信(xin)驗(yàn)證碼��,當(dāng)用戶(hu)賬號(hào)在新終端(duan)登陸(lu)時(shí)(換終端(duan)/被他用/被盜)��,不(bu)僅需(xu)要輸入密(mi)碼��,還需要輸(shu)入短信驗(yàn)證碼(ma)��,解決員工賬號(hào)(hao)認(rèn)證的安全(quan)問(wèn)題
綁定手機(jī)(ji)號(hào)碼的用戶(hu)��,可以自助(zhu)重置(zhi)密碼和修改密(mi)碼��,無(wú)需通(tong)過(guò)IT管理員(yuan)��。
用戶密碼(ma)管理及自(zi)助修改:
無(wú)需通過(guò)管理(li)員即可(ke)修改(gai)密碼��,提高效率(lv)及減輕管理(li)員工作壓力��。
通過(guò)口袋助(zhu)理��、釘釘��、企業(yè)(ye)號(hào)等(deng)手機(jī)MOA類APP軟件進(jìn)(jin)行無(wú)線密碼修(xiu)改��。
若賬號(hào)(hao)綁定(ding)了手機(jī)號(hào)碼��,可(ke)通過(guò)(guo)手機(jī)(ji)驗(yàn)證(zheng)碼自(zi)助修改��。
上網(wǎng)終(zhong)端合法效驗(yàn):
采用安(an)全無(wú)線(xian)網(wǎng)卡(ka)接入無(wú)線網(wǎng)絡(luò)(luo)��,終端與AP熱點(diǎn)(dian)的雙向驗(yàn)證��,提(ti)高安全性��。
可以將無(wú)線網(wǎng)(wang)絡(luò)設(shè)置(zhi)為只有安裝了(le)安全無(wú)線(xian)網(wǎng)卡的(de)終端才能接(jie)入無(wú)線網(wǎng)(wang)絡(luò)��。
支持(chi)設(shè)置(zhi)安全無(wú)(wu)線網(wǎng)卡(ka)只能(neng)連指定(ding)SSID無(wú)線網(wǎng)絡(luò)��,無(wú)(wu)法連接非(fei)授權(quán)SSID��。
網(wǎng)卡與AP數(shù)據(jù)(ju)傳輸(shu)時(shí)自(zi)動(dòng)進(jìn)行(xing)數(shù)據(jù)加密(mi),保證無(wú)線的空(kong)口安(an)全��。
無(wú)線熱點(diǎn)(dian)掃描及非法(fa)熱點(diǎn)抑制:
背景:黑客(ke)在附近搭建一(yi)個(gè)一(yi)模一(yi)樣或者類似(shi)的WIFI名稱��,誘(you)使用戶連到虛(xu)假釣魚(yú)WIFI上��,黑(hei)客利用分(fen)析軟件(jian)從用戶(hu)上網(wǎng)產(chǎn)(chan)生的(de)數(shù)據(jù)包中分(fen)析提(ti)取用(yong)戶隱私信息��。
我們通(tong)過(guò)WIPS無(wú)線入(ru)侵防御系統(tǒng)(tong)實(shí)時(shí)檢測(cè)周圍(wei)無(wú)線(xian)信號(hào)��,當(dāng)檢測(cè)出(chu)來(lái)的信號(hào)BSSID��、且AP源(yuan)MAC地址不在授(shou)權(quán)列表中(zhong)時(shí)��,我們向?qū)?dui)應(yīng)的AP和終(zhong)端發(fā)(fa)送解除關(guān)聯(lián)幀(zhen)��,讓終端無(wú)法(fa)連上釣魚(yú)(yu)WIFI��。7×24小時(shí)不(bu)間斷(duan)監(jiān)測(cè)網(wǎng)絡(luò)��。
上網(wǎng)行(xing)為嚴(yán)格控(kong)制:
強(qiáng)大的管(guan)理:通過(guò)(guo)應(yīng)用識(shí)別技(ji)術(shù)��,可以根(gen)據(jù)應(yīng)(ying)用類型或(huo)者具體某(mou)一種應(yīng)(ying)用進(jìn)行(xing)封堵��,包(bao)括視頻(pin)��、論壇��、游戲(xi)��、金融��、下載等(deng)2400多種網(wǎng)(wang)絡(luò)應(yīng)用��。
通過(guò)應(yīng)用識(shí)別(bie)技術(shù)��,可以根據(jù)(ju)應(yīng)用類(lei)型或者具體某(mou)一種應(yīng)用進(jìn)行(xing)封堵��,比如上班(ban)時(shí)間不允許(xu)炒股��,不(bu)允許P2P下載(zai)��,不允(yun)許外發(fā)敏感(gan)文件等��; 支持主(zhu)流移動(dòng)平(ping)臺(tái)��,可(ke)識(shí)別IM��、社(she)交��、Mail、新聞��、炒(chao)股等應(yīng)(ying)用��。
無(wú)線控制器(qi)內(nèi)置千萬(wàn)級(jí)(ji)別的URL分類庫(kù)��,能(neng)夠?qū)RL進(jìn)行(xing)識(shí)別(bie)��,包含新聞(wen)��、購(gòu)物(wu)��、金融��、教育(yu)等18個(gè)種類的URL地(di)址��; 準(zhǔn)確(que)識(shí)別目前主(zhu)流網(wǎng)站(zhan)��,識(shí)別率高達(dá)99.9%��,有(you)效實(shí)(shi)現(xiàn)網(wǎng)頁(yè)過(guò)(guo)濾��。例如禁止登(deng)陸非(fei)法網(wǎng)站(zhan)
通過(guò)基(ji)于時(shí)間段的(de)訪問(wèn)控制(zhi)策略(lve)��,實(shí)現(xiàn)不同(tong)的時(shí)間段不同(tong)的訪問(wèn)權(quán)(quan)限��,比如上(shang)班時(shí)間��,禁止(zhi)訪問(wèn)網(wǎng)上銀行(xing)��、游戲��、論(lun)壇貼吧(ba)等與工作無(wú)關(guān)(guan)的應(yīng)(ying)用��,下班時(shí)間(jian)則不受限(xian)制��。
辦公區(qū)(qu)域內(nèi)��,不同辦公(gong)部門(mén)總會(huì)有(you)各自專屬的無(wú)(wu)線網(wǎng)絡(luò)��,并且(qie)不希望部門(mén)之(zhi)外的成(cheng)員使用這個(gè)網(wǎng)(wang)絡(luò)��。無(wú)線網(wǎng)(wang)絡(luò)控制(zhi)器可以根據(jù)(ju)用戶的屬性��,限(xian)制禁止非(fei)本部門(mén)的(de)用戶接入��。
典型無(wú)線網(wǎng)絡(luò)(luo)攻擊(ji)防護(hù):
對(duì)典型的(de)危險(xiǎn)攻擊行(xing)為進(jìn)(jin)行檢測(cè)��,當(dāng)超(chao)過(guò)設(shè)定的閾值(zhi)后自動(dòng)(dong)將攻(gong)擊者加入到(dao)黑名單中��,并(bing)凍結(jié)一定(ding)時(shí)間��,即時(shí)發(fā)(fa)現(xiàn)網(wǎng)絡(luò)攻擊并(bing)進(jìn)行防御。
檢測(cè)(ce)的攻(gong)擊包括:DDOS防御��、ARP掃(sao)描��、IP掃描(miao)��、端口掃描防(fang)御,禁止客(ke)戶端私設(shè)IP以及(ji)ARP、網(wǎng)關(guān)欺騙防(fang)御、DHCP請(qǐng)求泛(fan)洪防(fang)御。
無(wú)線射頻定時(shí)(shi)關(guān)閉開(kāi)啟:
通過(guò)射頻(pin)關(guān)閉控制策(ce)略,可(ke)以指定某SSID網(wǎng)絡(luò)(luo)��,定時(shí)自動(dòng)關(guān)(guan)閉和開(kāi)啟無(wú)線(xian)網(wǎng)絡(luò)的射(she)頻信號(hào)��,晚上(shang)下班(ban)后自動(dòng)關(guān)閉無(wú)(wu)線射頻信號(hào)��。
一方面(mian)可以節(jié)(jie)能減(jian)排��、節(jié)省電費(fèi)(fei)支出(chu)��;另一(yi)方面又能防(fang)止非法用戶利(li)用深夜時(shí)間入(ru)侵無(wú)線網(wǎng)絡(luò)(luo),做一些非(fei)法的操作��。
有線(xian)無(wú)線一體化(hua)管理:
NAC的有線無(wú)線一(yi)體化��,支(zhi)持對(duì)有線用(yong)戶的接入認(rèn)(ren)證��、訪問(wèn)(wen)控制(zhi)��、流量管理、上網(wǎng)(wang)行為審計(jì)等(deng),
并提供(gong)統(tǒng)一中(zhong)文Web管(guan)理界(jie)面��,一站(zhan)式服務(wù)��,極(ji)大的降低(di)網(wǎng)絡(luò)建設(shè)(she)成本��。
網(wǎng)絡(luò)分權(quán)(quan)分級(jí)(ji)管理:
分配不同的管(guan)理員分(fen)別管(guan)理各自權(quán)限區(qū)(qu)域的無(wú)線AP��,可以(yi)精細(xì)到(dao)對(duì)某AP分組(zu)有管理權(quán)限(xian)��,該管(guan)理員可以在(zai)該AP分組上建立(li)無(wú)線網(wǎng)絡(luò)��,能(neng)夠激活、刪除(chu)接入點(diǎn),能夠?qū)?dui)AP的配置進(jìn)(jin)行編輯(ji)修改(gai)��。
可指定管理員(yuan)針對(duì)每個(gè)頁(yè)(ye)面的(de)編輯(ji)或可查看權(quán)限(xian),控制粒度到控(kong)制器(qi)上的(de)各個(gè)頁(yè)面(mian)��,對(duì)某個(gè)頁(yè)(ye)面沒(méi)有讀權(quán)(quan)限則登錄時(shí)不(bu)顯示。
移動(dòng)APP隨時(shí)隨地(di)運(yùn)維(wei)管理(li):
支持跨互聯(lián)網(wǎng)(wang)運(yùn)維管(guan)理
登陸APP進(jìn)行維護(hù)(hu)管理:不同(tong)管理員��,不(bu)同權(quán)(quan)限
查看網(wǎng)(wang)絡(luò)運(yùn)行(xing)情況:在線(xian)用戶、在線AP數(shù)量(liang)��、實(shí)時(shí)流量(liang)
無(wú)線網(wǎng)絡(luò)管(guan)理維(wei)護(hù):開(kāi)啟(qi)關(guān)閉SSID��、終端(duan)綁定審批��、二維(wei)碼上(shang)網(wǎng)審(shen)核
故障��、審批實(shí)(shi)時(shí)通知:AP離(li)線警告��、服(fu)務(wù)器離線警告(gao)��、網(wǎng)絡(luò)(luo)攻擊告警
方案優(yōu)勢(shì):
1��、最豐(feng)富的無(wú)(wu)線安(an)全機(jī)(ji)制��,提供從(cong)安全接入到安(an)全上網(wǎng)等端到(dao)端的(de)安全策略
2��、合理(li)管控(kong)工作人員(yuan)上網(wǎng)(wang)行為��,提升(sheng)工作效率(lv)��、防止帶(dai)寬浪費(fèi)��,有(you)線無(wú)線雙(shuang)重管控(kong)
3��、為會(huì)議室��,報(bào)告(gao)廳等人(ren)員密集區(qū)域(yu)接入網(wǎng)絡(luò)(luo)提高保證��,解(jie)決有線(xian)網(wǎng)口(kou)不足(zu)的問(wèn)題��;
4��、為企(qi)業(yè)員(yuan)工的移動(dòng)辦公(gong)提供支撐��,內(nèi)(nei)部員(yuan)工可通過(guò)無(wú)(wu)線網(wǎng)絡(luò)(luo)隨時(shí)安全接(jie)入內(nèi)部(bu)網(wǎng)絡(luò)(luo)��,實(shí)現(xiàn)辦公(gong)��;
5��、內(nèi)部員工(gong)賬號(hào)及(ji)個(gè)人信息(xi)綁定��,便于安全(quan)管理��;
6��、內(nèi)部員工可(ke)通過(guò)(guo)自己的辦公設(shè)(she)備在企(qi)業(yè)大樓內(nèi)(nei)快速移動(dòng)辦(ban)公��,網(wǎng)絡(luò)接(jie)入更快(kuai)速��,上網(wǎng)(wang)行為管理系(xi)統(tǒng)對(duì)員工上網(wǎng)(wang)行為進(jìn)(jin)行審(shen)計(jì)與管(guan)控
7��、來(lái)訪客(ke)戶接入企(qi)業(yè)網(wǎng)絡(luò)��,可根據(jù)(ju)不同需(xu)求��,分配不(bu)同的上網(wǎng)權(quán)(quan)限��,保證(zheng)了接入的安全(quan)性同時(shí)提升群(qun)眾上網(wǎng)的體驗(yàn)(yan)
8��、豐富(fu)的認(rèn)證機(jī)(ji)制��,滿足組織(zhi)對(duì)無(wú)線網(wǎng)(wang)絡(luò)安全(quan)��、快速接入
9��、投資(zi)成本低��,通(tong)過(guò)部(bu)署無(wú)線控(kong)制器替(ti)換原(yuan)有網(wǎng)絡(luò)的(de)出口路(lu)由、行(xing)為管理(li)以及(ji)無(wú)線控(kong)制器
