?
大型(xing)企業(yè)(ye)在無線網(wǎng)絡建(jian)設期間(jian)要充分(fen)考慮(lv)訪客(領(ling)導����、客(ke)戶�、合作伙伴)接(jie)入網(wǎng)絡(luo)的需求。首先(xian)從安全性考慮(lv)��,訪客網(wǎng)(wang)絡必須要(yao)和辦(ban)公網(wǎng)絡(luo)分開�,訪(fang)客網(wǎng)絡單獨(du)提供給訪客(ke)使用(yong)��。從用戶體驗(yan)角度考慮�,訪客(ke)接入網(wǎng)絡的(de)驗證方式(shi)一定(ding)要做到簡單(dan)易行,繁瑣的驗(yan)證方式會降(jiang)低訪客(ke)對企業(yè)(ye)的整(zheng)體印象��。同時對(dui)于訪客(ke)網(wǎng)絡��,企業(yè)(ye)還需(xu)要建立(li)完善的網(wǎng)絡安(an)全管理機制(zhi)����,避免(mian)由于訪客的網(wǎng)(wang)絡不良訪(fang)問給企業(yè)(ye)帶來的法律風(feng)險。對于(yu)企業(yè)員工移(yi)動辦公上網(wǎng)�,更(geng)需要做到可(ke)管控(kong),上網(wǎng)行為做(zuo)到可追溯(su)�����,企業(yè)(ye)有效的(de)帶寬資源得(de)到合(he)理的分配和(he)保證(zheng),才能(neng)使企業(yè)的業(yè)務(wu)系統(tǒng)(tong)正常且穩(wěn)定(ding)高效地運行����,同(tong)時保證企(qi)業(yè)信(xin)息安全,避(bi)免機(ji)密信息泄露���。
存在的問(wen)題(用戶(hu)需求)
1��、接入不安(an)全:缺乏安全可(ke)靠的認證機制(zhi)�����,企業(yè)無線網(wǎng)絡(luo)接入不安全(quan)
2�、上網(wǎng)權限(xian)混亂(luan):缺乏有(you)效的(de)控制策略(lve)��,員工上網(wǎng)(wang)權限不(bu)分明
3�、數(shù)據(jù)信息安(an)全:缺(que)乏有效(xiao)的數(shù)據(jù)(ju)加密機制,企業(yè)(ye)數(shù)據(jù)被(bei)黑客竊取(qu)篡改
4�、無線信(xin)號差:AP性(xing)能不佳,上(shang)網(wǎng)總掉線(xian)�,點位(wei)規(guī)劃(hua)不合理,信號(hao)盲區(qū)多
5��、漫游效(xiao)果差:不能實(shi)現(xiàn)二三層(ceng)漫游�,移(yi)動辦公時��,業(yè)(ye)務中(zhong)斷
解決方(fang)案:
結合用(yong)戶無線(xian)網(wǎng)絡(luo)需求情(qing)況,結合產(chǎn)(chan)品自身技(ji)術特點�,為了滿(man)足用戶構建一(yi)個高速、穩(wěn)定(ding)�����、安全���、可(ke)靠�����、易于管(guan)理的無線(xian)接入網(wǎng)絡(luo)的需求�����,本(ben)設計方案按(an)照AP+AC的(de)結構化無線網(wǎng)(wang)絡解決(jue)方案進行(xing)設計(ji)�����。具體(ti)設計為在總部(bu)設置總部AC,在(zai)大型分支機(ji)構設置(zhi)分支AC與分支(zhi)AP��,中型分支機(ji)構設計二級�����,三(san)級交(jiao)換機��,分支AP����。小(xiao)微型分支機(ji)構直接設(she)置分支AP?����?偛緼C可(ke)以對大型分(fen)支機構的(de)AC進行管理(li)�����,當網(wǎng)點控(kong)制器采用集(ji)中管理的(de)模式進(jin)入到中心(xin)端控制(zhi)器時����,會自(zi)動下載中心(xin)端的(de)公共配置(zhi),比如IP組(zu)����、MAC地址庫、時(shi)間計劃�、角色(se)授權(quan)��、認證(zheng)頁面等(deng) ���。總部AC也可以(yi)直接管(guan)理中小型(xing)分支機構(gou)的分支(zhi)AP�,實現(xiàn)(xian)統(tǒng)一管理(li)�。
方案(an)設計(ji):
安全無(wu)線整(zheng)體解(jie)決方案:
接入前&接(jie)入時(shi)進行身(shen)份認證、安全無(wu)線網(wǎng)卡(ka)���、賬號綁定(硬(ying)件碼+手機號(hao))��,非法(fa)熱點檢測及防(fang)御�、網(wǎng)絡攻擊防(fang)護�����、射頻定時關(guan)閉及(ji)安全(quan)加固��。
接入(ru)后&上網(wǎng)(wang)時進行訪問(wen)權限控制�����。
上網(wǎng)后(hou)進行上網(wǎng)行為(wei)記錄(lu)��。
上網(wǎng)用戶身份(fen)實名認(ren)證:
無線辦公網(wǎng)采(cai)用802.1X/Portal/WAPI認證(zheng),外置AAA和RADIUS+AD用于存(cun)儲用戶(hu)賬號密碼(ma)�����。
每個(ge)賬號對(dui)應一個(ge)員工�����,包括(kuo)姓名�����、部門�����、性(xing)別以及身(shen)份證�����、手機號等(deng)個人信息���,保證(zheng)每個(ge)上網(wǎng)的賬(zhang)號都是可尋的(de)�,便于安(an)全管理(li)����。
用戶輸入(ru)賬號密(mi)碼上(shang)網(wǎng)驗證時均(jun)采用加密傳輸(shu)�,防止黑客空(kong)中攔截(jie)��,竊取賬號密碼(ma)等數(shù)據(jù)���。
上網(wǎng)賬號(hao)自動綁定(ding)終端:
自動將(jiang)賬號與終端(duan)的硬件特征碼(ma)進行綁定��,防止(zhi)賬號被他(ta)人使用(yong)或者被盜用��。
每臺設備(bei)的硬件特征碼(ma)是唯一的(de),無法通(tong)過軟件修改(gai)�。即使通(tong)過軟件修改(gai)了仍然可以(yi)識別原(yuan)始的。
每個賬號(hao)最多(duo)可以綁定5臺終(zhong)端���,超過(guo)1臺時需要管理(li)員審核(he)�����。
上網(wǎng)賬號二次(ci)綁定(ding)手機號(hao)碼:
賬號首次登陸(lu)時需要綁定手(shou)機號并輸入短(duan)信驗證碼���,當用(yong)戶賬號在新終(zhong)端登陸時(換(huan)終端/被他(ta)用/被盜(dao)),不僅需要(yao)輸入密(mi)碼�,還需要(yao)輸入短信驗證(zheng)碼���,解決員工賬(zhang)號認證的安(an)全問(wen)題
綁定(ding)手機號碼的(de)用戶,可以自(zi)助重置(zhi)密碼(ma)和修改密碼(ma)����,無需(xu)通過IT管理員(yuan)。
用戶(hu)密碼管理及自(zi)助修改:
無需通過管理(li)員即可修改密(mi)碼�,提高效率(lv)及減輕(qing)管理員工(gong)作壓力。
通過口袋(dai)助理����、釘(ding)釘、企業(yè)號(hao)等手機MOA類APP軟件(jian)進行無(wu)線密(mi)碼修改(gai)�。
若賬(zhang)號綁定了手(shou)機號碼(ma),可通過手機(ji)驗證碼自助修(xiu)改��。
上網(wǎng)終(zhong)端合(he)法效(xiao)驗:
采用(yong)安全(quan)無線網(wǎng)(wang)卡接入無線(xian)網(wǎng)絡����,終(zhong)端與AP熱點(dian)的雙向(xiang)驗證,提高安全(quan)性�。
可以將(jiang)無線網(wǎng)(wang)絡設置為只(zhi)有安裝了(le)安全無(wu)線網(wǎng)(wang)卡的(de)終端才能(neng)接入無(wu)線網(wǎng)絡(luo)。
支持(chi)設置安全(quan)無線網(wǎng)卡只能(neng)連指定SSID無線網(wǎng)(wang)絡����,無法連(lian)接非授權SSID�����。
網(wǎng)卡(ka)與AP數(shù)據(jù)(ju)傳輸時自動(dong)進行數(shù)據(jù)加(jia)密�,保(bao)證無線的空(kong)口安全����。
無線(xian)熱點掃描及非(fei)法熱點抑制(zhi):
背景:黑(hei)客在附近(jin)搭建(jian)一個一模一(yi)樣或者類似的(de)WIFI名稱,誘使(shi)用戶連到虛(xu)假釣魚WIFI上�,黑(hei)客利用分析軟(ruan)件從用(yong)戶上(shang)網(wǎng)產(chǎn)生的(de)數(shù)據(jù)包中(zhong)分析提取用(yong)戶隱私信息(xi)。
我們通過(guo)WIPS無線入侵防(fang)御系統(tǒng)實(shi)時檢測周圍(wei)無線信號���,當(dang)檢測出來的信(xin)號BSSID�����、且AP源MAC地(di)址不在(zai)授權(quan)列表(biao)中時,我們向對(dui)應的AP和(he)終端(duan)發(fā)送解除關聯(lián)(lian)幀�,讓終端無(wu)法連上釣魚(yu)WIFI。7×24小時不間斷監(jiān)(jian)測網(wǎng)絡��。
上網(wǎng)行(xing)為嚴格(ge)控制(zhi):
強大的管理(li):通過應用識別(bie)技術(shu)���,可以根據(jù)應(ying)用類型或(huo)者具體某一(yi)種應(ying)用進(jin)行封堵���,包括視(shi)頻���、論壇、游戲(xi)���、金融�����、下載(zai)等2400多種網(wǎng)絡應(ying)用��。
通過應(ying)用識(shi)別技術����,可以(yi)根據(jù)應(ying)用類型(xing)或者(zhe)具體某(mou)一種應用(yong)進行封(feng)堵�,比如上班時(shi)間不允許炒(chao)股,不允許P2P下(xia)載����,不允許外發(fā)(fa)敏感文件等; 支(zhi)持主流移動(dong)平臺���,可識別(bie)IM���、社交�、Mail����、新聞、炒(chao)股等應用���。
無線控制(zhi)器內置千(qian)萬級別的(de)URL分類(lei)庫����,能(neng)夠對URL進行(xing)識別��,包含(han)新聞���、購物(wu)�����、金融、教育(yu)等18個種類(lei)的URL地址(zhi)�; 準確識別(bie)目前主流網(wǎng)站(zhan),識別率高達99.9%,有(you)效實現(xiàn)網(wǎng)頁過(guo)濾�����。例如禁止登(deng)陸非法網(wǎng)站
通過基(ji)于時間段的訪(fang)問控制策(ce)略���,實現(xiàn)(xian)不同的時間段(duan)不同的(de)訪問權限(xian)�����,比如上班(ban)時間�,禁止訪(fang)問網(wǎng)上銀行(xing)��、游戲��、論壇(tan)貼吧等與工作(zuo)無關的(de)應用����,下班時間(jian)則不受限制(zhi)。
辦公(gong)區(qū)域內����,不(bu)同辦公部(bu)門總會有各(ge)自專屬的無(wu)線網(wǎng)(wang)絡,并且不希望(wang)部門之外的(de)成員(yuan)使用這個網(wǎng)絡(luo)�����。無線網(wǎng)絡(luo)控制器可(ke)以根據(jù)用戶的(de)屬性,限(xian)制禁(jin)止非本部(bu)門的用戶接入(ru)���。
典型無線(xian)網(wǎng)絡(luo)攻擊防(fang)護:
對典(dian)型的危險攻(gong)擊行為(wei)進行檢測(ce)�����,當超過設定(ding)的閾值(zhi)后自動將(jiang)攻擊者加(jia)入到(dao)黑名單中�,并(bing)凍結一定時間(jian)����,即時(shi)發(fā)現(xiàn)網(wǎng)絡攻擊(ji)并進(jin)行防御。
檢測的攻(gong)擊包(bao)括:DDOS防御���、ARP掃(sao)描��、IP掃(sao)描���、端口(kou)掃描防御,禁止(zhi)客戶端(duan)私設IP以及ARP�����、網(wǎng)(wang)關欺騙防御(yu)��、DHCP請求(qiu)泛洪防(fang)御���。
無線射頻定(ding)時關閉開啟:
通過(guo)射頻(pin)關閉控制策略(lve)�����,可以(yi)指定某SSID網(wǎng)絡���,定(ding)時自動(dong)關閉(bi)和開啟無線網(wǎng)(wang)絡的射頻(pin)信號,晚(wan)上下班后自動(dong)關閉無線(xian)射頻(pin)信號���。
一方面可(ke)以節(jié)能減(jian)排����、節(jié)省電(dian)費支出��;另一方(fang)面又能防(fang)止非法用(yong)戶利用深(shen)夜時(shi)間入(ru)侵無線網(wǎng)(wang)絡��,做一些非(fei)法的(de)操作���。
有線(xian)無線一體化管(guan)理:
NAC的有線無線一(yi)體化�����,支持對(dui)有線用戶(hu)的接(jie)入認證�、訪問(wen)控制、流量管理(li)���、上網(wǎng)(wang)行為審計(ji)等���,
并提供(gong)統(tǒng)一中文Web管(guan)理界(jie)面,一站式(shi)服務����,極大的降(jiang)低網(wǎng)(wang)絡建設成(cheng)本�����。
網(wǎng)絡分權(quan)分級管理:
分配(pei)不同的管(guan)理員分別(bie)管理各自權(quan)限區(qū)域(yu)的無線AP���,可以精(jing)細到(dao)對某AP分(fen)組有管理權限(xian),該管理員(yuan)可以(yi)在該AP分組上建(jian)立無線網(wǎng)絡��,能(neng)夠激活(huo)���、刪除接(jie)入點����,能夠對(dui)AP的配置進行(xing)編輯修改(gai)��。
可指定管(guan)理員針對每個(ge)頁面的編輯(ji)或可查看權(quan)限��,控制粒度到(dao)控制器(qi)上的(de)各個頁面(mian)���,對某(mou)個頁面沒有(you)讀權限則登(deng)錄時不顯(xian)示���。
移動APP隨時隨地(di)運維管(guan)理:
支持(chi)跨互(hu)聯(lián)網(wǎng)運(yun)維管理(li)
登陸APP進行維(wei)護管理:不同管(guan)理員,不同權限(xian)
查看網(wǎng)(wang)絡運行(xing)情況:在線用(yong)戶�����、在線AP數(shù)(shu)量���、實時流(liu)量
無線網(wǎng)(wang)絡管(guan)理維護:開啟(qi)關閉(bi)SSID����、終端綁定(ding)審批����、二(er)維碼上網(wǎng)審核(he)
故障�、審批(pi)實時通知(zhi):AP離線警告����、服務(wu)器離線警告、網(wǎng)(wang)絡攻擊告警
方案優(yōu)(you)勢:
1�����、最豐富的無(wu)線安全機制�����,提(ti)供從安全(quan)接入(ru)到安全(quan)上網(wǎng)等端(duan)到端的安全策(ce)略
2���、合理管控(kong)工作(zuo)人員上(shang)網(wǎng)行為��,提升(sheng)工作(zuo)效率����、防止帶(dai)寬浪費�,有線無(wu)線雙重管(guan)控
3、為會議室��,報告(gao)廳等人員密集(ji)區(qū)域接入網(wǎng)(wang)絡提(ti)高保證,解決(jue)有線網(wǎng)口(kou)不足的(de)問題���;
4��、為企業(yè)員工(gong)的移動辦公提(ti)供支撐(cheng)���,內部(bu)員工可通過(guo)無線網(wǎng)(wang)絡隨(sui)時安全接入內(nei)部網(wǎng)絡(luo),實現(xiàn)辦公(gong)�����;
5���、內部員工賬(zhang)號及個人信息(xi)綁定,便于安全(quan)管理���;
6����、內部員(yuan)工可通(tong)過自己(ji)的辦公設備(bei)在企業(yè)(ye)大樓內快速移(yi)動辦(ban)公���,網(wǎng)絡接(jie)入更快速���,上(shang)網(wǎng)行為(wei)管理系統(tǒng)(tong)對員工上網(wǎng)(wang)行為(wei)進行(xing)審計與管(guan)控
7���、來訪客戶接(jie)入企業(yè)網(wǎng)(wang)絡,可根據(jù)(ju)不同需求(qiu)����,分配(pei)不同的上網(wǎng)權(quan)限,保證了接入(ru)的安全性同(tong)時提升群(qun)眾上網(wǎng)的體(ti)驗
8��、豐富的認(ren)證機制�,滿足(zu)組織對無線網(wǎng)(wang)絡安全、快速接(jie)入
9���、投資成(cheng)本低�,通過部(bu)署無線(xian)控制器替換原(yuan)有網(wǎng)絡的出口(kou)路由�����、行為(wei)管理(li)以及(ji)無線控制器(qi)
