大型企業(yè)在(zai)無線網(wǎng)絡(luò)(luo)建設(shè)期(qi)間要充分考慮(lv)訪客（領(lǐng)導(dǎo)、客(ke)戶、合作伙伴(ban)）接入(ru)網(wǎng)絡(luò)的需求。首(shou)先從安全性考(kao)慮，訪客網(wǎng)絡(luò)(luo)必須要和辦公(gong)網(wǎng)絡(luò)分開，訪客(ke)網(wǎng)絡(luò)單獨(du)提供給訪客(ke)使用。從用(yong)戶體驗角度考(kao)慮，訪客(ke)接入網(wǎng)絡(luò)的驗(yan)證方式一定(ding)要做到簡單易(yi)行，繁瑣的驗(yan)證方式會(hui)降低訪(fang)客對企(qi)業(yè)的整體印象(xiang)。同時對于訪客(ke)網(wǎng)絡(luò)，企(qi)業(yè)還(hai)需要(yao)建立完善的網(wǎng)(wang)絡(luò)安全(quan)管理機(jī)(ji)制，避(bi)免由于訪客(ke)的網(wǎng)絡(luò)不良訪(fang)問給企業(yè)(ye)帶來的(de)法律風(fēng)險。對于(yu)企業(yè)(ye)員工移(yi)動辦公上(shang)網(wǎng)，更(geng)需要做到(dao)可管控，上網(wǎng)行(xing)為做(zuo)到可追(zhui)溯，企(qi)業(yè)有效的帶寬(kuan)資源得(de)到合理的分配(pei)和保證，才(cai)能使(shi)企業(yè)的(de)業(yè)務(wù)(wu)系統(tǒng)(tong)正常且穩(wěn)定高(gao)效地運行(xing)，同時保證企(qi)業(yè)信(xin)息安全(quan)，避免機(jī)密信息(xi)泄露。

存在的問(wen)題（用戶需求）

1、接入不安全：缺(que)乏安全可靠的(de)認(rèn)證(zheng)機(jī)制，企業(yè)無線(xian)網(wǎng)絡(luò)(luo)接入不(bu)安全(quan)

2、上網(wǎng)(wang)權(quán)限混亂(luan)：缺乏有效的(de)控制策(ce)略，員工上網(wǎng)(wang)權(quán)限不分明(ming)

3、數(shù)據(jù)(ju)信息(xi)安全(quan)：缺乏有(you)效的數(shù)據(jù)加(jia)密機(jī)制，企業(yè)數(shù)(shu)據(jù)被黑客竊取(qu)篡改

4、無線信(xin)號差：AP性能不(bu)佳，上(shang)網(wǎng)總(zong)掉線，點位(wei)規(guī)劃(hua)不合理(li)，信號盲區(qū)(qu)多

5、漫游效果差(cha)：不能實現(xiàn)(xian)二三層漫游(you)，移動(dong)辦公時，業(yè)(ye)務(wù)中斷

解決方案：

結(jié)合用戶無線(xian)網(wǎng)絡(luò)(luo)需求情況，結(jié)合(he)產(chǎn)品自身技(ji)術(shù)特點，為了滿(man)足用(yong)戶構(gòu)(gou)建一個高速、穩(wěn)(wen)定、安全、可靠、易(yi)于管理的無線(xian)接入(ru)網(wǎng)絡(luò)的需求(qiu)，本設(shè)(she)計方(fang)案按照(zhao)AP+AC的結(jié)構(gòu)化無線(xian)網(wǎng)絡(luò)解決方(fang)案進(jìn)行(xing)設(shè)計。具體設(shè)計(ji)為在總部(bu)設(shè)置(zhi)總部(bu)AC,在大型分支(zhi)機(jī)構(gòu)設(shè)(she)置分支(zhi)AC與分支AP，中(zhong)型分支機(jī)構(gòu)(gou)設(shè)計二(er)級，三級交換(huan)機(jī)，分支AP。小微型(xing)分支機(jī)構(gòu)(gou)直接設(shè)置(zhi)分支(zhi)AP?？偛緼C可以對(dui)大型(xing)分支機(jī)構(gòu)的AC進(jìn)(jin)行管理，當(dāng)網(wǎng)(wang)點控制器采(cai)用集(ji)中管理(li)的模式進(jìn)入到(dao)中心端控(kong)制器時，會自動(dong)下載中心端(duan)的公共配置，比(bi)如IP組、MAC地址庫、時(shi)間計(ji)劃、角色授權(quán)、認(rèn)(ren)證頁面(mian)等 ?？?zong)部AC也可以(yi)直接管理(li)中小型(xing)分支機(jī)(ji)構(gòu)的分支AP，實(shi)現(xiàn)統(tǒng)一管理。

方案設(shè)計(ji)：

安全無線整(zheng)體解決方(fang)案：

接入(ru)前&接入時進(jìn)行(xing)身份認(rèn)證、安(an)全無線(xian)網(wǎng)卡、賬號綁(bang)定（硬件碼+手(shou)機(jī)號），非(fei)法熱點檢(jian)測及防御(yu)、網(wǎng)絡(luò)(luo)攻擊防護(hù)、射頻(pin)定時關(guān)(guan)閉及安(an)全加固。

接入后&上網(wǎng)時(shi)進(jìn)行訪問(wen)權(quán)限控制。

上網(wǎng)后(hou)進(jìn)行上(shang)網(wǎng)行為記錄(lu)。

上網(wǎng)(wang)用戶身份實(shi)名認(rèn)證：

無線辦公網(wǎng)采(cai)用802.1X/Portal/WAPI認(rèn)(ren)證，外置(zhi)AAA和RADIUS+AD用(yong)于存儲用戶賬(zhang)號密碼。

每個賬號(hao)對應(yīng)一個員工(gong)，包括姓(xing)名、部門、性別以(yi)及身份證、手(shou)機(jī)號等個人信(xin)息，保證每(mei)個上網(wǎng)的(de)賬號都(dou)是可尋的，便(bian)于安全(quan)管理。

用戶輸入(ru)賬號密碼(ma)上網(wǎng)驗(yan)證時均(jun)采用加密(mi)傳輸，防止(zhi)黑客空中攔截(jie)，竊取賬(zhang)號密碼等(deng)數(shù)據(jù)。

上網(wǎng)賬號自動(dong)綁定(ding)終端(duan)：

自動(dong)將賬號與(yu)終端(duan)的硬件(jian)特征碼(ma)進(jìn)行綁(bang)定，防止賬號(hao)被他人使用(yong)或者被盜用。

每臺設(shè)備的硬(ying)件特(te)征碼是唯一(yi)的，無法通過軟(ruan)件修改。即使(shi)通過軟件修改(gai)了仍然(ran)可以識別原始(shi)的。

每個賬(zhang)號最多(duo)可以綁(bang)定5臺終(zhong)端，超過1臺時(shi)需要管理員(yuan)審核。

上網(wǎng)賬(zhang)號二次(ci)綁定手(shou)機(jī)號碼(ma)：

賬號首(shou)次登陸時需(xu)要綁定手(shou)機(jī)號并輸入短(duan)信驗證(zheng)碼，當(dāng)用戶賬號(hao)在新終(zhong)端登(deng)陸時（換終(zhong)端/被(bei)他用/被(bei)盜），不僅(jin)需要輸入(ru)密碼，還需(xu)要輸入短信驗(yan)證碼，解決員(yuan)工賬號(hao)認(rèn)證的(de)安全問題(ti)

綁定手機(jī)號(hao)碼的用戶，可以(yi)自助重置(zhi)密碼和修改密(mi)碼，無需通過(guo)IT管理(li)員。

用戶密碼管理(li)及自助修改：

無需通(tong)過管理員(yuan)即可修(xiu)改密(mi)碼，提高效率(lv)及減輕管理(li)員工作(zuo)壓力。

通過口袋助(zhu)理、釘釘、企(qi)業(yè)號等(deng)手機(jī)MOA類APP軟件進(jìn)(jin)行無線(xian)密碼修改。

若賬(zhang)號綁定了手機(jī)(ji)號碼，可通過手(shou)機(jī)驗證碼(ma)自助修改。

上網(wǎng)終端(duan)合法(fa)效驗：

采用安全無線(xian)網(wǎng)卡接(jie)入無線網(wǎng)絡(luò)，終(zhong)端與AP熱(re)點的(de)雙向(xiang)驗證，提高安(an)全性。

可以將無線網(wǎng)(wang)絡(luò)設(shè)置(zhi)為只有安(an)裝了安(an)全無(wu)線網(wǎng)卡的(de)終端才能接(jie)入無(wu)線網(wǎng)絡(luò)。

支持設(shè)置(zhi)安全無線(xian)網(wǎng)卡只能連(lian)指定SSID無線(xian)網(wǎng)絡(luò)，無(wu)法連接非授權(quán)(quan)SSID。

網(wǎng)卡與AP數(shù)(shu)據(jù)傳(chuan)輸時(shi)自動進(jìn)行數(shù)據(jù)(ju)加密，保(bao)證無線(xian)的空口(kou)安全。

無線熱點(dian)掃描及非(fei)法熱點抑制(zhi)：

背景(jing)：黑客在附(fu)近搭建(jian)一個(ge)一模一(yi)樣或者類似(shi)的WIFI名(ming)稱，誘使用戶(hu)連到虛假釣(diao)魚WIFI上，黑客利(li)用分析軟(ruan)件從用戶(hu)上網(wǎng)產(chǎn)生的數(shù)(shu)據(jù)包中(zhong)分析提取(qu)用戶隱(yin)私信息。

我們通(tong)過WIPS無線入侵防(fang)御系統(tǒng)實(shi)時檢測周(zhou)圍無線(xian)信號，當(dāng)檢(jian)測出(chu)來的信號(hao)BSSID、且AP源MAC地址(zhi)不在授權(quán)列(lie)表中時，我們向(xiang)對應(yīng)的AP和終端(duan)發(fā)送解除關(guān)聯(lián)(lian)幀，讓終端無(wu)法連上釣魚(yu)WIFI。7×24小時(shi)不間斷監(jiān)測網(wǎng)(wang)絡(luò)。

上網(wǎng)行為(wei)嚴(yán)格控制(zhi)：

強(qiáng)大的管理：通(tong)過應(yīng)用識別技(ji)術(shù)，可以根據(jù)應(yīng)(ying)用類(lei)型或者(zhe)具體某(mou)一種應(yīng)用(yong)進(jìn)行封堵(du)，包括視頻、論壇(tan)、游戲、金融、下(xia)載等2400多種網(wǎng)(wang)絡(luò)應(yīng)用。

通過應(yīng)用(yong)識別技術(shù)，可以(yi)根據(jù)(ju)應(yīng)用類型或(huo)者具體(ti)某一種應(yīng)(ying)用進(jìn)行封(feng)堵，比(bi)如上班時間不(bu)允許炒(chao)股，不允許(xu)P2P下載，不允許(xu)外發(fā)敏感文(wen)件等； 支持主流(liu)移動平臺，可識(shi)別IM、社交、Mail、新聞(wen)、炒股等應(yīng)用(yong)。

無線控(kong)制器內(nèi)置(zhi)千萬級別的URL分(fen)類庫，能(neng)夠?qū)?dui)URL進(jìn)行識(shi)別，包含新(xin)聞、購物、金(jin)融、教(jiao)育等18個(ge)種類(lei)的URL地址； 準(zhǔn)(zhun)確識別(bie)目前主(zhu)流網(wǎng)站(zhan)，識別率高達(dá)(da)99.9%，有效實現(xiàn)(xian)網(wǎng)頁過濾(lv)。例如(ru)禁止登陸(lu)非法網(wǎng)(wang)站

通過基于時(shi)間段(duan)的訪(fang)問控制(zhi)策略，實現(xiàn)不同(tong)的時(shi)間段不(bu)同的(de)訪問權(quán)限，比如(ru)上班時(shi)間，禁止訪(fang)問網(wǎng)上銀行(xing)、游戲(xi)、論壇貼吧等與(yu)工作無(wu)關(guān)的應(yīng)用(yong)，下班時間(jian)則不受(shou)限制。

辦公區(qū)域內(nèi)(nei)，不同辦公(gong)部門總會有各(ge)自專屬的(de)無線網(wǎng)絡(luò)，并(bing)且不希(xi)望部門(men)之外的成員(yuan)使用這個網(wǎng)(wang)絡(luò)。無(wu)線網(wǎng)絡(luò)控制(zhi)器可以根據(jù)用(yong)戶的(de)屬性(xing)，限制禁止(zhi)非本部門的(de)用戶接入。

典型(xing)無線網(wǎng)絡(luò)攻擊(ji)防護(hù)：

對典型(xing)的危險攻擊(ji)行為進(jìn)行檢(jian)測，當(dāng)超過設(shè)定(ding)的閾值后自動(dong)將攻(gong)擊者加(jia)入到黑名(ming)單中，并凍結(jié)(jie)一定(ding)時間(jian)，即時(shi)發(fā)現(xiàn)網(wǎng)(wang)絡(luò)攻擊并(bing)進(jìn)行防御。

檢測的攻(gong)擊包括：DDOS防御、ARP掃(sao)描、IP掃描(miao)、端口掃描(miao)防御，禁止(zhi)客戶端私設(shè)(she)IP以及ARP、網(wǎng)關(guān)欺騙(pian)防御、DHCP請求泛洪(hong)防御(yu)。

無線射頻定(ding)時關(guān)(guan)閉開啟：

通過(guo)射頻關(guān)閉控(kong)制策略，可以指(zhi)定某SSID網(wǎng)絡(luò)(luo)，定時自動關(guān)閉(bi)和開啟無線(xian)網(wǎng)絡(luò)的射頻信(xin)號，晚上下(xia)班后(hou)自動關(guān)閉無線(xian)射頻信(xin)號。

一方面可以節(jié)(jie)能減排、節(jié)省電(dian)費支出(chu)；另一方面(mian)又能防止非(fei)法用戶利(li)用深夜(ye)時間入侵無(wu)線網(wǎng)絡(luò)(luo)，做一些非法的(de)操作。

有線無線一(yi)體化管理：

NAC的有線無線(xian)一體化，支持(chi)對有線(xian)用戶的(de)接入認(rèn)證、訪問(wen)控制、流量管(guan)理、上網(wǎng)行為(wei)審計等，

并提供統(tǒng)一中(zhong)文Web管理界面，一(yi)站式服務(wù)，極(ji)大的降(jiang)低網(wǎng)(wang)絡(luò)建設(shè)成本。

網(wǎng)絡(luò)(luo)分權(quán)(quan)分級(ji)管理(li)：

分配不同(tong)的管理員分別(bie)管理各(ge)自權(quán)限區(qū)域的(de)無線AP，可以(yi)精細(xì)到對某AP分(fen)組有(you)管理權(quán)(quan)限，該(gai)管理員可以在(zai)該AP分組上建(jian)立無線網(wǎng)(wang)絡(luò)，能夠激(ji)活、刪除接入(ru)點，能夠?qū)P的配(pei)置進(jìn)行編輯(ji)修改。

可指定管(guan)理員針對(dui)每個頁面的(de)編輯(ji)或可(ke)查看權(quán)(quan)限，控制粒度到(dao)控制器上的各(ge)個頁面(mian)，對某個頁面沒(mei)有讀權(quán)限則(ze)登錄時不顯示(shi)。

移動(dong)APP隨時隨地(di)運維管理：

支持跨互聯(lián)(lian)網(wǎng)運維管(guan)理

登陸(lu)APP進(jìn)行(xing)維護(hù)管理(li)：不同管(guan)理員，不(bu)同權(quán)限

查看(kan)網(wǎng)絡(luò)(luo)運行情(qing)況：在(zai)線用戶(hu)、在線AP數(shù)(shu)量、實(shi)時流量

無線網(wǎng)絡(luò)管理(li)維護(hù)：開啟關(guān)閉(bi)SSID、終端(duan)綁定審批、二維(wei)碼上網(wǎng)審核

故障、審批(pi)實時通知：AP離線(xian)警告、服務(wù)(wu)器離線(xian)警告(gao)、網(wǎng)絡(luò)攻擊告警(jing)

方案優(yōu)(you)勢：

1、最豐富的(de)無線安(an)全機(jī)制(zhi)，提供從安全(quan)接入到(dao)安全上網(wǎng)(wang)等端到端的(de)安全策略(lve)

2、合理管控工作(zuo)人員上網(wǎng)行(xing)為，提升工作(zuo)效率、防止(zhi)帶寬浪費，有(you)線無線雙重(zhong)管控(kong)

3、為會議室，報(bao)告廳(ting)等人員密集區(qū)(qu)域接入網(wǎng)(wang)絡(luò)提高保證，解(jie)決有線網(wǎng)口(kou)不足的問(wen)題；

4、為企業(yè)(ye)員工(gong)的移(yi)動辦公提供(gong)支撐(cheng)，內(nèi)部(bu)員工可通過無(wu)線網(wǎng)絡(luò)隨時安(an)全接入內(nèi)部網(wǎng)(wang)絡(luò)，實現(xiàn)辦公(gong)；

5、內(nèi)部(bu)員工賬號(hao)及個人(ren)信息綁定，便(bian)于安全管理；

6、內(nèi)部員工可(ke)通過自己(ji)的辦公設(shè)備在(zai)企業(yè)(ye)大樓內(nèi)快(kuai)速移動(dong)辦公(gong)，網(wǎng)絡(luò)接(jie)入更快速，上網(wǎng)(wang)行為管理系統(tǒng)(tong)對員工(gong)上網(wǎng)行為進(jìn)(jin)行審計與管(guan)控

7、來訪客(ke)戶接入企(qi)業(yè)網(wǎng)絡(luò)(luo)，可根據(jù)不同(tong)需求，分配(pei)不同的上網(wǎng)(wang)權(quán)限，保證(zheng)了接(jie)入的安(an)全性(xing)同時提升(sheng)群眾上(shang)網(wǎng)的體驗(yan)

8、豐富的認(rèn)證機(jī)(ji)制，滿(man)足組織對無(wu)線網(wǎng)絡(luò)(luo)安全、快速(su)接入

9、投資(zi)成本低，通過(guo)部署無(wu)線控制器替換(huan)原有網(wǎng)(wang)絡(luò)的出口路由(you)、行為管理以及(ji)無線控(kong)制器(qi)