大型(xing)企業(yè)在無(wu)線網(wǎng)絡(luò)建(jian)設(shè)期間要充(chong)分考慮訪客（領(lǐng)(ling)導(dǎo)、客戶(hu)、合作伙伴(ban)）接入網(wǎng)絡(luò)(luo)的需求。首(shou)先從安(an)全性考(kao)慮，訪客網(wǎng)絡(luò)必(bi)須要和辦公網(wǎng)(wang)絡(luò)分開(kai)，訪客網(wǎng)絡(luò)單獨(du)提供(gong)給訪客使用。從(cong)用戶體驗(yan)角度(du)考慮，訪客(ke)接入(ru)網(wǎng)絡(luò)(luo)的驗證方(fang)式一(yi)定要做到簡(jian)單易行，繁(fan)瑣的驗證(zheng)方式(shi)會降低訪客對(dui)企業(yè)的整(zheng)體印(yin)象。同時對于(yu)訪客(ke)網(wǎng)絡(luò)，企業(yè)(ye)還需要(yao)建立完(wan)善的網(wǎng)絡(luò)安全(quan)管理(li)機(jī)制，避免(mian)由于訪(fang)客的網(wǎng)絡(luò)不(bu)良訪(fang)問給企(qi)業(yè)帶來(lai)的法(fa)律風(fēng)險。對(dui)于企業(yè)員工(gong)移動辦(ban)公上(shang)網(wǎng)，更需要(yao)做到(dao)可管控，上網(wǎng)行(xing)為做到可(ke)追溯(su)，企業(yè)有效的帶(dai)寬資源(yuan)得到合理(li)的分配和(he)保證(zheng)，才能使(shi)企業(yè)的(de)業(yè)務(wù)系統(tǒng)正常(chang)且穩(wěn)定高效(xiao)地運(yùn)行(xing)，同時保(bao)證企業(yè)信(xin)息安全，避免(mian)機(jī)密信息泄露(lu)。

存在的問(wen)題（用戶(hu)需求）

1、接入不安(an)全：缺(que)乏安全(quan)可靠的認(rèn)證(zheng)機(jī)制，企業(yè)無(wu)線網(wǎng)(wang)絡(luò)接入(ru)不安全

2、上網(wǎng)權(quán)限混(hun)亂：缺乏有效(xiao)的控制策略，員(yuan)工上網(wǎng)(wang)權(quán)限(xian)不分明

3、數(shù)據(jù)信息安全(quan)：缺乏有(you)效的數(shù)據(jù)加密(mi)機(jī)制，企業(yè)數(shù)據(jù)(ju)被黑客竊取篡(cuan)改

4、無線信號(hao)差：AP性能(neng)不佳，上網(wǎng)(wang)總掉線(xian)，點位規(guī)劃(hua)不合理，信(xin)號盲區(qū)多

5、漫游(you)效果(guo)差：不能(neng)實現(xiàn)二(er)三層漫游(you)，移動辦(ban)公時，業(yè)務(wù)(wu)中斷

解決方案(an)：

結(jié)合用戶(hu)無線網(wǎng)絡(luò)需(xu)求情況，結(jié)(jie)合產(chǎn)(chan)品自身技術(shù)(shu)特點(dian)，為了滿足用(yong)戶構(gòu)建一個高(gao)速、穩(wěn)定、安(an)全、可(ke)靠、易于管(guan)理的無線接入(ru)網(wǎng)絡(luò)的需求，本(ben)設(shè)計方案按照(zhao)AP+AC的結(jié)構(gòu)化無線(xian)網(wǎng)絡(luò)解(jie)決方案(an)進(jìn)行(xing)設(shè)計。具體設(shè)(she)計為在總(zong)部設(shè)置總(zong)部AC,在大型(xing)分支機(jī)構(gòu)設(shè)(she)置分支AC與(yu)分支AP，中型分(fen)支機(jī)(ji)構(gòu)設(shè)計二級，三(san)級交換機(jī)，分支(zhi)AP。小微型分支機(jī)(ji)構(gòu)直接設(shè)置分(fen)支AP。總部AC可以對(dui)大型分支機(jī)(ji)構(gòu)的(de)AC進(jìn)行管理(li)，當(dāng)網(wǎng)點(dian)控制器采用(yong)集中管理的模(mo)式進(jìn)入到中(zhong)心端控制器時(shi)，會自動下載(zai)中心端的公共(gong)配置(zhi)，比如IP組、MAC地址庫(ku)、時間計(ji)劃、角色(se)授權(quán)、認(rèn)(ren)證頁(ye)面等 ?？偛?bu)AC也可(ke)以直(zhi)接管理中(zhong)小型分支機(jī)構(gòu)(gou)的分支AP，實(shi)現(xiàn)統(tǒng)一管理(li)。

方案設(shè)(she)計：

安全無(wu)線整(zheng)體解決方(fang)案：

接入前(qian)&接入時進(jìn)行(xing)身份認(rèn)證、安(an)全無線(xian)網(wǎng)卡、賬號(hao)綁定（硬件(jian)碼+手機(jī)號），非(fei)法熱點檢測及(ji)防御、網(wǎng)絡(luò)攻擊(ji)防護(hù)、射頻(pin)定時關(guān)閉及安(an)全加固。

接入后&上網(wǎng)時(shi)進(jìn)行訪問權(quán)限(xian)控制(zhi)。

上網(wǎng)后進(jìn)行(xing)上網(wǎng)行為記錄(lu)。

上網(wǎng)用戶(hu)身份實名認(rèn)(ren)證：

無線(xian)辦公網(wǎng)(wang)采用802.1X/Portal/WAPI認(rèn)證(zheng)，外置AAA和RADIUS+AD用于存(cun)儲用戶賬號密(mi)碼。

每個賬號對(dui)應(yīng)一個(ge)員工，包(bao)括姓名、部門(men)、性別以及(ji)身份證、手機(jī)(ji)號等(deng)個人信(xin)息，保證每個上(shang)網(wǎng)的賬號都(dou)是可尋的，便(bian)于安全(quan)管理。

用戶輸(shu)入賬號(hao)密碼上網(wǎng)驗證(zheng)時均采用加(jia)密傳輸，防止(zhi)黑客空中(zhong)攔截，竊(qie)取賬號密碼等(deng)數(shù)據(jù)。

上網(wǎng)賬號自(zi)動綁定終端(duan)：

自動將賬號(hao)與終端(duan)的硬件特征(zheng)碼進(jìn)行綁(bang)定，防止賬號(hao)被他人(ren)使用(yong)或者被(bei)盜用。

每臺設(shè)備的(de)硬件特征碼(ma)是唯(wei)一的，無法通過(guo)軟件修改。即(ji)使通過軟件(jian)修改了(le)仍然可以識(shi)別原始的(de)。

每個(ge)賬號最多(duo)可以(yi)綁定5臺(tai)終端，超(chao)過1臺時需要(yao)管理員審核(he)。

上網(wǎng)賬(zhang)號二(er)次綁定(ding)手機(jī)(ji)號碼：

賬號(hao)首次(ci)登陸時需(xu)要綁(bang)定手機(jī)號并(bing)輸入短信(xin)驗證(zheng)碼，當(dāng)用戶賬號(hao)在新終端登(deng)陸時（換終端(duan)/被他(ta)用/被盜），不僅(jin)需要輸(shu)入密碼，還需要(yao)輸入短信驗(yan)證碼，解決員(yuan)工賬號認(rèn)證的(de)安全問題(ti)

綁定手機(jī)(ji)號碼的用戶(hu)，可以(yi)自助(zhu)重置密碼(ma)和修改密碼，無(wu)需通過IT管理(li)員。

用戶密碼管(guan)理及自助修改(gai)：

無需通過(guo)管理員(yuan)即可修改(gai)密碼，提高效率(lv)及減(jian)輕管理員工作(zuo)壓力。

通過口袋(dai)助理、釘釘(ding)、企業(yè)號等手(shou)機(jī)MOA類(lei)APP軟件(jian)進(jìn)行(xing)無線密碼修改(gai)。

若賬號綁定(ding)了手機(jī)號碼(ma)，可通過(guo)手機(jī)(ji)驗證碼自助(zhu)修改。

上網(wǎng)終(zhong)端合法效驗：

采用安全無(wu)線網(wǎng)卡接(jie)入無線網(wǎng)絡(luò)(luo)，終端與(yu)AP熱點(dian)的雙向驗(yan)證，提高(gao)安全性(xing)。

可以將無線網(wǎng)(wang)絡(luò)設(shè)(she)置為只有(you)安裝了(le)安全無(wu)線網(wǎng)卡的終端(duan)才能接入無(wu)線網(wǎng)(wang)絡(luò)。

支持設(shè)置安(an)全無(wu)線網(wǎng)卡只能(neng)連指定SSID無(wu)線網(wǎng)絡(luò)，無法連(lian)接非授權(quán)SSID。

網(wǎng)卡與AP數(shù)(shu)據(jù)傳輸(shu)時自動進(jìn)行(xing)數(shù)據(jù)加密(mi)，保證無線的空(kong)口安全。

無線熱點掃(sao)描及(ji)非法熱點抑制(zhi)：

背景：黑客在附(fu)近搭建(jian)一個一模一(yi)樣或者類(lei)似的WIFI名(ming)稱，誘使用戶連(lian)到虛假釣魚WIFI上(shang)，黑客利用分(fen)析軟件從(cong)用戶(hu)上網(wǎng)產(chǎn)生(sheng)的數(shù)據(jù)包中分(fen)析提取用戶(hu)隱私信息(xi)。

我們通過(guo)WIPS無線入侵防(fang)御系統(tǒng)(tong)實時檢測周圍(wei)無線信(xin)號，當(dāng)檢測出(chu)來的(de)信號BSSID、且AP源MAC地址(zhi)不在授(shou)權(quán)列表(biao)中時，我(wo)們向?qū)?yīng)的AP和(he)終端發(fā)(fa)送解除(chu)關(guān)聯(lián)幀，讓終端(duan)無法連上釣(diao)魚WIFI。7×24小時不間斷(duan)監(jiān)測網(wǎng)(wang)絡(luò)。

上網(wǎng)(wang)行為(wei)嚴(yán)格控制：

強(qiáng)大的管理(li)：通過應(yīng)(ying)用識別技(ji)術(shù)，可以(yi)根據(jù)應(yīng)用類型(xing)或者(zhe)具體某一種應(yīng)(ying)用進(jìn)行封堵(du)，包括視頻、論壇(tan)、游戲、金融、下載(zai)等2400多種網(wǎng)(wang)絡(luò)應(yīng)(ying)用。

通過應(yīng)用(yong)識別(bie)技術(shù)，可以(yi)根據(jù)應(yīng)用類(lei)型或(huo)者具體某一(yi)種應(yīng)用(yong)進(jìn)行(xing)封堵，比(bi)如上班時間不(bu)允許炒(chao)股，不允許(xu)P2P下載，不允(yun)許外發(fā)敏感(gan)文件(jian)等； 支持主流(liu)移動平臺，可(ke)識別IM、社交(jiao)、Mail、新聞、炒股等(deng)應(yīng)用。

無線控制器內(nèi)(nei)置千萬級別(bie)的URL分類(lei)庫，能夠(gou)對URL進(jìn)行識別，包(bao)含新聞、購物(wu)、金融、教育(yu)等18個(ge)種類的URL地(di)址； 準(zhǔn)確識(shi)別目(mu)前主流網(wǎng)(wang)站，識別(bie)率高達(dá)99.9%，有效實(shi)現(xiàn)網(wǎng)頁(ye)過濾。例(li)如禁止登陸非(fei)法網(wǎng)站

通過基于時(shi)間段的訪問控(kong)制策略，實現(xiàn)不(bu)同的時間段(duan)不同的訪(fang)問權(quán)(quan)限，比如上班(ban)時間(jian)，禁止訪問網(wǎng)上(shang)銀行、游戲、論(lun)壇貼吧(ba)等與工作無關(guān)(guan)的應(yīng)用，下班(ban)時間則不受限(xian)制。

辦公(gong)區(qū)域(yu)內(nèi)，不同辦公(gong)部門總(zong)會有各自(zi)專屬的無(wu)線網(wǎng)絡(luò)(luo)，并且不希望部(bu)門之外的成員(yuan)使用這個(ge)網(wǎng)絡(luò)。無線網(wǎng)絡(luò)(luo)控制器(qi)可以(yi)根據(jù)用(yong)戶的屬性(xing)，限制禁(jin)止非本(ben)部門的用戶接(jie)入。

典型無線網(wǎng)(wang)絡(luò)攻擊(ji)防護(hù)(hu)：

對典型(xing)的危險攻(gong)擊行為進(jìn)(jin)行檢測(ce)，當(dāng)超過設(shè)(she)定的(de)閾值后自動(dong)將攻擊者加(jia)入到黑(hei)名單中，并凍(dong)結(jié)一(yi)定時間，即(ji)時發(fā)(fa)現(xiàn)網(wǎng)(wang)絡(luò)攻擊并(bing)進(jìn)行防御(yu)。

檢測的(de)攻擊(ji)包括：DDOS防御(yu)、ARP掃描、IP掃描(miao)、端口掃(sao)描防御，禁止客(ke)戶端(duan)私設(shè)(she)IP以及ARP、網(wǎng)關(guān)(guan)欺騙防御(yu)、DHCP請求泛洪(hong)防御。

無線射頻定時(shi)關(guān)閉開(kai)啟：

通過(guo)射頻關(guān)閉控制(zhi)策略，可以(yi)指定某SSID網(wǎng)絡(luò)(luo)，定時自動關(guān)(guan)閉和開啟無線(xian)網(wǎng)絡(luò)(luo)的射頻信(xin)號，晚上下(xia)班后自(zi)動關(guān)閉無線(xian)射頻信號(hao)。

一方面可以節(jié)(jie)能減排(pai)、節(jié)省電費支出(chu)；另一方面(mian)又能(neng)防止(zhi)非法用戶(hu)利用(yong)深夜時間入侵(qin)無線(xian)網(wǎng)絡(luò)，做一些非(fei)法的操作。

有線無線一體(ti)化管理：

NAC的有線無線一(yi)體化，支持對有(you)線用戶的(de)接入認(rèn)證(zheng)、訪問(wen)控制、流(liu)量管理、上(shang)網(wǎng)行(xing)為審計等，

并提供統(tǒng)一中(zhong)文Web管理(li)界面，一站式服(fu)務(wù)，極(ji)大的(de)降低(di)網(wǎng)絡(luò)建設(shè)成(cheng)本。

網(wǎng)絡(luò)分權(quán)分(fen)級管理(li)：

分配不同的(de)管理員分(fen)別管理(li)各自權(quán)限(xian)區(qū)域的無(wu)線AP，可以精細(xì)到(dao)對某(mou)AP分組(zu)有管理權(quán)限，該(gai)管理員(yuan)可以在(zai)該AP分組上(shang)建立無線網(wǎng)(wang)絡(luò)，能夠激活(huo)、刪除接入點(dian)，能夠?qū)?dui)AP的配置(zhi)進(jìn)行編輯修(xiu)改。

可指定管(guan)理員針(zhen)對每個頁(ye)面的編(bian)輯或可查看權(quán)(quan)限，控制(zhi)粒度(du)到控制器上(shang)的各個頁面(mian)，對某個頁面沒(mei)有讀權(quán)(quan)限則登錄(lu)時不顯示。

移動APP隨時(shi)隨地運(yùn)維管(guan)理：

支持跨互(hu)聯(lián)網(wǎng)(wang)運(yùn)維(wei)管理

登陸APP進(jìn)行維(wei)護(hù)管理：不同(tong)管理員，不(bu)同權(quán)(quan)限

查看網(wǎng)絡(luò)運(yùn)(yun)行情(qing)況：在線用戶、在(zai)線AP數(shù)量、實(shi)時流量

無線網(wǎng)絡(luò)(luo)管理維(wei)護(hù)：開啟關(guān)(guan)閉SSID、終端綁(bang)定審批、二維碼(ma)上網(wǎng)(wang)審核

故障、審批(pi)實時通知：AP離(li)線警(jing)告、服務(wù)器(qi)離線(xian)警告、網(wǎng)絡(luò)(luo)攻擊告警

方案優(yōu)勢(shi)：

1、最豐富的無線(xian)安全(quan)機(jī)制，提供從(cong)安全(quan)接入到(dao)安全上網(wǎng)等端(duan)到端的安(an)全策略

2、合理管(guan)控工作人員(yuan)上網(wǎng)(wang)行為，提升工(gong)作效率(lv)、防止帶寬浪(lang)費，有線無線雙(shuang)重管控(kong)

3、為會議室，報(bao)告廳等人員密(mi)集區(qū)域(yu)接入網(wǎng)絡(luò)提高(gao)保證，解決(jue)有線網(wǎng)口不(bu)足的(de)問題；

4、為企業(yè)員(yuan)工的移動(dong)辦公提(ti)供支撐，內(nèi)(nei)部員工可(ke)通過無線(xian)網(wǎng)絡(luò)隨(sui)時安全接入內(nèi)(nei)部網(wǎng)絡(luò)(luo)，實現(xiàn)(xian)辦公；

5、內(nèi)部(bu)員工賬(zhang)號及(ji)個人信息(xi)綁定，便(bian)于安全(quan)管理；

6、內(nèi)部員(yuan)工可通過自(zi)己的辦(ban)公設(shè)備在(zai)企業(yè)大樓(lou)內(nèi)快速移(yi)動辦公，網(wǎng)(wang)絡(luò)接入更快(kuai)速，上網(wǎng)行為(wei)管理系統(tǒng)對員(yuan)工上網(wǎng)行(xing)為進(jìn)行審計與(yu)管控

7、來訪客(ke)戶接入企業(yè)(ye)網(wǎng)絡(luò)(luo)，可根據(jù)不(bu)同需求，分配(pei)不同的上(shang)網(wǎng)權(quán)限，保(bao)證了接(jie)入的安全性同(tong)時提升群眾(zhong)上網(wǎng)的體驗(yan)

8、豐富的(de)認(rèn)證(zheng)機(jī)制，滿(man)足組織對(dui)無線網(wǎng)(wang)絡(luò)安全、快速接(jie)入

9、投資成(cheng)本低，通過部(bu)署無線控制器(qi)替換原有網(wǎng)(wang)絡(luò)的(de)出口(kou)路由(you)、行為管理以及(ji)無線控制(zhi)器