大型企業(yè)(ye)在無線網(wǎng)絡(luò)(luo)建設(shè)期間(jian)要充分考(kao)慮訪客(ke)（領(lǐng)導(dǎo)(dao)、客戶、合作伙(huo)伴）接入(ru)網(wǎng)絡(luò)的需求。首(shou)先從安全性考(kao)慮，訪客網(wǎng)絡(luò)必(bi)須要(yao)和辦公網(wǎng)(wang)絡(luò)分開(kai)，訪客網(wǎng)(wang)絡(luò)單獨提供(gong)給訪客使(shi)用。從用戶(hu)體驗(yan)角度考慮，訪(fang)客接入網(wǎng)絡(luò)(luo)的驗(yan)證方(fang)式一定要做(zuo)到簡單易行，繁(fan)瑣的驗證方(fang)式會(hui)降低訪客對(dui)企業(yè)的(de)整體印(yin)象。同(tong)時對于訪客網(wǎng)(wang)絡(luò)，企業(yè)還(hai)需要建立(li)完善的(de)網(wǎng)絡(luò)安全管(guan)理機(jī)制，避免由(you)于訪(fang)客的網(wǎng)絡(luò)不(bu)良訪問給(gei)企業(yè)帶來的(de)法律風(fēng)(feng)險。對于企業(yè)員(yuan)工移動辦(ban)公上網(wǎng)，更需(xu)要做(zuo)到可管控，上(shang)網(wǎng)行為做到(dao)可追(zhui)溯，企業(yè)有效(xiao)的帶寬資(zi)源得到合(he)理的分配和(he)保證，才能使(shi)企業(yè)的(de)業(yè)務(wù)系統(tǒng)正(zheng)常且(qie)穩(wěn)定(ding)高效地(di)運行，同時保證(zheng)企業(yè)信息(xi)安全，避(bi)免機(jī)密信(xin)息泄露。

存在的問(wen)題（用戶需求(qiu)）

1、接入不安全(quan)：缺乏安全(quan)可靠的認(rèn)證機(jī)(ji)制，企(qi)業(yè)無線網(wǎng)(wang)絡(luò)接入不安(an)全

2、上網(wǎng)權(quán)限混(hun)亂：缺乏(fa)有效的控制(zhi)策略，員(yuan)工上(shang)網(wǎng)權(quán)限不(bu)分明

3、數(shù)據(jù)信息安(an)全：缺乏有效(xiao)的數(shù)據(jù)加(jia)密機(jī)制，企(qi)業(yè)數(shù)據(jù)被(bei)黑客竊取篡(cuan)改

4、無線信號差(cha)：AP性能不佳，上網(wǎng)(wang)總掉線，點(dian)位規(guī)劃不合(he)理，信號盲區(qū)多(duo)

5、漫游(you)效果差：不能(neng)實現(xiàn)二三層漫(man)游，移動辦公時(shi)，業(yè)務(wù)中斷(duan)

解決方案：

結(jié)合用戶無線(xian)網(wǎng)絡(luò)(luo)需求情況(kuang)，結(jié)合(he)產(chǎn)品自身技(ji)術(shù)特點，為了滿(man)足用戶(hu)構(gòu)建一個高(gao)速、穩(wěn)定、安全、可(ke)靠、易(yi)于管(guan)理的無線接入(ru)網(wǎng)絡(luò)的需求，本(ben)設(shè)計方案按照(zhao)AP+AC的結(jié)構(gòu)化(hua)無線網(wǎng)絡(luò)(luo)解決(jue)方案進(jìn)行設(shè)計(ji)。具體設(shè)計(ji)為在總部設(shè)置(zhi)總部AC,在大型(xing)分支機(jī)構(gòu)設(shè)置(zhi)分支AC與分支(zhi)AP，中型分支機(jī)構(gòu)(gou)設(shè)計二級，三(san)級交換機(jī)，分支(zhi)AP。小微型(xing)分支(zhi)機(jī)構(gòu)直接(jie)設(shè)置分支AP。總(zong)部AC可以對大型(xing)分支機(jī)構(gòu)的(de)AC進(jìn)行管理(li)，當(dāng)網(wǎng)(wang)點控制器采用(yong)集中(zhong)管理(li)的模式進(jìn)(jin)入到中(zhong)心端(duan)控制器(qi)時，會自(zi)動下載中(zhong)心端的公(gong)共配置，比如IP組(zu)、MAC地址(zhi)庫、時間計(ji)劃、角(jiao)色授權(quán)(quan)、認(rèn)證頁面等(deng) 。總部(bu)AC也可(ke)以直接管理中(zhong)小型(xing)分支機(jī)(ji)構(gòu)的分支AP，實現(xiàn)(xian)統(tǒng)一管理(li)。

方案(an)設(shè)計(ji)：

安全無(wu)線整體解(jie)決方案：

接入前&接(jie)入時進(jìn)行身份(fen)認(rèn)證、安全無(wu)線網(wǎng)卡、賬(zhang)號綁(bang)定（硬(ying)件碼+手機(jī)號(hao)），非法熱點檢(jian)測及防御、網(wǎng)(wang)絡(luò)攻擊防護(hù)、射(she)頻定(ding)時關(guān)(guan)閉及安(an)全加固。

接入后&上網(wǎng)(wang)時進(jìn)行訪問權(quán)(quan)限控制。

上網(wǎng)后進(jìn)行(xing)上網(wǎng)行為記(ji)錄。

上網(wǎng)用戶身份(fen)實名認(rèn)證(zheng)：

無線(xian)辦公網(wǎng)采用(yong)802.1X/Portal/WAPI認(rèn)證(zheng)，外置AAA和RADIUS+AD用(yong)于存儲用戶賬(zhang)號密碼。

每個賬號對應(yīng)(ying)一個員工，包括(kuo)姓名(ming)、部門(men)、性別以(yi)及身份證(zheng)、手機(jī)號等個人(ren)信息，保證每(mei)個上(shang)網(wǎng)的賬號(hao)都是(shi)可尋的(de)，便于安全管理(li)。

用戶(hu)輸入賬號密(mi)碼上網(wǎng)驗證(zheng)時均采用加密(mi)傳輸，防止黑(hei)客空中(zhong)攔截，竊取賬號(hao)密碼等(deng)數(shù)據(jù)。

上網(wǎng)賬(zhang)號自動綁(bang)定終(zhong)端：

自動將(jiang)賬號與終端的(de)硬件特征碼進(jìn)(jin)行綁(bang)定，防止賬號(hao)被他人使(shi)用或者被盜(dao)用。

每臺(tai)設(shè)備的硬件特(te)征碼(ma)是唯一的(de)，無法通(tong)過軟(ruan)件修(xiu)改。即使通(tong)過軟件修改了(le)仍然可以(yi)識別原始的(de)。

每個(ge)賬號最多可以(yi)綁定5臺(tai)終端，超過1臺時(shi)需要管理員審(shen)核。

上網(wǎng)賬(zhang)號二次綁定(ding)手機(jī)(ji)號碼：

賬號首次(ci)登陸(lu)時需要(yao)綁定手機(jī)號并(bing)輸入(ru)短信驗證碼，當(dāng)(dang)用戶(hu)賬號在(zai)新終端登(deng)陸時（換(huan)終端/被他(ta)用/被(bei)盜），不僅需要輸(shu)入密碼，還需要(yao)輸入短信(xin)驗證碼(ma)，解決員工(gong)賬號(hao)認(rèn)證的(de)安全問(wen)題

綁定手機(jī)號碼(ma)的用(yong)戶，可以自助(zhu)重置密碼(ma)和修改密碼，無(wu)需通過IT管理(li)員。

用戶密碼管理(li)及自助修(xiu)改：

無需通(tong)過管理員(yuan)即可(ke)修改(gai)密碼(ma)，提高效率(lv)及減輕(qing)管理員工(gong)作壓力。

通過口袋助理(li)、釘釘、企業(yè)號(hao)等手機(jī)(ji)MOA類APP軟件進(jìn)行無(wu)線密(mi)碼修改。

若賬號綁定(ding)了手機(jī)號碼(ma)，可通過手(shou)機(jī)驗證碼(ma)自助(zhu)修改。

上網(wǎng)終(zhong)端合(he)法效驗：

采用(yong)安全無(wu)線網(wǎng)卡接入(ru)無線網(wǎng)絡(luò)，終端(duan)與AP熱點(dian)的雙(shuang)向驗證(zheng)，提高安(an)全性。

可以(yi)將無(wu)線網(wǎng)絡(luò)(luo)設(shè)置為只有安(an)裝了(le)安全無線網(wǎng)卡(ka)的終(zhong)端才能(neng)接入(ru)無線(xian)網(wǎng)絡(luò)。

支持設(shè)(she)置安全(quan)無線網(wǎng)(wang)卡只能(neng)連指定SSID無(wu)線網(wǎng)絡(luò)，無法(fa)連接(jie)非授權(quán)SSID。

網(wǎng)卡與AP數(shù)據(jù)(ju)傳輸時自動(dong)進(jìn)行(xing)數(shù)據(jù)(ju)加密，保證無線(xian)的空口安全。

無線熱點(dian)掃描及非(fei)法熱點抑制(zhi)：

背景：黑客在附(fu)近搭建一(yi)個一模(mo)一樣(yang)或者類似(shi)的WIFI名(ming)稱，誘使用(yong)戶連到虛假釣(diao)魚WIFI上，黑客(ke)利用分(fen)析軟(ruan)件從用戶上(shang)網(wǎng)產(chǎn)(chan)生的數(shù)據(jù)包中(zhong)分析(xi)提取用(yong)戶隱私信息。

我們通(tong)過WIPS無線入(ru)侵防(fang)御系(xi)統(tǒng)實時(shi)檢測周圍無線(xian)信號，當(dāng)檢(jian)測出來的(de)信號(hao)BSSID、且AP源MAC地(di)址不在(zai)授權(quán)列表中(zhong)時，我們向?qū)?yīng)(ying)的AP和終(zhong)端發(fā)送解(jie)除關(guān)聯(lián)幀(zhen)，讓終(zhong)端無法(fa)連上釣魚WIFI。7×24小(xiao)時不間斷監(jiān)(jian)測網(wǎng)絡(luò)。

上網(wǎng)行為嚴(yán)(yan)格控制：

強(qiáng)大的管理(li)：通過應(yīng)用(yong)識別(bie)技術(shù)，可以(yi)根據(jù)應(yīng)(ying)用類型或者(zhe)具體某一種應(yīng)(ying)用進(jìn)(jin)行封堵，包括視(shi)頻、論(lun)壇、游戲、金融(rong)、下載(zai)等2400多(duo)種網(wǎng)(wang)絡(luò)應(yīng)(ying)用。

通過應(yīng)(ying)用識別技術(shù)，可(ke)以根據(jù)應(yīng)(ying)用類型(xing)或者具體某一(yi)種應(yīng)(ying)用進(jìn)行封堵，比(bi)如上班時(shi)間不允許(xu)炒股，不允許P2P下(xia)載，不(bu)允許外發(fā)敏感(gan)文件等； 支持(chi)主流移(yi)動平臺，可識(shi)別IM、社(she)交、Mail、新聞、炒股(gu)等應(yīng)用。

無線(xian)控制器內(nèi)置千(qian)萬級別(bie)的URL分(fen)類庫，能(neng)夠?qū)RL進(jìn)行識(shi)別，包(bao)含新聞、購(gou)物、金融、教(jiao)育等18個種類的(de)URL地址； 準(zhǔn)確(que)識別目(mu)前主流(liu)網(wǎng)站(zhan)，識別率高達(dá)(da)99.9%，有效實(shi)現(xiàn)網(wǎng)頁過濾。例(li)如禁(jin)止登(deng)陸非法網(wǎng)站(zhan)

通過基于時間(jian)段的(de)訪問控制策(ce)略，實現(xiàn)(xian)不同的(de)時間(jian)段不(bu)同的(de)訪問權(quán)(quan)限，比如(ru)上班(ban)時間，禁止(zhi)訪問網(wǎng)上銀(yin)行、游戲、論壇(tan)貼吧等(deng)與工(gong)作無關(guān)的應(yīng)(ying)用，下(xia)班時間則不受(shou)限制。

辦公區(qū)(qu)域內(nèi)，不同(tong)辦公部門(men)總會有各(ge)自專屬的(de)無線網(wǎng)絡(luò)，并(bing)且不希望部門(men)之外的(de)成員(yuan)使用(yong)這個網(wǎng)絡(luò)。無線(xian)網(wǎng)絡(luò)控制(zhi)器可以根(gen)據(jù)用戶(hu)的屬性(xing)，限制禁止非本(ben)部門的用戶(hu)接入。

典型無(wu)線網(wǎng)絡(luò)(luo)攻擊防(fang)護(hù)：

對典型的(de)危險攻擊(ji)行為進(jìn)(jin)行檢測，當(dāng)超過(guo)設(shè)定的閾值(zhi)后自(zi)動將攻擊(ji)者加入到黑(hei)名單(dan)中，并凍結(jié)一(yi)定時(shi)間，即時發(fā)(fa)現(xiàn)網(wǎng)絡(luò)攻擊(ji)并進(jìn)(jin)行防御(yu)。

檢測(ce)的攻擊包括：DDOS防(fang)御、ARP掃描(miao)、IP掃描、端(duan)口掃描防御，禁(jin)止客戶端私(si)設(shè)IP以及ARP、網(wǎng)關(guān)(guan)欺騙(pian)防御、DHCP請(qing)求泛洪防御。

無線射頻定(ding)時關(guān)(guan)閉開啟：

通過射頻(pin)關(guān)閉控制策(ce)略，可以(yi)指定某SSID網(wǎng)絡(luò)(luo)，定時自動(dong)關(guān)閉和開啟無(wu)線網(wǎng)絡(luò)的射(she)頻信號，晚上下(xia)班后自(zi)動關(guān)閉(bi)無線射頻(pin)信號。

一方面(mian)可以節(jié)(jie)能減排、節(jié)(jie)省電費支(zhi)出；另一方(fang)面又能防(fang)止非法用戶(hu)利用深夜(ye)時間入侵(qin)無線網(wǎng)絡(luò)，做一(yi)些非(fei)法的操作。

有線無線(xian)一體化管理：

NAC的有線無線(xian)一體(ti)化，支持(chi)對有線用戶的(de)接入認(rèn)證(zheng)、訪問控制(zhi)、流量管(guan)理、上網(wǎng)行(xing)為審計等，

并提供(gong)統(tǒng)一中(zhong)文Web管理界面(mian)，一站式(shi)服務(wù)，極大的降(jiang)低網(wǎng)(wang)絡(luò)建(jian)設(shè)成本。

網(wǎng)絡(luò)分權(quán)(quan)分級管理：

分配不同的(de)管理員分別管(guan)理各自權(quán)限(xian)區(qū)域的無(wu)線AP，可(ke)以精細(xì)(xi)到對某AP分組(zu)有管(guan)理權(quán)限，該管(guan)理員可(ke)以在該AP分組上(shang)建立無(wu)線網(wǎng)(wang)絡(luò)，能夠(gou)激活、刪除接入(ru)點，能夠?qū)P的配(pei)置進(jìn)行(xing)編輯修改(gai)。

可指定管理(li)員針對每(mei)個頁面的編(bian)輯或可查(cha)看權(quán)(quan)限，控制粒(li)度到控制器(qi)上的(de)各個頁面，對(dui)某個頁面沒(mei)有讀權(quán)限(xian)則登錄(lu)時不(bu)顯示(shi)。

移動APP隨時(shi)隨地運(yun)維管(guan)理：

支持跨互聯(lián)網(wǎng)(wang)運維(wei)管理(li)

登陸APP進(jìn)(jin)行維護(hù)管(guan)理：不同管(guan)理員(yuan)，不同權(quán)限(xian)

查看網(wǎng)絡(luò)(luo)運行(xing)情況：在線用(yong)戶、在線AP數(shù)量、實(shi)時流量

無線網(wǎng)絡(luò)管(guan)理維護(hù)(hu)：開啟關(guān)(guan)閉SSID、終端(duan)綁定審批、二(er)維碼上網(wǎng)審(shen)核

故障、審批實時(shi)通知：AP離(li)線警告、服(fu)務(wù)器離線警(jing)告、網(wǎng)絡(luò)(luo)攻擊告警

方案優(yōu)勢：

1、最豐富的無線(xian)安全機(jī)(ji)制，提供從安(an)全接入(ru)到安全上網(wǎng)等(deng)端到(dao)端的(de)安全(quan)策略

2、合理管控(kong)工作人員(yuan)上網(wǎng)行為(wei)，提升工作效(xiao)率、防止(zhi)帶寬浪(lang)費，有(you)線無線(xian)雙重管控

3、為會議室，報(bao)告廳(ting)等人(ren)員密(mi)集區(qū)域接入網(wǎng)(wang)絡(luò)提高保證，解(jie)決有線網(wǎng)口不(bu)足的問題(ti)；

4、為企業(yè)(ye)員工的(de)移動辦(ban)公提供支撐，內(nèi)(nei)部員工可通過(guo)無線(xian)網(wǎng)絡(luò)(luo)隨時安全接入(ru)內(nèi)部(bu)網(wǎng)絡(luò)，實現(xiàn)(xian)辦公；

5、內(nèi)部(bu)員工賬號及個(ge)人信息綁定(ding)，便于安全管(guan)理；

6、內(nèi)部員(yuan)工可通過(guo)自己(ji)的辦公(gong)設(shè)備在(zai)企業(yè)大(da)樓內(nèi)快速移動(dong)辦公(gong)，網(wǎng)絡(luò)接入(ru)更快(kuai)速，上網(wǎng)(wang)行為(wei)管理系統(tǒng)對(dui)員工上(shang)網(wǎng)行為(wei)進(jìn)行審計與(yu)管控

7、來訪客戶接入(ru)企業(yè)網(wǎng)絡(luò)(luo)，可根據(jù)(ju)不同需求(qiu)，分配不同(tong)的上網(wǎng)(wang)權(quán)限，保證了(le)接入的安(an)全性同時提(ti)升群眾(zhong)上網(wǎng)的體(ti)驗

8、豐富的(de)認(rèn)證機(jī)制，滿(man)足組織對無(wu)線網(wǎng)絡(luò)安(an)全、快速接入(ru)

9、投資成本低，通(tong)過部署無線(xian)控制器(qi)替換(huan)原有網(wǎng)(wang)絡(luò)的(de)出口路由、行(xing)為管理(li)以及無線控制(zhi)器