?
大型企業(yè)在(zai)無(wú)線網(wǎng)絡(luò)建設(shè)(she)期間要(yao)充分考慮訪客(ke)(領(lǐng)導(dǎo)�、客(ke)戶�、合作(zuo)伙伴)接入網(wǎng)絡(luò)(luo)的需求(qiu)����。首先從安全性(xing)考慮���,訪客網(wǎng)絡(luò)(luo)必須(xu)要和辦(ban)公網(wǎng)絡(luò)分開(kāi)����,訪(fang)客網(wǎng)絡(luò)單(dan)獨(dú)提供給訪(fang)客使用。從用戶(hu)體驗(yàn)角度考慮(lv)�,訪客接入(ru)網(wǎng)絡(luò)的(de)驗(yàn)證方式一定(ding)要做(zuo)到簡(jiǎn)單(dan)易行,繁瑣的驗(yàn)(yan)證方式會(huì)降(jiang)低訪(fang)客對(duì)企(qi)業(yè)的整體印(yin)象�。同(tong)時(shí)對(duì)于(yu)訪客網(wǎng)絡(luò),企(qi)業(yè)還(hai)需要建(jian)立完善(shan)的網(wǎng)絡(luò)安(an)全管理機(jī)(ji)制���,避免由于訪(fang)客的網(wǎng)絡(luò)不良(liang)訪問(wèn)給(gei)企業(yè)帶(dai)來(lái)的法(fa)律風(fēng)(feng)險(xiǎn)���。對(duì)(dui)于企業(yè)員工移(yi)動(dòng)辦(ban)公上(shang)網(wǎng),更(geng)需要做到(dao)可管控���,上網(wǎng)行(xing)為做(zuo)到可追溯�,企(qi)業(yè)有效的帶寬(kuan)資源得(de)到合理(li)的分配和(he)保證�,才(cai)能使企業(yè)的業(yè)(ye)務(wù)系統(tǒng)(tong)正常且穩(wěn)定(ding)高效地運(yùn)行,同(tong)時(shí)保證(zheng)企業(yè)信息(xi)安全(quan)���,避免機(jī)(ji)密信息泄(xie)露�。
存在的問(wèn)題(ti)(用戶需求)
1���、接入不安全:缺(que)乏安全(quan)可靠的認(rèn)證機(jī)(ji)制����,企業(yè)無(wú)線(xian)網(wǎng)絡(luò)(luo)接入不安全
2�、上網(wǎng)權(quán)限混亂(luan):缺乏有(you)效的(de)控制策(ce)略,員工上網(wǎng)權(quán)(quan)限不分明
3�、數(shù)據(jù)(ju)信息安全:缺(que)乏有效的數(shù)(shu)據(jù)加密(mi)機(jī)制,企業(yè)數(shù)據(jù)(ju)被黑(hei)客竊取篡改(gai)
4�、無(wú)線(xian)信號(hào)差(cha):AP性能不(bu)佳,上網(wǎng)總掉(diao)線����,點(diǎn)位規(guī)劃不(bu)合理,信號(hào)盲區(qū)(qu)多
5����、漫游(you)效果差:不(bu)能實(shí)(shi)現(xiàn)二三層漫(man)游,移動(dòng)(dong)辦公時(shí)���,業(yè)務(wù)(wu)中斷
解決(jue)方案(an):
結(jié)合(he)用戶無(wú)(wu)線網(wǎng)絡(luò)(luo)需求情況����,結(jié)合(he)產(chǎn)品自身技術(shù)(shu)特點(diǎn)(dian)�,為了滿足用戶(hu)構(gòu)建一個(gè)(ge)高速、穩(wěn)定�、安全(quan)����、可靠����、易于管理(li)的無(wú)線接入(ru)網(wǎng)絡(luò)的需(xu)求,本設(shè)計(jì)方案(an)按照AP+AC的結(jié)構(gòu)(gou)化無(wú)線網(wǎng)絡(luò)(luo)解決方案進(jìn)(jin)行設(shè)計(jì)(ji)�。具體設(shè)計(jì)為(wei)在總部設(shè)置(zhi)總部AC,在大型分(fen)支機(jī)(ji)構(gòu)設(shè)置分支AC與(yu)分支AP,中型(xing)分支機(jī)(ji)構(gòu)設(shè)計(jì)二級(jí)����,三(san)級(jí)交換機(jī),分(fen)支AP���。小微(wei)型分支機(jī)(ji)構(gòu)直接設(shè)置(zhi)分支(zhi)AP���。總部AC可以(yi)對(duì)大型(xing)分支(zhi)機(jī)構(gòu)的AC進(jìn)(jin)行管理�,當(dāng)網(wǎng)(wang)點(diǎn)控(kong)制器采用(yong)集中管理(li)的模式(shi)進(jìn)入到中心(xin)端控制器(qi)時(shí),會(huì)自動(dòng)(dong)下載中(zhong)心端的公(gong)共配置���,比(bi)如IP組(zu)���、MAC地址庫(kù)����、時(shí)間(jian)計(jì)劃���、角(jiao)色授權(quán)���、認(rèn)(ren)證頁(yè)面等 ���?��??zong)部AC也可以(yi)直接管理中(zhong)小型分支機(jī)(ji)構(gòu)的分(fen)支AP,實(shí)現(xiàn)統(tǒng)一(yi)管理�。
方案設(shè)計(jì):
安全無(wú)(wu)線整體(ti)解決方(fang)案:
接入(ru)前&接入時(shí)進(jìn)(jin)行身份認(rèn)證、安(an)全無(wú)線(xian)網(wǎng)卡����、賬號(hào)綁定(ding)(硬件碼+手(shou)機(jī)號(hào)),非法熱點(diǎn)(dian)檢測(cè)及防(fang)御���、網(wǎng)絡(luò)攻擊(ji)防護(hù)����、射頻(pin)定時(shí)關(guān)閉及(ji)安全加固(gu)。
接入(ru)后&上(shang)網(wǎng)時(shí)(shi)進(jìn)行訪問(wèn)權(quán)限(xian)控制�。
上網(wǎng)后進(jìn)行(xing)上網(wǎng)行為記(ji)錄。
上網(wǎng)用戶身(shen)份實(shí)(shi)名認(rèn)(ren)證:
無(wú)線辦(ban)公網(wǎng)采用802.1X/Portal/WAPI認(rèn)證(zheng)����,外置AAA和RADIUS+AD用(yong)于存儲(chǔ)用戶(hu)賬號(hào)密碼。
每個(gè)賬號(hào)對(duì)(dui)應(yīng)一個(gè)員(yuan)工�,包括(kuo)姓名、部(bu)門���、性別以及身(shen)份證���、手機(jī)號(hào)等(deng)個(gè)人(ren)信息,保證每個(gè)(ge)上網(wǎng)(wang)的賬號(hào)(hao)都是可尋(xun)的���,便(bian)于安全管(guan)理����。
用戶輸入賬(zhang)號(hào)密碼(ma)上網(wǎng)驗(yàn)證時(shí)(shi)均采用加密傳(chuan)輸�,防止黑(hei)客空中攔(lan)截,竊(qie)取賬號(hào)密(mi)碼等數(shù)據(jù)����。
上網(wǎng)賬(zhang)號(hào)自(zi)動(dòng)綁定(ding)終端:
自動(dòng)將(jiang)賬號(hào)與終端的(de)硬件特征碼(ma)進(jìn)行(xing)綁定(ding)����,防止賬號(hào)(hao)被他(ta)人使用或(huo)者被盜(dao)用�。
每臺(tái)設(shè)備的硬(ying)件特征碼是唯(wei)一的(de),無(wú)法通過(guò)軟件(jian)修改����。即(ji)使通過(guò)軟(ruan)件修改了仍(reng)然可以識(shí)(shi)別原始的(de)。
每個(gè)賬號(hào)最(zui)多可以綁(bang)定5臺(tái)終端����,超過(guò)(guo)1臺(tái)時(shí)需(xu)要管理員(yuan)審核���。
上網(wǎng)賬(zhang)號(hào)二次綁(bang)定手(shou)機(jī)號(hào)(hao)碼:
賬號(hào)首次登陸(lu)時(shí)需(xu)要綁(bang)定手機(jī)(ji)號(hào)并輸入短(duan)信驗(yàn)證碼����,當(dāng)用(yong)戶賬號(hào)在(zai)新終端登陸時(shí)(shi)(換終端/被(bei)他用/被(bei)盜)���,不(bu)僅需(xu)要輸入(ru)密碼(ma)����,還需要輸(shu)入短信(xin)驗(yàn)證(zheng)碼,解決員工賬(zhang)號(hào)認(rèn)(ren)證的安全問(wèn)題(ti)
綁定(ding)手機(jī)號(hào)碼的(de)用戶����,可(ke)以自助重(zhong)置密碼和(he)修改密碼,無(wú)(wu)需通過(guò)IT管理(li)員�。
用戶密(mi)碼管理及(ji)自助修改:
無(wú)需(xu)通過(guò)管理員即(ji)可修改(gai)密碼,提高效率(lv)及減輕管(guan)理員工作壓力(li)����。
通過(guò)(guo)口袋助理、釘釘(ding)����、企業(yè)號(hào)等(deng)手機(jī)(ji)MOA類APP軟件進(jìn)行無(wú)(wu)線密(mi)碼修改。
若賬號(hào)綁(bang)定了手機(jī)號(hào)碼(ma)����,可通過(guò)(guo)手機(jī)驗(yàn)證碼(ma)自助修(xiu)改。
上網(wǎng)(wang)終端合法(fa)效驗(yàn):
采用(yong)安全無(wú)線網(wǎng)卡(ka)接入無(wú)線網(wǎng)絡(luò)(luo)����,終端與(yu)AP熱點(diǎn)的雙向驗(yàn)(yan)證,提高(gao)安全性(xing)����。
可以將(jiang)無(wú)線(xian)網(wǎng)絡(luò)設(shè)(she)置為(wei)只有安裝了安(an)全無(wú)線網(wǎng)(wang)卡的(de)終端才能接(jie)入無(wú)線網(wǎng)絡(luò)����。
支持設(shè)置安全(quan)無(wú)線網(wǎng)卡只能(neng)連指定SSID無(wú)線(xian)網(wǎng)絡(luò)(luo)���,無(wú)法連(lian)接非授(shou)權(quán)SSID���。
網(wǎng)卡與AP數(shù)(shu)據(jù)傳(chuan)輸時(shí)自動(dòng)進(jìn)(jin)行數(shù)(shu)據(jù)加密(mi),保證無(wú)線的空(kong)口安全����。
無(wú)線(xian)熱點(diǎn)掃描(miao)及非法熱點(diǎn)抑(yi)制:
背景(jing):黑客(ke)在附近搭建(jian)一個(gè)一模一樣(yang)或者類(lei)似的WIFI名(ming)稱,誘使(shi)用戶(hu)連到虛假(jia)釣魚WIFI上(shang)���,黑客利用分析(xi)軟件從(cong)用戶上(shang)網(wǎng)產(chǎn)生的數(shù)據(jù)(ju)包中分析(xi)提取用戶(hu)隱私信息(xi)�。
我們通過(guò)WIPS無(wú)(wu)線入侵防(fang)御系(xi)統(tǒng)實(shí)時(shí)檢測(cè)周(zhou)圍無(wú)線信(xin)號(hào)����,當(dāng)檢測(cè)出(chu)來(lái)的信號(hào)BSSID���、且AP源(yuan)MAC地址不(bu)在授權(quán)列表中(zhong)時(shí)�,我們向?qū)?yīng)(ying)的AP和(he)終端(duan)發(fā)送解(jie)除關(guān)(guan)聯(lián)幀����,讓終端(duan)無(wú)法連上(shang)釣魚WIFI���。7×24小時(shí)不間(jian)斷監(jiān)測(cè)(ce)網(wǎng)絡(luò)。
上網(wǎng)行為嚴(yán)(yan)格控(kong)制:
強(qiáng)大的管理:通(tong)過(guò)應(yīng)用識(shí)別技(ji)術(shù)����,可以根據(jù)(ju)應(yīng)用(yong)類型或者(zhe)具體(ti)某一種應(yīng)用(yong)進(jìn)行封(feng)堵,包括視頻(pin)�、論壇、游(you)戲�、金融、下載等(deng)2400多種網(wǎng)(wang)絡(luò)應(yīng)用�。
通過(guò)應(yīng)用識(shí)別(bie)技術(shù),可(ke)以根據(jù)(ju)應(yīng)用類型(xing)或者具(ju)體某一種(zhong)應(yīng)用進(jìn)行封(feng)堵����,比如上班(ban)時(shí)間不允(yun)許炒股,不允許(xu)P2P下載(zai)���,不允許外發(fā)(fa)敏感文件等(deng)���; 支持主流移(yi)動(dòng)平臺(tái),可識(shí)別(bie)IM�、社交���、Mail、新(xin)聞����、炒股等(deng)應(yīng)用。
無(wú)線控制器(qi)內(nèi)置(zhi)千萬(wàn)級(jí)別的(de)URL分類庫(kù)���,能夠?qū)?dui)URL進(jìn)行(xing)識(shí)別���,包含(han)新聞、購(gòu)物�、金(jin)融、教育等(deng)18個(gè)種類的URL地(di)址���; 準(zhǔn)確(que)識(shí)別目(mu)前主流網(wǎng)站���,識(shí)(shi)別率高達(dá)99.9%,有(you)效實(shí)現(xiàn)(xian)網(wǎng)頁(yè)過(guò)濾�。例(li)如禁止(zhi)登陸非法網(wǎng)(wang)站
通過(guò)基于時(shí)間(jian)段的訪(fang)問(wèn)控制策略(lve)���,實(shí)現(xiàn)不同的(de)時(shí)間段不同(tong)的訪問(wèn)權(quán)(quan)限�,比如上(shang)班時(shí)(shi)間,禁止訪問(wèn)(wen)網(wǎng)上銀行���、游(you)戲�、論壇(tan)貼吧等與(yu)工作無(wú)關(guān)的應(yīng)(ying)用�,下(xia)班時(shí)間(jian)則不受(shou)限制。
辦公區(qū)域(yu)內(nèi)���,不(bu)同辦公部門(men)總會(huì)(hui)有各自專屬(shu)的無(wú)線網(wǎng)絡(luò)(luo)�,并且不希望部(bu)門之外的成(cheng)員使用這個(gè)(ge)網(wǎng)絡(luò)(luo)���。無(wú)線網(wǎng)絡(luò)控(kong)制器可以根據(jù)(ju)用戶的屬性�,限(xian)制禁止非本(ben)部門的(de)用戶接入����。
典型無(wú)線網(wǎng)絡(luò)(luo)攻擊防護(hù):
對(duì)典型的危險(xiǎn)(xian)攻擊行(xing)為進(jìn)行檢測(cè),當(dāng)(dang)超過(guò)設(shè)定的(de)閾值后自(zi)動(dòng)將攻(gong)擊者加入到(dao)黑名單(dan)中����,并凍結(jié)(jie)一定時(shí)間,即(ji)時(shí)發(fā)現(xiàn)網(wǎng)(wang)絡(luò)攻擊并(bing)進(jìn)行防御���。
檢測(cè)的(de)攻擊包括(kuo):DDOS防御(yu)����、ARP掃描、IP掃描���、端口(kou)掃描防御(yu)���,禁止(zhi)客戶端私(si)設(shè)IP以及ARP、網(wǎng)(wang)關(guān)欺騙防御�、DHCP請(qǐng)(qing)求泛洪防(fang)御。
無(wú)線射(she)頻定時(shí)(shi)關(guān)閉開(kāi)啟(qi):
通過(guò)射頻關(guān)閉(bi)控制策(ce)略�,可以指定某(mou)SSID網(wǎng)絡(luò),定時(shí)自動(dòng)(dong)關(guān)閉和開(kāi)啟無(wú)(wu)線網(wǎng)絡(luò)的射(she)頻信(xin)號(hào)����,晚上(shang)下班(ban)后自動(dòng)關(guān)閉(bi)無(wú)線射(she)頻信號(hào)(hao)。
一方面可(ke)以節(jié)(jie)能減排���、節(jié)(jie)省電費(fèi)支(zhi)出���;另一方面又(you)能防止非(fei)法用戶利(li)用深夜時(shí)間入(ru)侵無(wú)(wu)線網(wǎng)絡(luò),做一些(xie)非法的(de)操作(zuo)����。
有線無(wú)線一(yi)體化管理:
NAC的有線無(wú)(wu)線一體化,支(zhi)持對(duì)有(you)線用戶(hu)的接入認(rèn)(ren)證���、訪(fang)問(wèn)控(kong)制���、流量(liang)管理、上網(wǎng)(wang)行為審(shen)計(jì)等(deng)�,
并提供(gong)統(tǒng)一中文Web管理(li)界面,一站(zhan)式服(fu)務(wù)���,極(ji)大的降低網(wǎng)絡(luò)(luo)建設(shè)成本�。
網(wǎng)絡(luò)分權(quán)(quan)分級(jí)管理:
分配不同的管(guan)理員分(fen)別管理各(ge)自權(quán)(quan)限區(qū)域的無(wú)線(xian)AP����,可以精細(xì)到對(duì)(dui)某AP分(fen)組有管(guan)理權(quán)限,該管(guan)理員(yuan)可以(yi)在該(gai)AP分組上(shang)建立無(wú)(wu)線網(wǎng)(wang)絡(luò)���,能夠(gou)激活(huo)����、刪除接入點(diǎn)����,能(neng)夠?qū)P的配(pei)置進(jìn)行編輯修(xiu)改���。
可指定管理員(yuan)針對(duì)(dui)每個(gè)頁(yè)面的編(bian)輯或(huo)可查看權(quán)限,控(kong)制粒度到控(kong)制器上的各(ge)個(gè)頁(yè)面�,對(duì)某個(gè)(ge)頁(yè)面沒(méi)有讀(du)權(quán)限則登(deng)錄時(shí)不(bu)顯示。
移動(dòng)APP隨時(shí)隨(sui)地運(yùn)維管理:
支持跨互聯(lián)(lian)網(wǎng)運(yùn)維管(guan)理
登陸APP進(jìn)(jin)行維護(hù)(hu)管理:不同管理(li)員���,不同(tong)權(quán)限
查看網(wǎng)絡(luò)運(yùn)(yun)行情況:在線用(yong)戶����、在(zai)線AP數(shù)量�、實(shí)時(shí)流(liu)量
無(wú)線網(wǎng)絡(luò)管(guan)理維護(hù):開(kāi)啟(qi)關(guān)閉SSID、終(zhong)端綁定審(shen)批����、二(er)維碼上網(wǎng)(wang)審核(he)
故障、審批(pi)實(shí)時(shí)通知(zhi):AP離線警告(gao)���、服務(wù)(wu)器離(li)線警告�、網(wǎng)絡(luò)攻(gong)擊告警
方案優(yōu)(you)勢(shì):
1����、最豐富的無(wú)(wu)線安全機(jī)制���,提(ti)供從安全(quan)接入到(dao)安全上網(wǎng)等端(duan)到端的安全(quan)策略
2、合理管控工(gong)作人員上網(wǎng)(wang)行為�,提(ti)升工作(zuo)效率、防止帶(dai)寬浪費(fèi)���,有線無(wú)(wu)線雙(shuang)重管控(kong)
3、為會(huì)議室(shi)����,報(bào)告廳等人員(yuan)密集區(qū)域(yu)接入網(wǎng)絡(luò)(luo)提高保(bao)證,解(jie)決有線網(wǎng)口不(bu)足的問(wèn)題����;
4、為企業(yè)員工(gong)的移(yi)動(dòng)辦公提(ti)供支撐(cheng)�,內(nèi)部員工可(ke)通過(guò)無(wú)線網(wǎng)絡(luò)(luo)隨時(shí)安全接入(ru)內(nèi)部網(wǎng)絡(luò),實(shí)現(xiàn)(xian)辦公����;
5、內(nèi)部員工賬(zhang)號(hào)及個(gè)人信(xin)息綁定(ding)����,便于安全(quan)管理�;
6�、內(nèi)部員工可(ke)通過(guò)自(zi)己的辦(ban)公設(shè)備(bei)在企業(yè)大(da)樓內(nèi)快速移動(dòng)(dong)辦公,網(wǎng)絡(luò)接入(ru)更快速�,上網(wǎng)行(xing)為管理(li)系統(tǒng)(tong)對(duì)員工(gong)上網(wǎng)行為進(jìn)行(xing)審計(jì)與管控(kong)
7、來(lái)訪客戶接入(ru)企業(yè)網(wǎng)(wang)絡(luò)���,可根據(jù)不(bu)同需求���,分配不(bu)同的上網(wǎng)權(quán)限(xian),保證了接入(ru)的安(an)全性同時(shí)(shi)提升(sheng)群眾上網(wǎng)的體(ti)驗(yàn)
8�、豐富的(de)認(rèn)證(zheng)機(jī)制,滿足組(zu)織對(duì)無(wú)(wu)線網(wǎng)絡(luò)安全����、快(kuai)速接入
9、投資(zi)成本低���,通過(guò)(guo)部署無(wú)線控(kong)制器替換原有(you)網(wǎng)絡(luò)的(de)出口路由(you)����、行為管(guan)理以及無(wú)線控(kong)制器
