?
大型企業(yè)(ye)在無線(xian)網(wǎng)絡(luò)建設(shè)期(qi)間要充分(fen)考慮訪客(ke)(領(lǐng)導(dǎo)��、客戶��、合(he)作伙伴(ban))接入網(wǎng)絡(luò)的需(xu)求��。首先從(cong)安全性考慮(lv)��,訪客(ke)網(wǎng)絡(luò)必(bi)須要(yao)和辦(ban)公網(wǎng)(wang)絡(luò)分開��,訪(fang)客網(wǎng)絡(luò)單獨(dú)(du)提供給訪客(ke)使用(yong)��。從用戶(hu)體驗(yàn)角(jiao)度考慮(lv)��,訪客接(jie)入網(wǎng)絡(luò)的(de)驗(yàn)證方(fang)式一定(ding)要做到簡(jiǎn)(jian)單易行��,繁(fan)瑣的驗(yàn)證方式(shi)會(huì)降(jiang)低訪客對(duì)企(qi)業(yè)的整(zheng)體印象��。同時(shí)(shi)對(duì)于訪客網(wǎng)(wang)絡(luò)��,企業(yè)還需要(yao)建立完(wan)善的網(wǎng)絡(luò)安(an)全管(guan)理機(jī)(ji)制��,避免(mian)由于訪(fang)客的網(wǎng)絡(luò)不良(liang)訪問給企業(yè)帶(dai)來的法律風(fēng)(feng)險(xiǎn)��。對(duì)于企業(yè)(ye)員工(gong)移動(dòng)辦公上網(wǎng)(wang)��,更需要做到(dao)可管控(kong)��,上網(wǎng)行(xing)為做到可追(zhui)溯��,企(qi)業(yè)有效的(de)帶寬資(zi)源得到合理的(de)分配和保證��,才(cai)能使企(qi)業(yè)的業(yè)務(wù)(wu)系統(tǒng)(tong)正常(chang)且穩(wěn)定高效地(di)運(yùn)行��,同(tong)時(shí)保證企業(yè)(ye)信息安(an)全��,避免(mian)機(jī)密信息泄(xie)露��。
存在的問(wen)題(用戶需(xu)求)
1��、接入(ru)不安全:缺(que)乏安全可靠(kao)的認(rèn)證機(jī)制��,企(qi)業(yè)無線網(wǎng)絡(luò)(luo)接入不(bu)安全
2��、上網(wǎng)權(quán)限混(hun)亂:缺乏有效的(de)控制策略��,員工(gong)上網(wǎng)權(quán)限(xian)不分明
3��、數(shù)據(jù)信息安(an)全:缺乏有(you)效的數(shù)(shu)據(jù)加(jia)密機(jī)(ji)制��,企業(yè)數(shù)據(jù)被(bei)黑客(ke)竊取篡(cuan)改
4��、無線(xian)信號(hào)(hao)差:AP性能不(bu)佳��,上網(wǎng)總掉(diao)線��,點(diǎn)位(wei)規(guī)劃不合理��,信(xin)號(hào)盲區(qū)多(duo)
5、漫游效(xiao)果差:不能實(shí)(shi)現(xiàn)二三層(ceng)漫游��,移動(dòng)辦(ban)公時(shí)(shi)��,業(yè)務(wù)中(zhong)斷
解決方(fang)案:
結(jié)合用戶無(wu)線網(wǎng)絡(luò)(luo)需求情(qing)況��,結(jié)(jie)合產(chǎn)品自(zi)身技術(shù)特點(diǎn)��,為(wei)了滿足用戶(hu)構(gòu)建一(yi)個(gè)高速��、穩(wěn)定(ding)��、安全��、可靠(kao)��、易于管(guan)理的無線接入(ru)網(wǎng)絡(luò)的需求��,本(ben)設(shè)計(jì)方(fang)案按照(zhao)AP+AC的結(jié)構(gòu)化無線(xian)網(wǎng)絡(luò)解(jie)決方案進(jìn)行(xing)設(shè)計(jì)��。具體設(shè)(she)計(jì)為在總部設(shè)(she)置總(zong)部AC,在大型(xing)分支機(jī)構(gòu)設(shè)置(zhi)分支AC與分(fen)支AP��,中型分(fen)支機(jī)(ji)構(gòu)設(shè)計(jì)二級(jí)��,三(san)級(jí)交換機(jī)(ji)��,分支AP��。小微型分(fen)支機(jī)構(gòu)直接(jie)設(shè)置分支(zhi)AP��?�?偛緼C可以(yi)對(duì)大型(xing)分支機(jī)構(gòu)的(de)AC進(jìn)行(xing)管理��,當(dāng)網(wǎng)(wang)點(diǎn)控(kong)制器采用集(ji)中管理的模式(shi)進(jìn)入(ru)到中心(xin)端控制器時(shí)(shi)��,會(huì)自動(dòng)(dong)下載(zai)中心(xin)端的公共配(pei)置��,比如(ru)IP組��、MAC地址(zhi)庫��、時(shí)間計(jì)(ji)劃��、角色授(shou)權(quán)��、認(rèn)證頁面等(deng) ��?�?偛緼C也可以直(zhi)接管理中小型(xing)分支機(jī)構(gòu)的(de)分支(zhi)AP��,實(shí)現(xiàn)統(tǒng)(tong)一管理。
方案(an)設(shè)計(jì):
安全無線(xian)整體解決(jue)方案(an):
接入前&接入(ru)時(shí)進(jìn)行身份認(rèn)(ren)證��、安全無線網(wǎng)(wang)卡��、賬(zhang)號(hào)綁定(硬件碼(ma)+手機(jī)(ji)號(hào))��,非法熱點(diǎn)檢(jian)測(cè)及防御(yu)��、網(wǎng)絡(luò)(luo)攻擊(ji)防護(hù)��、射頻定時(shí)(shi)關(guān)閉及(ji)安全加固(gu)��。
接入后(hou)&上網(wǎng)時(shí)進(jìn)行(xing)訪問權(quán)限控制(zhi)��。
上網(wǎng)后(hou)進(jìn)行上網(wǎng)(wang)行為記錄��。
上網(wǎng)用戶身(shen)份實(shí)名(ming)認(rèn)證:
無線辦公網(wǎng)(wang)采用802.1X/Portal/WAPI認(rèn)證��,外置(zhi)AAA和RADIUS+AD用于存儲(chǔ)用(yong)戶賬號(hào)(hao)密碼(ma)��。
每個(gè)賬號(hào)(hao)對(duì)應(yīng)一(yi)個(gè)員工��,包(bao)括姓(xing)名��、部門��、性別以(yi)及身份證��、手(shou)機(jī)號(hào)等個(gè)(ge)人信息��,保證(zheng)每個(gè)上網(wǎng)的賬(zhang)號(hào)都(dou)是可尋的��,便于(yu)安全管理��。
用戶輸入(ru)賬號(hào)(hao)密碼上(shang)網(wǎng)驗(yàn)證時(shí)(shi)均采用加密(mi)傳輸��,防(fang)止黑客空(kong)中攔截��,竊取賬(zhang)號(hào)密碼等數(shù)(shu)據(jù)��。
上網(wǎng)賬(zhang)號(hào)自動(dòng)(dong)綁定終端(duan):
自動(dòng)將賬(zhang)號(hào)與終端的(de)硬件特(te)征碼進(jìn)行綁定(ding)��,防止賬號(hào)被他(ta)人使用或者(zhe)被盜(dao)用��。
每臺(tái)(tai)設(shè)備的硬(ying)件特征碼是唯(wei)一的��,無(wu)法通過軟(ruan)件修改��。即(ji)使通過軟(ruan)件修(xiu)改了仍然可以(yi)識(shí)別原始的��。
每個(gè)賬號(hào)最多(duo)可以綁定5臺(tái)終(zhong)端,超過1臺(tái)(tai)時(shí)需要(yao)管理員審核��。
上網(wǎng)賬號(hào)(hao)二次綁(bang)定手(shou)機(jī)號(hào)碼:
賬號(hào)首次登陸(lu)時(shí)需要(yao)綁定手機(jī)號(hào)(hao)并輸入(ru)短信驗(yàn)(yan)證碼��,當(dāng)用(yong)戶賬號(hào)在(zai)新終端(duan)登陸時(shí)(shi)(換終端/被(bei)他用/被(bei)盜)��,不僅需要輸(shu)入密碼��,還(hai)需要(yao)輸入短(duan)信驗(yàn)(yan)證碼��,解(jie)決員工賬(zhang)號(hào)認(rèn)(ren)證的安(an)全問題(ti)
綁定手機(jī)號(hào)(hao)碼的用(yong)戶��,可以自助重(zhong)置密碼和修改(gai)密碼��,無需通(tong)過IT管(guan)理員��。
用戶密碼管(guan)理及自(zi)助修改:
無需(xu)通過管(guan)理員即(ji)可修改(gai)密碼��,提高(gao)效率及(ji)減輕(qing)管理(li)員工作壓(ya)力��。
通過口(kou)袋助理(li)��、釘釘��、企(qi)業(yè)號(hào)等手機(jī)MOA類(lei)APP軟件進(jìn)行無線(xian)密碼修改��。
若賬號(hào)(hao)綁定了手機(jī)號(hào)(hao)碼��,可(ke)通過手機(jī)驗(yàn)證(zheng)碼自助修(xiu)改��。
上網(wǎng)終(zhong)端合法效驗(yàn)(yan):
采用安全(quan)無線網(wǎng)卡接(jie)入無線網(wǎng)絡(luò)��,終(zhong)端與AP熱點(diǎn)的(de)雙向驗(yàn)證��,提(ti)高安全(quan)性��。
可以將無線(xian)網(wǎng)絡(luò)(luo)設(shè)置為只(zhi)有安裝了安全(quan)無線網(wǎng)卡的終(zhong)端才能接入(ru)無線(xian)網(wǎng)絡(luò)��。
支持(chi)設(shè)置安全(quan)無線網(wǎng)卡只(zhi)能連指(zhi)定SSID無線網(wǎng)絡(luò)(luo)��,無法(fa)連接非(fei)授權(quán)SSID��。
網(wǎng)卡(ka)與AP數(shù)(shu)據(jù)傳輸時(shí)自(zi)動(dòng)進(jìn)行數(shù)(shu)據(jù)加密��,保證(zheng)無線的空(kong)口安全��。
無線熱(re)點(diǎn)掃描(miao)及非法熱點(diǎn)(dian)抑制:
背景:黑(hei)客在附近(jin)搭建一個(gè)一模(mo)一樣或者類(lei)似的(de)WIFI名稱��,誘(you)使用戶連(lian)到虛(xu)假釣魚WIFI上(shang)��,黑客利(li)用分(fen)析軟件(jian)從用戶上網(wǎng)(wang)產(chǎn)生的數(shù)據(jù)包(bao)中分析提(ti)取用戶隱私信(xin)息��。
我們通過WIPS無線(xian)入侵防(fang)御系統(tǒng)實(shí)時(shí)(shi)檢測(cè)周圍無線(xian)信號(hào),當(dāng)檢(jian)測(cè)出來的(de)信號(hào)BSSID��、且AP源(yuan)MAC地址不(bu)在授權(quán)(quan)列表中時(shí)��,我(wo)們向?qū)?yīng)的(de)AP和終(zhong)端發(fā)送(song)解除關(guān)聯(lián)幀��,讓(rang)終端無法(fa)連上(shang)釣魚(yu)WIFI��。7×24小時(shí)(shi)不間斷監(jiān)(jian)測(cè)網(wǎng)(wang)絡(luò)��。
上網(wǎng)(wang)行為(wei)嚴(yán)格控制:
強(qiáng)大的管(guan)理:通(tong)過應(yīng)用識(shí)別(bie)技術(shù)��,可(ke)以根(gen)據(jù)應(yīng)用類(lei)型或(huo)者具體(ti)某一種(zhong)應(yīng)用進(jìn)(jin)行封堵��,包括(kuo)視頻(pin)��、論壇��、游戲��、金(jin)融��、下載等(deng)2400多種網(wǎng)絡(luò)應(yīng)(ying)用��。
通過應(yīng)(ying)用識(shí)別(bie)技術(shù)��,可以根據(jù)(ju)應(yīng)用類型(xing)或者具體某(mou)一種應(yīng)用進(jìn)行(xing)封堵(du)��,比如上班時(shí)(shi)間不允(yun)許炒股��,不允(yun)許P2P下載��,不允許(xu)外發(fā)(fa)敏感文件等��; 支(zhi)持主流移動(dòng)平(ping)臺(tái)��,可識(shí)(shi)別IM��、社交��、Mail��、新聞��、炒(chao)股等應(yīng)用��。
無線控制器(qi)內(nèi)置千萬級(jí)(ji)別的URL分類庫��,能(neng)夠?qū)?dui)URL進(jìn)行識(shí)別(bie)��,包含(han)新聞��、購物、金融(rong)��、教育等18個(gè)種(zhong)類的URL地(di)址��; 準(zhǔn)確識(shí)(shi)別目前主(zhu)流網(wǎng)站��,識(shí)(shi)別率高達(dá)(da)99.9%��,有效實(shí)現(xiàn)(xian)網(wǎng)頁過濾��。例如(ru)禁止登陸(lu)非法網(wǎng)站
通過基于時(shí)(shi)間段的訪問控(kong)制策略(lve)��,實(shí)現(xiàn)不(bu)同的(de)時(shí)間段不(bu)同的訪問(wen)權(quán)限��,比如(ru)上班時(shí)間��,禁止(zhi)訪問網(wǎng)上銀(yin)行��、游(you)戲��、論(lun)壇貼吧(ba)等與工作無(wu)關(guān)的應(yīng)用(yong)��,下班時(shí)(shi)間則不受限(xian)制��。
辦公區(qū)域(yu)內(nèi)��,不同辦公部(bu)門總會(huì)有(you)各自專屬的無(wu)線網(wǎng)絡(luò),并且(qie)不希望部門(men)之外的成員(yuan)使用這(zhe)個(gè)網(wǎng)絡(luò)(luo)��。無線網(wǎng)(wang)絡(luò)控制器可(ke)以根據(jù)用戶的(de)屬性��,限制(zhi)禁止非本部(bu)門的用戶接入(ru)��。
典型無線網(wǎng)(wang)絡(luò)攻擊防護(hù):
對(duì)典型的危(wei)險(xiǎn)攻(gong)擊行為進(jìn)(jin)行檢測(cè)��,當(dāng)超(chao)過設(shè)(she)定的閾(yu)值后(hou)自動(dòng)將攻擊(ji)者加入到黑(hei)名單中��,并凍結(jié)(jie)一定時(shí)(shi)間��,即時(shí)(shi)發(fā)現(xiàn)網(wǎng)絡(luò)攻(gong)擊并進(jìn)行防御(yu)��。
檢測(cè)的攻(gong)擊包括:DDOS防御(yu)��、ARP掃描��、IP掃描��、端(duan)口掃描防御(yu)��,禁止客(ke)戶端私(si)設(shè)IP以及(ji)ARP��、網(wǎng)關(guān)欺騙(pian)防御��、DHCP請(qǐng)求(qiu)泛洪防御��。
無線射頻定(ding)時(shí)關(guān)閉開(kai)啟:
通過射頻關(guān)(guan)閉控制策略(lve)��,可以指定(ding)某SSID網(wǎng)絡(luò)��,定(ding)時(shí)自動(dòng)關(guān)閉和(he)開啟無(wu)線網(wǎng)絡(luò)(luo)的射頻信號(hào)��,晚(wan)上下(xia)班后(hou)自動(dòng)關(guān)閉(bi)無線射(she)頻信號(hào)��。
一方面(mian)可以節(jié)能減(jian)排��、節(jié)省電(dian)費(fèi)支(zhi)出��;另一方面(mian)又能防止(zhi)非法用戶利(li)用深夜時(shí)間(jian)入侵(qin)無線網(wǎng)絡(luò)��,做一(yi)些非法的操(cao)作��。
有線(xian)無線一(yi)體化管理:
NAC的有線無線一(yi)體化��,支持對(duì)有(you)線用戶的接(jie)入認(rèn)(ren)證��、訪問控制(zhi)��、流量(liang)管理��、上網(wǎng)行為(wei)審計(jì)等,
并提供統(tǒng)一(yi)中文Web管理界面(mian)��,一站式(shi)服務(wù)��,極大的降(jiang)低網(wǎng)(wang)絡(luò)建設(shè)(she)成本��。
網(wǎng)絡(luò)分權(quán)分級(jí)(ji)管理(li):
分配不同的(de)管理員分別管(guan)理各自權(quán)(quan)限區(qū)域(yu)的無(wu)線AP��,可以精細(xì)(xi)到對(duì)(dui)某AP分(fen)組有管理權(quán)(quan)限��,該管理(li)員可以(yi)在該AP分組上(shang)建立(li)無線網(wǎng)絡(luò)(luo)��,能夠激活��、刪(shan)除接入點(diǎn)��,能夠(gou)對(duì)AP的配置進(jìn)(jin)行編(bian)輯修(xiu)改��。
可指(zhi)定管理員(yuan)針對(duì)每個(gè)頁面(mian)的編輯或可查(cha)看權(quán)限��,控制(zhi)粒度(du)到控制器(qi)上的各個(gè)(ge)頁面��,對(duì)某個(gè)頁(ye)面沒(mei)有讀權(quán)限(xian)則登錄時(shí)不顯(xian)示��。
移動(dòng)APP隨時(shí)(shi)隨地運(yùn)(yun)維管(guan)理:
支持跨互(hu)聯(lián)網(wǎng)運(yùn)(yun)維管理
登陸APP進(jìn)(jin)行維(wei)護(hù)管理:不同(tong)管理員��,不同權(quán)(quan)限
查看(kan)網(wǎng)絡(luò)運(yùn)(yun)行情況:在線(xian)用戶(hu)��、在線AP數(shù)量(liang)��、實(shí)時(shí)流(liu)量
無線網(wǎng)絡(luò)管理(li)維護(hù):開啟關(guān)(guan)閉SSID��、終端綁(bang)定審批��、二(er)維碼上網(wǎng)審核(he)
故障��、審批實(shí)時(shí)(shi)通知(zhi):AP離線警告(gao)��、服務(wù)器(qi)離線警告��、網(wǎng)絡(luò)(luo)攻擊告警(jing)
方案優(yōu)勢(shì)(shi):
1��、最豐(feng)富的無線安全(quan)機(jī)制��,提供從安(an)全接(jie)入到安全上網(wǎng)(wang)等端到端的(de)安全策略
2��、合理(li)管控(kong)工作(zuo)人員(yuan)上網(wǎng)(wang)行為��,提升(sheng)工作效率(lv)��、防止(zhi)帶寬浪費(fèi),有線(xian)無線雙(shuang)重管控
3��、為會(huì)議(yi)室��,報(bào)告廳等人(ren)員密集區(qū)域(yu)接入網(wǎng)(wang)絡(luò)提高保(bao)證��,解(jie)決有(you)線網(wǎng)口不足(zu)的問題��;
4��、為企業(yè)員工的(de)移動(dòng)辦公提供(gong)支撐��,內(nèi)部員工(gong)可通過無線(xian)網(wǎng)絡(luò)隨(sui)時(shí)安全接入(ru)內(nèi)部(bu)網(wǎng)絡(luò)��,實(shí)現(xiàn)(xian)辦公(gong)��;
5��、內(nèi)部(bu)員工賬號(hào)及個(gè)(ge)人信息綁(bang)定��,便于(yu)安全管理��;
6��、內(nèi)部員工可通(tong)過自己(ji)的辦公(gong)設(shè)備(bei)在企業(yè)(ye)大樓內(nèi)快速(su)移動(dòng)辦公��,網(wǎng)(wang)絡(luò)接(jie)入更快(kuai)速��,上網(wǎng)(wang)行為(wei)管理系統(tǒng)(tong)對(duì)員工上網(wǎng)(wang)行為進(jìn)行審(shen)計(jì)與管(guan)控
7��、來訪(fang)客戶接入企(qi)業(yè)網(wǎng)絡(luò)��,可(ke)根據(jù)不同(tong)需求��,分配不(bu)同的上網(wǎng)(wang)權(quán)限��,保證了(le)接入的安全性(xing)同時(shí)提升群(qun)眾上網(wǎng)的(de)體驗(yàn)
8��、豐富的(de)認(rèn)證機(jī)制��,滿(man)足組織(zhi)對(duì)無線網(wǎng)絡(luò)安(an)全��、快速接入(ru)
9��、投資成(cheng)本低��,通過部署(shu)無線控制器替(ti)換原有網(wǎng)絡(luò)的(de)出口路由(you)��、行為管理以(yi)及無線(xian)控制器
