大型企業(yè)(ye)在無線(xian)網(wǎng)絡(luò)建設(shè)(she)期間(jian)要充分考慮(lv)訪客(ke)（領(lǐng)導(dǎo)、客戶、合(he)作伙伴）接(jie)入網(wǎng)(wang)絡(luò)的需求。首先(xian)從安全(quan)性考慮，訪客(ke)網(wǎng)絡(luò)必須要和(he)辦公網(wǎng)絡(luò)分開(kai)，訪客(ke)網(wǎng)絡(luò)單獨提供(gong)給訪客(ke)使用。從(cong)用戶體驗(yan)角度考(kao)慮，訪客接入網(wǎng)(wang)絡(luò)的驗證方式(shi)一定要做到(dao)簡單(dan)易行，繁瑣的(de)驗證方式會降(jiang)低訪客對企業(yè)(ye)的整體印象。同(tong)時對于訪客(ke)網(wǎng)絡(luò)，企業(yè)還(hai)需要(yao)建立完(wan)善的(de)網(wǎng)絡(luò)安全管(guan)理機制，避免由(you)于訪(fang)客的網(wǎng)絡(luò)不(bu)良訪(fang)問給企(qi)業(yè)帶(dai)來的法律風(feng)險。對(dui)于企業(yè)員(yuan)工移動辦(ban)公上網(wǎng)，更需要(yao)做到可管控(kong)，上網(wǎng)行為做(zuo)到可追(zhui)溯，企業(yè)有效的(de)帶寬資(zi)源得到(dao)合理的分配和(he)保證(zheng)，才能(neng)使企業(yè)的業(yè)(ye)務(wù)系統(tǒng)正(zheng)常且穩(wěn)定高(gao)效地(di)運行，同時保(bao)證企業(yè)信(xin)息安全(quan)，避免機密信息(xi)泄露(lu)。

存在的問題（用(yong)戶需求）

1、接入不安(an)全：缺乏安全(quan)可靠的認證機(ji)制，企業(yè)(ye)無線網(wǎng)絡(luò)接(jie)入不(bu)安全(quan)

2、上網(wǎng)權(quán)限混(hun)亂：缺乏有(you)效的(de)控制策略，員(yuan)工上網(wǎng)權(quán)(quan)限不分明(ming)

3、數(shù)據(jù)信息安(an)全：缺乏有效的(de)數(shù)據(jù)加(jia)密機制，企業(yè)數(shù)(shu)據(jù)被黑客竊取(qu)篡改

4、無線信號差：AP性(xing)能不佳，上網(wǎng)(wang)總掉線，點位規(guī)(gui)劃不(bu)合理，信號(hao)盲區(qū)多

5、漫游效果差(cha)：不能實(shi)現(xiàn)二三層漫游(you)，移動辦(ban)公時，業(yè)務(wù)中斷(duan)

解決方案：

結(jié)合用戶無線(xian)網(wǎng)絡(luò)(luo)需求(qiu)情況，結(jié)合產(chǎn)品(pin)自身(shen)技術(shù)(shu)特點，為(wei)了滿足(zu)用戶構(gòu)建一個(ge)高速、穩(wěn)定、安(an)全、可靠、易于管(guan)理的無線接(jie)入網(wǎng)絡(luò)(luo)的需(xu)求，本設(shè)計方(fang)案按(an)照AP+AC的(de)結(jié)構(gòu)(gou)化無線(xian)網(wǎng)絡(luò)解決方(fang)案進(jin)行設(shè)計。具體(ti)設(shè)計為(wei)在總部(bu)設(shè)置總部(bu)AC,在大型分支(zhi)機構(gòu)設(shè)置分支(zhi)AC與分支(zhi)AP，中型(xing)分支機(ji)構(gòu)設(shè)(she)計二(er)級，三(san)級交換(huan)機，分支(zhi)AP。小微型(xing)分支機(ji)構(gòu)直接設(shè)置分(fen)支AP?？偛緼C可以對(dui)大型分支(zhi)機構(gòu)的(de)AC進行管理，當網(wǎng)(wang)點控制器采用(yong)集中管(guan)理的模式(shi)進入到中心端(duan)控制(zhi)器時(shi)，會自動(dong)下載中(zhong)心端的公(gong)共配置，比如(ru)IP組、MAC地址庫、時(shi)間計劃、角色(se)授權(quán)、認(ren)證頁面等 。總部(bu)AC也可(ke)以直接管理(li)中小型(xing)分支機構(gòu)的分(fen)支AP，實現(xiàn)統(tǒng)一(yi)管理。

方案設(shè)計：

安全無線整(zheng)體解決方(fang)案：

接入前&接入時(shi)進行(xing)身份認(ren)證、安全無線網(wǎng)(wang)卡、賬號綁定(ding)（硬件碼+手機(ji)號），非法熱(re)點檢測及防御(yu)、網(wǎng)絡(luò)(luo)攻擊防(fang)護、射頻定時(shi)關(guān)閉及安全(quan)加固。

接入后(hou)&上網(wǎng)時(shi)進行訪(fang)問權(quán)(quan)限控制(zhi)。

上網(wǎng)(wang)后進行上網(wǎng)行(xing)為記錄(lu)。

上網(wǎng)用戶(hu)身份實名(ming)認證(zheng)：

無線辦公(gong)網(wǎng)采用802.1X/Portal/WAPI認證，外(wai)置AAA和RADIUS+AD用于(yu)存儲用戶賬號(hao)密碼。

每個賬號對應(yīng)(ying)一個員工，包括(kuo)姓名、部門(men)、性別以及身份(fen)證、手(shou)機號等個人(ren)信息，保證每個(ge)上網(wǎng)的賬號都(dou)是可尋的，便于(yu)安全管理。

用戶輸入(ru)賬號(hao)密碼上網(wǎng)(wang)驗證(zheng)時均(jun)采用加密傳輸(shu)，防止黑客空(kong)中攔截(jie)，竊取賬號密碼(ma)等數(shù)據(jù)(ju)。

上網(wǎng)(wang)賬號(hao)自動綁定(ding)終端：

自動將賬(zhang)號與終端(duan)的硬件特征(zheng)碼進行(xing)綁定，防(fang)止賬號被他人(ren)使用或者被盜(dao)用。

每臺設(shè)(she)備的硬件特征(zheng)碼是唯(wei)一的，無法通過(guo)軟件修改。即(ji)使通過軟件(jian)修改了仍然(ran)可以識別原(yuan)始的。

每個賬號最(zui)多可以綁(bang)定5臺終(zhong)端，超過1臺時需(xu)要管理員審核(he)。

上網(wǎng)賬號二次(ci)綁定(ding)手機號碼(ma)：

賬號(hao)首次登(deng)陸時(shi)需要(yao)綁定手機號(hao)并輸入短(duan)信驗證碼，當(dang)用戶賬(zhang)號在(zai)新終(zhong)端登陸時(shi)（換終端(duan)/被他用(yong)/被盜），不僅需要(yao)輸入(ru)密碼，還需要(yao)輸入短信驗(yan)證碼(ma)，解決員(yuan)工賬號認證的(de)安全(quan)問題

綁定手機(ji)號碼的用(yong)戶，可以自(zi)助重置密(mi)碼和修(xiu)改密碼(ma)，無需通過IT管理(li)員。

用戶密(mi)碼管理及(ji)自助修改(gai)：

無需通過管(guan)理員即(ji)可修改(gai)密碼，提高效(xiao)率及減(jian)輕管理員工作(zuo)壓力。

通過口袋助(zhu)理、釘釘、企業(yè)號(hao)等手機MOA類APP軟(ruan)件進行無(wu)線密碼(ma)修改。

若賬號綁定了(le)手機號碼(ma)，可通過手(shou)機驗(yan)證碼自助修改(gai)。

上網(wǎng)終端合(he)法效(xiao)驗：

采用安全無(wu)線網(wǎng)卡接入無(wu)線網(wǎng)絡(luò)，終端(duan)與AP熱點的雙向(xiang)驗證，提(ti)高安全性。

可以將無線(xian)網(wǎng)絡(luò)設(shè)置為只(zhi)有安裝了安(an)全無(wu)線網(wǎng)卡的終端(duan)才能(neng)接入(ru)無線網(wǎng)(wang)絡(luò)。

支持設(shè)置(zhi)安全無線網(wǎng)卡(ka)只能連指(zhi)定SSID無(wu)線網(wǎng)(wang)絡(luò)，無法連接(jie)非授權(quán)SSID。

網(wǎng)卡與AP數(shù)(shu)據(jù)傳輸時(shi)自動進行數(shù)據(jù)(ju)加密，保證無線(xian)的空口安全。

無線熱點掃(sao)描及非(fei)法熱點(dian)抑制：

背景(jing)：黑客在(zai)附近搭建一個(ge)一模一樣或(huo)者類似的WIFI名(ming)稱，誘使用戶(hu)連到虛假釣魚(yu)WIFI上，黑客(ke)利用(yong)分析軟(ruan)件從用戶上(shang)網(wǎng)產(chǎn)生(sheng)的數(shù)據(jù)包中分(fen)析提取(qu)用戶隱私信(xin)息。

我們通過WIPS無(wu)線入侵(qin)防御系(xi)統(tǒng)實時(shi)檢測周圍無(wu)線信號，當檢測(ce)出來(lai)的信號BSSID、且AP源MAC地(di)址不(bu)在授權(quán)(quan)列表中時(shi)，我們向?qū)?dui)應(yīng)的AP和終端發(fā)(fa)送解除關(guān)聯(lián)幀(zhen)，讓終端(duan)無法連上釣魚(yu)WIFI。7×24小時不間斷(duan)監(jiān)測(ce)網(wǎng)絡(luò)。

上網(wǎng)行(xing)為嚴格(ge)控制：

強大的(de)管理(li)：通過應(yīng)用識別(bie)技術(shù)(shu)，可以根據(jù)(ju)應(yīng)用類型或(huo)者具(ju)體某一種應(yīng)用(yong)進行封堵(du)，包括視(shi)頻、論壇、游戲、金(jin)融、下載等(deng)2400多種(zhong)網(wǎng)絡(luò)應(yīng)用。

通過應(yīng)用(yong)識別技術(shù)，可(ke)以根據(jù)應(yīng)(ying)用類型或者(zhe)具體某一種(zhong)應(yīng)用進行封堵(du)，比如上班時(shi)間不允許(xu)炒股，不允(yun)許P2P下載，不允許(xu)外發(fā)敏感文(wen)件等； 支持主流(liu)移動(dong)平臺(tai)，可識別(bie)IM、社交、Mail、新(xin)聞、炒(chao)股等(deng)應(yīng)用。

無線控制器(qi)內(nèi)置千萬級別(bie)的URL分類(lei)庫，能(neng)夠?qū)RL進行識(shi)別，包(bao)含新(xin)聞、購物(wu)、金融、教(jiao)育等18個(ge)種類的URL地址； 準(zhun)確識(shi)別目前主(zhu)流網(wǎng)站，識(shi)別率高達99.9%，有效(xiao)實現(xiàn)網(wǎng)頁(ye)過濾。例如禁止(zhi)登陸非法(fa)網(wǎng)站(zhan)

通過基于時間(jian)段的訪問控(kong)制策略，實現(xiàn)(xian)不同(tong)的時間(jian)段不同(tong)的訪問權(quán)限(xian)，比如上班時間(jian)，禁止訪(fang)問網(wǎng)上銀(yin)行、游戲、論壇貼(tie)吧等(deng)與工作無關(guān)的(de)應(yīng)用(yong)，下班時間(jian)則不(bu)受限制。

辦公(gong)區(qū)域內(nèi)，不(bu)同辦公部門(men)總會有(you)各自專屬的無(wu)線網(wǎng)(wang)絡(luò)，并且不希望(wang)部門之(zhi)外的成員使(shi)用這個網(wǎng)(wang)絡(luò)。無線網(wǎng)絡(luò)控(kong)制器可以根(gen)據(jù)用戶(hu)的屬性，限(xian)制禁止非(fei)本部門的用(yong)戶接入。

典型無線(xian)網(wǎng)絡(luò)攻擊防(fang)護：

對典(dian)型的(de)危險攻(gong)擊行為進行(xing)檢測，當超過設(shè)(she)定的閾(yu)值后(hou)自動將攻(gong)擊者加入到(dao)黑名單(dan)中，并凍結(jié)一(yi)定時(shi)間，即(ji)時發(fā)(fa)現(xiàn)網(wǎng)(wang)絡(luò)攻擊并進行(xing)防御。

檢測的(de)攻擊包括：DDOS防御(yu)、ARP掃描、IP掃(sao)描、端口掃描防(fang)御，禁(jin)止客戶(hu)端私設(shè)IP以(yi)及ARP、網(wǎng)關(guān)欺騙防(fang)御、DHCP請求泛洪(hong)防御。

無線射(she)頻定(ding)時關(guān)閉(bi)開啟：

通過射頻(pin)關(guān)閉控制策略(lve)，可以指定某(mou)SSID網(wǎng)絡(luò)，定(ding)時自動關(guān)閉和(he)開啟無線(xian)網(wǎng)絡(luò)的射頻信(xin)號，晚上(shang)下班后自動關(guān)(guan)閉無線(xian)射頻信(xin)號。

一方面可以(yi)節(jié)能(neng)減排、節(jié)省電費(fei)支出；另(ling)一方(fang)面又能防止(zhi)非法用(yong)戶利用深夜(ye)時間入侵無(wu)線網(wǎng)絡(luò)，做一些(xie)非法的操作(zuo)。

有線無(wu)線一體化管理(li)：

NAC的有線無線(xian)一體化，支(zhi)持對(dui)有線用(yong)戶的接入認證(zheng)、訪問控制、流(liu)量管(guan)理、上網(wǎng)行為(wei)審計等(deng)，

并提供統(tǒng)一(yi)中文(wen)Web管理界面(mian)，一站式服務(wù)(wu)，極大的降(jiang)低網(wǎng)絡(luò)(luo)建設(shè)(she)成本。

網(wǎng)絡(luò)分權(quán)(quan)分級管(guan)理：

分配不同的(de)管理員分別(bie)管理各(ge)自權(quán)(quan)限區(qū)域的無(wu)線AP，可以(yi)精細到(dao)對某AP分(fen)組有管理權(quán)限(xian)，該管理(li)員可以在該(gai)AP分組上建立(li)無線(xian)網(wǎng)絡(luò)，能夠激活(huo)、刪除接入點(dian)，能夠?qū)P的配置(zhi)進行(xing)編輯修(xiu)改。

可指定管理(li)員針(zhen)對每個頁面(mian)的編輯或可查(cha)看權(quán)(quan)限，控(kong)制粒度到(dao)控制器上的各(ge)個頁面，對某(mou)個頁面(mian)沒有讀(du)權(quán)限則登錄(lu)時不(bu)顯示。

移動APP隨時隨地(di)運維管理：

支持跨互聯(lián)(lian)網(wǎng)運維管(guan)理

登陸APP進(jin)行維護(hu)管理：不同管理(li)員，不同權(quán)限

查看(kan)網(wǎng)絡(luò)(luo)運行(xing)情況(kuang)：在線用(yong)戶、在線(xian)AP數(shù)量、實時(shi)流量

無線網(wǎng)絡(luò)管(guan)理維護：開(kai)啟關(guān)閉(bi)SSID、終端綁定(ding)審批、二維碼(ma)上網(wǎng)審(shen)核

故障、審批實時(shi)通知：AP離線警告(gao)、服務(wù)器離線(xian)警告、網(wǎng)(wang)絡(luò)攻擊告警(jing)

方案優(yōu)勢：

1、最豐富的無線(xian)安全機制(zhi)，提供從安全接(jie)入到安全上(shang)網(wǎng)等端到端的(de)安全(quan)策略

2、合理(li)管控工作人(ren)員上網(wǎng)(wang)行為(wei)，提升工作效(xiao)率、防止(zhi)帶寬浪費，有線(xian)無線雙重(zhong)管控

3、為會議室，報(bao)告廳等人員密(mi)集區(qū)域接入網(wǎng)(wang)絡(luò)提高保(bao)證，解決有線網(wǎng)(wang)口不(bu)足的問題(ti)；

4、為企業(yè)員工(gong)的移動(dong)辦公提供支撐(cheng)，內(nèi)部員工可(ke)通過無(wu)線網(wǎng)絡(luò)隨時安(an)全接入內(nèi)(nei)部網(wǎng)(wang)絡(luò)，實現(xiàn)辦公；

5、內(nèi)部員工賬號(hao)及個人信(xin)息綁定，便于(yu)安全(quan)管理(li)；

6、內(nèi)部員(yuan)工可通過(guo)自己(ji)的辦公設(shè)(she)備在企業(yè)大(da)樓內(nèi)快速移(yi)動辦公，網(wǎng)絡(luò)接(jie)入更快速(su)，上網(wǎng)行(xing)為管理系(xi)統(tǒng)對(dui)員工上網(wǎng)行為(wei)進行審計與(yu)管控

7、來訪(fang)客戶接入企業(yè)(ye)網(wǎng)絡(luò)(luo)，可根據(jù)不(bu)同需求，分配不(bu)同的(de)上網(wǎng)權(quán)(quan)限，保(bao)證了接(jie)入的安(an)全性同時(shi)提升群(qun)眾上網(wǎng)(wang)的體驗

8、豐富的認(ren)證機制，滿(man)足組織對無線(xian)網(wǎng)絡(luò)安全、快(kuai)速接入(ru)

9、投資(zi)成本低(di)，通過部署(shu)無線控制器(qi)替換原有網(wǎng)絡(luò)(luo)的出(chu)口路由、行(xing)為管(guan)理以及無(wu)線控制器