?
大型企業(yè)在無(wu)線網(wǎng)絡建設期(qi)間要(yao)充分考慮訪(fang)客(領導、客(ke)戶�����、合(he)作伙(huo)伴)接入(ru)網(wǎng)絡的需求。首(shou)先從安全性考(kao)慮���,訪客(ke)網(wǎng)絡必須(xu)要和辦公網(wǎng)(wang)絡分開�,訪客網(wǎng)(wang)絡單獨(du)提供給訪客(ke)使用��。從用戶體(ti)驗角(jiao)度考(kao)慮���,訪(fang)客接入網(wǎng)(wang)絡的驗證方(fang)式一(yi)定要(yao)做到簡單(dan)易行��,繁瑣(suo)的驗證方(fang)式會降低訪客(ke)對企業(yè)的(de)整體印象����。同時(shi)對于訪客網(wǎng)(wang)絡��,企(qi)業(yè)還(hai)需要建(jian)立完(wan)善的網(wǎng)絡(luo)安全管理機制(zhi)�,避免由于(yu)訪客的網(wǎng)(wang)絡不良訪問給(gei)企業(yè)帶(dai)來的(de)法律風險���。對于(yu)企業(yè)員工(gong)移動辦公上網(wǎng)(wang),更需要做到可(ke)管控��,上網(wǎng)行為(wei)做到可(ke)追溯����,企(qi)業(yè)有效(xiao)的帶寬資源(yuan)得到合理(li)的分配(pei)和保證���,才能(neng)使企(qi)業(yè)的業(yè)(ye)務系統(tǒng)正常且(qie)穩(wěn)定高效(xiao)地運行�,同時(shi)保證企業(yè)信息(xi)安全����,避免(mian)機密信息(xi)泄露。
存在(zai)的問題(用戶需(xu)求)
1�、接入不安(an)全:缺乏(fa)安全(quan)可靠(kao)的認證(zheng)機制,企業(yè)無(wu)線網(wǎng)絡接(jie)入不安全
2�、上網(wǎng)權限(xian)混亂(luan):缺乏有效的控(kong)制策略(lve),員工上(shang)網(wǎng)權限不分(fen)明
3���、數(shù)據(jù)信息(xi)安全:缺乏有效(xiao)的數(shù)(shu)據(jù)加密機(ji)制����,企業(yè)數(shù)據(jù)被(bei)黑客竊(qie)取篡改
4、無線信號差(cha):AP性能不佳���,上網(wǎng)(wang)總掉線�����,點(dian)位規(guī)劃(hua)不合(he)理�,信號(hao)盲區(qū)多
5����、漫游效果(guo)差:不能實(shi)現(xiàn)二三層漫游(you),移動辦(ban)公時�,業(yè)(ye)務中(zhong)斷
解決(jue)方案:
結合用戶無(wu)線網(wǎng)絡需(xu)求情況,結合產(chan)品自(zi)身技術(shu)特點���,為(wei)了滿足用戶構(gou)建一個高速(su)���、穩(wěn)定、安(an)全���、可靠���、易于(yu)管理的無線接(jie)入網(wǎng)絡的需(xu)求�,本(ben)設計方(fang)案按照(zhao)AP+AC的結構化(hua)無線網(wǎng)(wang)絡解決(jue)方案(an)進行設計�����。具(ju)體設計為(wei)在總部設置(zhi)總部AC,在大(da)型分支機(ji)構設置分(fen)支AC與分支(zhi)AP�,中型(xing)分支(zhi)機構設計二級(ji),三級交換(huan)機���,分支(zhi)AP。小微型分支(zhi)機構直(zhi)接設置分支AP�����?��??zong)部AC可以對大(da)型分支機構的(de)AC進行管理�����,當(dang)網(wǎng)點(dian)控制器(qi)采用集中管(guan)理的(de)模式進入到(dao)中心端控制器(qi)時����,會自動下載(zai)中心端的公共(gong)配置��,比(bi)如IP組、MAC地址(zhi)庫��、時(shi)間計劃����、角色授(shou)權、認證頁(ye)面等 �。總(zong)部AC也可(ke)以直接管理(li)中小型(xing)分支機(ji)構的分(fen)支AP��,實現(xiàn)統(tǒng)(tong)一管理�����。
方案設計:
安全無(wu)線整體解決方(fang)案:
接入前(qian)&接入時進行(xing)身份認證��、安全(quan)無線(xian)網(wǎng)卡����、賬號綁定(ding)(硬件碼+手(shou)機號),非法熱點(dian)檢測及防御(yu)�、網(wǎng)絡攻擊(ji)防護、射(she)頻定時關(guan)閉及安全(quan)加固�。
接入后&上(shang)網(wǎng)時(shi)進行訪問權限(xian)控制(zhi)。
上網(wǎng)后進行上(shang)網(wǎng)行(xing)為記錄���。
上網(wǎng)用(yong)戶身份實(shi)名認證(zheng):
無線(xian)辦公網(wǎng)(wang)采用802.1X/Portal/WAPI認證(zheng)�,外置(zhi)AAA和RADIUS+AD用于(yu)存儲用戶賬(zhang)號密碼。
每個賬號(hao)對應一(yi)個員工(gong)��,包括姓(xing)名��、部門��、性別以(yi)及身份證(zheng)����、手機號(hao)等個人信息,保(bao)證每(mei)個上網(wǎng)的賬(zhang)號都是可(ke)尋的����,便(bian)于安全(quan)管理����。
用戶輸入賬號(hao)密碼上網(wǎng)驗(yan)證時均采用加(jia)密傳(chuan)輸,防(fang)止黑客空中(zhong)攔截���,竊取賬號(hao)密碼等數(shù)據(jù)(ju)���。
上網(wǎng)賬號自(zi)動綁定(ding)終端:
自動將賬號與(yu)終端的(de)硬件特征碼進(jin)行綁定�,防止賬(zhang)號被他人使用(yong)或者被盜用(yong)��。
每臺設備的硬(ying)件特征碼是(shi)唯一的�����,無法通(tong)過軟件(jian)修改���。即使(shi)通過軟(ruan)件修改了(le)仍然可以識(shi)別原(yuan)始的����。
每個賬(zhang)號最多可(ke)以綁(bang)定5臺終(zhong)端��,超(chao)過1臺時(shi)需要管理員審(shen)核����。
上網(wǎng)賬(zhang)號二次(ci)綁定手機號(hao)碼:
賬號首次登陸(lu)時需要綁(bang)定手(shou)機號并輸入(ru)短信驗(yan)證碼(ma),當用(yong)戶賬(zhang)號在新終端(duan)登陸時(換終端(duan)/被他用/被盜)����,不(bu)僅需要輸入密(mi)碼,還需(xu)要輸(shu)入短(duan)信驗(yan)證碼��,解決(jue)員工賬(zhang)號認(ren)證的安全(quan)問題(ti)
綁定手機號碼(ma)的用戶���,可以自(zi)助重置密碼和(he)修改密碼���,無需(xu)通過IT管理(li)員����。
用戶密碼(ma)管理及自助(zhu)修改:
無需(xu)通過(guo)管理員即(ji)可修改(gai)密碼�,提高(gao)效率(lv)及減輕管理(li)員工作(zuo)壓力。
通過口袋助(zhu)理、釘(ding)釘、企業(yè)號等(deng)手機(ji)MOA類APP軟(ruan)件進行無(wu)線密(mi)碼修改����。
若賬(zhang)號綁定(ding)了手機號碼(ma)����,可通(tong)過手機驗證碼(ma)自助(zhu)修改(gai)����。
上網(wǎng)終(zhong)端合法效驗:
采用安全(quan)無線(xian)網(wǎng)卡接(jie)入無線網(wǎng)絡(luo)����,終端與AP熱點的(de)雙向(xiang)驗證(zheng),提高(gao)安全性����。
可以將無(wu)線網(wǎng)(wang)絡設置為(wei)只有安(an)裝了安全(quan)無線網(wǎng)卡的終(zhong)端才能接入無(wu)線網(wǎng)絡(luo)����。
支持(chi)設置安(an)全無線網(wǎng)卡(ka)只能連指定(ding)SSID無線(xian)網(wǎng)絡(luo)����,無法連接非授(shou)權SSID。
網(wǎng)卡與AP數(shù)據(jù)(ju)傳輸時自動(dong)進行(xing)數(shù)據(jù)加密(mi)����,保證無(wu)線的(de)空口(kou)安全。
無線熱(re)點掃描及(ji)非法(fa)熱點抑制:
背景(jing):黑客在(zai)附近(jin)搭建一個一(yi)模一樣或者類(lei)似的WIFI名稱����,誘(you)使用戶連(lian)到虛假釣魚WIFI上(shang),黑客利用分(fen)析軟件從用(yong)戶上(shang)網(wǎng)產生的數(shù)據(jù)(ju)包中分析提取(qu)用戶隱私信息(xi)����。
我們通過(guo)WIPS無線(xian)入侵防御(yu)系統(tǒng)實(shi)時檢測周(zhou)圍無線信號,當(dang)檢測出來(lai)的信號BSSID����、且AP源MAC地(di)址不在(zai)授權列表(biao)中時,我們(men)向對應的AP和(he)終端發(fā)送解除(chu)關聯(lián)幀,讓終端(duan)無法連上釣魚(yu)WIFI����。7×24小時不(bu)間斷(duan)監(jiān)測網(wǎng)(wang)絡。
上網(wǎng)行為嚴(yan)格控制:
強大的管(guan)理:通過應用識(shi)別技術(shu)����,可以根據(jù)(ju)應用類型或(huo)者具(ju)體某一種(zhong)應用進行封(feng)堵,包括視頻(pin)����、論壇、游戲����、金融(rong)、下載等(deng)2400多種網(wǎng)絡(luo)應用����。
通過(guo)應用識別(bie)技術,可以根(gen)據(jù)應用類(lei)型或者具(ju)體某(mou)一種(zhong)應用進行(xing)封堵����,比(bi)如上(shang)班時間不(bu)允許炒股����,不(bu)允許P2P下載����,不(bu)允許外發(fā)敏感(gan)文件(jian)等����; 支(zhi)持主流移動(dong)平臺,可(ke)識別IM����、社交、Mail����、新(xin)聞、炒(chao)股等應用����。
無線控制器(qi)內置千萬級別(bie)的URL分類庫,能(neng)夠對URL進行識別(bie)����,包含新聞、購(gou)物����、金融(rong)����、教育等18個種類(lei)的URL地(di)址����; 準確識(shi)別目前主流網(wǎng)(wang)站,識別率(lv)高達99.9%����,有效實(shi)現(xiàn)網(wǎng)頁過濾(lv)。例如(ru)禁止登陸(lu)非法網(wǎng)站
通過基于時(shi)間段(duan)的訪問控(kong)制策略����,實現(xiàn)不(bu)同的(de)時間段不(bu)同的訪問權(quan)限����,比如上班時(shi)間,禁(jin)止訪問網(wǎng)上(shang)銀行����、游戲(xi)、論壇貼(tie)吧等(deng)與工作無關(guan)的應用����,下班時(shi)間則不受限(xian)制����。
辦公區(qū)域內,不(bu)同辦(ban)公部門總(zong)會有各自(zi)專屬的無線網(wǎng)(wang)絡����,并且不(bu)希望部門之外(wai)的成員使用這(zhe)個網(wǎng)絡����。無線(xian)網(wǎng)絡(luo)控制(zhi)器可(ke)以根據(jù)用戶的(de)屬性,限制禁止(zhi)非本部門(men)的用戶接(jie)入����。
典型無線網(wǎng)(wang)絡攻擊防護:
對典型的(de)危險攻擊行為(wei)進行檢(jian)測����,當超(chao)過設定的閾值(zhi)后自動將攻(gong)擊者加入到(dao)黑名單中,并凍(dong)結一定時間����,即(ji)時發(fā)現(xiàn)網(wǎng)絡攻(gong)擊并進行防(fang)御����。
檢測的攻擊(ji)包括:DDOS防御(yu)����、ARP掃描(miao)、IP掃描����、端口掃描(miao)防御,禁止客戶(hu)端私(si)設IP以及(ji)ARP����、網(wǎng)關(guan)欺騙防御、DHCP請(qing)求泛(fan)洪防御(yu)����。
無線射頻(pin)定時關閉(bi)開啟:
通過(guo)射頻關(guan)閉控制策略,可(ke)以指定某(mou)SSID網(wǎng)絡����,定(ding)時自動關(guan)閉和開啟無線(xian)網(wǎng)絡的(de)射頻信號(hao),晚上下(xia)班后自動(dong)關閉無線射頻(pin)信號����。
一方面(mian)可以(yi)節(jié)能(neng)減排����、節(jié)(jie)省電費支出(chu)����;另一方面又(you)能防止非(fei)法用戶(hu)利用深夜(ye)時間入侵(qin)無線網(wǎng)(wang)絡����,做(zuo)一些非法的操(cao)作。
有線無(wu)線一體化(hua)管理:
NAC的有線無線一(yi)體化(hua)����,支持(chi)對有線(xian)用戶的接入認(ren)證、訪問控(kong)制����、流量管理、上(shang)網(wǎng)行為審計等(deng)����,
并提供(gong)統(tǒng)一中(zhong)文Web管(guan)理界(jie)面,一站式服務(wu)����,極大的降低(di)網(wǎng)絡建設成(cheng)本����。
網(wǎng)絡分權(quan)分級(ji)管理:
分配不(bu)同的管理員分(fen)別管理各(ge)自權限區(qū)域的(de)無線AP����,可以精細(xi)到對(dui)某AP分組有管理(li)權限,該管理員(yuan)可以在該AP分組(zu)上建立無線網(wǎng)(wang)絡����,能夠激活(huo)、刪除接入點(dian)����,能夠對AP的配置(zhi)進行編(bian)輯修改。
可指定管理(li)員針對每個(ge)頁面的編輯或(huo)可查看權限(xian)����,控制粒(li)度到控制(zhi)器上(shang)的各個頁面(mian),對某(mou)個頁(ye)面沒(mei)有讀權限則登(deng)錄時不顯示(shi)����。
移動APP隨(sui)時隨地運維(wei)管理:
支持跨互聯(lián)網(wǎng)(wang)運維管理
登陸APP進行維護(hu)管理:不同管(guan)理員,不同權(quan)限
查看網(wǎng)絡(luo)運行(xing)情況(kuang):在線(xian)用戶、在線AP數(shù)量(liang)����、實時流量
無線網(wǎng)(wang)絡管理維護:開(kai)啟關閉SSID、終端綁(bang)定審批����、二維碼(ma)上網(wǎng)審(shen)核
故障、審批(pi)實時通知:AP離(li)線警告(gao)����、服務器離線警(jing)告����、網(wǎng)絡(luo)攻擊告警
方案優(yōu)勢:
1、最豐富的(de)無線安全(quan)機制����,提供從安(an)全接(jie)入到(dao)安全上網(wǎng)等端(duan)到端的安全策(ce)略
2、合理管控工(gong)作人員上網(wǎng)(wang)行為����,提升工作(zuo)效率、防止帶寬(kuan)浪費����,有線無線(xian)雙重(zhong)管控
3����、為會議室����,報告(gao)廳等(deng)人員(yuan)密集區(qū)域接入(ru)網(wǎng)絡提高保證(zheng),解決有(you)線網(wǎng)(wang)口不足(zu)的問題����;
4、為企業(yè)(ye)員工的移動(dong)辦公提供支撐(cheng)����,內部員(yuan)工可(ke)通過(guo)無線網(wǎng)(wang)絡隨時安全(quan)接入內(nei)部網(wǎng)(wang)絡,實現(xiàn)(xian)辦公����;
5、內部員(yuan)工賬號及個(ge)人信息綁(bang)定����,便于安全管(guan)理;
6����、內部員工可(ke)通過自己的(de)辦公設備在(zai)企業(yè)大樓內(nei)快速移動辦(ban)公����,網(wǎng)(wang)絡接(jie)入更(geng)快速����,上網(wǎng)行(xing)為管(guan)理系(xi)統(tǒng)對(dui)員工(gong)上網(wǎng)行(xing)為進行審計(ji)與管控
7、來訪客戶接入(ru)企業(yè)網(wǎng)絡(luo)����,可根據(jù)不同需(xu)求,分配不同的(de)上網(wǎng)權限����,保證(zheng)了接入的安全(quan)性同時(shi)提升群眾上網(wǎng)(wang)的體(ti)驗
8、豐富(fu)的認證(zheng)機制����,滿足(zu)組織對(dui)無線網(wǎng)(wang)絡安全����、快速(su)接入(ru)
9、投資成本低(di)����,通過(guo)部署(shu)無線控(kong)制器替換原(yuan)有網(wǎng)絡(luo)的出口(kou)路由����、行(xing)為管(guan)理以及無(wu)線控(kong)制器
