大型(xing)企業(yè)(ye)在無(wu)線網(wǎng)(wang)絡(luò)建設(shè)期(qi)間要充分(fen)考慮(lv)訪客（領(lǐng)導(dǎo)、客戶(hu)、合作伙伴）接入(ru)網(wǎng)絡(luò)的(de)需求。首先(xian)從安全性(xing)考慮，訪(fang)客網(wǎng)絡(luò)(luo)必須要和辦(ban)公網(wǎng)絡(luò)(luo)分開，訪客網(wǎng)(wang)絡(luò)單獨提供(gong)給訪(fang)客使用。從用戶(hu)體驗(yan)角度考慮(lv)，訪客接入(ru)網(wǎng)絡(luò)的驗(yan)證方(fang)式一(yi)定要做(zuo)到簡單易(yi)行，繁瑣的(de)驗證方式(shi)會降(jiang)低訪客對(dui)企業(yè)的整體(ti)印象。同時(shi)對于(yu)訪客網(wǎng)絡(luò)，企(qi)業(yè)還需(xu)要建(jian)立完善的網(wǎng)(wang)絡(luò)安(an)全管理(li)機制，避免由(you)于訪客的(de)網(wǎng)絡(luò)不良訪(fang)問給(gei)企業(yè)(ye)帶來的法(fa)律風(fēng)險(xian)。對于企業(yè)員(yuan)工移(yi)動辦(ban)公上(shang)網(wǎng)，更需要做(zuo)到可(ke)管控，上(shang)網(wǎng)行為做到(dao)可追(zhui)溯，企業(yè)有效的(de)帶寬資源得(de)到合(he)理的分配和(he)保證，才能使(shi)企業(yè)的(de)業(yè)務(wù)系(xi)統(tǒng)正常且穩(wěn)(wen)定高(gao)效地(di)運行，同(tong)時保證企(qi)業(yè)信息(xi)安全，避免機(ji)密信息(xi)泄露(lu)。

存在的問題(ti)（用戶需(xu)求）

1、接入不(bu)安全：缺(que)乏安全可靠的(de)認證機制，企業(yè)(ye)無線網(wǎng)絡(luò)(luo)接入不安全

2、上網(wǎng)(wang)權(quán)限(xian)混亂(luan)：缺乏有效(xiao)的控制(zhi)策略，員(yuan)工上網(wǎng)(wang)權(quán)限(xian)不分明

3、數(shù)據(jù)(ju)信息安全：缺(que)乏有(you)效的(de)數(shù)據(jù)(ju)加密(mi)機制(zhi)，企業(yè)數(shù)據(jù)被(bei)黑客竊取篡改(gai)

4、無線信號差(cha)：AP性能(neng)不佳，上(shang)網(wǎng)總掉(diao)線，點位(wei)規(guī)劃不合理，信(xin)號盲區(qū)多(duo)

5、漫游效果(guo)差：不(bu)能實現(xiàn)二(er)三層漫游(you)，移動辦公時(shi)，業(yè)務(wù)中斷(duan)

解決方案：

結(jié)合用戶(hu)無線網(wǎng)(wang)絡(luò)需求情(qing)況，結(jié)合產(chǎn)品(pin)自身技術(shù)(shu)特點，為(wei)了滿足用戶(hu)構(gòu)建(jian)一個高速(su)、穩(wěn)定、安全、可靠(kao)、易于管理(li)的無線接入網(wǎng)(wang)絡(luò)的需求(qiu)，本設(shè)計方案(an)按照(zhao)AP+AC的結(jié)構(gòu)化(hua)無線網(wǎng)(wang)絡(luò)解決方(fang)案進行設(shè)計。具(ju)體設(shè)計(ji)為在總部設(shè)置(zhi)總部(bu)AC,在大型(xing)分支機構(gòu)(gou)設(shè)置分支(zhi)AC與分支AP，中(zhong)型分支(zhi)機構(gòu)設(shè)(she)計二(er)級，三級交換機(ji)，分支AP。小微(wei)型分(fen)支機構(gòu)直接設(shè)(she)置分支(zhi)AP?？偛緼C可(ke)以對大(da)型分(fen)支機(ji)構(gòu)的AC進行管(guan)理，當(dāng)(dang)網(wǎng)點(dian)控制(zhi)器采用集中管(guan)理的模式(shi)進入到(dao)中心端控制器(qi)時，會自動下(xia)載中心端的公(gong)共配置，比如IP組(zu)、MAC地址庫(ku)、時間計劃(hua)、角色(se)授權(quán)、認證頁面(mian)等 ?？偛?bu)AC也可以直接管(guan)理中小型分支(zhi)機構(gòu)的分(fen)支AP，實現(xiàn)統(tǒng)一(yi)管理。

方案設(shè)計：

安全無(wu)線整體解決(jue)方案：

接入前&接入時(shi)進行身份認證(zheng)、安全(quan)無線網(wǎng)(wang)卡、賬號綁定（硬(ying)件碼+手機號），非(fei)法熱點檢測及(ji)防御、網(wǎng)絡(luò)攻(gong)擊防護(hu)、射頻(pin)定時關(guān)閉及(ji)安全加固。

接入后&上(shang)網(wǎng)時進行訪問(wen)權(quán)限控制。

上網(wǎng)后(hou)進行上網(wǎng)(wang)行為記(ji)錄。

上網(wǎng)用戶身份(fen)實名認證：

無線辦公(gong)網(wǎng)采用802.1X/Portal/WAPI認證(zheng)，外置AAA和(he)RADIUS+AD用于存儲(chu)用戶賬號密(mi)碼。

每個賬號(hao)對應(yīng)(ying)一個員(yuan)工，包括姓(xing)名、部門(men)、性別以及身份(fen)證、手機號(hao)等個人信息(xi)，保證每(mei)個上網(wǎng)的賬號(hao)都是(shi)可尋的，便(bian)于安(an)全管理。

用戶輸入(ru)賬號(hao)密碼上網(wǎng)驗(yan)證時均采用(yong)加密傳(chuan)輸，防(fang)止黑(hei)客空(kong)中攔截，竊取(qu)賬號密碼等(deng)數(shù)據(jù)。

上網(wǎng)賬號(hao)自動綁(bang)定終端(duan)：

自動將賬(zhang)號與終(zhong)端的(de)硬件特征碼進(jin)行綁定，防(fang)止賬號(hao)被他人使用或(huo)者被盜用。

每臺設(shè)(she)備的(de)硬件特征碼是(shi)唯一的(de)，無法通過軟(ruan)件修改(gai)。即使通(tong)過軟(ruan)件修改了仍然(ran)可以識別原(yuan)始的。

每個賬(zhang)號最多可以(yi)綁定5臺終端(duan)，超過1臺時需(xu)要管(guan)理員審核(he)。

上網(wǎng)(wang)賬號二(er)次綁(bang)定手(shou)機號碼(ma)：

賬號首(shou)次登(deng)陸時需要綁定(ding)手機號(hao)并輸入(ru)短信驗(yan)證碼，當(dāng)用戶(hu)賬號在新終端(duan)登陸(lu)時（換終端/被他(ta)用/被盜），不僅需(xu)要輸入(ru)密碼，還(hai)需要輸入短(duan)信驗證碼，解決(jue)員工賬(zhang)號認證的(de)安全問題(ti)

綁定(ding)手機號碼的用(yong)戶，可(ke)以自助重置密(mi)碼和修改密(mi)碼，無需通過IT管(guan)理員。

用戶密碼管理(li)及自助修改：

無需通過管理(li)員即可(ke)修改密碼(ma)，提高效(xiao)率及減(jian)輕管理員(yuan)工作壓力。

通過口(kou)袋助理、釘(ding)釘、企業(yè)號等手(shou)機MOA類APP軟件進(jin)行無線(xian)密碼修改(gai)。

若賬(zhang)號綁定了手機(ji)號碼，可通過(guo)手機驗(yan)證碼(ma)自助修改。

上網(wǎng)終端合法(fa)效驗：

采用(yong)安全(quan)無線(xian)網(wǎng)卡接(jie)入無線(xian)網(wǎng)絡(luò)，終端(duan)與AP熱(re)點的雙向驗證(zheng)，提高安全性(xing)。

可以(yi)將無線網(wǎng)絡(luò)設(shè)(she)置為只(zhi)有安裝了(le)安全無線(xian)網(wǎng)卡的終(zhong)端才(cai)能接入無線網(wǎng)(wang)絡(luò)。

支持(chi)設(shè)置安全(quan)無線網(wǎng)卡只能(neng)連指定SSID無線網(wǎng)(wang)絡(luò)，無法連(lian)接非授權(quán)SSID。

網(wǎng)卡(ka)與AP數(shù)據(jù)傳輸時(shi)自動(dong)進行數(shù)據(jù)加密(mi)，保證無線的空(kong)口安全。

無線(xian)熱點掃(sao)描及(ji)非法(fa)熱點(dian)抑制：

背景：黑客在(zai)附近搭建一(yi)個一模一樣或(huo)者類似的WIFI名稱(cheng)，誘使用(yong)戶連到虛假釣(diao)魚WIFI上，黑客利(li)用分析軟(ruan)件從用戶上網(wǎng)(wang)產(chǎn)生的數(shù)據(jù)(ju)包中分析提取(qu)用戶隱私信息(xi)。

我們通過WIPS無線(xian)入侵防(fang)御系(xi)統(tǒng)實時(shi)檢測(ce)周圍(wei)無線信(xin)號，當(dāng)檢測出來(lai)的信號(hao)BSSID、且AP源MAC地址不(bu)在授權(quán)列表(biao)中時，我(wo)們向?qū)?yīng)(ying)的AP和(he)終端(duan)發(fā)送解(jie)除關(guān)聯(lián)幀，讓(rang)終端無法連上(shang)釣魚WIFI。7×24小時(shi)不間斷(duan)監(jiān)測網(wǎng)絡(luò)。

上網(wǎng)行為嚴(yan)格控制：

強大的管理：通(tong)過應(yīng)用(yong)識別(bie)技術(shù)，可以(yi)根據(jù)應(yīng)用類(lei)型或者具體(ti)某一種應(yīng)用(yong)進行封堵(du)，包括視頻(pin)、論壇、游戲、金(jin)融、下載(zai)等2400多種網(wǎng)絡(luò)應(yīng)(ying)用。

通過應(yīng)(ying)用識別技術(shù)(shu)，可以根(gen)據(jù)應(yīng)用類(lei)型或者具體(ti)某一(yi)種應(yīng)用進行(xing)封堵，比(bi)如上班(ban)時間不允(yun)許炒(chao)股，不允許P2P下(xia)載，不允許外發(fā)(fa)敏感(gan)文件等(deng)； 支持主流移動(dong)平臺，可識別IM、社(she)交、Mail、新聞、炒股(gu)等應(yīng)用。

無線控制器(qi)內(nèi)置(zhi)千萬(wan)級別的URL分(fen)類庫，能夠?qū)RL進(jin)行識別(bie)，包含(han)新聞、購物(wu)、金融、教育等18個(ge)種類的URL地(di)址； 準確識別(bie)目前主(zhu)流網(wǎng)站，識(shi)別率高達99.9%，有效(xiao)實現(xiàn)(xian)網(wǎng)頁過濾。例(li)如禁(jin)止登陸非(fei)法網(wǎng)站

通過基于時間(jian)段的訪問(wen)控制策略(lve)，實現(xiàn)(xian)不同的(de)時間段不同(tong)的訪問權(quán)(quan)限，比如(ru)上班時(shi)間，禁止(zhi)訪問網(wǎng)上銀(yin)行、游戲、論壇(tan)貼吧(ba)等與工作無(wu)關(guān)的應(yīng)用，下(xia)班時間則不(bu)受限(xian)制。

辦公區(qū)(qu)域內(nèi)(nei)，不同辦公(gong)部門總(zong)會有各自(zi)專屬的無(wu)線網(wǎng)絡(luò)，并且不(bu)希望部(bu)門之外的成員(yuan)使用這(zhe)個網(wǎng)(wang)絡(luò)。無線網(wǎng)絡(luò)(luo)控制器可以(yi)根據(jù)用戶的(de)屬性，限(xian)制禁止(zhi)非本部門(men)的用戶(hu)接入。

典型(xing)無線網(wǎng)絡(luò)攻(gong)擊防護：

對典(dian)型的(de)危險(xian)攻擊行為進(jin)行檢測(ce)，當(dāng)超過設(shè)定(ding)的閾值(zhi)后自動(dong)將攻(gong)擊者(zhe)加入到黑名單(dan)中，并凍結(jié)一(yi)定時間(jian)，即時發(fā)現(xiàn)網(wǎng)(wang)絡(luò)攻擊并進(jin)行防(fang)御。

檢測的攻(gong)擊包括：DDOS防御(yu)、ARP掃描、IP掃描、端口(kou)掃描防御(yu)，禁止客戶端私(si)設(shè)IP以及ARP、網(wǎng)(wang)關(guān)欺(qi)騙防御、DHCP請求泛(fan)洪防御(yu)。

無線射頻(pin)定時關(guān)閉開(kai)啟：

通過(guo)射頻關(guān)閉控(kong)制策略(lve)，可以指(zhi)定某SSID網(wǎng)絡(luò)，定時(shi)自動關(guān)閉(bi)和開啟無(wu)線網(wǎng)(wang)絡(luò)的(de)射頻信號，晚(wan)上下班后(hou)自動(dong)關(guān)閉無線(xian)射頻信號。

一方面可以節(jié)(jie)能減排、節(jié)省(sheng)電費支(zhi)出；另一(yi)方面又(you)能防止非法(fa)用戶利用深夜(ye)時間入侵無(wu)線網(wǎng)絡(luò)，做一(yi)些非法的操作(zuo)。

有線無線(xian)一體化管理：

NAC的有線無線(xian)一體(ti)化，支持對(dui)有線用(yong)戶的接(jie)入認證、訪問(wen)控制、流量管理(li)、上網(wǎng)行(xing)為審計等，

并提供統(tǒng)(tong)一中文Web管(guan)理界面，一站式(shi)服務(wù)，極大的降(jiang)低網(wǎng)(wang)絡(luò)建(jian)設(shè)成本。

網(wǎng)絡(luò)(luo)分權(quán)分(fen)級管理(li)：

分配不(bu)同的管理(li)員分(fen)別管理各(ge)自權(quán)(quan)限區(qū)域的(de)無線(xian)AP，可以精細到對(dui)某AP分組(zu)有管理權(quán)限，該(gai)管理員可(ke)以在該AP分組(zu)上建立(li)無線(xian)網(wǎng)絡(luò)，能(neng)夠激活(huo)、刪除(chu)接入(ru)點，能夠(gou)對AP的(de)配置(zhi)進行編(bian)輯修改。

可指定管理員(yuan)針對每(mei)個頁面(mian)的編輯或可(ke)查看權(quán)限，控制(zhi)粒度(du)到控制器(qi)上的(de)各個頁(ye)面，對某個頁(ye)面沒有讀(du)權(quán)限則登錄時(shi)不顯示(shi)。

移動(dong)APP隨時隨地運維(wei)管理：

支持跨互(hu)聯(lián)網(wǎng)(wang)運維管理

登陸APP進行維護(hu)管理：不(bu)同管理(li)員，不同權(quán)限(xian)

查看網(wǎng)絡(luò)(luo)運行(xing)情況(kuang)：在線用戶、在(zai)線AP數(shù)量(liang)、實時流量(liang)

無線網(wǎng)絡(luò)管理(li)維護：開啟(qi)關(guān)閉SSID、終(zhong)端綁定審批(pi)、二維碼上網(wǎng)審(shen)核

故障、審批實時(shi)通知：AP離線警告(gao)、服務(wù)器離(li)線警告、網(wǎng)絡(luò)(luo)攻擊告警

方案(an)優(yōu)勢：

1、最豐(feng)富的無(wu)線安全機制，提(ti)供從(cong)安全接入(ru)到安全(quan)上網(wǎng)等端(duan)到端的(de)安全策略(lve)

2、合理(li)管控(kong)工作人員上(shang)網(wǎng)行為，提升工(gong)作效率、防(fang)止帶寬浪(lang)費，有線無線雙(shuang)重管控(kong)

3、為會(hui)議室，報告廳(ting)等人員密集區(qū)(qu)域接(jie)入網(wǎng)絡(luò)提高保(bao)證，解決(jue)有線網(wǎng)(wang)口不(bu)足的問題；

4、為企業(yè)員工的(de)移動辦公(gong)提供(gong)支撐，內(nèi)部(bu)員工(gong)可通過(guo)無線網(wǎng)絡(luò)隨時(shi)安全(quan)接入內(nèi)部網(wǎng)絡(luò)(luo)，實現(xiàn)辦公(gong)；

5、內(nèi)部員(yuan)工賬號及個人(ren)信息綁定(ding)，便于安(an)全管(guan)理；

6、內(nèi)部員工可通(tong)過自己的(de)辦公設(shè)備(bei)在企業(yè)大樓(lou)內(nèi)快(kuai)速移動(dong)辦公，網(wǎng)絡(luò)接入(ru)更快(kuai)速，上網(wǎng)行為(wei)管理系統(tǒng)對員(yuan)工上網(wǎng)行為進(jin)行審計(ji)與管控

7、來訪客戶接入(ru)企業(yè)網(wǎng)絡(luò)，可(ke)根據(jù)(ju)不同需求，分配(pei)不同的(de)上網(wǎng)權(quán)限，保證(zheng)了接(jie)入的安全性同(tong)時提升(sheng)群眾上(shang)網(wǎng)的體驗(yan)

8、豐富(fu)的認證機(ji)制，滿足組織對(dui)無線(xian)網(wǎng)絡(luò)(luo)安全、快速(su)接入

9、投資成本低，通(tong)過部署無線控(kong)制器替換(huan)原有網(wǎng)絡(luò)的出(chu)口路由(you)、行為(wei)管理以及無線(xian)控制器