大型企業(yè)在無(wu)線網(wǎng)絡(luò)(luo)建設(shè)期間(jian)要充(chong)分考(kao)慮訪客(ke)（領(lǐng)導(dǎo)、客戶、合(he)作伙伴(ban)）接入網(wǎng)絡(luò)的(de)需求。首(shou)先從(cong)安全(quan)性考慮，訪客(ke)網(wǎng)絡(luò)必須(xu)要和辦(ban)公網(wǎng)絡(luò)(luo)分開，訪(fang)客網(wǎng)絡(luò)(luo)單獨(dú)提供給(gei)訪客使用。從用(yong)戶體驗(yàn)(yan)角度考慮，訪(fang)客接入網(wǎng)(wang)絡(luò)的驗(yàn)(yan)證方(fang)式一定要做(zuo)到簡(jian)單易行，繁(fan)瑣的驗(yàn)證(zheng)方式會(huì)降低訪(fang)客對企(qi)業(yè)的整體印象(xiang)。同時(shí)對于(yu)訪客網(wǎng)絡(luò)(luo)，企業(yè)還需要(yao)建立完(wan)善的(de)網(wǎng)絡(luò)安(an)全管理(li)機(jī)制(zhi)，避免由于(yu)訪客的網(wǎng)絡(luò)(luo)不良訪問(wen)給企業(yè)帶來(lai)的法(fa)律風(fēng)險(xiǎn)(xian)。對于企業(yè)(ye)員工(gong)移動(dòng)辦公(gong)上網(wǎng)，更需(xu)要做到可(ke)管控，上網(wǎng)行(xing)為做到可(ke)追溯(su)，企業(yè)有效(xiao)的帶寬資(zi)源得到(dao)合理的(de)分配和保證(zheng)，才能使(shi)企業(yè)的業(yè)務(wù)系(xi)統(tǒng)正常且穩(wěn)定(ding)高效地運(yùn)(yun)行，同時(shí)(shi)保證企業(yè)(ye)信息安全，避免(mian)機(jī)密(mi)信息泄露(lu)。

存在的問題（用(yong)戶需求）

1、接入不安全：缺(que)乏安全(quan)可靠的認(rèn)證(zheng)機(jī)制，企業(yè)(ye)無線網(wǎng)絡(luò)接入(ru)不安全

2、上網(wǎng)(wang)權(quán)限(xian)混亂：缺(que)乏有效的(de)控制策(ce)略，員工上(shang)網(wǎng)權(quán)限(xian)不分明

3、數(shù)據(jù)(ju)信息安(an)全：缺乏有效(xiao)的數(shù)據(jù)(ju)加密機(jī)制，企業(yè)(ye)數(shù)據(jù)被黑客(ke)竊取篡改

4、無線信(xin)號(hào)差(cha)：AP性能不(bu)佳，上網(wǎng)(wang)總掉線，點(diǎn)位規(guī)(gui)劃不合理，信(xin)號(hào)盲區(qū)(qu)多

5、漫游效(xiao)果差：不能(neng)實(shí)現(xiàn)二三層(ceng)漫游，移(yi)動(dòng)辦公時(shí)，業(yè)務(wù)(wu)中斷

解決(jue)方案：

結(jié)合用戶(hu)無線網(wǎng)絡(luò)需求(qiu)情況，結(jié)(jie)合產(chǎn)品自身(shen)技術(shù)特(te)點(diǎn)，為(wei)了滿足用(yong)戶構(gòu)建一(yi)個(gè)高速、穩(wěn)定、安(an)全、可靠、易于(yu)管理的無(wu)線接入網(wǎng)(wang)絡(luò)的需求，本設(shè)(she)計(jì)方(fang)案按(an)照AP+AC的(de)結(jié)構(gòu)化無(wu)線網(wǎng)絡(luò)解決(jue)方案進(jìn)行(xing)設(shè)計(jì)。具(ju)體設(shè)計(jì)為在總(zong)部設(shè)置總(zong)部AC,在大(da)型分支機(jī)構(gòu)(gou)設(shè)置(zhi)分支AC與分支(zhi)AP，中型分支(zhi)機(jī)構(gòu)設(shè)計(jì)(ji)二級(jí)，三(san)級(jí)交換機(jī)(ji)，分支AP。小微型(xing)分支機(jī)構(gòu)直(zhi)接設(shè)(she)置分支(zhi)AP。總部AC可(ke)以對大型分支(zhi)機(jī)構(gòu)(gou)的AC進(jìn)行管理(li)，當(dāng)網(wǎng)點(diǎn)控(kong)制器采用集中(zhong)管理的模式進(jìn)(jin)入到(dao)中心端控(kong)制器時(shí)，會(huì)自(zi)動(dòng)下載(zai)中心端的(de)公共配置，比(bi)如IP組、MAC地址(zhi)庫、時(shí)間(jian)計(jì)劃、角色授權(quán)(quan)、認(rèn)證頁面等 ?？?zong)部AC也可(ke)以直(zhi)接管理中(zhong)小型分支(zhi)機(jī)構(gòu)的分支AP，實(shí)(shi)現(xiàn)統(tǒng)一(yi)管理。

方案設(shè)計(jì)(ji)：

安全無線整體(ti)解決方案：

接入前&接(jie)入時(shí)進(jìn)行身份(fen)認(rèn)證、安全無線(xian)網(wǎng)卡、賬(zhang)號(hào)綁定（硬(ying)件碼(ma)+手機(jī)(ji)號(hào)），非法熱(re)點(diǎn)檢(jian)測及防(fang)御、網(wǎng)絡(luò)攻(gong)擊防護(hù)、射(she)頻定時(shí)(shi)關(guān)閉及安全(quan)加固。

接入后(hou)&上網(wǎng)時(shí)進(jìn)行(xing)訪問(wen)權(quán)限控(kong)制。

上網(wǎng)后進(jìn)行(xing)上網(wǎng)(wang)行為記錄。

上網(wǎng)用戶身(shen)份實(shí)名認(rèn)證(zheng)：

無線辦公(gong)網(wǎng)采用802.1X/Portal/WAPI認(rèn)證(zheng)，外置AAA和RADIUS+AD用于存(cun)儲(chǔ)用戶賬(zhang)號(hào)密(mi)碼。

每個(gè)賬(zhang)號(hào)對應(yīng)一個(gè)員(yuan)工，包(bao)括姓名、部門(men)、性別(bie)以及身份(fen)證、手(shou)機(jī)號(hào)等個(gè)人信(xin)息，保證(zheng)每個(gè)上(shang)網(wǎng)的賬號(hào)都是(shi)可尋的，便(bian)于安全管(guan)理。

用戶輸入賬(zhang)號(hào)密碼上(shang)網(wǎng)驗(yàn)證時(shí)(shi)均采用加(jia)密傳輸，防止黑(hei)客空中攔截(jie)，竊取賬號(hào)密(mi)碼等(deng)數(shù)據(jù)。

上網(wǎng)(wang)賬號(hào)自動(dòng)綁定(ding)終端：

自動(dòng)將賬號(hào)與(yu)終端的硬件特(te)征碼(ma)進(jìn)行(xing)綁定，防止賬(zhang)號(hào)被他(ta)人使用或者被(bei)盜用。

每臺(tái)設(shè)(she)備的硬件特征(zheng)碼是(shi)唯一的，無法(fa)通過軟件(jian)修改。即使通過(guo)軟件修改了(le)仍然可(ke)以識(shí)別原始的(de)。

每個(gè)賬號(hào)最多(duo)可以綁定(ding)5臺(tái)終端，超(chao)過1臺(tái)時(shí)(shi)需要(yao)管理(li)員審核。

上網(wǎng)賬(zhang)號(hào)二次綁定手(shou)機(jī)號(hào)(hao)碼：

賬號(hào)(hao)首次登(deng)陸時(shí)需(xu)要綁定手機(jī)(ji)號(hào)并(bing)輸入短信驗(yàn)(yan)證碼，當(dāng)用戶賬(zhang)號(hào)在新(xin)終端登陸時(shí)（換(huan)終端/被他用/被(bei)盜），不僅需要輸(shu)入密碼(ma)，還需要輸(shu)入短(duan)信驗(yàn)證碼，解決(jue)員工賬號(hào)(hao)認(rèn)證的安全(quan)問題

綁定(ding)手機(jī)號(hào)碼(ma)的用戶，可以(yi)自助重置密碼(ma)和修改密碼，無(wu)需通過IT管(guan)理員。

用戶密(mi)碼管理及(ji)自助修改：

無需通過(guo)管理員(yuan)即可修改密(mi)碼，提高效(xiao)率及減輕(qing)管理員工(gong)作壓力(li)。

通過(guo)口袋助理、釘釘(ding)、企業(yè)號(hào)等(deng)手機(jī)MOA類APP軟件(jian)進(jìn)行無線密(mi)碼修改。

若賬號(hào)綁定(ding)了手機(jī)(ji)號(hào)碼，可(ke)通過手機(jī)(ji)驗(yàn)證碼(ma)自助修(xiu)改。

上網(wǎng)終端合法(fa)效驗(yàn)：

采用(yong)安全無線(xian)網(wǎng)卡接入無(wu)線網(wǎng)絡(luò)(luo)，終端與AP熱(re)點(diǎn)的雙向驗(yàn)證(zheng)，提高安(an)全性。

可以(yi)將無線網(wǎng)絡(luò)(luo)設(shè)置為(wei)只有安裝了安(an)全無線網(wǎng)卡的(de)終端才能接入(ru)無線網(wǎng)絡(luò)(luo)。

支持設(shè)置安全(quan)無線網(wǎng)卡只(zhi)能連指(zhi)定SSID無線網(wǎng)(wang)絡(luò)，無法(fa)連接(jie)非授(shou)權(quán)SSID。

網(wǎng)卡與AP數(shù)據(jù)傳(chuan)輸時(shí)(shi)自動(dòng)進(jìn)行(xing)數(shù)據(jù)加(jia)密，保(bao)證無線的(de)空口安全(quan)。

無線熱點(diǎn)掃(sao)描及非(fei)法熱點(diǎn)抑(yi)制：

背景：黑客(ke)在附近(jin)搭建一個(gè)一(yi)模一樣(yang)或者類似的WIFI名(ming)稱，誘(you)使用戶連(lian)到虛假(jia)釣魚WIFI上(shang)，黑客利用(yong)分析軟件從(cong)用戶上網(wǎng)(wang)產(chǎn)生的數(shù)據(jù)包(bao)中分析提取(qu)用戶隱(yin)私信息。

我們通過WIPS無線(xian)入侵防御系統(tǒng)(tong)實(shí)時(shí)檢測(ce)周圍無(wu)線信號(hào)(hao)，當(dāng)檢測出(chu)來的信(xin)號(hào)BSSID、且AP源(yuan)MAC地址(zhi)不在授權(quán)列(lie)表中時(shí)，我(wo)們向(xiang)對應(yīng)的AP和(he)終端發(fā)送解除(chu)關(guān)聯(lián)幀，讓終端(duan)無法連上釣(diao)魚WIFI。7×24小時(shí)不間(jian)斷監(jiān)測網(wǎng)絡(luò)。

上網(wǎng)(wang)行為嚴(yán)格控制(zhi)：

強(qiáng)大的管理：通(tong)過應(yīng)用(yong)識(shí)別技(ji)術(shù)，可以根(gen)據(jù)應(yīng)用類型(xing)或者(zhe)具體(ti)某一種應(yīng)用進(jìn)(jin)行封(feng)堵，包括視頻(pin)、論壇、游戲(xi)、金融(rong)、下載等2400多種(zhong)網(wǎng)絡(luò)應(yīng)用(yong)。

通過應(yīng)用(yong)識(shí)別技術(shù)(shu)，可以(yi)根據(jù)應(yīng)(ying)用類型或者具(ju)體某(mou)一種應(yīng)(ying)用進(jìn)行封堵(du)，比如(ru)上班時(shí)間(jian)不允許(xu)炒股(gu)，不允許(xu)P2P下載，不(bu)允許外發(fā)(fa)敏感文件等(deng)； 支持主流移(yi)動(dòng)平臺(tái)，可(ke)識(shí)別IM、社交、Mail、新聞(wen)、炒股等(deng)應(yīng)用。

無線控(kong)制器內(nèi)置千萬(wan)級(jí)別的URL分類庫(ku)，能夠?qū)?dui)URL進(jìn)行識(shí)別(bie)，包含新聞(wen)、購物(wu)、金融、教(jiao)育等18個(gè)種類的(de)URL地址； 準(zhǔn)確識(shí)(shi)別目前主流(liu)網(wǎng)站，識(shí)別率高(gao)達(dá)99.9%，有效實(shí)現(xiàn)(xian)網(wǎng)頁(ye)過濾。例(li)如禁止(zhi)登陸非法(fa)網(wǎng)站

通過(guo)基于時(shí)間(jian)段的(de)訪問控(kong)制策略，實(shí)現(xiàn)(xian)不同(tong)的時(shí)間段(duan)不同的訪(fang)問權(quán)限(xian)，比如上班(ban)時(shí)間，禁止訪(fang)問網(wǎng)(wang)上銀行(xing)、游戲、論(lun)壇貼(tie)吧等與工作(zuo)無關(guān)(guan)的應(yīng)(ying)用，下(xia)班時(shí)間(jian)則不受限制(zhi)。

辦公區(qū)域(yu)內(nèi)，不同辦(ban)公部(bu)門總會(huì)有(you)各自專(zhuan)屬的(de)無線網(wǎng)絡(luò)，并(bing)且不(bu)希望部門之(zhi)外的成員使(shi)用這個(gè)網(wǎng)(wang)絡(luò)。無線網(wǎng)(wang)絡(luò)控制器可以(yi)根據(jù)用戶(hu)的屬性，限制禁(jin)止非本部(bu)門的用戶接入(ru)。

典型無線(xian)網(wǎng)絡(luò)攻(gong)擊防護(hù)(hu)：

對典型的(de)危險(xiǎn)攻(gong)擊行(xing)為進(jìn)行(xing)檢測，當(dāng)(dang)超過設(shè)定的閾(yu)值后(hou)自動(dòng)(dong)將攻擊者(zhe)加入到黑名(ming)單中，并(bing)凍結(jié)一(yi)定時(shí)間，即(ji)時(shí)發(fā)現(xiàn)網(wǎng)(wang)絡(luò)攻擊(ji)并進(jìn)行防(fang)御。

檢測的攻擊包(bao)括：DDOS防御、ARP掃(sao)描、IP掃描、端口(kou)掃描防御，禁止(zhi)客戶端私(si)設(shè)IP以及ARP、網(wǎng)關(guān)欺(qi)騙防(fang)御、DHCP請(qing)求泛洪防御(yu)。

無線射(she)頻定時(shí)關(guān)閉開(kai)啟：

通過(guo)射頻關(guān)(guan)閉控(kong)制策(ce)略，可以指(zhi)定某SSID網(wǎng)絡(luò)，定時(shí)(shi)自動(dòng)關(guān)閉(bi)和開啟無線網(wǎng)(wang)絡(luò)的射頻信號(hào)(hao)，晚上下班(ban)后自動(dòng)關(guān)(guan)閉無線射頻(pin)信號(hào)。

一方面可(ke)以節(jié)能減排(pai)、節(jié)省電(dian)費(fèi)支出；另一(yi)方面又(you)能防止(zhi)非法(fa)用戶(hu)利用深夜時(shí)(shi)間入侵(qin)無線網(wǎng)絡(luò)，做(zuo)一些非法的操(cao)作。

有線無線一體(ti)化管理：

NAC的有線無線(xian)一體化，支(zhi)持對有線(xian)用戶(hu)的接入認(rèn)證(zheng)、訪問控制、流(liu)量管理、上網(wǎng)(wang)行為審計(jì)(ji)等，

并提(ti)供統(tǒng)(tong)一中文Web管理(li)界面(mian)，一站式服(fu)務(wù)，極大(da)的降低網(wǎng)(wang)絡(luò)建設(shè)(she)成本(ben)。

網(wǎng)絡(luò)分權(quán)分(fen)級(jí)管理：

分配不(bu)同的管理(li)員分別管(guan)理各自權(quán)限(xian)區(qū)域的無(wu)線AP，可以(yi)精細(xì)到對某(mou)AP分組有(you)管理權(quán)限，該管(guan)理員可以在該(gai)AP分組上建(jian)立無線網(wǎng)(wang)絡(luò)，能夠激活、刪(shan)除接(jie)入點(diǎn)，能(neng)夠?qū)P的配(pei)置進(jìn)(jin)行編輯(ji)修改。

可指(zhi)定管理員針(zhen)對每個(gè)頁(ye)面的編(bian)輯或可查看(kan)權(quán)限，控制粒度(du)到控制器上(shang)的各個(gè)頁面，對(dui)某個(gè)(ge)頁面沒有讀(du)權(quán)限則登錄(lu)時(shí)不顯示。

移動(dòng)APP隨時(shí)隨地(di)運(yùn)維管理：

支持(chi)跨互聯(lián)網(wǎng)運(yùn)維(wei)管理

登陸(lu)APP進(jìn)行維護(hù)管理(li)：不同管理員，不(bu)同權(quán)(quan)限

查看網(wǎng)(wang)絡(luò)運(yùn)行情況(kuang)：在線用戶、在(zai)線AP數(shù)量、實(shí)時(shí)流(liu)量

無線網(wǎng)(wang)絡(luò)管理維護(hù)：開(kai)啟關(guān)(guan)閉SSID、終端綁定(ding)審批、二(er)維碼上(shang)網(wǎng)審核

故障、審(shen)批實(shí)(shi)時(shí)通知：AP離(li)線警告、服務(wù)器(qi)離線警告(gao)、網(wǎng)絡(luò)(luo)攻擊(ji)告警

方案(an)優(yōu)勢：

1、最豐富(fu)的無線安全(quan)機(jī)制，提供從安(an)全接入到(dao)安全上網(wǎng)等(deng)端到端(duan)的安全(quan)策略

2、合理管控(kong)工作人員上網(wǎng)(wang)行為，提(ti)升工(gong)作效率、防止(zhi)帶寬浪費(fèi)，有線(xian)無線雙重管(guan)控

3、為會(huì)議室，報(bào)(bao)告廳等人員(yuan)密集區(qū)域(yu)接入網(wǎng)絡(luò)(luo)提高保證，解決(jue)有線網(wǎng)口不(bu)足的問題；

4、為企業(yè)(ye)員工的移(yi)動(dòng)辦(ban)公提供支撐，內(nèi)(nei)部員工可通過(guo)無線網(wǎng)絡(luò)隨(sui)時(shí)安全接(jie)入內(nèi)部網(wǎng)絡(luò)，實(shí)(shi)現(xiàn)辦公；

5、內(nèi)部員工(gong)賬號(hào)及個(gè)人(ren)信息綁定，便于(yu)安全管理(li)；

6、內(nèi)部員工(gong)可通過(guo)自己的辦公(gong)設(shè)備在企(qi)業(yè)大樓內(nèi)快速(su)移動(dòng)辦公，網(wǎng)(wang)絡(luò)接(jie)入更快(kuai)速，上網(wǎng)行為(wei)管理系(xi)統(tǒng)對員工(gong)上網(wǎng)行為(wei)進(jìn)行審計(jì)(ji)與管控

7、來訪客戶接入(ru)企業(yè)(ye)網(wǎng)絡(luò)(luo)，可根據(jù)不同(tong)需求，分配不同(tong)的上網(wǎng)(wang)權(quán)限，保(bao)證了接(jie)入的安全(quan)性同(tong)時(shí)提升群眾(zhong)上網(wǎng)的(de)體驗(yàn)

8、豐富的認(rèn)證(zheng)機(jī)制，滿(man)足組織(zhi)對無線網(wǎng)絡(luò)(luo)安全、快速接入(ru)

9、投資成本低，通(tong)過部署無線控(kong)制器替換(huan)原有網(wǎng)絡(luò)的(de)出口路由、行(xing)為管理以及無(wu)線控制器(qi)