大型企業(yè)在(zai)無線(xian)網(wǎng)絡(luò)建(jian)設(shè)期間要(yao)充分考慮訪(fang)客（領(lǐng)導(dǎo)、客(ke)戶、合作伙伴(ban)）接入網(wǎng)絡(luò)的(de)需求。首(shou)先從安全性考(kao)慮，訪(fang)客網(wǎng)絡(luò)(luo)必須要和(he)辦公(gong)網(wǎng)絡(luò)分(fen)開，訪客網(wǎng)絡(luò)單(dan)獨提供給訪客(ke)使用。從用戶體(ti)驗角度考慮(lv)，訪客(ke)接入網(wǎng)絡(luò)的驗(yan)證方式一定要(yao)做到簡單易行(xing)，繁瑣(suo)的驗證方(fang)式會降低訪(fang)客對企業(yè)(ye)的整(zheng)體印象。同時(shi)對于訪客網(wǎng)(wang)絡(luò)，企業(yè)還需要(yao)建立(li)完善的網(wǎng)(wang)絡(luò)安全管理機(ji)制，避免(mian)由于訪(fang)客的網(wǎng)絡(luò)不(bu)良訪問給企業(yè)(ye)帶來的(de)法律風(fēng)險。對(dui)于企業(yè)(ye)員工移動辦(ban)公上網(wǎng)(wang)，更需要(yao)做到可管控，上(shang)網(wǎng)行為做到可(ke)追溯，企業(yè)有效(xiao)的帶寬(kuan)資源得(de)到合理(li)的分配和(he)保證，才(cai)能使企(qi)業(yè)的業(yè)務(wù)(wu)系統(tǒng)(tong)正常(chang)且穩(wěn)定高效地(di)運行，同時(shi)保證企(qi)業(yè)信(xin)息安全，避(bi)免機密信息(xi)泄露。

存在的(de)問題(ti)（用戶需求）

1、接入不安全：缺(que)乏安(an)全可靠的(de)認(rèn)證機制(zhi)，企業(yè)無線(xian)網(wǎng)絡(luò)接入不(bu)安全(quan)

2、上網(wǎng)權(quán)(quan)限混亂(luan)：缺乏有效的(de)控制策略，員(yuan)工上網(wǎng)權(quán)限不(bu)分明

3、數(shù)據(jù)信息安全(quan)：缺乏有效(xiao)的數(shù)據(jù)加密(mi)機制，企(qi)業(yè)數(shù)據(jù)被黑(hei)客竊取篡(cuan)改

4、無線(xian)信號差：AP性能不(bu)佳，上網(wǎng)總掉(diao)線，點位規(guī)劃(hua)不合理(li)，信號盲區(qū)(qu)多

5、漫游(you)效果差：不(bu)能實(shi)現(xiàn)二三層漫(man)游，移動辦公(gong)時，業(yè)務(wù)中斷

解決方(fang)案：

結(jié)合用戶無線(xian)網(wǎng)絡(luò)需求(qiu)情況，結(jié)合產(chǎn)(chan)品自身技術(shù)(shu)特點(dian)，為了滿足(zu)用戶構(gòu)(gou)建一個高速、穩(wěn)(wen)定、安全(quan)、可靠(kao)、易于管(guan)理的(de)無線接入網(wǎng)絡(luò)(luo)的需求(qiu)，本設(shè)計方案(an)按照AP+AC的結(jié)(jie)構(gòu)化無(wu)線網(wǎng)絡(luò)解決(jue)方案(an)進行設(shè)計。具(ju)體設(shè)(she)計為在(zai)總部設(shè)(she)置總部(bu)AC,在大型分支機(ji)構(gòu)設(shè)置分(fen)支AC與分(fen)支AP，中型分(fen)支機(ji)構(gòu)設(shè)計二級(ji)，三級交換機，分(fen)支AP。小微型(xing)分支機(ji)構(gòu)直接設(shè)(she)置分(fen)支AP?？偛緼C可(ke)以對大型(xing)分支機構(gòu)(gou)的AC進行管(guan)理，當(dāng)網(wǎng)點(dian)控制器(qi)采用集中管(guan)理的模式(shi)進入到(dao)中心(xin)端控制器(qi)時，會自動下載(zai)中心端(duan)的公(gong)共配置，比(bi)如IP組、MAC地址庫(ku)、時間(jian)計劃、角色授權(quán)(quan)、認(rèn)證頁面等 ?？?zong)部AC也(ye)可以直(zhi)接管理中(zhong)小型分(fen)支機構(gòu)的分支(zhi)AP，實現(xiàn)統(tǒng)一管(guan)理。

方案設(shè)計：

安全無線整(zheng)體解決方(fang)案：

接入前&接(jie)入時進行(xing)身份認(rèn)(ren)證、安全無(wu)線網(wǎng)(wang)卡、賬號綁定（硬(ying)件碼+手機(ji)號），非法(fa)熱點檢測及(ji)防御、網(wǎng)(wang)絡(luò)攻擊防護、射(she)頻定(ding)時關(guān)閉(bi)及安全加(jia)固。

接入后&上網(wǎng)時(shi)進行(xing)訪問權(quán)(quan)限控(kong)制。

上網(wǎng)(wang)后進行上(shang)網(wǎng)行為記錄。

上網(wǎng)用(yong)戶身份實名(ming)認(rèn)證：

無線辦公網(wǎng)(wang)采用802.1X/Portal/WAPI認(rèn)證，外置(zhi)AAA和RADIUS+AD用于存(cun)儲用戶賬號(hao)密碼。

每個賬(zhang)號對(dui)應(yīng)一個員工，包(bao)括姓名(ming)、部門、性別以(yi)及身份(fen)證、手機號(hao)等個人(ren)信息，保證每個(ge)上網(wǎng)的(de)賬號(hao)都是可尋(xun)的，便于安全管(guan)理。

用戶輸入(ru)賬號密碼(ma)上網(wǎng)驗證時均(jun)采用加密傳(chuan)輸，防止(zhi)黑客空中攔截(jie)，竊取賬號密碼(ma)等數(shù)據(jù)。

上網(wǎng)賬號自(zi)動綁定(ding)終端：

自動將賬號(hao)與終端(duan)的硬件(jian)特征碼進行(xing)綁定(ding)，防止(zhi)賬號(hao)被他人(ren)使用或者被盜(dao)用。

每臺設(shè)(she)備的硬件特(te)征碼(ma)是唯(wei)一的，無法通(tong)過軟件(jian)修改。即使通過(guo)軟件修改了(le)仍然可以(yi)識別原始(shi)的。

每個(ge)賬號最多(duo)可以綁定(ding)5臺終端，超(chao)過1臺(tai)時需要管(guan)理員審核(he)。

上網(wǎng)賬號(hao)二次綁定手機(ji)號碼：

賬號首次(ci)登陸時需要綁(bang)定手機(ji)號并輸入短信(xin)驗證碼，當(dāng)用戶(hu)賬號在新(xin)終端(duan)登陸時(shi)（換終端/被他用(yong)/被盜），不僅(jin)需要輸入(ru)密碼，還(hai)需要輸(shu)入短信(xin)驗證碼，解(jie)決員工賬(zhang)號認(rèn)證的(de)安全問題

綁定手機號碼(ma)的用戶，可(ke)以自助(zhu)重置(zhi)密碼和修改(gai)密碼，無需通(tong)過IT管理員。

用戶密碼管理(li)及自助(zhu)修改：

無需(xu)通過管(guan)理員即可修改(gai)密碼(ma)，提高效(xiao)率及(ji)減輕(qing)管理員(yuan)工作(zuo)壓力。

通過(guo)口袋助理、釘釘(ding)、企業(yè)號等手(shou)機MOA類APP軟(ruan)件進行(xing)無線(xian)密碼修改。

若賬(zhang)號綁定了(le)手機號(hao)碼，可(ke)通過手機(ji)驗證碼自助修(xiu)改。

上網(wǎng)(wang)終端合(he)法效(xiao)驗：

采用安(an)全無線網(wǎng)卡(ka)接入無線(xian)網(wǎng)絡(luò)(luo)，終端與AP熱點(dian)的雙向驗證(zheng)，提高安全(quan)性。

可以將無線(xian)網(wǎng)絡(luò)(luo)設(shè)置(zhi)為只有安裝(zhuang)了安全無線網(wǎng)(wang)卡的終端(duan)才能(neng)接入無線(xian)網(wǎng)絡(luò)。

支持(chi)設(shè)置(zhi)安全無線網(wǎng)(wang)卡只能(neng)連指定(ding)SSID無線(xian)網(wǎng)絡(luò)，無法(fa)連接非(fei)授權(quán)SSID。

網(wǎng)卡與AP數(shù)據(jù)(ju)傳輸(shu)時自動進行數(shù)(shu)據(jù)加密，保證無(wu)線的空口安(an)全。

無線熱點掃(sao)描及非(fei)法熱(re)點抑制：

背景：黑客(ke)在附近搭建一(yi)個一模一(yi)樣或(huo)者類似(shi)的WIFI名(ming)稱，誘使(shi)用戶連到虛(xu)假釣魚WIFI上，黑(hei)客利用分析(xi)軟件從用戶(hu)上網(wǎng)(wang)產(chǎn)生的(de)數(shù)據(jù)包(bao)中分析(xi)提取(qu)用戶隱私信息(xi)。

我們通過(guo)WIPS無線入侵防(fang)御系統(tǒng)實時(shi)檢測周圍無(wu)線信號(hao)，當(dāng)檢測(ce)出來的(de)信號BSSID、且AP源(yuan)MAC地址不在授(shou)權(quán)列(lie)表中時(shi)，我們向?qū)?yīng)(ying)的AP和終端發(fā)(fa)送解(jie)除關(guān)聯(lián)幀(zhen)，讓終端無法(fa)連上釣魚(yu)WIFI。7×24小時不間(jian)斷監(jiān)測網(wǎng)絡(luò)。

上網(wǎng)行為嚴(yán)(yan)格控(kong)制：

強大的(de)管理：通過應(yīng)用(yong)識別(bie)技術(shù)，可(ke)以根據(jù)應(yīng)(ying)用類型或者(zhe)具體(ti)某一(yi)種應(yīng)用進(jin)行封堵，包括(kuo)視頻、論壇、游戲(xi)、金融、下載等(deng)2400多種(zhong)網(wǎng)絡(luò)(luo)應(yīng)用。

通過應(yīng)用識(shi)別技術(shù)，可以根(gen)據(jù)應(yīng)(ying)用類型或者(zhe)具體某一(yi)種應(yīng)(ying)用進(jin)行封(feng)堵，比如上班時(shi)間不允許炒股(gu)，不允許P2P下載(zai)，不允許外發(fā)(fa)敏感(gan)文件等； 支持主(zhu)流移動平臺，可(ke)識別IM、社(she)交、Mail、新聞(wen)、炒股等應(yīng)用。

無線控制器(qi)內(nèi)置千萬級(ji)別的(de)URL分類(lei)庫，能夠?qū)RL進行(xing)識別，包含新(xin)聞、購物、金(jin)融、教育等18個種(zhong)類的URL地址(zhi)； 準(zhǔn)確識別(bie)目前主流網(wǎng)站(zhan)，識別率高達(da)99.9%，有效實現(xiàn)(xian)網(wǎng)頁過濾。例(li)如禁止(zhi)登陸非法網(wǎng)(wang)站

通過基(ji)于時間段的訪(fang)問控制策略，實(shi)現(xiàn)不同(tong)的時間段不(bu)同的訪(fang)問權(quán)限，比如上(shang)班時間，禁止(zhi)訪問網(wǎng)(wang)上銀(yin)行、游戲、論壇貼(tie)吧等與(yu)工作(zuo)無關(guān)的應(yīng)用(yong)，下班時間(jian)則不受限(xian)制。

辦公(gong)區(qū)域內(nèi)，不(bu)同辦公部門總(zong)會有(you)各自專屬的(de)無線網(wǎng)絡(luò)，并且(qie)不希(xi)望部門之外(wai)的成員使用這(zhe)個網(wǎng)(wang)絡(luò)。無線網(wǎng)絡(luò)(luo)控制器可(ke)以根據(jù)(ju)用戶(hu)的屬性，限(xian)制禁(jin)止非本(ben)部門的用戶(hu)接入(ru)。

典型無線網(wǎng)(wang)絡(luò)攻(gong)擊防護：

對典(dian)型的危險(xian)攻擊(ji)行為進行(xing)檢測，當(dāng)超過(guo)設(shè)定的閾值后(hou)自動將攻擊(ji)者加入到黑(hei)名單中，并凍(dong)結(jié)一定時間(jian)，即時發(fā)(fa)現(xiàn)網(wǎng)絡(luò)攻擊(ji)并進行防御。

檢測的攻擊(ji)包括：DDOS防御、ARP掃(sao)描、IP掃(sao)描、端口(kou)掃描防御，禁(jin)止客戶端私設(shè)(she)IP以及ARP、網(wǎng)關(guān)欺(qi)騙防御、DHCP請求泛(fan)洪防御。

無線(xian)射頻定時關(guān)閉(bi)開啟：

通過射頻關(guān)閉(bi)控制(zhi)策略，可以指(zhi)定某SSID網(wǎng)(wang)絡(luò)，定時自動關(guān)(guan)閉和開啟無(wu)線網(wǎng)絡(luò)的(de)射頻信(xin)號，晚上下班(ban)后自動關(guān)閉無(wu)線射(she)頻信號。

一方面可以節(jié)(jie)能減排、節(jié)(jie)省電費支出(chu)；另一方(fang)面又能防止非(fei)法用戶(hu)利用深(shen)夜時間入侵無(wu)線網(wǎng)絡(luò)，做一(yi)些非法(fa)的操作。

有線無線(xian)一體化管理：

NAC的有線無線(xian)一體化，支持對(dui)有線用戶的(de)接入認(rèn)證、訪(fang)問控(kong)制、流量管(guan)理、上網(wǎng)行為(wei)審計等，

并提供統(tǒng)一中(zhong)文Web管理界面，一(yi)站式服務(wù)，極大(da)的降低網(wǎng)(wang)絡(luò)建設(shè)成本。

網(wǎng)絡(luò)(luo)分權(quán)分(fen)級管理：

分配不同的(de)管理(li)員分別管(guan)理各自權(quán)限區(qū)(qu)域的無(wu)線AP，可以(yi)精細(xì)到(dao)對某(mou)AP分組有管理權(quán)(quan)限，該(gai)管理員(yuan)可以在該(gai)AP分組上建立無(wu)線網(wǎng)絡(luò)(luo)，能夠激活、刪(shan)除接入點，能(neng)夠?qū)P的配置進(jin)行編輯修改。

可指定(ding)管理員針對(dui)每個頁面(mian)的編輯或(huo)可查看權(quán)限(xian)，控制粒度到(dao)控制器(qi)上的(de)各個頁(ye)面，對某個頁面(mian)沒有讀權(quán)限(xian)則登錄時不(bu)顯示。

移動APP隨時(shi)隨地運維管理(li)：

支持跨互(hu)聯(lián)網(wǎng)運維管理(li)

登陸(lu)APP進行維(wei)護管理(li)：不同(tong)管理(li)員，不同權(quán)限(xian)

查看網(wǎng)(wang)絡(luò)運行情(qing)況：在線用(yong)戶、在線AP數(shù)量(liang)、實時流(liu)量

無線網(wǎng)(wang)絡(luò)管理維護：開(kai)啟關(guān)(guan)閉SSID、終端綁定審(shen)批、二維碼上網(wǎng)(wang)審核

故障、審批實時(shi)通知：AP離線(xian)警告、服務(wù)器離(li)線警告(gao)、網(wǎng)絡(luò)攻(gong)擊告警

方案優(yōu)勢：

1、最豐富(fu)的無(wu)線安全機制(zhi)，提供從安(an)全接入(ru)到安(an)全上網(wǎng)等端(duan)到端的安全(quan)策略

2、合理管(guan)控工(gong)作人員上網(wǎng)(wang)行為，提升工(gong)作效率(lv)、防止帶(dai)寬浪(lang)費，有(you)線無線雙(shuang)重管控

3、為會(hui)議室，報告廳(ting)等人員密集區(qū)(qu)域接入網(wǎng)絡(luò)提(ti)高保(bao)證，解決有(you)線網(wǎng)口不(bu)足的問題；

4、為企業(yè)員工(gong)的移動辦公(gong)提供支撐(cheng)，內(nèi)部員(yuan)工可通過無(wu)線網(wǎng)絡(luò)隨(sui)時安全接入(ru)內(nèi)部網(wǎng)絡(luò)(luo)，實現(xiàn)辦(ban)公；

5、內(nèi)部(bu)員工(gong)賬號及個人(ren)信息綁定(ding)，便于安全管(guan)理；

6、內(nèi)部(bu)員工可通過(guo)自己的辦公設(shè)(she)備在企業(yè)大樓(lou)內(nèi)快速移動辦(ban)公，網(wǎng)絡(luò)接入(ru)更快速，上網(wǎng)(wang)行為管(guan)理系統(tǒng)對員工(gong)上網(wǎng)行為進(jin)行審計與(yu)管控

7、來訪客戶接(jie)入企(qi)業(yè)網(wǎng)(wang)絡(luò)，可(ke)根據(jù)不同(tong)需求，分配(pei)不同的上網(wǎng)權(quán)(quan)限，保(bao)證了(le)接入的(de)安全性同時(shi)提升群眾上(shang)網(wǎng)的體驗(yan)

8、豐富(fu)的認(rèn)證機(ji)制，滿足(zu)組織對(dui)無線網(wǎng)(wang)絡(luò)安全(quan)、快速接(jie)入

9、投資(zi)成本低，通(tong)過部(bu)署無線(xian)控制器(qi)替換原(yuan)有網(wǎng)絡(luò)的出(chu)口路由、行為管(guan)理以及無線控(kong)制器