大型企(qi)業(yè)在無(wu)線網(wǎng)絡(luò)建(jian)設(shè)期間要充分(fen)考慮訪(fang)客（領(lǐng)導(dǎo)、客戶(hu)、合作伙伴(ban)）接入網(wǎng)(wang)絡(luò)的需求。首(shou)先從安全性考(kao)慮，訪客網(wǎng)(wang)絡(luò)必須要和辦(ban)公網(wǎng)(wang)絡(luò)分開，訪(fang)客網(wǎng)絡(luò)單獨提(ti)供給(gei)訪客使用。從(cong)用戶體驗(yan)角度(du)考慮，訪客(ke)接入(ru)網(wǎng)絡(luò)的驗證方(fang)式一定要做(zuo)到簡單易行，繁(fan)瑣的驗(yan)證方式會降低(di)訪客對企業(yè)的(de)整體印象。同(tong)時對于訪(fang)客網(wǎng)絡(luò)，企業(yè)(ye)還需(xu)要建立完善(shan)的網(wǎng)(wang)絡(luò)安全管(guan)理機(jī)制，避(bi)免由于訪客的(de)網(wǎng)絡(luò)不良訪問(wen)給企業(yè)帶來(lai)的法(fa)律風(fēng)險(xian)。對于企業(yè)員(yuan)工移動辦公(gong)上網(wǎng)(wang)，更需要做到可(ke)管控，上網(wǎng)行(xing)為做到可(ke)追溯，企業(yè)有(you)效的帶寬(kuan)資源得到合理(li)的分配和(he)保證，才能使(shi)企業(yè)(ye)的業(yè)務(wù)(wu)系統(tǒng)(tong)正常且穩(wěn)定(ding)高效地運行(xing)，同時(shi)保證企業(yè)(ye)信息安(an)全，避免(mian)機(jī)密信息(xi)泄露。

存在(zai)的問題(ti)（用戶需求）

1、接入不安(an)全：缺乏(fa)安全可靠的(de)認(rèn)證機(jī)(ji)制，企業(yè)無線(xian)網(wǎng)絡(luò)接入不安(an)全

2、上網(wǎng)權(quán)限混(hun)亂：缺乏有效的(de)控制策略，員(yuan)工上網(wǎng)(wang)權(quán)限不分明(ming)

3、數(shù)據(jù)(ju)信息安全：缺乏(fa)有效的(de)數(shù)據(jù)加密(mi)機(jī)制(zhi)，企業(yè)(ye)數(shù)據(jù)(ju)被黑(hei)客竊(qie)取篡改

4、無線信號差：AP性(xing)能不佳(jia)，上網(wǎng)總掉線，點(dian)位規(guī)(gui)劃不合(he)理，信(xin)號盲區(qū)多

5、漫游效果差：不(bu)能實現(xiàn)二(er)三層漫游，移動(dong)辦公時(shi)，業(yè)務(wù)中(zhong)斷

解決(jue)方案：

結(jié)合用戶無線(xian)網(wǎng)絡(luò)需(xu)求情況，結(jié)合(he)產(chǎn)品自身技術(shù)(shu)特點，為(wei)了滿足(zu)用戶構(gòu)建一(yi)個高速、穩(wěn)(wen)定、安全(quan)、可靠、易于(yu)管理的無線接(jie)入網(wǎng)絡(luò)的需求(qiu)，本設(shè)計(ji)方案按照AP+AC的結(jié)(jie)構(gòu)化無線(xian)網(wǎng)絡(luò)(luo)解決方案進(jìn)(jin)行設(shè)計(ji)。具體設(shè)(she)計為在(zai)總部設(shè)(she)置總部AC,在(zai)大型分支機(jī)構(gòu)(gou)設(shè)置分(fen)支AC與分支AP，中型(xing)分支機(jī)構(gòu)(gou)設(shè)計二級，三(san)級交(jiao)換機(jī)，分支AP。小微(wei)型分支機(jī)(ji)構(gòu)直接設(shè)(she)置分支AP?？偛?bu)AC可以(yi)對大型分(fen)支機(jī)構(gòu)的(de)AC進(jìn)行管理(li)，當(dāng)網(wǎng)(wang)點控制器采用(yong)集中管(guan)理的模(mo)式進(jìn)入到中心(xin)端控制器時(shi)，會自動下載(zai)中心(xin)端的公共配置(zhi)，比如(ru)IP組、MAC地(di)址庫、時間計(ji)劃、角(jiao)色授權(quán)(quan)、認(rèn)證頁面(mian)等 ?？偛緼C也可以(yi)直接(jie)管理中小型(xing)分支機(jī)構(gòu)的分(fen)支AP，實現(xiàn)統(tǒng)一管(guan)理。

方案設(shè)(she)計：

安全無線(xian)整體解決方(fang)案：

接入前&接入時(shi)進(jìn)行身份認(rèn)證(zheng)、安全無線(xian)網(wǎng)卡、賬號綁(bang)定（硬件碼+手機(jī)(ji)號），非法熱點(dian)檢測及防(fang)御、網(wǎng)絡(luò)(luo)攻擊防護(hù)、射頻(pin)定時關(guān)閉及(ji)安全加固(gu)。

接入后&上網(wǎng)時(shi)進(jìn)行訪問權(quán)限(xian)控制。

上網(wǎng)后進(jìn)(jin)行上網(wǎng)(wang)行為記(ji)錄。

上網(wǎng)用戶(hu)身份(fen)實名(ming)認(rèn)證：

無線辦公網(wǎng)(wang)采用802.1X/Portal/WAPI認(rèn)(ren)證，外置(zhi)AAA和RADIUS+AD用于存儲(chu)用戶賬號(hao)密碼。

每個賬(zhang)號對應(yīng)(ying)一個員工，包(bao)括姓(xing)名、部門、性(xing)別以及身份證(zheng)、手機(jī)號(hao)等個人(ren)信息，保證每(mei)個上網(wǎng)的(de)賬號(hao)都是可(ke)尋的，便于(yu)安全(quan)管理。

用戶輸入賬號(hao)密碼(ma)上網(wǎng)(wang)驗證時均(jun)采用加密傳(chuan)輸，防止黑客(ke)空中攔截(jie)，竊取(qu)賬號密碼(ma)等數(shù)據(jù)。

上網(wǎng)賬(zhang)號自動綁定終(zhong)端：

自動(dong)將賬號與終端(duan)的硬件(jian)特征碼進(jìn)(jin)行綁定(ding)，防止賬(zhang)號被他人(ren)使用或者被(bei)盜用。

每臺設(shè)備的硬(ying)件特征(zheng)碼是(shi)唯一的，無法(fa)通過軟(ruan)件修(xiu)改。即使通過(guo)軟件(jian)修改(gai)了仍然(ran)可以(yi)識別原始的(de)。

每個賬(zhang)號最多可(ke)以綁(bang)定5臺(tai)終端，超過(guo)1臺時需(xu)要管理員審(shen)核。

上網(wǎng)賬號二(er)次綁(bang)定手(shou)機(jī)號(hao)碼：

賬號首次登(deng)陸時需要綁定(ding)手機(jī)號(hao)并輸入短(duan)信驗證碼，當(dāng)(dang)用戶賬號(hao)在新終端登(deng)陸時（換終(zhong)端/被(bei)他用/被盜），不僅(jin)需要輸入密碼(ma)，還需要輸入短(duan)信驗證碼(ma)，解決員工(gong)賬號(hao)認(rèn)證(zheng)的安(an)全問題

綁定手機(jī)號碼(ma)的用戶(hu)，可以(yi)自助重置(zhi)密碼和修改密(mi)碼，無需通過IT管(guan)理員(yuan)。

用戶(hu)密碼管理(li)及自助(zhu)修改：

無需通過(guo)管理員(yuan)即可修(xiu)改密碼(ma)，提高效(xiao)率及減輕管理(li)員工(gong)作壓力。

通過口袋(dai)助理、釘(ding)釘、企(qi)業(yè)號等手(shou)機(jī)MOA類APP軟件(jian)進(jìn)行無線(xian)密碼修(xiu)改。

若賬號綁定了(le)手機(jī)號碼，可(ke)通過手機(jī)(ji)驗證(zheng)碼自助修改。

上網(wǎng)(wang)終端合法效(xiao)驗：

采用安全無線(xian)網(wǎng)卡接入無線(xian)網(wǎng)絡(luò)，終端與(yu)AP熱點的雙向驗(yan)證，提高(gao)安全性(xing)。

可以將無(wu)線網(wǎng)絡(luò)(luo)設(shè)置為(wei)只有安裝了(le)安全無線網(wǎng)卡(ka)的終端才能(neng)接入無線(xian)網(wǎng)絡(luò)。

支持(chi)設(shè)置(zhi)安全無線網(wǎng)(wang)卡只能連指(zhi)定SSID無線(xian)網(wǎng)絡(luò)，無法連(lian)接非(fei)授權(quán)SSID。

網(wǎng)卡(ka)與AP數(shù)(shu)據(jù)傳輸時(shi)自動進(jìn)行數(shù)據(jù)(ju)加密，保證無(wu)線的(de)空口安全(quan)。

無線熱點掃描(miao)及非法熱(re)點抑(yi)制：

背景：黑客在(zai)附近搭建一個(ge)一模一樣(yang)或者類似的(de)WIFI名稱(cheng)，誘使用戶連(lian)到虛(xu)假釣魚WIFI上，黑客(ke)利用(yong)分析軟(ruan)件從(cong)用戶上網(wǎng)產(chǎn)(chan)生的數(shù)(shu)據(jù)包中分析(xi)提取用(yong)戶隱(yin)私信息。

我們(men)通過(guo)WIPS無線入侵防(fang)御系統(tǒng)實(shi)時檢測周圍無(wu)線信號，當(dāng)檢(jian)測出來的(de)信號(hao)BSSID、且AP源MAC地址不在(zai)授權(quán)列表中時(shi)，我們(men)向?qū)?yīng)的(de)AP和終端發(fā)(fa)送解除關(guān)聯(lián)幀(zhen)，讓終端(duan)無法連(lian)上釣魚WIFI。7×24小時不(bu)間斷監(jiān)測網(wǎng)(wang)絡(luò)。

上網(wǎng)行為嚴(yán)格(ge)控制：

強(qiáng)大的(de)管理(li)：通過(guo)應(yīng)用識別技(ji)術(shù)，可以根(gen)據(jù)應(yīng)(ying)用類型(xing)或者具體某(mou)一種(zhong)應(yīng)用進(jìn)行封(feng)堵，包括視頻(pin)、論壇、游戲、金(jin)融、下(xia)載等(deng)2400多種網(wǎng)絡(luò)(luo)應(yīng)用。

通過應(yīng)用(yong)識別技術(shù)(shu)，可以根據(jù)應(yīng)用(yong)類型或(huo)者具體某一種(zhong)應(yīng)用(yong)進(jìn)行(xing)封堵，比如上(shang)班時間(jian)不允(yun)許炒股，不(bu)允許P2P下載，不允(yun)許外(wai)發(fā)敏(min)感文件等； 支(zhi)持主流移動(dong)平臺(tai)，可識別(bie)IM、社交、Mail、新(xin)聞、炒股(gu)等應(yīng)用。

無線控制器(qi)內(nèi)置千(qian)萬級別(bie)的URL分類庫(ku)，能夠?qū)?dui)URL進(jìn)行(xing)識別，包含新聞(wen)、購物、金融、教(jiao)育等18個(ge)種類的(de)URL地址； 準(zhǔn)(zhun)確識別目(mu)前主流(liu)網(wǎng)站，識別率高(gao)達(dá)99.9%，有效實現(xiàn)網(wǎng)(wang)頁過濾。例(li)如禁止登陸(lu)非法網(wǎng)站

通過基于(yu)時間段(duan)的訪問控制(zhi)策略，實現(xiàn)(xian)不同的時間(jian)段不(bu)同的訪問權(quán)(quan)限，比如(ru)上班時(shi)間，禁止訪(fang)問網(wǎng)上銀行(xing)、游戲、論(lun)壇貼吧等(deng)與工作無(wu)關(guān)的(de)應(yīng)用，下(xia)班時間則不受(shou)限制。

辦公區(qū)域(yu)內(nèi)，不(bu)同辦公(gong)部門總會(hui)有各自(zi)專屬(shu)的無線網(wǎng)絡(luò)(luo)，并且不(bu)希望部門之外(wai)的成員使用這(zhe)個網(wǎng)(wang)絡(luò)。無線(xian)網(wǎng)絡(luò)控制(zhi)器可以根據(jù)(ju)用戶(hu)的屬性，限制禁(jin)止非本部門的(de)用戶(hu)接入。

典型無線(xian)網(wǎng)絡(luò)(luo)攻擊防護(hù)(hu)：

對典型的危險(xian)攻擊(ji)行為進(jìn)行(xing)檢測，當(dāng)超過設(shè)(she)定的閾值(zhi)后自動將攻擊(ji)者加入到(dao)黑名單中(zhong)，并凍結(jié)(jie)一定時間(jian)，即時發(fā)現(xiàn)網(wǎng)(wang)絡(luò)攻擊(ji)并進(jìn)行防(fang)御。

檢測(ce)的攻擊包括：DDOS防(fang)御、ARP掃描、IP掃描、端(duan)口掃描(miao)防御，禁止客(ke)戶端私(si)設(shè)IP以及ARP、網(wǎng)關(guān)欺(qi)騙防御(yu)、DHCP請求泛洪(hong)防御。

無線射頻定(ding)時關(guān)(guan)閉開啟(qi)：

通過(guo)射頻關(guān)閉控(kong)制策略(lve)，可以指定某(mou)SSID網(wǎng)絡(luò)，定(ding)時自動關(guān)(guan)閉和開啟無(wu)線網(wǎng)絡(luò)(luo)的射頻(pin)信號，晚(wan)上下班(ban)后自動(dong)關(guān)閉(bi)無線射頻信(xin)號。

一方面可以節(jié)(jie)能減(jian)排、節(jié)省(sheng)電費支出(chu)；另一(yi)方面又(you)能防止非(fei)法用(yong)戶利(li)用深(shen)夜時間(jian)入侵無線(xian)網(wǎng)絡(luò)，做(zuo)一些非法的操(cao)作。

有線無線一(yi)體化管理：

NAC的有(you)線無(wu)線一體(ti)化，支持(chi)對有(you)線用戶(hu)的接入(ru)認(rèn)證、訪問(wen)控制、流量管(guan)理、上網(wǎng)行為審(shen)計等，

并提供統(tǒng)(tong)一中(zhong)文Web管理界(jie)面，一站式服務(wù)(wu)，極大的降低(di)網(wǎng)絡(luò)建設(shè)成本(ben)。

網(wǎng)絡(luò)分權(quán)(quan)分級管理：

分配不同的管(guan)理員分別(bie)管理各自權(quán)限(xian)區(qū)域的無線AP，可(ke)以精細(xì)到對(dui)某AP分組有管(guan)理權(quán)限，該管理(li)員可(ke)以在(zai)該AP分組上建立(li)無線網(wǎng)絡(luò)，能(neng)夠激活、刪(shan)除接入點，能夠(gou)對AP的配置進(jìn)行(xing)編輯修改(gai)。

可指定(ding)管理員針對(dui)每個頁(ye)面的(de)編輯(ji)或可查(cha)看權(quán)(quan)限，控制粒(li)度到(dao)控制器上(shang)的各個頁面(mian)，對某個(ge)頁面沒有讀權(quán)(quan)限則登(deng)錄時(shi)不顯示。

移動(dong)APP隨時隨(sui)地運維管理(li)：

支持(chi)跨互聯(lián)網(wǎng)運(yun)維管理(li)

登陸APP進(jìn)行(xing)維護(hù)(hu)管理：不(bu)同管理員，不(bu)同權(quán)限

查看網(wǎng)絡(luò)運(yun)行情況：在(zai)線用戶(hu)、在線AP數(shù)量、實時(shi)流量

無線網(wǎng)絡(luò)(luo)管理維(wei)護(hù)：開(kai)啟關(guān)閉(bi)SSID、終端綁定審批(pi)、二維碼上網(wǎng)審(shen)核

故障、審批實(shi)時通知：AP離(li)線警告(gao)、服務(wù)器離線警(jing)告、網(wǎng)絡(luò)攻擊(ji)告警

方案優(yōu)(you)勢：

1、最豐富的無(wu)線安全機(jī)(ji)制，提供從安(an)全接入(ru)到安全上網(wǎng)等(deng)端到端的安(an)全策略

2、合理(li)管控工(gong)作人員上網(wǎng)(wang)行為，提升(sheng)工作(zuo)效率、防(fang)止帶寬(kuan)浪費(fei)，有線無線雙(shuang)重管控

3、為會(hui)議室(shi)，報告廳(ting)等人員密(mi)集區(qū)域(yu)接入網(wǎng)絡(luò)提(ti)高保證(zheng)，解決有(you)線網(wǎng)(wang)口不足的(de)問題；

4、為企業(yè)員(yuan)工的移動辦公(gong)提供(gong)支撐，內(nèi)部員工(gong)可通過(guo)無線網(wǎng)絡(luò)(luo)隨時安全接入(ru)內(nèi)部網(wǎng)絡(luò)，實現(xiàn)(xian)辦公；

5、內(nèi)部(bu)員工賬號及個(ge)人信息綁定，便(bian)于安全(quan)管理；

6、內(nèi)部員工(gong)可通過(guo)自己的(de)辦公設(shè)備(bei)在企業(yè)大樓(lou)內(nèi)快速移(yi)動辦公(gong)，網(wǎng)絡(luò)接入更(geng)快速，上(shang)網(wǎng)行為管理系(xi)統(tǒng)對員工上(shang)網(wǎng)行為進(jìn)(jin)行審計與(yu)管控

7、來訪客戶接入(ru)企業(yè)(ye)網(wǎng)絡(luò)，可根據(jù)(ju)不同需求，分配(pei)不同(tong)的上網(wǎng)權(quán)限(xian)，保證了接(jie)入的安全性(xing)同時提升群(qun)眾上網(wǎng)的體(ti)驗

8、豐富的認(rèn)證(zheng)機(jī)制，滿(man)足組(zu)織對無線網(wǎng)(wang)絡(luò)安全、快(kuai)速接(jie)入

9、投資成(cheng)本低，通過(guo)部署(shu)無線控制器(qi)替換(huan)原有網(wǎng)絡(luò)的(de)出口路由、行(xing)為管理(li)以及無(wu)線控制器