?
大型企業(yè)在(zai)無線網(wǎng)絡(luò)建設(shè)(she)期間要充(chong)分考慮訪客(ke)(領(lǐng)導(dǎo)����、客戶����、合(he)作伙伴)接(jie)入網(wǎng)絡(luò)的需(xu)求。首先(xian)從安(an)全性考慮(lv)����,訪客網(wǎng)絡(luò)(luo)必須要(yao)和辦公網(wǎng)絡(luò)(luo)分開,訪客網(wǎng)(wang)絡(luò)單獨(dú)提供給(gei)訪客使用。從(cong)用戶體驗(yàn)角(jiao)度考慮����,訪(fang)客接入網(wǎng)(wang)絡(luò)的驗(yàn)證方式(shi)一定要(yao)做到簡(jiǎn)單易(yi)行,繁瑣的驗(yàn)(yan)證方式會(huì)降(jiang)低訪客(ke)對(duì)企業(yè)(ye)的整體(ti)印象����。同(tong)時(shí)對(duì)于訪客(ke)網(wǎng)絡(luò),企業(yè)還(hai)需要建立完(wan)善的網(wǎng)(wang)絡(luò)安全(quan)管理機(jī)(ji)制����,避免由于訪(fang)客的網(wǎng)絡(luò)不(bu)良訪問給(gei)企業(yè)帶來(lai)的法律風(fēng)(feng)險(xiǎn)。對(duì)于企(qi)業(yè)員工移(yi)動(dòng)辦公上網(wǎng)(wang)����,更需要做(zuo)到可管(guan)控,上網(wǎng)(wang)行為做到可(ke)追溯����,企業(yè)有效(xiao)的帶寬資源得(de)到合(he)理的分配(pei)和保證(zheng),才能(neng)使企業(yè)的業(yè)務(wù)(wu)系統(tǒng)正常且(qie)穩(wěn)定(ding)高效(xiao)地運(yùn)行����,同時(shí)(shi)保證企(qi)業(yè)信息(xi)安全(quan)����,避免機(jī)密(mi)信息泄露����。
存在(zai)的問題(用戶(hu)需求(qiu))
1����、接入不安全:缺(que)乏安全可靠(kao)的認(rèn)證機(jī)(ji)制,企業(yè)無(wu)線網(wǎng)絡(luò)接入(ru)不安全(quan)
2����、上網(wǎng)權(quán)限混亂(luan):缺乏有(you)效的控制(zhi)策略,員工(gong)上網(wǎng)權(quán)限不(bu)分明
3����、數(shù)據(jù)信(xin)息安全(quan):缺乏有效(xiao)的數(shù)據(jù)加密(mi)機(jī)制(zhi),企業(yè)數(shù)據(jù)(ju)被黑客竊取(qu)篡改
4����、無線信號(hào)差(cha):AP性能(neng)不佳,上網(wǎng)總(zong)掉線����,點(diǎn)(dian)位規(guī)劃不合理(li),信號(hào)盲區(qū)(qu)多
5����、漫游效果差:不(bu)能實(shí)現(xiàn)二三層(ceng)漫游����,移動(dòng)辦公(gong)時(shí)����,業(yè)務(wù)中斷(duan)
解決方案:
結(jié)合(he)用戶無線網(wǎng)(wang)絡(luò)需求(qiu)情況,結(jié)(jie)合產(chǎn)(chan)品自身技術(shù)特(te)點(diǎn)����,為了滿足用(yong)戶構(gòu)建一(yi)個(gè)高速、穩(wěn)(wen)定����、安全、可(ke)靠����、易于管理(li)的無(wu)線接入網(wǎng)絡(luò)(luo)的需(xu)求,本(ben)設(shè)計(jì)方案按(an)照AP+AC的結(jié)構(gòu)化(hua)無線網(wǎng)(wang)絡(luò)解決方(fang)案進(jìn)(jin)行設(shè)計(jì)����。具體(ti)設(shè)計(jì)為(wei)在總部(bu)設(shè)置總部AC,在大(da)型分(fen)支機(jī)構(gòu)(gou)設(shè)置分(fen)支AC與分支(zhi)AP,中型分支機(jī)構(gòu)(gou)設(shè)計(jì)二(er)級(jí)����,三級(jí)交換機(jī)(ji),分支(zhi)AP����。小微型(xing)分支機(jī)(ji)構(gòu)直接設(shè)置分(fen)支AP?���?偛?bu)AC可以對(duì)大型(xing)分支機(jī)構(gòu)(gou)的AC進(jìn)行管理(li),當(dāng)網(wǎng)點(diǎn)控制(zhi)器采用集中管(guan)理的模式(shi)進(jìn)入(ru)到中心端(duan)控制器時(shí)����,會(huì)(hui)自動(dòng)下(xia)載中心端的(de)公共(gong)配置,比如IP組(zu)����、MAC地址庫(kù)、時(shí)間計(jì)(ji)劃����、角(jiao)色授權(quán)(quan)、認(rèn)證頁(yè)面等 ����?���??zong)部AC也(ye)可以直接管(guan)理中小型分支(zhi)機(jī)構(gòu)的(de)分支(zhi)AP����,實(shí)現(xiàn)統(tǒng)一管理(li)。
方案設(shè)計(jì):
安全無(wu)線整(zheng)體解決(jue)方案:
接入(ru)前&接入時(shí)(shi)進(jìn)行(xing)身份認(rèn)(ren)證����、安(an)全無線網(wǎng)卡、賬(zhang)號(hào)綁(bang)定(硬件碼+手機(jī)(ji)號(hào))����,非(fei)法熱點(diǎn)檢(jian)測(cè)及防御、網(wǎng)(wang)絡(luò)攻擊(ji)防護(hù)����、射頻(pin)定時(shí)關(guān)(guan)閉及安(an)全加固。
接入后&上(shang)網(wǎng)時(shí)(shi)進(jìn)行訪問(wen)權(quán)限控(kong)制����。
上網(wǎng)(wang)后進(jìn)行上網(wǎng)(wang)行為記錄(lu)。
上網(wǎng)(wang)用戶身份(fen)實(shí)名認(rèn)證:
無線辦公(gong)網(wǎng)采用802.1X/Portal/WAPI認(rèn)證(zheng)����,外置AAA和(he)RADIUS+AD用于存儲(chǔ)(chu)用戶(hu)賬號(hào)密碼����。
每個(gè)賬號(hào)(hao)對(duì)應(yīng)一(yi)個(gè)員(yuan)工����,包括姓名����、部(bu)門、性別以及身(shen)份證����、手(shou)機(jī)號(hào)等(deng)個(gè)人信息,保(bao)證每(mei)個(gè)上網(wǎng)的賬號(hào)(hao)都是可尋(xun)的����,便于安全管(guan)理。
用戶輸入(ru)賬號(hào)密碼上(shang)網(wǎng)驗(yàn)證時(shí)均(jun)采用加密傳(chuan)輸����,防(fang)止黑客空中攔(lan)截,竊取(qu)賬號(hào)密碼等(deng)數(shù)據(jù)����。
上網(wǎng)賬號(hào)(hao)自動(dòng)綁(bang)定終(zhong)端:
自動(dòng)將(jiang)賬號(hào)與終(zhong)端的硬件(jian)特征碼進(jìn)行綁(bang)定����,防止賬(zhang)號(hào)被(bei)他人使用(yong)或者被盜用(yong)����。
每臺(tái)(tai)設(shè)備的硬件(jian)特征碼是唯(wei)一的(de),無法通過軟件(jian)修改����。即使(shi)通過軟(ruan)件修改了(le)仍然可以(yi)識(shí)別原始的。
每個(gè)賬號(hào)(hao)最多可(ke)以綁定5臺(tái)終(zhong)端����,超過(guo)1臺(tái)時(shí)需要管理(li)員審核。
上網(wǎng)(wang)賬號(hào)二次(ci)綁定手(shou)機(jī)號(hào)碼(ma):
賬號(hào)首次(ci)登陸時(shí)需要綁(bang)定手機(jī)號(hào)并輸(shu)入短(duan)信驗(yàn)證碼����,當(dāng)(dang)用戶賬號(hào)在(zai)新終端登(deng)陸時(shí)(換終端(duan)/被他用/被盜(dao)),不僅需要(yao)輸入密(mi)碼����,還需(xu)要輸入短信(xin)驗(yàn)證碼,解(jie)決員(yuan)工賬號(hào)認(rèn)(ren)證的安全問(wen)題
綁定(ding)手機(jī)(ji)號(hào)碼的用(yong)戶����,可(ke)以自助重(zhong)置密碼(ma)和修(xiu)改密碼����,無需通(tong)過IT管理員����。
用戶密碼管理(li)及自助修改:
無需通過(guo)管理員即可(ke)修改密碼,提(ti)高效率及減輕(qing)管理員工(gong)作壓力����。
通過口袋助理(li)����、釘釘、企業(yè)(ye)號(hào)等手機(jī)MOA類(lei)APP軟件進(jìn)行無線(xian)密碼修改(gai)����。
若賬(zhang)號(hào)綁定了手(shou)機(jī)號(hào)碼,可通(tong)過手機(jī)(ji)驗(yàn)證碼自助修(xiu)改����。
上網(wǎng)終(zhong)端合法效驗(yàn):
采用(yong)安全無線(xian)網(wǎng)卡接入無(wu)線網(wǎng)(wang)絡(luò),終(zhong)端與AP熱點(diǎn)的(de)雙向驗(yàn)證����,提高(gao)安全性����。
可以將(jiang)無線網(wǎng)絡(luò)設(shè)置(zhi)為只有安(an)裝了(le)安全無線網(wǎng)(wang)卡的終端(duan)才能接入無線(xian)網(wǎng)絡(luò)����。
支持設(shè)(she)置安全無(wu)線網(wǎng)卡只(zhi)能連指(zhi)定SSID無線網(wǎng)絡(luò)(luo),無法連(lian)接非授權(quán)SSID����。
網(wǎng)卡與AP數(shù)據(jù)(ju)傳輸時(shí)自(zi)動(dòng)進(jìn)行數(shù)據(jù)(ju)加密,保證(zheng)無線的(de)空口(kou)安全����。
無線熱點(diǎn)掃描(miao)及非法熱(re)點(diǎn)抑制(zhi):
背景:黑客在附(fu)近搭建(jian)一個(gè)(ge)一模一樣或者(zhe)類似(shi)的WIFI名稱,誘(you)使用(yong)戶連到虛(xu)假釣魚WIFI上����,黑(hei)客利(li)用分析軟件從(cong)用戶上(shang)網(wǎng)產(chǎn)生的數(shù)(shu)據(jù)包(bao)中分析(xi)提取用戶隱(yin)私信息。
我們通過WIPS無線(xian)入侵(qin)防御系統(tǒng)(tong)實(shí)時(shí)檢測(cè)周(zhou)圍無線信號(hào)(hao)����,當(dāng)檢測(cè)出來(lai)的信號(hào)BSSID、且(qie)AP源MAC地址不在授(shou)權(quán)列表中(zhong)時(shí)����,我們向?qū)?yīng)(ying)的AP和終端發(fā)(fa)送解(jie)除關(guān)聯(lián)幀����,讓(rang)終端無法連上(shang)釣魚WIFI����。7×24小時(shí)不間(jian)斷監(jiān)測(cè)網(wǎng)絡(luò)(luo)。
上網(wǎng)行(xing)為嚴(yán)格控制:
強(qiáng)大的管理:通(tong)過應(yīng)用識(shí)(shi)別技術(shù)����,可以(yi)根據(jù)應(yīng)(ying)用類型(xing)或者具(ju)體某(mou)一種(zhong)應(yīng)用進(jìn)(jin)行封堵,包(bao)括視頻����、論壇����、游(you)戲、金融����、下(xia)載等(deng)2400多種(zhong)網(wǎng)絡(luò)應(yīng)用(yong)。
通過應(yīng)用識(shí)(shi)別技(ji)術(shù)����,可以根據(jù)(ju)應(yīng)用類型或者(zhe)具體某一種(zhong)應(yīng)用進(jìn)行封堵(du)����,比如上(shang)班時(shí)(shi)間不(bu)允許炒股(gu)����,不允許(xu)P2P下載,不(bu)允許外(wai)發(fā)敏感(gan)文件等����; 支持(chi)主流移動(dòng)平臺(tái)(tai),可識(shí)別IM����、社交(jiao)、Mail����、新聞、炒(chao)股等(deng)應(yīng)用(yong)����。
無線(xian)控制器內(nèi)置千(qian)萬(wàn)級(jí)別的URL分類(lei)庫(kù),能(neng)夠?qū)?dui)URL進(jìn)行識(shí)別����,包含(han)新聞(wen)����、購(gòu)物����、金融、教(jiao)育等18個(gè)種類的(de)URL地址(zhi)����; 準(zhǔn)確識(shí)別(bie)目前主流(liu)網(wǎng)站,識(shí)別(bie)率高達(dá)(da)99.9%����,有效實(shí)現(xiàn)網(wǎng)(wang)頁(yè)過濾。例(li)如禁止登陸非(fei)法網(wǎng)站
通過基(ji)于時(shí)間段的訪(fang)問控制(zhi)策略����,實(shí)現(xiàn)不(bu)同的時(shí)間段(duan)不同的訪問權(quán)(quan)限����,比(bi)如上(shang)班時(shí)間,禁止(zhi)訪問網(wǎng)上(shang)銀行(xing)����、游戲����、論(lun)壇貼吧(ba)等與工作(zuo)無關(guān)的(de)應(yīng)用����,下班(ban)時(shí)間則(ze)不受限制。
辦公(gong)區(qū)域(yu)內(nèi)����,不同辦(ban)公部門(men)總會(huì)有各(ge)自專屬(shu)的無線網(wǎng)(wang)絡(luò),并且不希(xi)望部(bu)門之(zhi)外的成員使用(yong)這個(gè)(ge)網(wǎng)絡(luò)����。無(wu)線網(wǎng)絡(luò)控制(zhi)器可以(yi)根據(jù)用戶的(de)屬性(xing),限制禁止非(fei)本部門的(de)用戶接入����。
典型無線(xian)網(wǎng)絡(luò)攻(gong)擊防護(hù):
對(duì)典型的(de)危險(xiǎn)攻擊行(xing)為進(jìn)行(xing)檢測(cè),當(dāng)超過(guo)設(shè)定(ding)的閾(yu)值后(hou)自動(dòng)將攻擊者(zhe)加入到黑名單(dan)中����,并凍結(jié)(jie)一定時(shí)間,即(ji)時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)攻(gong)擊并進(jìn)行防(fang)御����。
檢測(cè)的(de)攻擊包括(kuo):DDOS防御(yu)����、ARP掃描����、IP掃描(miao)、端口(kou)掃描防御����,禁止(zhi)客戶端私設(shè)IP以(yi)及ARP、網(wǎng)關(guān)欺(qi)騙防(fang)御����、DHCP請(qǐng)求泛(fan)洪防御。
無線射頻(pin)定時(shí)關(guān)閉(bi)開啟:
通過射頻關(guān)(guan)閉控制策略����,可(ke)以指定某(mou)SSID網(wǎng)絡(luò),定時(shí)(shi)自動(dòng)關(guān)(guan)閉和開(kai)啟無線網(wǎng)絡(luò)(luo)的射頻信(xin)號(hào)����,晚上下班后(hou)自動(dòng)(dong)關(guān)閉無(wu)線射頻信號(hào)(hao)����。
一方(fang)面可以節(jié)能(neng)減排(pai)����、節(jié)省電(dian)費(fèi)支出����;另一方(fang)面又能(neng)防止非(fei)法用戶(hu)利用深(shen)夜時(shí)間(jian)入侵(qin)無線網(wǎng)絡(luò),做一(yi)些非法的(de)操作����。
有線(xian)無線一體化(hua)管理:
NAC的有線(xian)無線(xian)一體化,支持(chi)對(duì)有線用(yong)戶的(de)接入認(rèn)證����、訪(fang)問控制、流量(liang)管理����、上網(wǎng)行為(wei)審計(jì)(ji)等,
并提供統(tǒng)一中(zhong)文Web管理界(jie)面����,一站(zhan)式服務(wù),極(ji)大的降(jiang)低網(wǎng)絡(luò)建(jian)設(shè)成本(ben)����。
網(wǎng)絡(luò)分權(quán)(quan)分級(jí)管理:
分配不同的管(guan)理員(yuan)分別管(guan)理各自權(quán)限(xian)區(qū)域的無線AP����,可(ke)以精細(xì)到對(duì)(dui)某AP分組(zu)有管理權(quán)限����,該(gai)管理員可(ke)以在該(gai)AP分組上建立(li)無線網(wǎng)絡(luò),能夠(gou)激活����、刪除接(jie)入點(diǎn),能夠?qū)P的(de)配置(zhi)進(jìn)行編輯(ji)修改����。
可指(zhi)定管理員針對(duì)(dui)每個(gè)頁(yè)面的編(bian)輯或可查(cha)看權(quán)(quan)限,控(kong)制粒度到(dao)控制(zhi)器上的各個(gè)頁(yè)(ye)面����,對(duì)某(mou)個(gè)頁(yè)面(mian)沒有讀權(quán)(quan)限則登錄時(shí)不(bu)顯示。
移動(dòng)APP隨時(shí)(shi)隨地運(yùn)維(wei)管理:
支持跨互(hu)聯(lián)網(wǎng)運(yùn)維(wei)管理
登陸APP進(jìn)行維護(hù)(hu)管理:不同管(guan)理員����,不同(tong)權(quán)限
查看網(wǎng)(wang)絡(luò)運(yùn)行(xing)情況:在(zai)線用戶、在(zai)線AP數(shù)量、實(shí)時(shí)流(liu)量
無線網(wǎng)(wang)絡(luò)管理維護(hù)(hu):開啟關(guān)閉SSID����、終端(duan)綁定審批����、二維(wei)碼上網(wǎng)(wang)審核(he)
故障(zhang)、審批實(shí)時(shí)通知(zhi):AP離線警告����、服務(wù)(wu)器離線警告、網(wǎng)(wang)絡(luò)攻擊(ji)告警(jing)
方案優(yōu)勢(shì):
1����、最豐富(fu)的無線安全(quan)機(jī)制,提供(gong)從安全接入到(dao)安全上網(wǎng)等端(duan)到端(duan)的安全(quan)策略
2����、合理管控工(gong)作人員上網(wǎng)(wang)行為(wei),提升工(gong)作效(xiao)率����、防止(zhi)帶寬(kuan)浪費(fèi),有(you)線無線雙重(zhong)管控(kong)
3����、為會(huì)(hui)議室(shi)����,報(bào)告廳(ting)等人員密集(ji)區(qū)域接入網(wǎng)絡(luò)(luo)提高保證(zheng)����,解決有線網(wǎng)(wang)口不足的問(wen)題;
4����、為企業(yè)員(yuan)工的移動(dòng)辦(ban)公提供支撐(cheng),內(nèi)部員(yuan)工可通過無線(xian)網(wǎng)絡(luò)隨時(shí)安全(quan)接入(ru)內(nèi)部(bu)網(wǎng)絡(luò)����,實(shí)(shi)現(xiàn)辦公;
5����、內(nèi)部(bu)員工賬(zhang)號(hào)及個(gè)人信(xin)息綁定,便于(yu)安全管理����;
6、內(nèi)部員工可通(tong)過自己的辦公(gong)設(shè)備在企業(yè)(ye)大樓內(nèi)快速移(yi)動(dòng)辦(ban)公����,網(wǎng)絡(luò)(luo)接入更快速(su)����,上網(wǎng)行為管理(li)系統(tǒng)對(duì)員(yuan)工上網(wǎng)行為進(jìn)(jin)行審計(jì)(ji)與管控
7����、來訪客戶接入(ru)企業(yè)(ye)網(wǎng)絡(luò)����,可根(gen)據(jù)不同需(xu)求,分配不同的(de)上網(wǎng)權(quán)限(xian)����,保證(zheng)了接(jie)入的(de)安全性同時(shí)提(ti)升群眾上網(wǎng)的(de)體驗(yàn)
8、豐富的認(rèn)證(zheng)機(jī)制����,滿足組織(zhi)對(duì)無(wu)線網(wǎng)絡(luò)安全、快(kuai)速接(jie)入
9����、投資成本低,通(tong)過部署無線控(kong)制器(qi)替換原有網(wǎng)(wang)絡(luò)的出(chu)口路由����、行(xing)為管理以及無(wu)線控制(zhi)器
