大型(xing)企業(yè)在無(wu)線網(wǎng)絡(luò)建設(shè)(she)期間要充分考(kao)慮訪客（領(lǐng)導(dǎo)(dao)、客戶、合作伙伴(ban)）接入網(wǎng)絡(luò)的需(xu)求。首(shou)先從(cong)安全性(xing)考慮，訪(fang)客網(wǎng)絡(luò)必須(xu)要和辦(ban)公網(wǎng)絡(luò)(luo)分開，訪客(ke)網(wǎng)絡(luò)單(dan)獨提供給訪客(ke)使用。從用戶體(ti)驗角度(du)考慮，訪客(ke)接入網(wǎng)絡(luò)(luo)的驗證方式(shi)一定要做(zuo)到簡(jian)單易行，繁瑣的(de)驗證方式(shi)會降(jiang)低訪客對(dui)企業(yè)的整體(ti)印象(xiang)。同時對于訪客(ke)網(wǎng)絡(luò)，企業(yè)還需(xu)要建(jian)立完善(shan)的網(wǎng)絡(luò)安(an)全管理機制(zhi)，避免由于(yu)訪客的網(wǎng)絡(luò)(luo)不良訪問給(gei)企業(yè)帶來(lai)的法律風(fēng)(feng)險。對于企(qi)業(yè)員工移動辦(ban)公上網(wǎng)，更(geng)需要(yao)做到可管控，上(shang)網(wǎng)行為做到(dao)可追溯，企業(yè)有(you)效的帶(dai)寬資(zi)源得到(dao)合理的(de)分配和保證，才(cai)能使企業(yè)的(de)業(yè)務(wù)系統(tǒng)正常(chang)且穩(wěn)定高(gao)效地運(yun)行，同(tong)時保證企(qi)業(yè)信息(xi)安全，避免機密(mi)信息泄露(lu)。

存在的問(wen)題（用戶需求(qiu)）

1、接入(ru)不安全：缺乏(fa)安全可(ke)靠的認(rèn)證(zheng)機制，企業(yè)無(wu)線網(wǎng)絡(luò)(luo)接入(ru)不安全

2、上網(wǎng)權(quán)限混(hun)亂：缺乏有效(xiao)的控制(zhi)策略，員工上(shang)網(wǎng)權(quán)限不分明(ming)

3、數(shù)據(jù)(ju)信息(xi)安全：缺乏(fa)有效的數(shù)據(jù)加(jia)密機制，企業(yè)(ye)數(shù)據(jù)被黑客(ke)竊取(qu)篡改

4、無線信號(hao)差：AP性(xing)能不(bu)佳，上網(wǎng)(wang)總掉線，點(dian)位規(guī)劃(hua)不合理(li)，信號盲區(qū)多

5、漫游效果(guo)差：不(bu)能實現(xiàn)(xian)二三層漫游(you)，移動辦(ban)公時，業(yè)務(wù)中斷(duan)

解決方(fang)案：

結(jié)合用戶無線(xian)網(wǎng)絡(luò)需(xu)求情(qing)況，結(jié)合產(chǎn)品(pin)自身(shen)技術(shù)特點，為了(le)滿足用戶構(gòu)建(jian)一個高(gao)速、穩(wěn)定、安全(quan)、可靠、易于(yu)管理的無線接(jie)入網(wǎng)(wang)絡(luò)的(de)需求(qiu)，本設(shè)(she)計方案按照AP+AC的(de)結(jié)構(gòu)化無線(xian)網(wǎng)絡(luò)解(jie)決方案進(jìn)(jin)行設(shè)計。具體(ti)設(shè)計為在總(zong)部設(shè)置總(zong)部AC,在大型(xing)分支機構(gòu)(gou)設(shè)置分支AC與(yu)分支AP，中型(xing)分支機構(gòu)設(shè)(she)計二級，三(san)級交(jiao)換機，分(fen)支AP。小(xiao)微型分支機構(gòu)(gou)直接設(shè)置(zhi)分支AP。總部AC可(ke)以對大型分支(zhi)機構(gòu)(gou)的AC進(jìn)(jin)行管理，當(dāng)網(wǎng)(wang)點控(kong)制器采(cai)用集中管理的(de)模式進(jìn)入(ru)到中心端控(kong)制器(qi)時，會自動下(xia)載中心(xin)端的公共(gong)配置，比如IP組、MAC地(di)址庫、時(shi)間計劃、角(jiao)色授(shou)權(quán)、認(rèn)(ren)證頁面(mian)等 ?？偛緼C也(ye)可以直接(jie)管理(li)中小型分(fen)支機(ji)構(gòu)的分支AP，實現(xiàn)(xian)統(tǒng)一管理。

方案設(shè)(she)計：

安全無線(xian)整體解決(jue)方案：

接入前(qian)&接入時進(jìn)(jin)行身(shen)份認(rèn)證、安全無(wu)線網(wǎng)卡、賬號(hao)綁定（硬件(jian)碼+手機號），非(fei)法熱點檢(jian)測及防御、網(wǎng)(wang)絡(luò)攻(gong)擊防(fang)護、射頻定時關(guān)(guan)閉及(ji)安全加(jia)固。

接入(ru)后&上網(wǎng)時進(jìn)(jin)行訪問權(quán)限(xian)控制(zhi)。

上網(wǎng)后進(jìn)行上(shang)網(wǎng)行為記錄(lu)。

上網(wǎng)(wang)用戶身份實(shi)名認(rèn)證(zheng)：

無線辦公(gong)網(wǎng)采用802.1X/Portal/WAPI認(rèn)證，外(wai)置AAA和RADIUS+AD用于存儲(chu)用戶賬號密(mi)碼。

每個賬號對(dui)應(yīng)一個員工(gong)，包括姓名、部(bu)門、性別以及身(shen)份證、手機號(hao)等個人信息，保(bao)證每個上網(wǎng)的(de)賬號都(dou)是可尋的(de)，便于安全管理(li)。

用戶輸入賬號(hao)密碼上(shang)網(wǎng)驗(yan)證時均采用加(jia)密傳輸，防(fang)止黑客(ke)空中(zhong)攔截，竊(qie)取賬號密碼等(deng)數(shù)據(jù)(ju)。

上網(wǎng)(wang)賬號自動綁(bang)定終端：

自動將賬號與(yu)終端的硬件特(te)征碼進(jìn)(jin)行綁(bang)定，防(fang)止賬號被他(ta)人使用或(huo)者被(bei)盜用(yong)。

每臺(tai)設(shè)備的(de)硬件特征碼(ma)是唯(wei)一的，無法通(tong)過軟件(jian)修改。即使通過(guo)軟件修(xiu)改了仍然(ran)可以識(shi)別原(yuan)始的。

每個賬(zhang)號最(zui)多可以(yi)綁定(ding)5臺終(zhong)端，超過1臺(tai)時需要管理(li)員審核(he)。

上網(wǎng)賬號二(er)次綁(bang)定手(shou)機號碼：

賬號(hao)首次(ci)登陸時需要綁(bang)定手機號并輸(shu)入短信(xin)驗證碼(ma)，當(dāng)用戶賬號在(zai)新終端登陸(lu)時（換終端/被(bei)他用/被盜），不僅(jin)需要(yao)輸入密碼，還需(xu)要輸入(ru)短信驗(yan)證碼，解決員(yuan)工賬號認(rèn)(ren)證的安(an)全問題

綁定(ding)手機號碼的用(yong)戶，可(ke)以自助重置密(mi)碼和修改密碼(ma)，無需通過(guo)IT管理員(yuan)。

用戶密碼管(guan)理及(ji)自助修改(gai)：

無需通過(guo)管理員即可(ke)修改密碼，提(ti)高效率及減輕(qing)管理員工作壓(ya)力。

通過口袋助(zhu)理、釘釘(ding)、企業(yè)號(hao)等手機MOA類APP軟件(jian)進(jìn)行無(wu)線密(mi)碼修改。

若賬(zhang)號綁定了手(shou)機號碼(ma)，可通過手機(ji)驗證碼自(zi)助修改。

上網(wǎng)終端合(he)法效(xiao)驗：

采用安(an)全無線網(wǎng)卡接(jie)入無線網(wǎng)絡(luò)，終(zhong)端與AP熱點(dian)的雙向驗證，提(ti)高安全性(xing)。

可以將(jiang)無線網(wǎng)絡(luò)(luo)設(shè)置為只有(you)安裝了安全(quan)無線網(wǎng)卡的(de)終端(duan)才能接入無(wu)線網(wǎng)絡(luò)。

支持設(shè)置安全(quan)無線(xian)網(wǎng)卡只(zhi)能連指定SSID無線(xian)網(wǎng)絡(luò)，無法連接(jie)非授(shou)權(quán)SSID。

網(wǎng)卡(ka)與AP數(shù)(shu)據(jù)傳輸時自動(dong)進(jìn)行數(shù)據(jù)(ju)加密，保證(zheng)無線的空(kong)口安全(quan)。

無線熱點掃(sao)描及非法熱點(dian)抑制：

背景：黑(hei)客在附近搭(da)建一個一模一(yi)樣或者類(lei)似的WIFI名稱，誘(you)使用戶連到虛(xu)假釣魚WIFI上，黑客(ke)利用(yong)分析(xi)軟件(jian)從用戶上網(wǎng)(wang)產(chǎn)生的數(shù)(shu)據(jù)包(bao)中分析提取用(yong)戶隱(yin)私信(xin)息。

我們通過(guo)WIPS無線(xian)入侵防御系(xi)統(tǒng)實時檢(jian)測周圍無線信(xin)號，當(dāng)檢測出(chu)來的信(xin)號BSSID、且AP源MAC地址(zhi)不在授權(quán)列(lie)表中時，我們(men)向?qū)?dui)應(yīng)的AP和(he)終端發(fā)送解除(chu)關(guān)聯(lián)幀，讓終端(duan)無法(fa)連上釣魚(yu)WIFI。7×24小時不間斷(duan)監(jiān)測(ce)網(wǎng)絡(luò)。

上網(wǎng)(wang)行為(wei)嚴(yán)格(ge)控制：

強大的管(guan)理：通(tong)過應(yīng)用(yong)識別(bie)技術(shù)(shu)，可以根(gen)據(jù)應(yīng)用類(lei)型或者具體(ti)某一種應(yīng)(ying)用進(jìn)行封(feng)堵，包括視頻(pin)、論壇、游戲(xi)、金融、下載(zai)等2400多種網(wǎng)絡(luò)(luo)應(yīng)用(yong)。

通過應(yīng)(ying)用識別技術(shù)，可(ke)以根(gen)據(jù)應(yīng)用類型或(huo)者具體某(mou)一種應(yīng)用(yong)進(jìn)行封(feng)堵，比如(ru)上班(ban)時間(jian)不允許(xu)炒股，不允(yun)許P2P下載(zai)，不允許外(wai)發(fā)敏感文件等(deng)； 支持主(zhu)流移(yi)動平臺，可(ke)識別IM、社(she)交、Mail、新聞(wen)、炒股(gu)等應(yīng)用。

無線(xian)控制(zhi)器內(nèi)置(zhi)千萬級別(bie)的URL分類庫，能(neng)夠?qū)RL進(jìn)(jin)行識別(bie)，包含新聞、購(gou)物、金融、教(jiao)育等18個種類的(de)URL地址； 準(zhǔn)確(que)識別目前主流(liu)網(wǎng)站(zhan)，識別(bie)率高(gao)達(dá)99.9%，有(you)效實現(xiàn)網(wǎng)頁過(guo)濾。例如禁止(zhi)登陸非法網(wǎng)(wang)站

通過基(ji)于時間段的(de)訪問(wen)控制(zhi)策略(lve)，實現(xiàn)不同的時(shi)間段不同(tong)的訪(fang)問權(quán)限，比如(ru)上班時間，禁止(zhi)訪問網(wǎng)上(shang)銀行(xing)、游戲、論壇(tan)貼吧等與工作(zuo)無關(guān)的應(yīng)(ying)用，下班時間則(ze)不受限制。

辦公區(qū)域內(nèi)(nei)，不同辦(ban)公部門總會(hui)有各自專屬(shu)的無線網(wǎng)(wang)絡(luò)，并且不(bu)希望部門之外(wai)的成員使(shi)用這(zhe)個網(wǎng)絡(luò)。無(wu)線網(wǎng)(wang)絡(luò)控制器可以(yi)根據(jù)用戶的屬(shu)性，限制禁止(zhi)非本部(bu)門的用戶(hu)接入(ru)。

典型無(wu)線網(wǎng)絡(luò)攻擊防(fang)護：

對典(dian)型的危險攻擊(ji)行為進(jìn)行檢測(ce)，當(dāng)超(chao)過設(shè)(she)定的閾值后(hou)自動將(jiang)攻擊(ji)者加(jia)入到黑名(ming)單中，并凍結(jié)(jie)一定時間，即(ji)時發(fā)現(xiàn)網(wǎng)絡(luò)攻(gong)擊并(bing)進(jìn)行(xing)防御。

檢測的攻擊包(bao)括：DDOS防御(yu)、ARP掃描、IP掃描、端口(kou)掃描防(fang)御，禁止(zhi)客戶(hu)端私設(shè)IP以(yi)及ARP、網(wǎng)關(guān)欺(qi)騙防御、DHCP請(qing)求泛洪(hong)防御。

無線射(she)頻定時(shi)關(guān)閉開(kai)啟：

通過射頻關(guān)閉(bi)控制(zhi)策略，可以指定(ding)某SSID網(wǎng)絡(luò)，定時自(zi)動關(guān)閉(bi)和開(kai)啟無線網(wǎng)絡(luò)的(de)射頻信號，晚(wan)上下(xia)班后(hou)自動(dong)關(guān)閉無線射(she)頻信號。

一方面可以(yi)節(jié)能減(jian)排、節(jié)(jie)省電費支出；另(ling)一方面又(you)能防止非法(fa)用戶利用(yong)深夜時間入(ru)侵無線網(wǎng)絡(luò)，做(zuo)一些非法(fa)的操作。

有線無線一(yi)體化管(guan)理：

NAC的有線無線(xian)一體化(hua)，支持對有線用(yong)戶的接入認(rèn)證(zheng)、訪問(wen)控制、流量(liang)管理、上(shang)網(wǎng)行為審計等(deng)，

并提供統(tǒng)(tong)一中文Web管理(li)界面，一站式服(fu)務(wù)，極大的降(jiang)低網(wǎng)絡(luò)(luo)建設(shè)成本。

網(wǎng)絡(luò)分權(quán)分(fen)級管(guan)理：

分配不同的管(guan)理員分別(bie)管理(li)各自權(quán)限區(qū)域(yu)的無線AP，可以(yi)精細(xì)(xi)到對某AP分組(zu)有管理(li)權(quán)限，該管理員(yuan)可以在該AP分(fen)組上建立無線(xian)網(wǎng)絡(luò)(luo)，能夠激(ji)活、刪除接入(ru)點，能(neng)夠?qū)P的(de)配置進(jìn)行編輯(ji)修改(gai)。

可指定管(guan)理員針對(dui)每個(ge)頁面(mian)的編(bian)輯或可(ke)查看(kan)權(quán)限，控制粒(li)度到(dao)控制器上(shang)的各(ge)個頁面，對某(mou)個頁面(mian)沒有讀權(quán)限則(ze)登錄(lu)時不顯示。

移動APP隨時隨地(di)運維管理：

支持跨互聯(lián)網(wǎng)(wang)運維(wei)管理

登陸APP進(jìn)行維(wei)護管理：不同管(guan)理員，不(bu)同權(quán)限

查看網(wǎng)絡(luò)運行(xing)情況：在線(xian)用戶、在線AP數(shù)量(liang)、實時流量

無線網(wǎng)絡(luò)(luo)管理維護：開(kai)啟關(guān)閉SSID、終(zhong)端綁定審(shen)批、二維碼(ma)上網(wǎng)(wang)審核

故障、審批實(shi)時通知：AP離線(xian)警告、服(fu)務(wù)器離線(xian)警告(gao)、網(wǎng)絡(luò)攻擊告警(jing)

方案(an)優(yōu)勢：

1、最豐(feng)富的無線安(an)全機制(zhi)，提供(gong)從安全接入到(dao)安全上網(wǎng)(wang)等端(duan)到端的安全(quan)策略

2、合理管控工作(zuo)人員(yuan)上網(wǎng)(wang)行為，提升(sheng)工作效率、防止(zhi)帶寬(kuan)浪費，有線(xian)無線雙重管控(kong)

3、為會議(yi)室，報(bao)告廳(ting)等人員密集(ji)區(qū)域接(jie)入網(wǎng)(wang)絡(luò)提高(gao)保證(zheng)，解決有(you)線網(wǎng)(wang)口不(bu)足的(de)問題；

4、為企業(yè)(ye)員工的(de)移動辦公提供(gong)支撐，內(nèi)部(bu)員工(gong)可通過無線(xian)網(wǎng)絡(luò)隨時安(an)全接入(ru)內(nèi)部(bu)網(wǎng)絡(luò)，實(shi)現(xiàn)辦公；

5、內(nèi)部員工(gong)賬號及個人信(xin)息綁定，便于安(an)全管理(li)；

6、內(nèi)部員工(gong)可通過(guo)自己的(de)辦公設(shè)備(bei)在企(qi)業(yè)大樓內(nèi)(nei)快速移動辦(ban)公，網(wǎng)絡(luò)接(jie)入更快速(su)，上網(wǎng)行為管理(li)系統(tǒng)(tong)對員工上(shang)網(wǎng)行為(wei)進(jìn)行審計與管(guan)控

7、來訪客(ke)戶接入企業(yè)(ye)網(wǎng)絡(luò)，可根據(jù)(ju)不同需(xu)求，分配不同的(de)上網(wǎng)權(quán)限，保(bao)證了接入的安(an)全性同時(shi)提升群(qun)眾上網(wǎng)的體(ti)驗

8、豐富(fu)的認(rèn)證機制，滿(man)足組織對(dui)無線網(wǎng)(wang)絡(luò)安全(quan)、快速接入(ru)

9、投資成(cheng)本低，通過(guo)部署無線控制(zhi)器替換原有網(wǎng)(wang)絡(luò)的出口路由(you)、行為管理(li)以及(ji)無線控制器