大型企業(yè)在無(wu)線網(wǎng)絡(luò)(luo)建設(shè)期間(jian)要充分(fen)考慮訪客（領(lǐng)(ling)導(dǎo)、客(ke)戶、合(he)作伙伴）接(jie)入網(wǎng)絡(luò)(luo)的需求。首先(xian)從安全性考(kao)慮，訪客網(wǎng)絡(luò)(luo)必須要(yao)和辦(ban)公網(wǎng)絡(luò)分開(kai)，訪客(ke)網(wǎng)絡(luò)單獨提供(gong)給訪客使用。從(cong)用戶(hu)體驗(yan)角度考慮，訪(fang)客接(jie)入網(wǎng)絡(luò)的驗(yan)證方式一定要(yao)做到簡單易(yi)行，繁瑣的驗(yan)證方式會降(jiang)低訪客對企(qi)業(yè)的(de)整體印象。同時(shi)對于訪客(ke)網(wǎng)絡(luò)，企業(yè)還(hai)需要建立完善(shan)的網(wǎng)絡(luò)(luo)安全管理(li)機(jī)制，避免(mian)由于(yu)訪客的網(wǎng)絡(luò)(luo)不良訪問給企(qi)業(yè)帶來的(de)法律風(fēng)(feng)險。對于(yu)企業(yè)員工移動(dong)辦公上網(wǎng)，更需(xu)要做到(dao)可管控，上(shang)網(wǎng)行(xing)為做到可追溯(su)，企業(yè)有效的帶(dai)寬資源(yuan)得到合(he)理的分(fen)配和(he)保證，才能使企(qi)業(yè)的業(yè)務(wù)系(xi)統(tǒng)正常且穩(wěn)定(ding)高效地運行，同(tong)時保證企業(yè)信(xin)息安全，避免機(jī)(ji)密信息(xi)泄露(lu)。

存在(zai)的問題（用戶(hu)需求）

1、接入不安全：缺(que)乏安全(quan)可靠的認(rèn)(ren)證機(jī)制，企業(yè)無(wu)線網(wǎng)絡(luò)接入不(bu)安全

2、上網(wǎng)權(quán)(quan)限混亂(luan)：缺乏有效的(de)控制策略，員(yuan)工上網(wǎng)權(quán)(quan)限不分(fen)明

3、數(shù)據(jù)(ju)信息安全(quan)：缺乏有效的數(shù)(shu)據(jù)加(jia)密機(jī)制，企(qi)業(yè)數(shù)據(jù)被黑(hei)客竊(qie)取篡改

4、無線信號差：AP性(xing)能不(bu)佳，上網(wǎng)(wang)總掉線，點位(wei)規(guī)劃不合(he)理，信號盲區(qū)(qu)多

5、漫游效果差(cha)：不能實現(xiàn)二三(san)層漫游，移(yi)動辦(ban)公時，業(yè)(ye)務(wù)中斷(duan)

解決方案：

結(jié)合用戶(hu)無線網(wǎng)絡(luò)需(xu)求情況，結(jié)合(he)產(chǎn)品自身技(ji)術(shù)特點，為了(le)滿足用戶構(gòu)(gou)建一(yi)個高速、穩(wěn)定、安(an)全、可(ke)靠、易于管理(li)的無線接入網(wǎng)(wang)絡(luò)的需(xu)求，本設(shè)計(ji)方案(an)按照AP+AC的結(jié)構(gòu)(gou)化無(wu)線網(wǎng)(wang)絡(luò)解決方(fang)案進(jìn)行設(shè)(she)計。具體設(shè)(she)計為在總部(bu)設(shè)置總(zong)部AC,在大型分支(zhi)機(jī)構(gòu)設(shè)置分(fen)支AC與(yu)分支AP，中型(xing)分支機(jī)構(gòu)設(shè)計(ji)二級，三級交(jiao)換機(jī)，分支AP。小(xiao)微型分(fen)支機(jī)構(gòu)(gou)直接設(shè)(she)置分(fen)支AP。總部AC可以對(dui)大型分支機(jī)構(gòu)(gou)的AC進(jìn)行管(guan)理，當(dāng)網(wǎng)(wang)點控(kong)制器采用集中(zhong)管理的模式(shi)進(jìn)入到(dao)中心端(duan)控制(zhi)器時，會(hui)自動下載(zai)中心(xin)端的公共(gong)配置，比(bi)如IP組(zu)、MAC地址庫、時間計(ji)劃、角色授(shou)權(quán)、認(rèn)證(zheng)頁面等 ?？?zong)部AC也(ye)可以直接管理(li)中小型分支(zhi)機(jī)構(gòu)的分支(zhi)AP，實現(xiàn)統(tǒng)一管理(li)。

方案設(shè)(she)計：

安全無(wu)線整體解(jie)決方案：

接入(ru)前&接入時(shi)進(jìn)行(xing)身份認(rèn)證、安(an)全無線(xian)網(wǎng)卡(ka)、賬號(hao)綁定（硬件碼+手(shou)機(jī)號(hao)），非法熱(re)點檢測及防(fang)御、網(wǎng)絡(luò)攻(gong)擊防護(hù)、射頻(pin)定時關(guān)閉(bi)及安全加固。

接入(ru)后&上網(wǎng)時(shi)進(jìn)行訪問(wen)權(quán)限控制。

上網(wǎng)(wang)后進(jìn)行上網(wǎng)(wang)行為記(ji)錄。

上網(wǎng)用(yong)戶身份實(shi)名認(rèn)證：

無線辦(ban)公網(wǎng)采(cai)用802.1X/Portal/WAPI認(rèn)證，外置(zhi)AAA和RADIUS+AD用于存儲用(yong)戶賬號密碼。

每個(ge)賬號對應(yīng)一個(ge)員工，包括(kuo)姓名、部門、性(xing)別以及身份證(zheng)、手機(jī)號等個人(ren)信息，保證每(mei)個上(shang)網(wǎng)的賬(zhang)號都(dou)是可尋的，便于(yu)安全管理。

用戶輸(shu)入賬(zhang)號密碼(ma)上網(wǎng)驗證時均(jun)采用加密(mi)傳輸，防(fang)止黑客(ke)空中攔截，竊取(qu)賬號密碼等(deng)數(shù)據(jù)。

上網(wǎng)賬號(hao)自動綁(bang)定終端：

自動將賬(zhang)號與(yu)終端(duan)的硬件特征碼(ma)進(jìn)行綁定，防(fang)止賬號被他人(ren)使用(yong)或者被(bei)盜用。

每臺設(shè)(she)備的硬件(jian)特征碼(ma)是唯一的，無法(fa)通過軟(ruan)件修(xiu)改。即使通過軟(ruan)件修(xiu)改了仍(reng)然可以識別原(yuan)始的。

每個賬(zhang)號最(zui)多可以(yi)綁定5臺終(zhong)端，超過1臺時需(xu)要管理員(yuan)審核。

上網(wǎng)賬號二次(ci)綁定手機(jī)(ji)號碼：

賬號首次(ci)登陸時(shi)需要綁定手(shou)機(jī)號并(bing)輸入短信驗證(zheng)碼，當(dāng)(dang)用戶賬號在(zai)新終端登(deng)陸時（換終端/被(bei)他用/被盜(dao)），不僅需要輸入(ru)密碼，還(hai)需要輸入短信(xin)驗證碼(ma)，解決員工賬(zhang)號認(rèn)(ren)證的安全(quan)問題

綁定手(shou)機(jī)號碼的用戶(hu)，可以自助(zhu)重置密碼和(he)修改密碼，無需(xu)通過IT管理員(yuan)。

用戶密碼(ma)管理及(ji)自助修(xiu)改：

無需通(tong)過管理員即可(ke)修改密碼，提(ti)高效率及(ji)減輕管(guan)理員工作壓(ya)力。

通過口袋(dai)助理、釘釘(ding)、企業(yè)(ye)號等(deng)手機(jī)MOA類APP軟件(jian)進(jìn)行無線(xian)密碼修改(gai)。

若賬號綁定了(le)手機(jī)(ji)號碼，可通過(guo)手機(jī)驗證碼自(zi)助修改。

上網(wǎng)終端(duan)合法效(xiao)驗：

采用安全無(wu)線網(wǎng)卡接入無(wu)線網(wǎng)絡(luò)，終(zhong)端與AP熱(re)點的雙(shuang)向驗證，提(ti)高安全性。

可以將無(wu)線網(wǎng)絡(luò)設(shè)(she)置為(wei)只有(you)安裝(zhuang)了安全無線網(wǎng)(wang)卡的(de)終端才(cai)能接入(ru)無線網(wǎng)絡(luò)。

支持設(shè)置安全(quan)無線網(wǎng)卡只能(neng)連指定SSID無線網(wǎng)(wang)絡(luò)，無法(fa)連接非(fei)授權(quán)(quan)SSID。

網(wǎng)卡與AP數(shù)據(jù)傳(chuan)輸時自動(dong)進(jìn)行數(shù)據(jù)加密(mi)，保證無線的(de)空口安(an)全。

無線熱點掃描(miao)及非(fei)法熱點抑制(zhi)：

背景：黑客在(zai)附近搭(da)建一個一模(mo)一樣或(huo)者類(lei)似的(de)WIFI名稱，誘使用(yong)戶連到(dao)虛假(jia)釣魚WIFI上，黑客(ke)利用分析軟(ruan)件從用戶上網(wǎng)(wang)產(chǎn)生(sheng)的數(shù)據(jù)包中分(fen)析提取用戶隱(yin)私信息。

我們通(tong)過WIPS無線入侵(qin)防御系(xi)統(tǒng)實時(shi)檢測(ce)周圍無線信(xin)號，當(dāng)檢測出來(lai)的信號(hao)BSSID、且AP源(yuan)MAC地址不(bu)在授權(quán)列(lie)表中時(shi)，我們向(xiang)對應(yīng)的(de)AP和終端發(fā)送解(jie)除關(guān)聯(lián)(lian)幀，讓終端無(wu)法連(lian)上釣(diao)魚WIFI。7×24小時不間(jian)斷監(jiān)(jian)測網(wǎng)絡(luò)(luo)。

上網(wǎng)行為嚴(yán)(yan)格控制(zhi)：

強(qiáng)大的管理(li)：通過應(yīng)用識別(bie)技術(shù)，可以(yi)根據(jù)應(yīng)用類(lei)型或者(zhe)具體某一種(zhong)應(yīng)用進(jìn)行封(feng)堵，包括視頻、論(lun)壇、游(you)戲、金融、下(xia)載等2400多種(zhong)網(wǎng)絡(luò)(luo)應(yīng)用。

通過應(yīng)(ying)用識別技術(shù)，可(ke)以根據(jù)(ju)應(yīng)用類型或(huo)者具體某一(yi)種應(yīng)用進(jìn)(jin)行封堵，比如(ru)上班時間不允(yun)許炒股，不(bu)允許P2P下載，不(bu)允許外發(fā)(fa)敏感文件等； 支(zhi)持主流(liu)移動平臺(tai)，可識(shi)別IM、社交、Mail、新(xin)聞、炒股等應(yīng)用(yong)。

無線控制(zhi)器內(nèi)置千萬級(ji)別的URL分類(lei)庫，能夠?qū)?dui)URL進(jìn)行識別，包含(han)新聞、購物、金融(rong)、教育等18個(ge)種類的URL地(di)址； 準(zhǔn)(zhun)確識別目(mu)前主流網(wǎng)站(zhan)，識別率高達(dá)(da)99.9%，有效實現(xiàn)(xian)網(wǎng)頁過濾(lv)。例如禁止(zhi)登陸非(fei)法網(wǎng)站

通過(guo)基于時間段的(de)訪問控(kong)制策略，實(shi)現(xiàn)不(bu)同的時間(jian)段不同(tong)的訪問(wen)權(quán)限，比如上班(ban)時間(jian)，禁止(zhi)訪問網(wǎng)上銀(yin)行、游戲、論壇貼(tie)吧等與(yu)工作無關(guān)的(de)應(yīng)用，下班(ban)時間則不受限(xian)制。

辦公區(qū)域(yu)內(nèi)，不(bu)同辦公部(bu)門總會有(you)各自(zi)專屬(shu)的無(wu)線網(wǎng)絡(luò)，并(bing)且不希望部門(men)之外的(de)成員使(shi)用這個網(wǎng)絡(luò)(luo)。無線(xian)網(wǎng)絡(luò)控制器(qi)可以根(gen)據(jù)用戶(hu)的屬性，限(xian)制禁止(zhi)非本部(bu)門的(de)用戶接入。

典型(xing)無線網(wǎng)絡(luò)攻(gong)擊防護(hù)：

對典(dian)型的危險攻擊(ji)行為進(jìn)行檢測(ce)，當(dāng)超過設(shè)定(ding)的閾值后自(zi)動將攻(gong)擊者加入到黑(hei)名單中，并(bing)凍結(jié)一定(ding)時間，即時發(fā)現(xiàn)(xian)網(wǎng)絡(luò)攻(gong)擊并(bing)進(jìn)行防(fang)御。

檢測的(de)攻擊包括：DDOS防(fang)御、ARP掃描、IP掃(sao)描、端口掃(sao)描防御，禁止客(ke)戶端(duan)私設(shè)IP以(yi)及ARP、網(wǎng)關(guān)欺騙(pian)防御、DHCP請求泛(fan)洪防(fang)御。

無線射頻(pin)定時關(guān)(guan)閉開啟：

通過射頻關(guān)(guan)閉控制(zhi)策略(lve)，可以指定某(mou)SSID網(wǎng)絡(luò)，定時自動(dong)關(guān)閉和開啟無(wu)線網(wǎng)絡(luò)的射(she)頻信號(hao)，晚上下(xia)班后自動關(guān)(guan)閉無線射頻(pin)信號。

一方面可以(yi)節(jié)能減(jian)排、節(jié)省電費支(zhi)出；另(ling)一方面又(you)能防(fang)止非法用戶利(li)用深夜時(shi)間入侵(qin)無線網(wǎng)絡(luò)(luo)，做一些非法(fa)的操作。

有線無(wu)線一(yi)體化管理(li)：

NAC的有線無(wu)線一(yi)體化，支持對(dui)有線用戶(hu)的接(jie)入認(rèn)證、訪(fang)問控制(zhi)、流量管理、上網(wǎng)(wang)行為審計(ji)等，

并提供(gong)統(tǒng)一中(zhong)文Web管理界面，一(yi)站式(shi)服務(wù)(wu)，極大的(de)降低網(wǎng)絡(luò)(luo)建設(shè)成本。

網(wǎng)絡(luò)(luo)分權(quán)(quan)分級(ji)管理：

分配不(bu)同的管理(li)員分別(bie)管理(li)各自權(quán)限(xian)區(qū)域(yu)的無線AP，可以(yi)精細(xì)到對某(mou)AP分組有(you)管理權(quán)限，該管(guan)理員可以在(zai)該AP分組(zu)上建立無線(xian)網(wǎng)絡(luò)，能(neng)夠激活、刪(shan)除接入點(dian)，能夠?qū)P的配(pei)置進(jìn)行(xing)編輯修(xiu)改。

可指定管理(li)員針(zhen)對每(mei)個頁面的(de)編輯或(huo)可查看權(quán)(quan)限，控制粒度到(dao)控制器上的(de)各個頁面，對某(mou)個頁(ye)面沒有讀權(quán)(quan)限則登錄時(shi)不顯示(shi)。

移動APP隨時隨(sui)地運維管(guan)理：

支持(chi)跨互(hu)聯(lián)網(wǎng)運維(wei)管理

登陸APP進(jìn)行(xing)維護(hù)管理：不(bu)同管理員，不同(tong)權(quán)限

查看網(wǎng)絡(luò)(luo)運行情況：在線(xian)用戶、在(zai)線AP數(shù)量、實時(shi)流量

無線網(wǎng)(wang)絡(luò)管理維(wei)護(hù)：開啟關(guān)(guan)閉SSID、終端(duan)綁定審批、二維(wei)碼上網(wǎng)審核(he)

故障、審批實(shi)時通知(zhi)：AP離線(xian)警告、服務(wù)(wu)器離線(xian)警告(gao)、網(wǎng)絡(luò)攻擊(ji)告警

方案優(yōu)勢：

1、最豐富的無線(xian)安全機(jī)制，提供(gong)從安全接入到(dao)安全(quan)上網(wǎng)等(deng)端到端的安全(quan)策略(lve)

2、合理管控工(gong)作人(ren)員上網(wǎng)(wang)行為，提(ti)升工作效(xiao)率、防止(zhi)帶寬浪費(fei)，有線無(wu)線雙重管(guan)控

3、為會議室，報(bao)告廳等人(ren)員密集區(qū)域接(jie)入網(wǎng)絡(luò)提(ti)高保(bao)證，解決有線網(wǎng)(wang)口不足的問題(ti)；

4、為企業(yè)員(yuan)工的移動辦(ban)公提(ti)供支(zhi)撐，內(nèi)(nei)部員工可通(tong)過無線網(wǎng)(wang)絡(luò)隨(sui)時安全接入內(nèi)(nei)部網(wǎng)絡(luò)，實現(xiàn)辦(ban)公；

5、內(nèi)部員工賬號(hao)及個(ge)人信息綁(bang)定，便于安全(quan)管理；

6、內(nèi)部(bu)員工(gong)可通過自己(ji)的辦公設(shè)備在(zai)企業(yè)大樓內(nèi)快(kuai)速移(yi)動辦(ban)公，網(wǎng)絡(luò)(luo)接入更快速，上(shang)網(wǎng)行(xing)為管(guan)理系統(tǒng)(tong)對員工上網(wǎng)(wang)行為進(jìn)行(xing)審計與管控(kong)

7、來訪(fang)客戶接入(ru)企業(yè)網(wǎng)絡(luò)，可(ke)根據(jù)不同需求(qiu)，分配不同的(de)上網(wǎng)權(quán)(quan)限，保證(zheng)了接入的安(an)全性同(tong)時提升(sheng)群眾上網(wǎng)的體(ti)驗

8、豐富(fu)的認(rèn)(ren)證機(jī)制，滿足(zu)組織(zhi)對無線網(wǎng)絡(luò)(luo)安全(quan)、快速接(jie)入

9、投資成本低(di)，通過部署(shu)無線控制器替(ti)換原(yuan)有網(wǎng)絡(luò)的(de)出口路由、行為(wei)管理以及(ji)無線控制器(qi)