大型企(qi)業(yè)在無(wu)線網(wǎng)(wang)絡(luò)建設(shè)期(qi)間要充(chong)分考(kao)慮訪客（領(lǐng)導(dǎo)、客(ke)戶、合作伙伴(ban)）接入(ru)網(wǎng)絡(luò)(luo)的需求。首先(xian)從安全性(xing)考慮，訪(fang)客網(wǎng)絡(luò)必(bi)須要和辦公(gong)網(wǎng)絡(luò)分開，訪(fang)客網(wǎng)(wang)絡(luò)單獨(dú)(du)提供給訪(fang)客使用(yong)。從用戶體驗(yàn)角(jiao)度考(kao)慮，訪客(ke)接入網(wǎng)絡(luò)的驗(yàn)(yan)證方式(shi)一定要做到簡(jiǎn)(jian)單易行，繁瑣(suo)的驗(yàn)證方(fang)式會(huì)降(jiang)低訪客對(duì)企業(yè)(ye)的整體印象(xiang)。同時(shí)對(duì)于訪客(ke)網(wǎng)絡(luò)，企業(yè)還(hai)需要(yao)建立(li)完善的網(wǎng)絡(luò)(luo)安全管理機(jī)制(zhi)，避免由(you)于訪客的網(wǎng)絡(luò)(luo)不良訪問(wen)給企業(yè)帶(dai)來的法律(lv)風(fēng)險(xiǎn)(xian)。對(duì)于企(qi)業(yè)員工(gong)移動(dòng)辦公(gong)上網(wǎng)，更需要做(zuo)到可管控，上(shang)網(wǎng)行為做到(dao)可追溯，企業(yè)有(you)效的(de)帶寬資(zi)源得(de)到合(he)理的分配(pei)和保(bao)證，才能(neng)使企業(yè)的業(yè)(ye)務(wù)系統(tǒng)正常且(qie)穩(wěn)定(ding)高效地(di)運(yùn)行，同時(shí)保證(zheng)企業(yè)信(xin)息安(an)全，避免(mian)機(jī)密(mi)信息(xi)泄露。

存在的問題（用(yong)戶需求）

1、接入不安全：缺(que)乏安(an)全可靠的認(rèn)(ren)證機(jī)制，企業(yè)無(wu)線網(wǎng)絡(luò)接入不(bu)安全(quan)

2、上網(wǎng)權(quán)限(xian)混亂：缺乏有(you)效的控(kong)制策略(lve)，員工上網(wǎng)權(quán)(quan)限不分(fen)明

3、數(shù)據(jù)信息安全(quan)：缺乏有效的(de)數(shù)據(jù)加密機(jī)制(zhi)，企業(yè)數(shù)據(jù)被黑(hei)客竊取篡改

4、無線信號(hào)差(cha)：AP性能(neng)不佳，上(shang)網(wǎng)總掉線(xian)，點(diǎn)位規(guī)劃不合(he)理，信號(hào)盲區(qū)(qu)多

5、漫游效果(guo)差：不能實(shí)(shi)現(xiàn)二三層漫游(you)，移動(dòng)(dong)辦公時(shí)，業(yè)務(wù)中(zhong)斷

解決方案：

結(jié)合用戶無(wu)線網(wǎng)絡(luò)需(xu)求情況，結(jié)合(he)產(chǎn)品自身技(ji)術(shù)特點(diǎn)，為(wei)了滿足用(yong)戶構(gòu)建(jian)一個(gè)高(gao)速、穩(wěn)定(ding)、安全、可靠、易(yi)于管理(li)的無(wu)線接(jie)入網(wǎng)絡(luò)的需求(qiu)，本設(shè)計(jì)方案按(an)照AP+AC的結(jié)(jie)構(gòu)化無線網(wǎng)(wang)絡(luò)解決方(fang)案進(jìn)行設(shè)計(jì)(ji)。具體設(shè)(she)計(jì)為在(zai)總部設(shè)置總(zong)部AC,在(zai)大型分支機(jī)構(gòu)(gou)設(shè)置分(fen)支AC與分(fen)支AP，中(zhong)型分支機(jī)(ji)構(gòu)設(shè)計(jì)二(er)級(jí)，三級(jí)(ji)交換(huan)機(jī)，分(fen)支AP。小微型分(fen)支機(jī)構(gòu)(gou)直接設(shè)置分(fen)支AP。總部AC可以對(duì)(dui)大型分支機(jī)構(gòu)(gou)的AC進(jìn)行管(guan)理，當(dāng)網(wǎng)點(diǎn)控制(zhi)器采用(yong)集中(zhong)管理(li)的模式進(jìn)入(ru)到中心端(duan)控制器時(shí)，會(huì)自(zi)動(dòng)下載中心(xin)端的公共(gong)配置(zhi)，比如IP組(zu)、MAC地址庫(kù)、時(shí)(shi)間計(jì)劃、角(jiao)色授權(quán)、認(rèn)證頁(ye)面等 ?？?zong)部AC也可以(yi)直接管理中小(xiao)型分支(zhi)機(jī)構(gòu)的分(fen)支AP，實(shí)現(xiàn)統(tǒng)(tong)一管(guan)理。

方案設(shè)計(jì)(ji)：

安全無線(xian)整體(ti)解決方案：

接入前&接入(ru)時(shí)進(jìn)行身份(fen)認(rèn)證(zheng)、安全(quan)無線網(wǎng)卡(ka)、賬號(hào)綁定(ding)（硬件碼+手機(jī)(ji)號(hào)），非(fei)法熱(re)點(diǎn)檢測(cè)(ce)及防御、網(wǎng)(wang)絡(luò)攻(gong)擊防護(hù)、射頻定(ding)時(shí)關(guān)閉及安全(quan)加固。

接入后(hou)&上網(wǎng)時(shí)進(jìn)(jin)行訪問(wen)權(quán)限控制。

上網(wǎng)后進(jìn)行(xing)上網(wǎng)行為記(ji)錄。

上網(wǎng)用戶身份(fen)實(shí)名認(rèn)證(zheng)：

無線辦(ban)公網(wǎng)(wang)采用802.1X/Portal/WAPI認(rèn)(ren)證，外置AAA和RADIUS+AD用于(yu)存儲(chǔ)用(yong)戶賬號(hào)(hao)密碼。

每個(gè)賬號(hào)對(duì)應(yīng)(ying)一個(gè)員(yuan)工，包括姓名、部(bu)門、性別以及(ji)身份證(zheng)、手機(jī)(ji)號(hào)等個(gè)人信息(xi)，保證每個(gè)(ge)上網(wǎng)的賬號(hào)都(dou)是可尋的，便于(yu)安全管理(li)。

用戶輸入賬號(hào)(hao)密碼上網(wǎng)驗(yàn)(yan)證時(shí)均采用(yong)加密傳輸(shu)，防止黑(hei)客空中攔(lan)截，竊取賬號(hào)密(mi)碼等數(shù)(shu)據(jù)。

上網(wǎng)賬號(hào)自動(dòng)(dong)綁定終端：

自動(dòng)將賬號(hào)與(yu)終端的硬(ying)件特征碼(ma)進(jìn)行(xing)綁定，防(fang)止賬號(hào)被(bei)他人使(shi)用或者被盜用(yong)。

每臺(tái)設(shè)備的硬(ying)件特征(zheng)碼是(shi)唯一的(de)，無法(fa)通過軟(ruan)件修改。即使(shi)通過軟件修(xiu)改了仍然可(ke)以識(shí)(shi)別原始(shi)的。

每個(gè)賬號(hào)最多(duo)可以綁(bang)定5臺(tái)終端(duan)，超過(guo)1臺(tái)時(shí)需要(yao)管理員審核(he)。

上網(wǎng)賬號(hào)二(er)次綁定手機(jī)(ji)號(hào)碼：

賬號(hào)首次(ci)登陸時(shí)需要綁(bang)定手機(jī)號(hào)(hao)并輸入短(duan)信驗(yàn)(yan)證碼，當(dāng)用戶賬(zhang)號(hào)在(zai)新終端登陸時(shí)(shi)（換終端/被(bei)他用/被(bei)盜），不(bu)僅需(xu)要輸入密(mi)碼，還需(xu)要輸(shu)入短信驗(yàn)證(zheng)碼，解決(jue)員工賬(zhang)號(hào)認(rèn)證(zheng)的安全問題

綁定(ding)手機(jī)號(hào)碼的(de)用戶，可以自(zi)助重置密碼(ma)和修改密碼，無(wu)需通過IT管理(li)員。

用戶密碼管(guan)理及自(zi)助修改(gai)：

無需通過(guo)管理員(yuan)即可(ke)修改密(mi)碼，提高(gao)效率(lv)及減輕(qing)管理員工作(zuo)壓力。

通過口袋(dai)助理(li)、釘釘(ding)、企業(yè)號(hào)等(deng)手機(jī)MOA類APP軟件(jian)進(jìn)行無(wu)線密碼(ma)修改。

若賬號(hào)綁(bang)定了(le)手機(jī)號(hào)(hao)碼，可通過手(shou)機(jī)驗(yàn)證碼(ma)自助修(xiu)改。

上網(wǎng)終端合(he)法效驗(yàn)(yan)：

采用安全無線(xian)網(wǎng)卡(ka)接入無線網(wǎng)絡(luò)(luo)，終端(duan)與AP熱(re)點(diǎn)的雙(shuang)向驗(yàn)證，提高安(an)全性。

可以將無線(xian)網(wǎng)絡(luò)設(shè)置(zhi)為只有安(an)裝了安(an)全無線(xian)網(wǎng)卡的終(zhong)端才能接(jie)入無線網(wǎng)絡(luò)(luo)。

支持(chi)設(shè)置安全無(wu)線網(wǎng)卡(ka)只能連(lian)指定SSID無(wu)線網(wǎng)絡(luò)，無法(fa)連接非(fei)授權(quán)SSID。

網(wǎng)卡與AP數(shù)據(jù)(ju)傳輸時(shí)自(zi)動(dòng)進(jìn)行(xing)數(shù)據(jù)加(jia)密，保(bao)證無(wu)線的空口安全(quan)。

無線(xian)熱點(diǎn)(dian)掃描及(ji)非法熱點(diǎn)(dian)抑制：

背景：黑客在附(fu)近搭(da)建一個(gè)一模(mo)一樣或(huo)者類似的(de)WIFI名稱(cheng)，誘使用戶連(lian)到虛假(jia)釣魚WIFI上(shang)，黑客利用(yong)分析軟(ruan)件從(cong)用戶上(shang)網(wǎng)產(chǎn)生的數(shù)據(jù)(ju)包中分析(xi)提取用戶(hu)隱私信息。

我們通過WIPS無線(xian)入侵防御系(xi)統(tǒng)實(shí)時(shí)(shi)檢測(cè)周(zhou)圍無線信(xin)號(hào)，當(dāng)檢測(cè)出(chu)來的信號(hào)(hao)BSSID、且AP源MAC地址不(bu)在授權(quán)列表中(zhong)時(shí)，我們(men)向?qū)?yīng)的(de)AP和終端發(fā)送解(jie)除關(guān)聯(lián)(lian)幀，讓(rang)終端無法連(lian)上釣魚WIFI。7×24小(xiao)時(shí)不(bu)間斷監(jiān)測(cè)(ce)網(wǎng)絡(luò)。

上網(wǎng)行為嚴(yán)格(ge)控制：

強(qiáng)大的(de)管理(li)：通過應(yīng)用(yong)識(shí)別技(ji)術(shù)，可以根(gen)據(jù)應(yīng)用類(lei)型或者(zhe)具體(ti)某一(yi)種應(yīng)用(yong)進(jìn)行(xing)封堵，包括(kuo)視頻、論壇(tan)、游戲、金融、下載(zai)等2400多種(zhong)網(wǎng)絡(luò)應(yīng)(ying)用。

通過(guo)應(yīng)用識(shí)別技術(shù)(shu)，可以根(gen)據(jù)應(yīng)用(yong)類型或者具體(ti)某一種應(yīng)(ying)用進(jìn)行封堵，比(bi)如上班時(shí)(shi)間不允許(xu)炒股(gu)，不允許P2P下載(zai)，不允許(xu)外發(fā)敏(min)感文件等(deng)； 支持主流移動(dòng)(dong)平臺(tái)，可識(shí)別(bie)IM、社交、Mail、新(xin)聞、炒股(gu)等應(yīng)(ying)用。

無線控制(zhi)器內(nèi)置千(qian)萬級(jí)別的URL分(fen)類庫(kù)，能夠(gou)對(duì)URL進(jìn)行(xing)識(shí)別，包含新(xin)聞、購(gòu)物、金融(rong)、教育等18個(gè)(ge)種類的URL地(di)址； 準(zhǔn)確識(shí)別(bie)目前主流(liu)網(wǎng)站，識(shí)(shi)別率高達(dá)(da)99.9%，有效實(shí)現(xiàn)(xian)網(wǎng)頁過(guo)濾。例如(ru)禁止登陸(lu)非法網(wǎng)(wang)站

通過基于時(shí)間(jian)段的訪問控制(zhi)策略，實(shí)現(xiàn)(xian)不同的時(shí)間段(duan)不同(tong)的訪問權(quán)限(xian)，比如上(shang)班時(shí)(shi)間，禁止訪問(wen)網(wǎng)上銀行、游(you)戲、論壇貼(tie)吧等(deng)與工作無關(guān)(guan)的應(yīng)用，下班時(shí)(shi)間則(ze)不受限制。

辦公區(qū)域內(nèi)，不(bu)同辦公部門(men)總會(huì)有(you)各自專屬的(de)無線(xian)網(wǎng)絡(luò)，并(bing)且不希望部門(men)之外的成員(yuan)使用(yong)這個(gè)網(wǎng)(wang)絡(luò)。無(wu)線網(wǎng)(wang)絡(luò)控制器可以(yi)根據(jù)用戶(hu)的屬性，限制禁(jin)止非本(ben)部門的用(yong)戶接入。

典型無線網(wǎng)(wang)絡(luò)攻擊(ji)防護(hù)(hu)：

對(duì)典型(xing)的危險(xiǎn)攻擊(ji)行為進(jìn)(jin)行檢測(cè)，當(dāng)超(chao)過設(shè)定的閾(yu)值后自動(dòng)將(jiang)攻擊者加入到(dao)黑名單中(zhong)，并凍結(jié)一定(ding)時(shí)間，即時(shí)發(fā)現(xiàn)(xian)網(wǎng)絡(luò)攻(gong)擊并進(jìn)行(xing)防御。

檢測(cè)的攻擊包(bao)括：DDOS防御、ARP掃(sao)描、IP掃描(miao)、端口掃描防(fang)御，禁止(zhi)客戶端(duan)私設(shè)IP以及ARP、網(wǎng)(wang)關(guān)欺騙防(fang)御、DHCP請(qǐng)(qing)求泛(fan)洪防御。

無線射頻定(ding)時(shí)關(guān)(guan)閉開啟：

通過(guo)射頻(pin)關(guān)閉(bi)控制(zhi)策略，可(ke)以指定某(mou)SSID網(wǎng)絡(luò)(luo)，定時(shí)自(zi)動(dòng)關(guān)閉和開啟(qi)無線網(wǎng)絡(luò)(luo)的射頻信(xin)號(hào)，晚上下班后(hou)自動(dòng)關(guān)閉無(wu)線射頻信(xin)號(hào)。

一方(fang)面可以(yi)節(jié)能減排(pai)、節(jié)省電費(fèi)(fei)支出；另一(yi)方面(mian)又能(neng)防止非法用戶(hu)利用深(shen)夜時(shí)間入侵(qin)無線網(wǎng)絡(luò)(luo)，做一些(xie)非法的操(cao)作。

有線無線一體(ti)化管(guan)理：

NAC的有線無(wu)線一體化，支持(chi)對(duì)有線用戶(hu)的接(jie)入認(rèn)證(zheng)、訪問控(kong)制、流量管理、上(shang)網(wǎng)行為審計(jì)(ji)等，

并提供統(tǒng)一(yi)中文Web管理界面(mian)，一站式服務(wù)，極(ji)大的(de)降低網(wǎng)絡(luò)建設(shè)(she)成本。

網(wǎng)絡(luò)分(fen)權(quán)分級(jí)管(guan)理：

分配(pei)不同的(de)管理員(yuan)分別管(guan)理各自權(quán)限區(qū)(qu)域的無線AP，可以(yi)精細(xì)到(dao)對(duì)某(mou)AP分組有(you)管理權(quán)(quan)限，該管理(li)員可以(yi)在該AP分組(zu)上建立無線(xian)網(wǎng)絡(luò)，能(neng)夠激活、刪除(chu)接入點(diǎn)，能(neng)夠?qū)P的配置(zhi)進(jìn)行編(bian)輯修(xiu)改。

可指(zhi)定管理(li)員針(zhen)對(duì)每個(gè)(ge)頁面(mian)的編輯或可查(cha)看權(quán)(quan)限，控制粒度(du)到控制(zhi)器上的各(ge)個(gè)頁面，對(duì)(dui)某個(gè)頁面(mian)沒有讀(du)權(quán)限則登(deng)錄時(shí)不顯示。

移動(dòng)APP隨時(shí)(shi)隨地運(yùn)維管理(li)：

支持跨互聯(lián)網(wǎng)(wang)運(yùn)維管(guan)理

登陸APP進(jìn)行維(wei)護(hù)管(guan)理：不(bu)同管理員(yuan)，不同權(quán)限(xian)

查看網(wǎng)絡(luò)(luo)運(yùn)行情(qing)況：在線用戶、在(zai)線AP數(shù)量、實(shí)時(shí)(shi)流量

無線網(wǎng)絡(luò)(luo)管理維(wei)護(hù)：開啟關(guān)閉(bi)SSID、終端綁定審批(pi)、二維碼上網(wǎng)審(shen)核

故障、審批(pi)實(shí)時(shí)(shi)通知：AP離線(xian)警告、服務(wù)器(qi)離線警告、網(wǎng)絡(luò)(luo)攻擊告警

方案優(yōu)勢(shì)(shi)：

1、最豐富的無(wu)線安全機(jī)制(zhi)，提供(gong)從安(an)全接(jie)入到(dao)安全上(shang)網(wǎng)等(deng)端到(dao)端的安全策略(lve)

2、合理(li)管控工(gong)作人員(yuan)上網(wǎng)行為，提升(sheng)工作效(xiao)率、防止帶寬浪(lang)費(fèi)，有線無線(xian)雙重管(guan)控

3、為會(huì)議室，報(bào)(bao)告廳(ting)等人員(yuan)密集(ji)區(qū)域(yu)接入網(wǎng)絡(luò)提(ti)高保(bao)證，解決有線(xian)網(wǎng)口不足的(de)問題；

4、為企(qi)業(yè)員工的移(yi)動(dòng)辦公提供(gong)支撐，內(nèi)部員工(gong)可通過無線(xian)網(wǎng)絡(luò)隨(sui)時(shí)安(an)全接入內(nèi)部(bu)網(wǎng)絡(luò)，實(shí)現(xiàn)(xian)辦公(gong)；

5、內(nèi)部(bu)員工賬號(hào)(hao)及個(gè)人(ren)信息綁定(ding)，便于安全管理(li)；

6、內(nèi)部(bu)員工可通(tong)過自己的辦公(gong)設(shè)備(bei)在企業(yè)大樓內(nèi)(nei)快速移動(dòng)辦(ban)公，網(wǎng)絡(luò)接入(ru)更快速，上網(wǎng)(wang)行為管理(li)系統(tǒng)對(duì)員工(gong)上網(wǎng)行為進(jìn)(jin)行審計(jì)與管控(kong)

7、來訪客(ke)戶接入企(qi)業(yè)網(wǎng)(wang)絡(luò)，可根據(jù)不同(tong)需求，分配不同(tong)的上網(wǎng)權(quán)限，保(bao)證了(le)接入的安(an)全性同時(shí)提升(sheng)群眾上網(wǎng)(wang)的體驗(yàn)

8、豐富的認(rèn)(ren)證機(jī)制，滿足(zu)組織對(duì)無線網(wǎng)(wang)絡(luò)安全(quan)、快速(su)接入

9、投資成本低(di)，通過部署無(wu)線控制器(qi)替換原有(you)網(wǎng)絡(luò)的出口路(lu)由、行為管(guan)理以(yi)及無線控制器(qi)