?
大型(xing)企業(yè)(ye)在無線(xian)網(wǎng)絡(luò)建設(shè)期間(jian)要充分考慮(lv)訪客(領(lǐng)導(dǎo)(dao)����、客戶、合作伙伴(ban))接入網(wǎng)絡(luò)的(de)需求。首先(xian)從安全性(xing)考慮,訪(fang)客網(wǎng)絡(luò)必(bi)須要和辦公網(wǎng)(wang)絡(luò)分開(kai)����,訪客網(wǎng)(wang)絡(luò)單獨(dú)提(ti)供給(gei)訪客使用(yong)����。從用(yong)戶體驗(yàn)角度考(kao)慮����,訪客接入(ru)網(wǎng)絡(luò)的驗(yàn)(yan)證方式(shi)一定要做到簡(jian)單易行(xing),繁瑣的(de)驗(yàn)證方式會(hui)降低訪客(ke)對企業(yè)的(de)整體印(yin)象����。同時(shí)對(dui)于訪客網(wǎng)(wang)絡(luò),企業(yè)(ye)還需要建(jian)立完善的網(wǎng)(wang)絡(luò)安全管(guan)理機(jī)(ji)制����,避免由(you)于訪客的網(wǎng)絡(luò)(luo)不良訪問(wen)給企業(yè)(ye)帶來的法律風(fēng)(feng)險(xiǎn)。對于企(qi)業(yè)員工移動(dòng)(dong)辦公上網(wǎng),更(geng)需要做(zuo)到可管控(kong)����,上網(wǎng)行為做(zuo)到可(ke)追溯,企(qi)業(yè)有效的(de)帶寬資源得(de)到合理(li)的分配(pei)和保證(zheng)����,才能使(shi)企業(yè)(ye)的業(yè)務(wù)系統(tǒng)正(zheng)常且(qie)穩(wěn)定(ding)高效地(di)運(yùn)行,同時(shí)保證(zheng)企業(yè)(ye)信息安(an)全����,避免機(jī)密信(xin)息泄露。
存在的問題(ti)(用戶需求)
1����、接入不安全:缺(que)乏安(an)全可靠的(de)認(rèn)證機(jī)(ji)制,企業(yè)無線(xian)網(wǎng)絡(luò)接(jie)入不安全(quan)
2����、上網(wǎng)(wang)權(quán)限混亂(luan):缺乏(fa)有效的控制策(ce)略,員工上網(wǎng)權(quán)(quan)限不分明(ming)
3����、數(shù)據(jù)信息安(an)全:缺乏(fa)有效的(de)數(shù)據(jù)加密(mi)機(jī)制,企業(yè)數(shù)(shu)據(jù)被(bei)黑客(ke)竊取篡改
4����、無線信號(hao)差:AP性能(neng)不佳����,上網(wǎng)(wang)總掉線����,點(diǎn)位(wei)規(guī)劃不合理(li),信號盲區(qū)多(duo)
5����、漫游(you)效果差(cha):不能實(shí)現(xiàn)(xian)二三層(ceng)漫游(you),移動(dòng)辦公時(shí)(shi)����,業(yè)務(wù)中斷(duan)
解決方(fang)案:
結(jié)合(he)用戶無線(xian)網(wǎng)絡(luò)需求(qiu)情況,結(jié)合(he)產(chǎn)品自身技術(shù)(shu)特點(diǎn)����,為了滿足(zu)用戶構(gòu)建一個(gè)(ge)高速����、穩(wěn)定、安全(quan)����、可靠����、易于(yu)管理的無線(xian)接入(ru)網(wǎng)絡(luò)的(de)需求����,本(ben)設(shè)計(jì)(ji)方案按照(zhao)AP+AC的結(jié)構(gòu)化無線(xian)網(wǎng)絡(luò)解決方案(an)進(jìn)行(xing)設(shè)計(jì)。具體設(shè)(she)計(jì)為在總部設(shè)(she)置總部AC,在大(da)型分支機(jī)構(gòu)(gou)設(shè)置分支AC與(yu)分支AP����,中型分(fen)支機(jī)(ji)構(gòu)設(shè)(she)計(jì)二(er)級,三級(ji)交換機(jī)����,分支(zhi)AP。小微型分支機(jī)(ji)構(gòu)直接設(shè)置(zhi)分支(zhi)AP����。總部AC可以對大(da)型分(fen)支機(jī)構(gòu)(gou)的AC進(jìn)(jin)行管理(li)����,當(dāng)網(wǎng)點(diǎn)(dian)控制器采(cai)用集(ji)中管理的(de)模式進(jìn)入到中(zhong)心端控制(zhi)器時(shí),會自(zi)動(dòng)下(xia)載中心端的(de)公共配置����,比(bi)如IP組����、MAC地址庫(ku)����、時(shí)間計(jì)劃、角色(se)授權(quán)����、認(rèn)證頁(ye)面等 ?���?偛緼C也(ye)可以直接管(guan)理中小型分(fen)支機(jī)構(gòu)(gou)的分支AP,實(shí)現(xiàn)統(tǒng)(tong)一管理����。
方案(an)設(shè)計(jì):
安全無(wu)線整體(ti)解決方(fang)案:
接入前&接(jie)入時(shí)進(jìn)行身(shen)份認(rèn)(ren)證、安全無(wu)線網(wǎng)卡(ka)����、賬號綁定(硬(ying)件碼+手機(jī)號(hao))����,非法熱點(diǎn)(dian)檢測及防御����、網(wǎng)(wang)絡(luò)攻(gong)擊防(fang)護(hù)����、射頻定時(shí)(shi)關(guān)閉及安全加(jia)固。
接入后(hou)&上網(wǎng)時(shí)進(jìn)行(xing)訪問權(quán)(quan)限控制����。
上網(wǎng)后進(jìn)(jin)行上網(wǎng)行為(wei)記錄。
上網(wǎng)(wang)用戶(hu)身份實(shí)名認(rèn)(ren)證:
無線辦公網(wǎng)采(cai)用802.1X/Portal/WAPI認(rèn)證����,外(wai)置AAA和RADIUS+AD用(yong)于存儲(chu)用戶(hu)賬號密碼。
每個(gè)賬(zhang)號對應(yīng)一(yi)個(gè)員工(gong)����,包括姓名、部(bu)門����、性別以及(ji)身份證、手機(jī)(ji)號等(deng)個(gè)人信息(xi)����,保證(zheng)每個(gè)上網(wǎng)(wang)的賬號(hao)都是可(ke)尋的����,便于安全(quan)管理����。
用戶輸入賬(zhang)號密碼上(shang)網(wǎng)驗(yàn)證(zheng)時(shí)均采用(yong)加密傳(chuan)輸,防止黑客空(kong)中攔截����,竊取(qu)賬號密碼等(deng)數(shù)據(jù)(ju)。
上網(wǎng)賬號(hao)自動(dòng)綁定終端(duan):
自動(dòng)將(jiang)賬號與(yu)終端的硬(ying)件特征(zheng)碼進(jìn)行綁定����,防(fang)止賬號被他(ta)人使用或者(zhe)被盜用(yong)。
每臺設(shè)備的(de)硬件特(te)征碼(ma)是唯一的����,無(wu)法通(tong)過軟件修(xiu)改。即使(shi)通過軟(ruan)件修改了仍然(ran)可以識別(bie)原始的����。
每個(gè)賬(zhang)號最多可(ke)以綁定(ding)5臺終端(duan),超過1臺(tai)時(shí)需(xu)要管理員審(shen)核。
上網(wǎng)賬號二次(ci)綁定(ding)手機(jī)號碼:
賬號首次登(deng)陸時(shí)需要綁定(ding)手機(jī)號并輸入(ru)短信驗(yàn)證碼(ma)����,當(dāng)用戶賬(zhang)號在新終(zhong)端登陸(lu)時(shí)(換終端/被他(ta)用/被盜)����,不僅需(xu)要輸入密碼(ma),還需(xu)要輸入(ru)短信驗(yàn)證(zheng)碼����,解決員(yuan)工賬號認(rèn)證的(de)安全問題(ti)
綁定手機(jī)(ji)號碼的用戶(hu),可以自助重置(zhi)密碼和修改(gai)密碼����,無(wu)需通過(guo)IT管理員。
用戶密碼(ma)管理及自助修(xiu)改:
無需(xu)通過管理員(yuan)即可修(xiu)改密碼(ma)����,提高效率及(ji)減輕管理員(yuan)工作壓(ya)力。
通過口袋助(zhu)理����、釘釘(ding)、企業(yè)(ye)號等手機(jī)MOA類(lei)APP軟件進(jìn)行(xing)無線密碼(ma)修改(gai)����。
若賬號綁(bang)定了(le)手機(jī)號碼����,可(ke)通過(guo)手機(jī)驗(yàn)證碼(ma)自助修(xiu)改����。
上網(wǎng)終端(duan)合法(fa)效驗(yàn):
采用安(an)全無線網(wǎng)(wang)卡接(jie)入無線(xian)網(wǎng)絡(luò),終端與(yu)AP熱點(diǎn)的雙向驗(yàn)(yan)證����,提高(gao)安全性。
可以將(jiang)無線網(wǎng)絡(luò)設(shè)(she)置為(wei)只有安(an)裝了安全無(wu)線網(wǎng)(wang)卡的終端(duan)才能接入無(wu)線網(wǎng)絡(luò)����。
支持設(shè)置安全(quan)無線網(wǎng)卡只能(neng)連指(zhi)定SSID無線網(wǎng)絡(luò)(luo),無法連接非授(shou)權(quán)SSID����。
網(wǎng)卡與AP數(shù)據(jù)(ju)傳輸時(shí)自動(dòng)進(jìn)(jin)行數(shù)(shu)據(jù)加密,保證無(wu)線的空(kong)口安全����。
無線熱點(diǎn)掃描(miao)及非法熱點(diǎn)抑(yi)制:
背景(jing):黑客在附近搭(da)建一個(gè)一模一(yi)樣或者(zhe)類似(shi)的WIFI名稱,誘使用(yong)戶連(lian)到虛(xu)假釣魚(yu)WIFI上����,黑客利用分(fen)析軟件(jian)從用(yong)戶上網(wǎng)產(chǎn)生(sheng)的數(shù)(shu)據(jù)包中分析(xi)提取(qu)用戶隱私信息(xi)����。
我們通過(guo)WIPS無線入侵(qin)防御系統(tǒng)實(shí)(shi)時(shí)檢測周圍無(wu)線信號����,當(dāng)檢測(ce)出來的信號(hao)BSSID����、且AP源MAC地址不在(zai)授權(quán)列(lie)表中時(shí),我們(men)向?qū)?yīng)的(de)AP和終(zhong)端發(fā)送解除(chu)關(guān)聯(lián)幀����,讓終(zhong)端無(wu)法連上釣魚(yu)WIFI。7×24小時(shí)(shi)不間斷監(jiān)測網(wǎng)(wang)絡(luò)����。
上網(wǎng)行(xing)為嚴(yán)格控制(zhi):
強(qiáng)大的(de)管理:通過應(yīng)(ying)用識別技(ji)術(shù),可以根(gen)據(jù)應(yīng)用類型(xing)或者具體(ti)某一種應(yīng)用進(jìn)(jin)行封(feng)堵����,包括(kuo)視頻(pin)、論壇����、游(you)戲����、金融(rong)����、下載等2400多種網(wǎng)(wang)絡(luò)應(yīng)用(yong)。
通過應(yīng)用識別(bie)技術(shù)����,可以根據(jù)(ju)應(yīng)用類型或(huo)者具體某一(yi)種應(yīng)用進(jìn)行封(feng)堵,比如(ru)上班時(shí)(shi)間不允(yun)許炒(chao)股����,不允許P2P下(xia)載,不允許(xu)外發(fā)敏感(gan)文件等(deng)����; 支持主(zhu)流移動(dòng)(dong)平臺(tai),可識別IM����、社(she)交、Mail����、新聞����、炒股(gu)等應(yīng)用����。
無線(xian)控制器內(nèi)置(zhi)千萬級別的URL分(fen)類庫(ku),能夠?qū)?dui)URL進(jìn)行識(shi)別����,包含新(xin)聞����、購(gou)物、金融����、教育等(deng)18個(gè)種類的URL地址(zhi); 準(zhǔn)確識別(bie)目前主流(liu)網(wǎng)站����,識(shi)別率高達(dá)99.9%,有效(xiao)實(shí)現(xiàn)(xian)網(wǎng)頁過濾����。例如(ru)禁止登(deng)陸非法(fa)網(wǎng)站
通過(guo)基于時(shí)(shi)間段的訪問控(kong)制策略����,實(shí)(shi)現(xiàn)不同的時(shí)(shi)間段不同的(de)訪問權(quán)限����,比(bi)如上班時(shí)(shi)間,禁止訪問網(wǎng)(wang)上銀行����、游(you)戲、論壇貼(tie)吧等與工作無(wu)關(guān)的應(yīng)用(yong)����,下班時(shí)間則不(bu)受限制。
辦公區(qū)域內(nèi)����,不(bu)同辦(ban)公部(bu)門總(zong)會有各自專(zhuan)屬的(de)無線網(wǎng)絡(luò)(luo),并且不希望(wang)部門(men)之外的(de)成員使用(yong)這個(gè)網(wǎng)(wang)絡(luò)����。無線網(wǎng)(wang)絡(luò)控制器可以(yi)根據(jù)(ju)用戶的屬性(xing),限制禁止非本(ben)部門的(de)用戶接(jie)入����。
典型無線網(wǎng)(wang)絡(luò)攻(gong)擊防護(hù)(hu):
對典(dian)型的危險(xiǎn)攻(gong)擊行為(wei)進(jìn)行(xing)檢測����,當(dāng)超過(guo)設(shè)定(ding)的閾值后自(zi)動(dòng)將攻(gong)擊者加入(ru)到黑名單中(zhong)����,并凍結(jié)一定時(shí)(shi)間,即時(shí)發(fā)現(xiàn)網(wǎng)(wang)絡(luò)攻(gong)擊并進(jìn)行防(fang)御����。
檢測的攻擊(ji)包括:DDOS防御、ARP掃描(miao)����、IP掃描(miao)����、端口掃(sao)描防御,禁(jin)止客戶端(duan)私設(shè)IP以(yi)及ARP����、網(wǎng)關(guān)欺騙(pian)防御、DHCP請求泛(fan)洪防(fang)御����。
無線射頻(pin)定時(shí)關(guān)閉開啟(qi):
通過射頻關(guān)閉(bi)控制策(ce)略����,可以指定(ding)某SSID網(wǎng)絡(luò)(luo)����,定時(shí)自動(dòng)關(guān)(guan)閉和開啟無(wu)線網(wǎng)絡(luò)的(de)射頻信號,晚(wan)上下班后(hou)自動(dòng)關(guān)閉無(wu)線射頻(pin)信號����。
一方面可(ke)以節(jié)能減(jian)排、節(jié)省電(dian)費(fèi)支出����;另一方(fang)面又能防(fang)止非法用戶利(li)用深夜(ye)時(shí)間(jian)入侵無線(xian)網(wǎng)絡(luò),做一些非(fei)法的操作����。
有線(xian)無線(xian)一體化(hua)管理:
NAC的有線無線一(yi)體化,支持(chi)對有(you)線用戶的接(jie)入認(rèn)證����、訪(fang)問控制、流(liu)量管理(li)����、上網(wǎng)(wang)行為審(shen)計(jì)等����,
并提供統(tǒng)一(yi)中文Web管理(li)界面(mian)����,一站(zhan)式服務(wù),極大的(de)降低(di)網(wǎng)絡(luò)建設(shè)成本(ben)����。
網(wǎng)絡(luò)分權(quán)分級(ji)管理(li):
分配(pei)不同(tong)的管理員分別(bie)管理各(ge)自權(quán)限區(qū)域的(de)無線(xian)AP,可以精(jing)細(xì)到對某AP分組(zu)有管(guan)理權(quán)限����,該(gai)管理員(yuan)可以在該AP分(fen)組上建(jian)立無線網(wǎng)絡(luò),能(neng)夠激(ji)活����、刪除接入點(diǎn)(dian)����,能夠?qū)P的配置(zhi)進(jìn)行(xing)編輯修改。
可指定管理(li)員針對每(mei)個(gè)頁(ye)面的編輯或可(ke)查看(kan)權(quán)限����,控制(zhi)粒度到控制(zhi)器上的各個(gè)(ge)頁面(mian)����,對某個(gè)頁面沒(mei)有讀權(quán)限(xian)則登錄時(shí)不(bu)顯示����。
移動(dòng)APP隨時(shí)隨(sui)地運(yùn)維管(guan)理:
支持跨互聯(lián)網(wǎng)(wang)運(yùn)維(wei)管理
登陸APP進(jìn)行維(wei)護(hù)管理(li):不同(tong)管理員,不同(tong)權(quán)限(xian)
查看網(wǎng)(wang)絡(luò)運(yùn)行情況:在(zai)線用戶����、在線AP數(shù)(shu)量、實(shí)時(shí)流(liu)量
無線網(wǎng)(wang)絡(luò)管理維(wei)護(hù):開啟關(guān)閉SSID����、終(zhong)端綁定審批(pi)、二維(wei)碼上網(wǎng)審核
故障����、審批實(shí)(shi)時(shí)通知:AP離(li)線警告、服(fu)務(wù)器離線(xian)警告����、網(wǎng)絡(luò)攻擊(ji)告警
方案(an)優(yōu)勢:
1、最豐富的無(wu)線安全機(jī)(ji)制,提供從安全(quan)接入到安全上(shang)網(wǎng)等(deng)端到端(duan)的安全策略
2����、合理管控(kong)工作人員(yuan)上網(wǎng)行為(wei),提升工作效(xiao)率����、防止帶寬浪(lang)費(fèi),有線無線雙(shuang)重管控
3����、為會(hui)議室,報(bào)告廳等(deng)人員密集區(qū)域(yu)接入(ru)網(wǎng)絡(luò)提高保(bao)證����,解決有線(xian)網(wǎng)口(kou)不足的問題;
4����、為企業(yè)員工的(de)移動(dòng)(dong)辦公提供支撐(cheng),內(nèi)部員(yuan)工可(ke)通過無線(xian)網(wǎng)絡(luò)隨時(shí)安全(quan)接入內(nèi)部(bu)網(wǎng)絡(luò)(luo)����,實(shí)現(xiàn)辦公;
5����、內(nèi)部員工(gong)賬號及個(gè)人信(xin)息綁定,便于安(an)全管(guan)理����;
6、內(nèi)部員工可(ke)通過自己的(de)辦公設(shè)備在企(qi)業(yè)大樓內(nèi)快速(su)移動(dòng)(dong)辦公����,網(wǎng)絡(luò)(luo)接入更(geng)快速,上網(wǎng)(wang)行為管理系統(tǒng)(tong)對員工上網(wǎng)行(xing)為進(jìn)行(xing)審計(jì)與管控(kong)
7����、來訪客(ke)戶接入企(qi)業(yè)網(wǎng)絡(luò)(luo),可根據(jù)不同需(xu)求����,分配(pei)不同(tong)的上網(wǎng)權(quán)限,保(bao)證了接(jie)入的(de)安全性同時(shí)(shi)提升(sheng)群眾上網(wǎng)的體(ti)驗(yàn)
8����、豐富的認(rèn)(ren)證機(jī)制,滿足(zu)組織對無線(xian)網(wǎng)絡(luò)安(an)全����、快速接入(ru)
9、投資成(cheng)本低,通過(guo)部署(shu)無線控制(zhi)器替(ti)換原有網(wǎng)絡(luò)(luo)的出口路由����、行(xing)為管理(li)以及無線控制(zhi)器
