?
大型企(qi)業(yè)在無線網(wǎng)絡(luo)建設期間要(yao)充分考(kao)慮訪客(領導、客(ke)戶��、合(he)作伙伴)接入(ru)網(wǎng)絡的需求。首(shou)先從(cong)安全(quan)性考(kao)慮�,訪(fang)客網(wǎng)絡必(bi)須要(yao)和辦公網(wǎng)絡分(fen)開���,訪客網(wǎng)絡(luo)單獨提供給訪(fang)客使用。從用戶(hu)體驗角度(du)考慮���,訪客(ke)接入(ru)網(wǎng)絡的驗證方(fang)式一定要(yao)做到簡單易行(xing)����,繁瑣的驗證方(fang)式會降低訪客(ke)對企業(yè)的整體(ti)印象�。同時對(dui)于訪客網(wǎng)絡�����,企(qi)業(yè)還需要建(jian)立完善的(de)網(wǎng)絡(luo)安全管理機(ji)制��,避免(mian)由于訪(fang)客的網(wǎng)(wang)絡不良訪(fang)問給企業(yè)帶來(lai)的法律風險(xian)����。對于企業(yè)員(yuan)工移(yi)動辦公上網(wǎng)(wang)�,更需要(yao)做到可(ke)管控,上(shang)網(wǎng)行為(wei)做到可追溯(su)���,企業(yè)有效的帶(dai)寬資源得到(dao)合理的分配和(he)保證��,才(cai)能使(shi)企業(yè)(ye)的業(yè)務系統(tǒng)正(zheng)常且穩(wěn)定(ding)高效地運行(xing)����,同時保(bao)證企(qi)業(yè)信息(xi)安全(quan)�,避免機密信息(xi)泄露。
存在(zai)的問題(用戶(hu)需求)
1�����、接入(ru)不安全(quan):缺乏安全可(ke)靠的認證機(ji)制,企(qi)業(yè)無線網(wǎng)絡(luo)接入(ru)不安全(quan)
2��、上網(wǎng)權(quán)(quan)限混亂:缺乏(fa)有效的(de)控制策略�,員(yuan)工上(shang)網(wǎng)權(quán)限不分(fen)明
3、數(shù)據(jù)信(xin)息安全:缺(que)乏有效的數(shù)據(jù)(ju)加密機(ji)制��,企業(yè)數(shù)(shu)據(jù)被黑(hei)客竊(qie)取篡(cuan)改
4�、無線信號(hao)差:AP性(xing)能不佳(jia)���,上網(wǎng)總(zong)掉線���,點位規(guī)劃(hua)不合(he)理,信(xin)號盲區(qū)多
5����、漫游(you)效果差:不能實(shi)現(xiàn)二三層漫游(you),移動辦(ban)公時��,業(yè)務中斷(duan)
解決方案(an):
結(jié)合用(yong)戶無線(xian)網(wǎng)絡需求情況(kuang)�����,結(jié)合產(chǎn)(chan)品自(zi)身技術(shù)特(te)點�,為了滿(man)足用(yong)戶構(gòu)建一個高(gao)速、穩(wěn)(wen)定、安全��、可(ke)靠���、易于管(guan)理的無線接入(ru)網(wǎng)絡的需求���,本(ben)設計方(fang)案按照(zhao)AP+AC的結(jié)構(gòu)化無線(xian)網(wǎng)絡解決(jue)方案進行(xing)設計。具體設計(ji)為在(zai)總部設置總部(bu)AC,在大型分支機(ji)構(gòu)設置分支AC與(yu)分支AP�,中型分支(zhi)機構(gòu)設計(ji)二級,三級交換(huan)機���,分支AP��。小(xiao)微型分(fen)支機構(gòu)直接設(she)置分支AP�����?�??zong)部AC可以對大型(xing)分支機(ji)構(gòu)的AC進(jin)行管理�����,當網(wǎng)點(dian)控制(zhi)器采(cai)用集中管理的(de)模式(shi)進入到(dao)中心端控制器(qi)時�,會自(zi)動下載中心(xin)端的公共(gong)配置,比(bi)如IP組���、MAC地址庫(ku)���、時間計劃(hua)、角色(se)授權(quán)���、認證頁(ye)面等 ��。總(zong)部AC也(ye)可以直接管理(li)中小型分支機(ji)構(gòu)的(de)分支AP�����,實(shi)現(xiàn)統(tǒng)一(yi)管理���。
方案設(she)計:
安全無(wu)線整(zheng)體解決方案(an):
接入(ru)前&接入時(shi)進行身(shen)份認證�����、安全(quan)無線網(wǎng)卡(ka)����、賬號綁定(硬件(jian)碼+手(shou)機號),非法(fa)熱點(dian)檢測及防御����、網(wǎng)(wang)絡攻擊防護(hu)、射頻定時關(guān)閉(bi)及安(an)全加固(gu)���。
接入后(hou)&上網(wǎng)時進(jin)行訪問(wen)權(quán)限控制����。
上網(wǎng)后進行(xing)上網(wǎng)行為記(ji)錄����。
上網(wǎng)用戶身份(fen)實名認證:
無線辦公(gong)網(wǎng)采用802.1X/Portal/WAPI認證,外(wai)置AAA和RADIUS+AD用于存(cun)儲用戶賬(zhang)號密碼�。
每個賬號對應(ying)一個(ge)員工,包括(kuo)姓名����、部(bu)門、性別以及(ji)身份證���、手機(ji)號等個人(ren)信息��,保(bao)證每個上網(wǎng)(wang)的賬號都是可(ke)尋的(de)��,便于安全管(guan)理���。
用戶輸(shu)入賬(zhang)號密碼(ma)上網(wǎng)驗證時均(jun)采用加(jia)密傳輸�����,防止(zhi)黑客(ke)空中攔截�����,竊(qie)取賬號(hao)密碼等數(shù)(shu)據(jù)����。
上網(wǎng)賬號自(zi)動綁定終端:
自動將賬(zhang)號與終端的硬(ying)件特(te)征碼(ma)進行綁定�����,防止(zhi)賬號(hao)被他人使用或(huo)者被盜用�。
每臺(tai)設備的硬件(jian)特征(zheng)碼是(shi)唯一的�,無(wu)法通過軟(ruan)件修改。即使通(tong)過軟(ruan)件修改了(le)仍然可以(yi)識別原始的�。
每個賬號最(zui)多可以綁定(ding)5臺終端,超過(guo)1臺時需要管理(li)員審核(he)�����。
上網(wǎng)賬號二次(ci)綁定(ding)手機號碼(ma):
賬號首(shou)次登陸時需(xu)要綁定(ding)手機(ji)號并輸(shu)入短信(xin)驗證碼,當(dang)用戶賬號在(zai)新終端登陸時(shi)(換終端(duan)/被他用/被(bei)盜)���,不僅需要輸(shu)入密碼(ma)�����,還需要(yao)輸入短信驗(yan)證碼����,解決(jue)員工賬(zhang)號認證的安(an)全問題
綁定手機號碼(ma)的用(yong)戶�,可以自助(zhu)重置(zhi)密碼和(he)修改(gai)密碼,無需(xu)通過IT管理(li)員��。
用戶密(mi)碼管理及(ji)自助修改:
無需通過管理(li)員即可修(xiu)改密碼�,提(ti)高效率(lv)及減(jian)輕管理員工(gong)作壓力。
通過口袋(dai)助理(li)��、釘釘�����、企(qi)業(yè)號(hao)等手機MOA類APP軟件(jian)進行(xing)無線密(mi)碼修改�。
若賬號綁定(ding)了手機號(hao)碼���,可通(tong)過手機驗證碼(ma)自助修改。
上網(wǎng)終(zhong)端合(he)法效(xiao)驗:
采用安(an)全無線網(wǎng)(wang)卡接(jie)入無線網(wǎng)絡(luo)��,終端與AP熱點(dian)的雙向驗證���,提(ti)高安全(quan)性。
可以將(jiang)無線網(wǎng)絡設(she)置為只有(you)安裝了安全無(wu)線網(wǎng)卡的(de)終端才(cai)能接入無線網(wǎng)(wang)絡���。
支持設置安(an)全無線網(wǎng)(wang)卡只能連(lian)指定SSID無線(xian)網(wǎng)絡�����,無法(fa)連接(jie)非授權(quán)SSID����。
網(wǎng)卡與(yu)AP數(shù)據(jù)傳輸(shu)時自(zi)動進行數(shù)(shu)據(jù)加密���,保(bao)證無線的空口(kou)安全��。
無線熱點(dian)掃描及非法(fa)熱點抑制:
背景:黑客(ke)在附(fu)近搭建一個(ge)一模一樣(yang)或者(zhe)類似的(de)WIFI名稱���,誘使用(yong)戶連到虛(xu)假釣魚WIFI上(shang),黑客利用分析(xi)軟件從用(yong)戶上網(wǎng)(wang)產(chǎn)生的數(shù)據(jù)包(bao)中分析提取(qu)用戶隱私(si)信息���。
我們通(tong)過WIPS無線入(ru)侵防御(yu)系統(tǒng)實(shi)時檢測周圍(wei)無線信號(hao)���,當檢測出(chu)來的信號(hao)BSSID�����、且AP源MAC地(di)址不在授權(quán)(quan)列表中(zhong)時���,我們(men)向?qū)?de)AP和終(zhong)端發(fā)送解(jie)除關(guān)(guan)聯(lián)幀����,讓終端(duan)無法連上(shang)釣魚WIFI����。7×24小時不(bu)間斷監(jiān)測網(wǎng)(wang)絡。
上網(wǎng)(wang)行為嚴格控制(zhi):
強大的管(guan)理:通過應(ying)用識別技(ji)術(shù)���,可(ke)以根據(jù)應用類(lei)型或者具體某(mou)一種應用進(jin)行封堵����,包(bao)括視頻(pin)、論壇(tan)�����、游戲���、金(jin)融�、下載(zai)等2400多種網(wǎng)絡(luo)應用�����。
通過應用(yong)識別技術(shù)�,可以(yi)根據(jù)應(ying)用類型(xing)或者(zhe)具體某一(yi)種應用進行封(feng)堵,比如(ru)上班時間不(bu)允許(xu)炒股(gu)�,不允許P2P下載(zai),不允許外(wai)發(fā)敏感文(wen)件等(deng)����; 支持主流(liu)移動平臺����,可識(shi)別IM����、社交�����、Mail���、新(xin)聞���、炒股等(deng)應用。
無線控(kong)制器(qi)內(nèi)置千(qian)萬級(ji)別的URL分類庫�����,能(neng)夠?qū)?dui)URL進行識別�����,包(bao)含新聞�、購物(wu)、金融、教(jiao)育等18個種類(lei)的URL地址�; 準確識(shi)別目前主流網(wǎng)(wang)站,識別(bie)率高達99.9%��,有效(xiao)實現(xiàn)網(wǎng)頁過濾(lv)�。例如禁止登陸(lu)非法網(wǎng)站(zhan)
通過基于時間(jian)段的(de)訪問控制策(ce)略,實現(xiàn)不同的(de)時間段不同的(de)訪問權(quán)限(xian)��,比如上班時間(jian)���,禁止訪(fang)問網(wǎng)(wang)上銀(yin)行�、游戲����、論壇(tan)貼吧等(deng)與工作無關(guān)的(de)應用,下(xia)班時間則不受(shou)限制�。
辦公區(qū)域內(nèi)(nei),不同辦公部門(men)總會(hui)有各自專(zhuan)屬的無(wu)線網(wǎng)絡�,并且不(bu)希望部門之外(wai)的成員使用(yong)這個網(wǎng)絡(luo)。無線網(wǎng)絡控制(zhi)器可以根據(jù)(ju)用戶的屬(shu)性�,限制禁止(zhi)非本部門的(de)用戶接入。
典型無線(xian)網(wǎng)絡攻(gong)擊防護:
對典型的危險(xian)攻擊行為進行(xing)檢測����,當超過(guo)設定的閾(yu)值后自(zi)動將攻擊者加(jia)入到黑(hei)名單中���,并凍(dong)結(jié)一定(ding)時間,即時(shi)發(fā)現(xiàn)網(wǎng)絡攻擊(ji)并進行防(fang)御�。
檢測(ce)的攻擊(ji)包括:DDOS防御(yu)����、ARP掃描(miao)、IP掃描����、端(duan)口掃(sao)描防御,禁止(zhi)客戶端(duan)私設IP以(yi)及ARP�、網(wǎng)關(guān)欺(qi)騙防御(yu)、DHCP請求泛洪防御(yu)����。
無線射頻定時(shi)關(guān)閉(bi)開啟:
通過射頻關(guān)(guan)閉控制策略,可(ke)以指定(ding)某SSID網(wǎng)(wang)絡��,定時自動關(guān)(guan)閉和開(kai)啟無線網(wǎng)絡的(de)射頻信號�,晚上(shang)下班后自動(dong)關(guān)閉(bi)無線射(she)頻信號。
一方面(mian)可以節(jié)能減(jian)排��、節(jié)省電費支(zhi)出��;另(ling)一方(fang)面又能防(fang)止非法用(yong)戶利(li)用深夜時(shi)間入侵無線網(wǎng)(wang)絡,做一些(xie)非法的操作�����。
有線(xian)無線一體化管(guan)理:
NAC的有線無(wu)線一體化���,支(zhi)持對(dui)有線用戶的接(jie)入認證�、訪(fang)問控制�、流(liu)量管(guan)理、上網(wǎng)行(xing)為審計等(deng)�,
并提(ti)供統(tǒng)一中(zhong)文Web管理界面(mian),一站(zhan)式服務�,極大(da)的降低網(wǎng)絡(luo)建設(she)成本。
網(wǎng)絡分權(quán)分(fen)級管(guan)理:
分配不同(tong)的管理員分(fen)別管理各(ge)自權(quán)限區(qū)域(yu)的無線AP�,可以精(jing)細到(dao)對某(mou)AP分組(zu)有管(guan)理權(quán)(quan)限,該管(guan)理員可(ke)以在該AP分組(zu)上建立無線網(wǎng)(wang)絡���,能夠激活�����、刪(shan)除接入點���,能夠(gou)對AP的配置進(jin)行編(bian)輯修改��。
可指定(ding)管理員針對每(mei)個頁面(mian)的編輯或可查(cha)看權(quán)限����,控(kong)制粒(li)度到控制(zhi)器上的(de)各個頁面���,對某(mou)個頁面沒(mei)有讀(du)權(quán)限則登(deng)錄時不顯(xian)示。
移動APP隨時隨(sui)地運維(wei)管理:
支持跨(kua)互聯(lián)網(wǎng)(wang)運維管(guan)理
登陸APP進行維(wei)護管理:不同(tong)管理員���,不同(tong)權(quán)限
查看網(wǎng)絡運行(xing)情況:在線用(yong)戶�、在線(xian)AP數(shù)量(liang)����、實時流量(liang)
無線網(wǎng)絡(luo)管理維護:開(kai)啟關(guān)閉(bi)SSID、終端綁(bang)定審批�����、二(er)維碼(ma)上網(wǎng)審核
故障���、審批實時(shi)通知:AP離線(xian)警告����、服(fu)務器離線警告(gao)、網(wǎng)絡攻擊告警(jing)
方案(an)優(yōu)勢:
1���、最豐(feng)富的無線(xian)安全機制����,提(ti)供從安全(quan)接入到安全上(shang)網(wǎng)等(deng)端到端的安全(quan)策略(lve)
2���、合理管(guan)控工作(zuo)人員上網(wǎng)行(xing)為���,提(ti)升工作效率、防(fang)止帶寬浪費(fei)����,有線(xian)無線(xian)雙重管(guan)控
3、為會議室����,報告(gao)廳等人員密(mi)集區(qū)(qu)域接入網(wǎng)(wang)絡提高保證(zheng),解決(jue)有線網(wǎng)口(kou)不足(zu)的問題���;
4�、為企(qi)業(yè)員工的移(yi)動辦公提供(gong)支撐�,內(nèi)部(bu)員工可通過(guo)無線網(wǎng)(wang)絡隨(sui)時安全接(jie)入內(nèi)部(bu)網(wǎng)絡�����,實現(xiàn)(xian)辦公��;
5����、內(nèi)部(bu)員工賬號及個(ge)人信息綁(bang)定��,便于安(an)全管理����;
6�����、內(nèi)部(bu)員工可(ke)通過(guo)自己的辦公(gong)設備在企業(yè)大(da)樓內(nèi)快速移動(dong)辦公���,網(wǎng)絡接入(ru)更快速�,上網(wǎng)(wang)行為管(guan)理系統(tǒng)對員(yuan)工上網(wǎng)行(xing)為進行審計與(yu)管控
7���、來訪客(ke)戶接(jie)入企業(yè)網(wǎng)絡(luo)��,可根據(jù)不同需(xu)求�,分配(pei)不同(tong)的上網(wǎng)權(quán)限(xian),保證了接入的(de)安全性(xing)同時(shi)提升群眾上網(wǎng)(wang)的體(ti)驗
8���、豐富的(de)認證機制���,滿足(zu)組織對(dui)無線網(wǎng)絡安(an)全、快(kuai)速接入
9���、投資成本(ben)低���,通過部署無(wu)線控制器替換(huan)原有網(wǎng)(wang)絡的出口(kou)路由、行(xing)為管理以及(ji)無線控制器(qi)
