大型企業(yè)在無(wu)線網(wǎng)絡(luò)建設(shè)(she)期間要充(chong)分考慮訪客(ke)（領(lǐng)導、客(ke)戶、合作(zuo)伙伴）接(jie)入網(wǎng)絡(luò)(luo)的需求(qiu)。首先從(cong)安全(quan)性考慮，訪客(ke)網(wǎng)絡(luò)必須要和(he)辦公網(wǎng)絡(luò)(luo)分開，訪客網(wǎng)(wang)絡(luò)單獨提供給(gei)訪客使用。從(cong)用戶體驗角度(du)考慮，訪客接(jie)入網(wǎng)絡(luò)的(de)驗證方式(shi)一定要(yao)做到簡單易(yi)行，繁(fan)瑣的(de)驗證方式(shi)會降低訪(fang)客對企業(yè)(ye)的整體印象。同(tong)時對于訪(fang)客網(wǎng)絡(luò)(luo)，企業(yè)還(hai)需要建(jian)立完善的網(wǎng)絡(luò)(luo)安全管(guan)理機制，避免由(you)于訪(fang)客的(de)網(wǎng)絡(luò)不良訪(fang)問給企業(yè)帶來(lai)的法律風(feng)險。對于企業(yè)員(yuan)工移(yi)動辦公上(shang)網(wǎng)，更(geng)需要做(zuo)到可管控，上網(wǎng)(wang)行為做到可(ke)追溯(su)，企業(yè)有(you)效的帶寬(kuan)資源得到(dao)合理的分配(pei)和保證，才能使(shi)企業(yè)的業(yè)務(wu)系統(tǒng)(tong)正常且(qie)穩(wěn)定高效地運(yun)行，同(tong)時保(bao)證企業(yè)(ye)信息安全(quan)，避免機密信息(xi)泄露。

存在的問題(ti)（用戶需求）

1、接入不安全(quan)：缺乏安全(quan)可靠的認證(zheng)機制(zhi)，企業(yè)無線(xian)網(wǎng)絡(luò)接入不(bu)安全

2、上網(wǎng)權(quán)限混亂(luan)：缺乏有效的控(kong)制策略，員工(gong)上網(wǎng)(wang)權(quán)限(xian)不分(fen)明

3、數(shù)據(jù)信息(xi)安全：缺乏(fa)有效的數(shù)據(jù)加(jia)密機制，企(qi)業(yè)數(shù)據(jù)被(bei)黑客竊取(qu)篡改

4、無線(xian)信號(hao)差：AP性能不(bu)佳，上網(wǎng)總掉(diao)線，點位規(guī)(gui)劃不合理(li)，信號盲區(qū)多

5、漫游效果(guo)差：不能實現(xiàn)(xian)二三(san)層漫游，移動辦(ban)公時(shi)，業(yè)務(wu)中斷

解決方案：

結(jié)合用戶無線(xian)網(wǎng)絡(luò)需求情況(kuang)，結(jié)合產(chǎn)品自(zi)身技術(shù)特點，為(wei)了滿(man)足用戶構(gòu)(gou)建一個(ge)高速、穩(wěn)定、安全(quan)、可靠(kao)、易于管理(li)的無線接(jie)入網(wǎng)絡(luò)的(de)需求，本設(shè)計方(fang)案按照(zhao)AP+AC的結(jié)構(gòu)(gou)化無線網(wǎng)(wang)絡(luò)解決方案(an)進行設(shè)(she)計。具體設(shè)計(ji)為在總(zong)部設(shè)置總部AC,在(zai)大型(xing)分支機(ji)構(gòu)設(shè)置分支(zhi)AC與分(fen)支AP，中型(xing)分支機構(gòu)設(shè)計(ji)二級(ji)，三級交換機，分(fen)支AP。小微型(xing)分支機構(gòu)直接(jie)設(shè)置分(fen)支AP?？偛?bu)AC可以對大型分(fen)支機構(gòu)的AC進行(xing)管理，當網(wǎng)點(dian)控制(zhi)器采用集中(zhong)管理的模(mo)式進入到中(zhong)心端(duan)控制(zhi)器時，會自(zi)動下載中心端(duan)的公共配置，比(bi)如IP組(zu)、MAC地址庫、時間計(ji)劃、角(jiao)色授權(quán)、認證頁(ye)面等 ?？偛緼C也可(ke)以直(zhi)接管(guan)理中小型(xing)分支機構(gòu)的(de)分支AP，實(shi)現(xiàn)統(tǒng)一管(guan)理。

方案設(shè)計：

安全無線整(zheng)體解決(jue)方案：

接入前&接(jie)入時進行(xing)身份認證(zheng)、安全無線網(wǎng)(wang)卡、賬(zhang)號綁定（硬件碼(ma)+手機號），非(fei)法熱點檢(jian)測及防御、網(wǎng)(wang)絡(luò)攻擊防護、射(she)頻定時關(guān)閉(bi)及安全加(jia)固。

接入后&上網(wǎng)(wang)時進行訪問權(quán)(quan)限控(kong)制。

上網(wǎng)后(hou)進行上網(wǎng)行(xing)為記錄(lu)。

上網(wǎng)用戶身(shen)份實名認證(zheng)：

無線辦公網(wǎng)采(cai)用802.1X/Portal/WAPI認(ren)證，外置AAA和RADIUS+AD用(yong)于存儲用(yong)戶賬(zhang)號密碼。

每個(ge)賬號對應(ying)一個員工，包(bao)括姓(xing)名、部門、性別以(yi)及身份證、手(shou)機號等個人(ren)信息，保證每個(ge)上網(wǎng)的(de)賬號(hao)都是可(ke)尋的(de)，便于(yu)安全管理。

用戶輸(shu)入賬號密(mi)碼上網(wǎng)驗(yan)證時均采用加(jia)密傳輸(shu)，防止黑客空中(zhong)攔截，竊(qie)取賬號密(mi)碼等(deng)數(shù)據(jù)(ju)。

上網(wǎng)賬號(hao)自動綁定終端(duan)：

自動將賬號與(yu)終端的硬(ying)件特(te)征碼(ma)進行綁定，防止(zhi)賬號(hao)被他人使用(yong)或者被(bei)盜用。

每臺設(shè)備的(de)硬件(jian)特征碼(ma)是唯(wei)一的，無(wu)法通(tong)過軟件(jian)修改。即使(shi)通過軟件修改(gai)了仍然可(ke)以識別原始(shi)的。

每個(ge)賬號(hao)最多(duo)可以綁(bang)定5臺終(zhong)端，超過1臺(tai)時需要管(guan)理員審核。

上網(wǎng)賬(zhang)號二次綁(bang)定手機(ji)號碼(ma)：

賬號首次(ci)登陸時需要綁(bang)定手機號(hao)并輸入(ru)短信驗(yan)證碼(ma)，當用戶賬號在(zai)新終端(duan)登陸時（換(huan)終端(duan)/被他用/被(bei)盜），不(bu)僅需要(yao)輸入密碼，還(hai)需要(yao)輸入短信(xin)驗證(zheng)碼，解決(jue)員工賬號認(ren)證的安(an)全問題

綁定手(shou)機號碼的用戶(hu)，可以自助重置(zhi)密碼和(he)修改密碼，無需(xu)通過IT管(guan)理員。

用戶密(mi)碼管理及(ji)自助(zhu)修改(gai)：

無需通過(guo)管理員即(ji)可修改(gai)密碼(ma)，提高效(xiao)率及減輕管(guan)理員工作(zuo)壓力。

通過(guo)口袋助理(li)、釘釘、企(qi)業(yè)號(hao)等手機MOA類APP軟(ruan)件進行無(wu)線密碼修(xiu)改。

若賬號綁定(ding)了手機號(hao)碼，可通過手機(ji)驗證(zheng)碼自助(zhu)修改。

上網(wǎng)終端(duan)合法(fa)效驗：

采用安全無(wu)線網(wǎng)(wang)卡接入無線網(wǎng)(wang)絡(luò)，終端與(yu)AP熱點的(de)雙向驗(yan)證，提高安(an)全性。

可以(yi)將無線網(wǎng)(wang)絡(luò)設(shè)置為(wei)只有(you)安裝了(le)安全無(wu)線網(wǎng)卡的(de)終端才能接入(ru)無線網(wǎng)絡(luò)。

支持設(shè)置(zhi)安全無線(xian)網(wǎng)卡只(zhi)能連指定SSID無(wu)線網(wǎng)(wang)絡(luò)，無法(fa)連接(jie)非授(shou)權(quán)SSID。

網(wǎng)卡與AP數(shù)據(jù)傳(chuan)輸時自(zi)動進行(xing)數(shù)據(jù)加(jia)密，保證(zheng)無線(xian)的空口安全(quan)。

無線熱(re)點掃(sao)描及非法熱點(dian)抑制：

背景(jing)：黑客(ke)在附(fu)近搭(da)建一(yi)個一(yi)模一樣(yang)或者類(lei)似的WIFI名稱，誘使(shi)用戶連到虛假(jia)釣魚(yu)WIFI上，黑客利用(yong)分析(xi)軟件(jian)從用戶上(shang)網(wǎng)產(chǎn)生的(de)數(shù)據(jù)包中分(fen)析提取用戶隱(yin)私信(xin)息。

我們通(tong)過WIPS無線入(ru)侵防(fang)御系統(tǒng)實(shi)時檢測(ce)周圍(wei)無線信號(hao)，當檢測出(chu)來的(de)信號BSSID、且AP源MAC地址(zhi)不在授權(quán)(quan)列表中(zhong)時，我們向(xiang)對應的AP和(he)終端發(fā)(fa)送解除關(guān)聯(lián)幀(zhen)，讓終端(duan)無法(fa)連上釣魚(yu)WIFI。7×24小時不間斷(duan)監(jiān)測網(wǎng)絡(luò)。

上網(wǎng)行為嚴格(ge)控制：

強大的管(guan)理：通(tong)過應(ying)用識別技術(shù)，可(ke)以根(gen)據(jù)應用(yong)類型(xing)或者具體(ti)某一種(zhong)應用進行(xing)封堵，包括(kuo)視頻、論(lun)壇、游戲、金融(rong)、下載等(deng)2400多種(zhong)網(wǎng)絡(luò)應(ying)用。

通過應用(yong)識別(bie)技術(shù)，可以(yi)根據(jù)應用(yong)類型(xing)或者具體某一(yi)種應用進行(xing)封堵，比如上班(ban)時間不(bu)允許炒股(gu)，不允許P2P下(xia)載，不(bu)允許外發(fā)敏感(gan)文件等； 支持主(zhu)流移動平臺，可(ke)識別IM、社交(jiao)、Mail、新聞、炒股等(deng)應用(yong)。

無線控制器(qi)內(nèi)置(zhi)千萬級(ji)別的URL分類庫，能(neng)夠?qū)?dui)URL進行(xing)識別，包含(han)新聞、購物、金(jin)融、教育等18個(ge)種類的URL地(di)址； 準確識別目(mu)前主流網(wǎng)(wang)站，識別率(lv)高達99.9%，有效實現(xiàn)(xian)網(wǎng)頁過濾。例(li)如禁止登陸非(fei)法網(wǎng)站

通過基(ji)于時間(jian)段的訪(fang)問控制策(ce)略，實現(xiàn)不同(tong)的時間段不(bu)同的訪(fang)問權(quán)限，比如上(shang)班時間，禁(jin)止訪(fang)問網(wǎng)上銀行、游(you)戲、論壇貼吧(ba)等與工(gong)作無關(guān)的應(ying)用，下班時間則(ze)不受限制(zhi)。

辦公區(qū)域內(nèi)(nei)，不同(tong)辦公部(bu)門總(zong)會有各自(zi)專屬的無(wu)線網(wǎng)絡(luò)，并且(qie)不希望(wang)部門(men)之外的成(cheng)員使用這(zhe)個網(wǎng)絡(luò)。無線(xian)網(wǎng)絡(luò)控制器可(ke)以根據(jù)用(yong)戶的屬性(xing)，限制禁(jin)止非本部(bu)門的用(yong)戶接(jie)入。

典型無(wu)線網(wǎng)(wang)絡(luò)攻擊防護(hu)：

對典(dian)型的危險(xian)攻擊行為進(jin)行檢測，當超(chao)過設(shè)(she)定的閾值(zhi)后自動將攻(gong)擊者(zhe)加入到黑名單(dan)中，并凍結(jié)一定(ding)時間(jian)，即時發(fā)現(xiàn)網(wǎng)(wang)絡(luò)攻擊并進(jin)行防御。

檢測的攻(gong)擊包括：DDOS防(fang)御、ARP掃描、IP掃(sao)描、端口掃描防(fang)御，禁止客戶端(duan)私設(shè)IP以(yi)及ARP、網(wǎng)(wang)關(guān)欺騙防御(yu)、DHCP請求泛洪防(fang)御。

無線射頻定時(shi)關(guān)閉(bi)開啟(qi)：

通過射頻關(guān)閉(bi)控制策略(lve)，可以指定(ding)某SSID網(wǎng)絡(luò)(luo)，定時自動(dong)關(guān)閉和開啟無(wu)線網(wǎng)絡(luò)的射(she)頻信號，晚(wan)上下班后自動(dong)關(guān)閉無線射頻(pin)信號。

一方面可以(yi)節(jié)能減排、節(jié)(jie)省電費(fei)支出；另一方(fang)面又(you)能防(fang)止非法用(yong)戶利用深(shen)夜時間(jian)入侵無線(xian)網(wǎng)絡(luò)，做(zuo)一些非法(fa)的操作。

有線無線一體(ti)化管理(li)：

NAC的有線無(wu)線一體(ti)化，支持(chi)對有線用(yong)戶的接入(ru)認證、訪問(wen)控制、流(liu)量管理、上(shang)網(wǎng)行為(wei)審計(ji)等，

并提供統(tǒng)(tong)一中文(wen)Web管理界面(mian)，一站式(shi)服務，極大(da)的降低網(wǎng)(wang)絡(luò)建設(shè)成本(ben)。

網(wǎng)絡(luò)分權(quán)分(fen)級管理：

分配不同的管(guan)理員分別管理(li)各自(zi)權(quán)限區(qū)域的無(wu)線AP，可(ke)以精細到對(dui)某AP分(fen)組有管理權(quán)限(xian)，該管理員(yuan)可以在該AP分(fen)組上建立無線(xian)網(wǎng)絡(luò)，能夠激(ji)活、刪除接(jie)入點，能夠?qū)P的(de)配置進行編輯(ji)修改。

可指定管(guan)理員(yuan)針對每個頁面(mian)的編輯(ji)或可查(cha)看權(quán)限，控(kong)制粒度到控(kong)制器上的各(ge)個頁(ye)面，對某(mou)個頁面沒有讀(du)權(quán)限則登錄(lu)時不顯示。

移動APP隨時(shi)隨地運維管(guan)理：

支持跨互聯(lián)(lian)網(wǎng)運維(wei)管理

登陸APP進(jin)行維護(hu)管理：不同(tong)管理員，不(bu)同權(quán)限(xian)

查看網(wǎng)絡(luò)(luo)運行情況(kuang)：在線(xian)用戶、在線(xian)AP數(shù)量、實(shi)時流(liu)量

無線網(wǎng)絡(luò)管(guan)理維護：開啟關(guān)(guan)閉SSID、終端綁定審(shen)批、二維碼上(shang)網(wǎng)審核

故障、審批實(shi)時通知：AP離(li)線警(jing)告、服(fu)務器離線警告(gao)、網(wǎng)絡(luò)攻擊告(gao)警

方案優(yōu)(you)勢：

1、最豐富的無(wu)線安全機(ji)制，提供從安(an)全接入到安(an)全上網(wǎng)等(deng)端到端的安全(quan)策略(lve)

2、合理(li)管控工作人員(yuan)上網(wǎng)行為，提(ti)升工作(zuo)效率、防(fang)止帶寬浪(lang)費，有線無線(xian)雙重管(guan)控

3、為會議室，報(bao)告廳(ting)等人(ren)員密集區(qū)(qu)域接(jie)入網(wǎng)絡(luò)(luo)提高保證，解決(jue)有線網(wǎng)(wang)口不(bu)足的問題(ti)；

4、為企(qi)業(yè)員工(gong)的移動辦公提(ti)供支撐，內(nèi)部(bu)員工可(ke)通過無線網(wǎng)(wang)絡(luò)隨時安全(quan)接入內(nèi)(nei)部網(wǎng)絡(luò)，實現(xiàn)辦(ban)公；

5、內(nèi)部員工(gong)賬號及(ji)個人信息綁定(ding)，便于安全管(guan)理；

6、內(nèi)部員工(gong)可通過自己(ji)的辦公設(shè)備(bei)在企業(yè)大樓內(nèi)(nei)快速移動辦(ban)公，網(wǎng)絡(luò)接入更(geng)快速，上網(wǎng)行為(wei)管理系(xi)統(tǒng)對(dui)員工上網(wǎng)行(xing)為進行審計(ji)與管控

7、來訪(fang)客戶(hu)接入企業(yè)網(wǎng)絡(luò)(luo)，可根據(jù)不同(tong)需求，分配(pei)不同的上網(wǎng)(wang)權(quán)限，保證(zheng)了接入的安全(quan)性同時提升群(qun)眾上網(wǎng)的體驗(yan)

8、豐富的認證機(ji)制，滿足組織對(dui)無線網(wǎng)絡(luò)安全(quan)、快速接入

9、投資成本(ben)低，通過部署(shu)無線控制器(qi)替換(huan)原有網(wǎng)絡(luò)(luo)的出口路由(you)、行為(wei)管理(li)以及無(wu)線控制器