?
大型企業(yè)(ye)在無線(xian)網(wǎng)絡建設期(qi)間要充(chong)分考慮訪(fang)客(領導(dao)��、客戶、合作伙(huo)伴)接入網(wǎng)(wang)絡的需求��。首(shou)先從(cong)安全性考慮(lv)��,訪客網(wǎng)絡(luo)必須要和辦公(gong)網(wǎng)絡分開(kai)����,訪客網(wǎng)絡(luo)單獨(du)提供給訪客使(shi)用�。從用(yong)戶體驗(yan)角度考慮,訪客(ke)接入網(wǎng)(wang)絡的(de)驗證方(fang)式一定要做到(dao)簡單易行�,繁(fan)瑣的驗(yan)證方(fang)式會(hui)降低訪客對(dui)企業(yè)的(de)整體印象。同時(shi)對于(yu)訪客網(wǎng)絡��,企(qi)業(yè)還需要建(jian)立完善(shan)的網(wǎng)絡安全管(guan)理機制�����,避(bi)免由于訪(fang)客的網(wǎng)絡不(bu)良訪問給(gei)企業(yè)帶來的法(fa)律風(feng)險����。對于企業(yè)(ye)員工移動(dong)辦公上網(wǎng),更需(xu)要做到可管(guan)控��,上網(wǎng)行為(wei)做到可追(zhui)溯����,企業(yè)有效(xiao)的帶(dai)寬資源得到(dao)合理的分配和(he)保證,才能(neng)使企業(yè)的業(yè)務(wu)系統(tǒng)正(zheng)常且穩(wěn)定高效(xiao)地運行��,同時(shi)保證(zheng)企業(yè)信(xin)息安全����,避(bi)免機密信息泄(xie)露。
存在的問(wen)題(用戶需求(qiu))
1�、接入(ru)不安全(quan):缺乏(fa)安全(quan)可靠的(de)認證機制,企業(yè)(ye)無線(xian)網(wǎng)絡(luo)接入(ru)不安全(quan)
2��、上網(wǎng)權(quan)限混(hun)亂:缺乏有效(xiao)的控制(zhi)策略,員工上(shang)網(wǎng)權限(xian)不分(fen)明
3�����、數(shù)據(jù)信息安全(quan):缺乏有效的(de)數(shù)據(jù)加(jia)密機(ji)制����,企業(yè)數(shù)(shu)據(jù)被黑(hei)客竊取篡(cuan)改
4、無線信號(hao)差:AP性能不佳���,上(shang)網(wǎng)總掉(diao)線�����,點(dian)位規(guī)(gui)劃不合理(li)�����,信號(hao)盲區(qū)多
5��、漫游效果差:不(bu)能實現(xiàn)二(er)三層漫游(you)�,移動(dong)辦公(gong)時�,業(yè)務中斷(duan)
解決方(fang)案:
結合用戶無(wu)線網(wǎng)(wang)絡需求(qiu)情況,結(jie)合產(chǎn)品自身(shen)技術特點�����,為了(le)滿足(zu)用戶構建一個(ge)高速、穩(wěn)定����、安(an)全���、可靠��、易于管(guan)理的無線(xian)接入網(wǎng)絡的需(xu)求��,本設(she)計方案按照(zhao)AP+AC的結構化(hua)無線網(wǎng)絡解決(jue)方案進(jin)行設計�����。具(ju)體設計為在總(zong)部設置總部(bu)AC,在大(da)型分支(zhi)機構(gou)設置分支AC與(yu)分支AP��,中型分支(zhi)機構設計(ji)二級��,三級交(jiao)換機�,分支(zhi)AP����。小微型(xing)分支機構直(zhi)接設置分支AP����?��??zong)部AC可以(yi)對大型分支(zhi)機構的AC進行(xing)管理(li)���,當網(wǎng)點控(kong)制器采用集(ji)中管(guan)理的模式進(jin)入到中(zhong)心端控(kong)制器時,會(hui)自動下(xia)載中心端的(de)公共配置��,比如(ru)IP組��、MAC地址庫�����、時(shi)間計劃����、角色授(shou)權、認證頁面(mian)等 �����。總部AC也(ye)可以直接(jie)管理中小型分(fen)支機構的(de)分支AP����,實現(xiàn)統(tǒng)(tong)一管理。
方案設計:
安全(quan)無線整體解決(jue)方案:
接入前(qian)&接入時進行(xing)身份認(ren)證��、安全無(wu)線網(wǎng)卡�、賬號綁(bang)定(硬件碼(ma)+手機號),非(fei)法熱點檢測及(ji)防御�����、網(wǎng)絡攻擊(ji)防護�����、射(she)頻定(ding)時關閉及安(an)全加固��。
接入后&上網(wǎng)(wang)時進行訪問權(quan)限控制��。
上網(wǎng)后進(jin)行上(shang)網(wǎng)行為記錄����。
上網(wǎng)用戶(hu)身份(fen)實名認證:
無線辦公(gong)網(wǎng)采用802.1X/Portal/WAPI認證�,外(wai)置AAA和RADIUS+AD用于存儲(chu)用戶(hu)賬號密(mi)碼。
每個賬(zhang)號對應一(yi)個員(yuan)工,包括姓名(ming)���、部門����、性別(bie)以及身份(fen)證�、手機(ji)號等個人信息(xi),保證每(mei)個上網(wǎng)的賬號(hao)都是(shi)可尋的�,便于安(an)全管理(li)。
用戶輸入賬(zhang)號密碼上網(wǎng)(wang)驗證時(shi)均采用加密(mi)傳輸���,防止黑客(ke)空中攔(lan)截���,竊取賬號(hao)密碼等數(shù)(shu)據(jù)。
上網(wǎng)賬號自(zi)動綁定終端(duan):
自動將賬號(hao)與終端的硬件(jian)特征碼進行綁(bang)定�����,防(fang)止賬號被他(ta)人使(shi)用或(huo)者被(bei)盜用(yong)��。
每臺設備的(de)硬件特征(zheng)碼是唯一的(de)����,無法通(tong)過軟件修(xiu)改。即使通(tong)過軟件修改了(le)仍然可(ke)以識別(bie)原始的。
每個賬(zhang)號最多(duo)可以綁定5臺(tai)終端�����,超(chao)過1臺時需要(yao)管理員審核(he)�����。
上網(wǎng)賬號(hao)二次綁(bang)定手(shou)機號(hao)碼:
賬號首(shou)次登陸時需要(yao)綁定手機號并(bing)輸入短信驗(yan)證碼��,當用戶(hu)賬號在新終(zhong)端登陸(lu)時(換終端(duan)/被他用/被(bei)盜)���,不僅需(xu)要輸(shu)入密碼��,還(hai)需要輸(shu)入短信(xin)驗證碼,解決員(yuan)工賬號認證的(de)安全問題
綁定(ding)手機號(hao)碼的用戶���,可以(yi)自助重(zhong)置密碼和修(xiu)改密碼�����,無需通(tong)過IT管(guan)理員��。
用戶密碼管理(li)及自助修改:
無需通過管理(li)員即可修改密(mi)碼�����,提高效(xiao)率及減輕(qing)管理員工作(zuo)壓力��。
通過口(kou)袋助理�、釘釘、企(qi)業(yè)號(hao)等手機(ji)MOA類APP軟件(jian)進行無線密碼(ma)修改�����。
若賬號綁定了(le)手機號碼����,可(ke)通過(guo)手機(ji)驗證碼自(zi)助修改。
上網(wǎng)終端合法(fa)效驗:
采用(yong)安全無(wu)線網(wǎng)卡接入無(wu)線網(wǎng)絡�����,終端與(yu)AP熱點的雙向(xiang)驗證���,提高(gao)安全性(xing)����。
可以將無線(xian)網(wǎng)絡設置為只(zhi)有安(an)裝了安(an)全無線網(wǎng)(wang)卡的(de)終端才能(neng)接入(ru)無線(xian)網(wǎng)絡��。
支持設置安(an)全無線網(wǎng)(wang)卡只能(neng)連指定SSID無(wu)線網(wǎng)絡,無法(fa)連接非(fei)授權SSID���。
網(wǎng)卡與AP數(shù)據(jù)(ju)傳輸(shu)時自動(dong)進行數(shù)據(jù)加(jia)密����,保證無線的(de)空口安全�。
無線熱點掃描(miao)及非法(fa)熱點(dian)抑制:
背景:黑客在附(fu)近搭建一(yi)個一(yi)模一樣或者類(lei)似的(de)WIFI名稱,誘使用戶(hu)連到虛(xu)假釣魚WIFI上���,黑(hei)客利用分析軟(ruan)件從用戶(hu)上網(wǎng)產(chǎn)生(sheng)的數(shù)據(jù)(ju)包中分析提(ti)取用戶隱私(si)信息�����。
我們通過(guo)WIPS無線入侵(qin)防御(yu)系統(tǒng)實(shi)時檢(jian)測周圍(wei)無線信號(hao)����,當檢測出來(lai)的信號BSSID�、且AP源(yuan)MAC地址不在授(shou)權列(lie)表中時�,我們向(xiang)對應(ying)的AP和終(zhong)端發(fā)送解除關(guan)聯(lián)幀,讓終端(duan)無法(fa)連上釣魚WIFI�。7×24小(xiao)時不間(jian)斷監(jiān)測(ce)網(wǎng)絡。
上網(wǎng)行為嚴(yan)格控制:
強大的管理:通(tong)過應用識別(bie)技術(shu)����,可以根(gen)據(jù)應用類(lei)型或(huo)者具體(ti)某一(yi)種應用(yong)進行(xing)封堵�,包(bao)括視頻(pin)�����、論壇�、游戲、金融(rong)��、下載(zai)等2400多種網(wǎng)(wang)絡應用�。
通過(guo)應用識(shi)別技術,可以(yi)根據(jù)應用類(lei)型或者具(ju)體某一種應(ying)用進行(xing)封堵���,比如上(shang)班時間不允(yun)許炒股�����,不(bu)允許P2P下載���,不允(yun)許外發(fā)敏感(gan)文件等; 支(zhi)持主流移動平(ping)臺�,可(ke)識別IM、社交�、Mail���、新聞(wen)、炒股等應(ying)用���。
無線(xian)控制器內置千(qian)萬級別的(de)URL分類庫(ku)����,能夠對URL進(jin)行識(shi)別�����,包含(han)新聞(wen)��、購物����、金融、教育(yu)等18個種(zhong)類的URL地(di)址��; 準確識別目(mu)前主流(liu)網(wǎng)站(zhan)���,識別率高達99.9%,有(you)效實現(xiàn)(xian)網(wǎng)頁(ye)過濾(lv)����。例如禁(jin)止登陸(lu)非法網(wǎng)站(zhan)
通過(guo)基于時間段(duan)的訪問控制策(ce)略����,實(shi)現(xiàn)不同的時(shi)間段不同的(de)訪問權限��,比(bi)如上班時(shi)間�����,禁(jin)止訪問網(wǎng)上銀(yin)行����、游戲、論壇貼(tie)吧等(deng)與工作無關(guan)的應用��,下(xia)班時(shi)間則不受(shou)限制(zhi)���。
辦公區(qū)域內����,不(bu)同辦公部門(men)總會(hui)有各(ge)自專屬(shu)的無(wu)線網(wǎng)絡��,并(bing)且不希望部門(men)之外的成員(yuan)使用這個網(wǎng)(wang)絡�。無線網(wǎng)絡控(kong)制器可(ke)以根據(jù)(ju)用戶的(de)屬性(xing)��,限制禁止非本(ben)部門的用(yong)戶接(jie)入�。
典型(xing)無線(xian)網(wǎng)絡(luo)攻擊防護:
對典(dian)型的危險(xian)攻擊(ji)行為進行(xing)檢測���,當超過設(she)定的閾值后自(zi)動將(jiang)攻擊者(zhe)加入到黑名單(dan)中�����,并凍結(jie)一定時間��,即時(shi)發(fā)現(xiàn)網(wǎng)絡攻擊(ji)并進行(xing)防御(yu)����。
檢測的攻擊包(bao)括:DDOS防(fang)御�����、ARP掃描����、IP掃(sao)描、端口(kou)掃描防御(yu)���,禁止客戶端私(si)設IP以及ARP���、網(wǎng)關(guan)欺騙防(fang)御、DHCP請求泛(fan)洪防御���。
無線射頻定時(shi)關閉(bi)開啟:
通過射頻(pin)關閉控制(zhi)策略��,可以指(zhi)定某SSID網(wǎng)絡��,定時(shi)自動關閉(bi)和開啟無線網(wǎng)(wang)絡的射(she)頻信號��,晚上下(xia)班后自(zi)動關(guan)閉無線射(she)頻信號(hao)�。
一方面(mian)可以節(jié)能減(jian)排����、節(jié)省(sheng)電費支出;另一(yi)方面又能防止(zhi)非法用(yong)戶利(li)用深(shen)夜時(shi)間入侵無(wu)線網(wǎng)絡�,做一(yi)些非法的操(cao)作。
有線無線一體(ti)化管理:
NAC的有(you)線無線一體(ti)化����,支持(chi)對有線用戶的(de)接入(ru)認證、訪(fang)問控制(zhi)�、流量管理(li)、上網(wǎng)行為(wei)審計等,
并提供統(tǒng)一(yi)中文Web管理(li)界面���,一站式(shi)服務�,極(ji)大的降低(di)網(wǎng)絡建設成(cheng)本����。
網(wǎng)絡分權分級(ji)管理:
分配(pei)不同(tong)的管理(li)員分別管理各(ge)自權限區(qū)域(yu)的無線AP,可以精(jing)細到對某AP分組(zu)有管理(li)權限����,該管(guan)理員可(ke)以在該AP分(fen)組上(shang)建立無線(xian)網(wǎng)絡(luo),能夠激活�、刪(shan)除接(jie)入點,能夠對AP的(de)配置(zhi)進行(xing)編輯(ji)修改�����。
可指定管(guan)理員(yuan)針對每(mei)個頁面(mian)的編輯或可(ke)查看權限�,控制(zhi)粒度到控制器(qi)上的各個頁面(mian),對某個頁面沒(mei)有讀(du)權限則登錄(lu)時不顯示�����。
移動APP隨(sui)時隨(sui)地運(yun)維管理:
支持(chi)跨互聯(lián)網(wǎng)運(yun)維管(guan)理
登陸APP進行維(wei)護管理:不同管(guan)理員�,不同權限(xian)
查看網(wǎng)(wang)絡運行情況(kuang):在線用戶�、在(zai)線AP數(shù)量�、實時流(liu)量
無線(xian)網(wǎng)絡管理維(wei)護:開啟關(guan)閉SSID、終端綁定(ding)審批�����、二維碼上(shang)網(wǎng)審核
故障��、審批實(shi)時通知:AP離線警(jing)告����、服務器離(li)線警告���、網(wǎng)(wang)絡攻擊(ji)告警
方案優(yōu)勢(shi):
1�����、最豐富的無(wu)線安全機制��,提(ti)供從安(an)全接入到(dao)安全上網(wǎng)等端(duan)到端的安全策(ce)略
2����、合理管控工作(zuo)人員上網(wǎng)行為(wei)�,提升工作效(xiao)率、防止帶寬(kuan)浪費,有線(xian)無線雙重(zhong)管控(kong)
3����、為會議室(shi),報告廳等(deng)人員密集區(qū)域(yu)接入網(wǎng)絡(luo)提高(gao)保證(zheng)����,解決有線(xian)網(wǎng)口不(bu)足的問題;
4����、為企業(yè)員(yuan)工的移動辦公(gong)提供(gong)支撐,內部員工(gong)可通過無線網(wǎng)(wang)絡隨時安全接(jie)入內部網(wǎng)絡��,實(shi)現(xiàn)辦公����;
5、內部員工賬(zhang)號及個人信(xin)息綁定����,便(bian)于安全(quan)管理;
6�、內部員工(gong)可通(tong)過自(zi)己的(de)辦公設(she)備在企(qi)業(yè)大樓內快(kuai)速移(yi)動辦公,網(wǎng)絡(luo)接入更快速�,上(shang)網(wǎng)行為管理系(xi)統(tǒng)對員(yuan)工上網(wǎng)行為(wei)進行審(shen)計與管控
7����、來訪客戶接(jie)入企業(yè)網(wǎng)絡(luo)��,可根據(jù)(ju)不同需求�����,分配(pei)不同的上網(wǎng)權(quan)限����,保(bao)證了接入的安(an)全性同時提升(sheng)群眾上(shang)網(wǎng)的體驗
8����、豐富的認證機(ji)制,滿足組(zu)織對無線網(wǎng)絡(luo)安全�����、快速(su)接入
9���、投資成本低��,通(tong)過部(bu)署無線(xian)控制器替換(huan)原有網(wǎng)(wang)絡的出口(kou)路由�、行為管理(li)以及無線控制(zhi)器
