大型企業(yè)在無(wu)線網(wǎng)(wang)絡(luò)建設(shè)(she)期間要充分(fen)考慮訪客（領(lǐng)導(dǎo)(dao)、客戶、合作伙(huo)伴）接入網(wǎng)(wang)絡(luò)的需求。首先(xian)從安全性考慮(lv)，訪客網(wǎng)絡(luò)必須(xu)要和(he)辦公網(wǎng)絡(luò)分開(kai)，訪客網(wǎng)絡(luò)單獨(dú)(du)提供給訪(fang)客使(shi)用。從用戶體驗(yan)角度考慮，訪客(ke)接入(ru)網(wǎng)絡(luò)的驗證方(fang)式一定要(yao)做到(dao)簡單易行，繁(fan)瑣的驗證方式(shi)會降低訪(fang)客對企業(yè)的(de)整體印象。同時(shi)對于訪客網(wǎng)(wang)絡(luò)，企業(yè)還需(xu)要建(jian)立完善的網(wǎng)絡(luò)(luo)安全(quan)管理機(jī)制(zhi)，避免(mian)由于訪客的(de)網(wǎng)絡(luò)(luo)不良訪問給(gei)企業(yè)帶來的法(fa)律風(fēng)險。對于(yu)企業(yè)員工(gong)移動辦公上網(wǎng)(wang)，更需要(yao)做到可管控(kong)，上網(wǎng)行為做(zuo)到可追溯，企(qi)業(yè)有效(xiao)的帶寬資源得(de)到合(he)理的分配(pei)和保證(zheng)，才能使企業(yè)的(de)業(yè)務(wù)(wu)系統(tǒng)正常且(qie)穩(wěn)定高(gao)效地運(yùn)行，同時(shi)保證企業(yè)信(xin)息安(an)全，避免機(jī)密信(xin)息泄露。

存在的問(wen)題（用戶需求）

1、接入不安全：缺(que)乏安(an)全可(ke)靠的認(rèn)證(zheng)機(jī)制，企業(yè)(ye)無線網(wǎng)絡(luò)接(jie)入不安全(quan)

2、上網(wǎng)權(quán)限混亂(luan)：缺乏(fa)有效的控(kong)制策略，員工(gong)上網(wǎng)權(quán)限不(bu)分明(ming)

3、數(shù)據(jù)信息(xi)安全：缺乏(fa)有效的數(shù)據(jù)加(jia)密機(jī)制，企業(yè)(ye)數(shù)據(jù)被黑客竊(qie)取篡改

4、無線信(xin)號差：AP性能(neng)不佳(jia)，上網(wǎng)總掉(diao)線，點(diǎn)位規(guī)劃不(bu)合理，信號盲(mang)區(qū)多

5、漫游效果(guo)差：不能實(shí)現(xiàn)(xian)二三層漫(man)游，移動辦(ban)公時，業(yè)務(wù)(wu)中斷

解決(jue)方案(an)：

結(jié)合用(yong)戶無線網(wǎng)絡(luò)(luo)需求情況(kuang)，結(jié)合產(chǎn)品自身(shen)技術(shù)(shu)特點(diǎn)，為了滿足(zu)用戶構(gòu)建一個(ge)高速(su)、穩(wěn)定、安全、可靠(kao)、易于管(guan)理的無線(xian)接入網(wǎng)絡(luò)的(de)需求(qiu)，本設(shè)計方案(an)按照AP+AC的結(jié)構(gòu)(gou)化無線(xian)網(wǎng)絡(luò)解(jie)決方案進(jìn)行(xing)設(shè)計。具體設(shè)計(ji)為在總(zong)部設(shè)(she)置總部(bu)AC,在大型分支機(jī)(ji)構(gòu)設(shè)置(zhi)分支(zhi)AC與分(fen)支AP，中(zhong)型分(fen)支機(jī)(ji)構(gòu)設(shè)計二(er)級，三級交換(huan)機(jī)，分支(zhi)AP。小微型分支(zhi)機(jī)構(gòu)直接設(shè)(she)置分支AP?？偛緼C可(ke)以對大型分支(zhi)機(jī)構(gòu)的AC進(jìn)行管(guan)理，當(dāng)網(wǎng)(wang)點(diǎn)控(kong)制器采用(yong)集中管理(li)的模式進(jìn)入到(dao)中心端控制器(qi)時，會自動(dong)下載(zai)中心端的公共(gong)配置，比如IP組(zu)、MAC地址庫(ku)、時間(jian)計劃、角色授(shou)權(quán)、認(rèn)證頁面(mian)等 。總部AC也可(ke)以直接管理(li)中小型分支機(jī)(ji)構(gòu)的分支AP，實(shí)現(xiàn)(xian)統(tǒng)一管理(li)。

方案設(shè)計(ji)：

安全無(wu)線整(zheng)體解決方案(an)：

接入(ru)前&接(jie)入時進(jìn)(jin)行身份認(rèn)證、安(an)全無線網(wǎng)卡、賬(zhang)號綁(bang)定（硬件碼+手機(jī)(ji)號），非法熱點(diǎn)檢(jian)測及防御、網(wǎng)(wang)絡(luò)攻擊防護(hù)(hu)、射頻定時關(guān)閉(bi)及安全加(jia)固。

接入后&上(shang)網(wǎng)時(shi)進(jìn)行訪問權(quán)限(xian)控制。

上網(wǎng)后進(jìn)行上(shang)網(wǎng)行為(wei)記錄。

上網(wǎng)(wang)用戶身份(fen)實(shí)名認(rèn)證：

無線辦公(gong)網(wǎng)采(cai)用802.1X/Portal/WAPI認(rèn)證，外置(zhi)AAA和RADIUS+AD用于存(cun)儲用戶賬號密(mi)碼。

每個賬號對應(yīng)(ying)一個員(yuan)工，包括姓名、部(bu)門、性別以及(ji)身份證、手機(jī)號(hao)等個人(ren)信息，保證每(mei)個上網(wǎng)的(de)賬號都(dou)是可尋的(de)，便于安全管(guan)理。

用戶(hu)輸入賬(zhang)號密碼上網(wǎng)(wang)驗證時均(jun)采用加密傳(chuan)輸，防止(zhi)黑客(ke)空中攔截，竊取(qu)賬號密碼等(deng)數(shù)據(jù)(ju)。

上網(wǎng)賬號自動(dong)綁定終端：

自動將賬(zhang)號與終(zhong)端的硬件特征(zheng)碼進(jìn)行綁定(ding)，防止賬號被他(ta)人使用或者(zhe)被盜(dao)用。

每臺設(shè)備(bei)的硬件特征(zheng)碼是唯一(yi)的，無法通過(guo)軟件修改。即使(shi)通過軟(ruan)件修改了仍然(ran)可以識別(bie)原始的。

每個賬號最(zui)多可以綁(bang)定5臺終端，超過(guo)1臺時(shi)需要管理員(yuan)審核。

上網(wǎng)賬號二次(ci)綁定手(shou)機(jī)號碼：

賬號首次(ci)登陸時需(xu)要綁定手(shou)機(jī)號并輸入短(duan)信驗證碼，當(dāng)用(yong)戶賬號在新(xin)終端登陸時（換(huan)終端(duan)/被他用/被盜(dao)），不僅(jin)需要(yao)輸入密(mi)碼，還(hai)需要輸入短(duan)信驗證碼，解(jie)決員工賬號(hao)認(rèn)證的安全問(wen)題

綁定手機(jī)(ji)號碼的(de)用戶，可(ke)以自助(zhu)重置(zhi)密碼和修(xiu)改密碼(ma)，無需通過(guo)IT管理員。

用戶密(mi)碼管理及自(zi)助修改：

無需通過(guo)管理員即可(ke)修改密碼，提(ti)高效率及減(jian)輕管理員工(gong)作壓力(li)。

通過口袋助理(li)、釘釘、企業(yè)(ye)號等手(shou)機(jī)MOA類APP軟(ruan)件進(jìn)行(xing)無線密碼(ma)修改。

若賬號綁定(ding)了手(shou)機(jī)號碼，可通過(guo)手機(jī)驗(yan)證碼(ma)自助修改(gai)。

上網(wǎng)終端合法(fa)效驗：

采用(yong)安全無線(xian)網(wǎng)卡(ka)接入(ru)無線網(wǎng)(wang)絡(luò)，終端(duan)與AP熱點(diǎn)的(de)雙向驗證，提(ti)高安全性。

可以(yi)將無(wu)線網(wǎng)絡(luò)(luo)設(shè)置為只有安(an)裝了安全(quan)無線網(wǎng)卡的終(zhong)端才能接(jie)入無線網(wǎng)(wang)絡(luò)。

支持設(shè)置(zhi)安全無線(xian)網(wǎng)卡(ka)只能連(lian)指定SSID無線網(wǎng)(wang)絡(luò)，無(wu)法連接(jie)非授(shou)權(quán)SSID。

網(wǎng)卡與AP數(shù)(shu)據(jù)傳(chuan)輸時自(zi)動進(jìn)行數(shù)(shu)據(jù)加(jia)密，保證無線(xian)的空口安(an)全。

無線熱點(diǎn)掃描(miao)及非法熱(re)點(diǎn)抑(yi)制：

背景：黑客在(zai)附近搭(da)建一個一(yi)模一樣或(huo)者類似(shi)的WIFI名(ming)稱，誘使用戶(hu)連到(dao)虛假釣魚WIFI上(shang)，黑客(ke)利用(yong)分析軟件從(cong)用戶上(shang)網(wǎng)產(chǎn)生的(de)數(shù)據(jù)(ju)包中分析(xi)提取用戶(hu)隱私信息(xi)。

我們通(tong)過WIPS無線(xian)入侵(qin)防御系統(tǒng)(tong)實(shí)時檢測(ce)周圍無線(xian)信號，當(dāng)(dang)檢測出(chu)來的信號BSSID、且(qie)AP源MAC地址不(bu)在授權(quán)(quan)列表中(zhong)時，我(wo)們向?qū)?dui)應(yīng)的AP和(he)終端發(fā)(fa)送解除(chu)關(guān)聯(lián)幀，讓終端(duan)無法連上釣(diao)魚WIFI。7×24小時不間(jian)斷監(jiān)測網(wǎng)(wang)絡(luò)。

上網(wǎng)行(xing)為嚴(yán)(yan)格控制：

強(qiáng)大(da)的管理：通(tong)過應(yīng)用(yong)識別技術(shù)，可以(yi)根據(jù)(ju)應(yīng)用類型或者(zhe)具體某一種應(yīng)(ying)用進(jìn)行(xing)封堵，包括(kuo)視頻、論壇、游(you)戲、金融(rong)、下載(zai)等2400多種網(wǎng)絡(luò)應(yīng)(ying)用。

通過應(yīng)用(yong)識別技術(shù)，可(ke)以根(gen)據(jù)應(yīng)用(yong)類型或者(zhe)具體某(mou)一種(zhong)應(yīng)用進(jìn)(jin)行封堵，比如上(shang)班時間不允(yun)許炒股，不允(yun)許P2P下載，不允(yun)許外發(fā)敏感(gan)文件等； 支持主(zhu)流移(yi)動平臺，可識別(bie)IM、社交、Mail、新聞(wen)、炒股等應(yīng)用。

無線控(kong)制器(qi)內(nèi)置千萬(wan)級別(bie)的URL分類庫，能(neng)夠?qū)RL進(jìn)行識別(bie)，包含新聞、購物(wu)、金融、教(jiao)育等18個種類的(de)URL地址； 準(zhǔn)(zhun)確識別目前主(zhu)流網(wǎng)站，識別(bie)率高達(dá)99.9%，有(you)效實(shí)現(xiàn)網(wǎng)頁過(guo)濾。例如禁(jin)止登(deng)陸非法網(wǎng)(wang)站

通過基于(yu)時間段的訪(fang)問控制策略，實(shí)(shi)現(xiàn)不同(tong)的時間段不(bu)同的訪(fang)問權(quán)(quan)限，比如上班(ban)時間，禁(jin)止訪問網(wǎng)(wang)上銀(yin)行、游戲、論壇(tan)貼吧等與(yu)工作無(wu)關(guān)的應(yīng)用，下班(ban)時間則不受限(xian)制。

辦公區(qū)(qu)域內(nèi)，不(bu)同辦(ban)公部(bu)門總會有(you)各自專屬的無(wu)線網(wǎng)絡(luò)，并(bing)且不希望部(bu)門之外(wai)的成員使(shi)用這個網(wǎng)絡(luò)。無(wu)線網(wǎng)絡(luò)控制器(qi)可以根據(jù)用(yong)戶的屬性，限制(zhi)禁止非本部門(men)的用(yong)戶接入。

典型無(wu)線網(wǎng)絡(luò)攻(gong)擊防護(hù)(hu)：

對典型(xing)的危險攻擊(ji)行為進(jìn)行(xing)檢測，當(dāng)超過(guo)設(shè)定(ding)的閾值后自動(dong)將攻(gong)擊者加入(ru)到黑名(ming)單中(zhong)，并凍結(jié)一定(ding)時間，即時(shi)發(fā)現(xiàn)網(wǎng)(wang)絡(luò)攻(gong)擊并(bing)進(jìn)行防御。

檢測(ce)的攻擊包括(kuo)：DDOS防御、ARP掃描、IP掃(sao)描、端口掃描防(fang)御，禁止客(ke)戶端私設(shè)IP以及(ji)ARP、網(wǎng)關(guān)欺騙(pian)防御、DHCP請求泛洪(hong)防御。

無線射頻定時(shi)關(guān)閉開啟：

通過射頻關(guān)閉(bi)控制策略，可以(yi)指定某(mou)SSID網(wǎng)絡(luò)，定時(shi)自動(dong)關(guān)閉和開啟無(wu)線網(wǎng)絡(luò)的射頻(pin)信號，晚(wan)上下(xia)班后自(zi)動關(guān)閉(bi)無線射頻信號(hao)。

一方面可(ke)以節(jié)能減排(pai)、節(jié)省電費(fèi)(fei)支出；另一方(fang)面又能防止(zhi)非法(fa)用戶利(li)用深夜時(shi)間入侵(qin)無線網(wǎng)絡(luò)(luo)，做一些非(fei)法的(de)操作。

有線無線一體(ti)化管理：

NAC的有(you)線無線一(yi)體化，支持(chi)對有(you)線用戶的接(jie)入認(rèn)證(zheng)、訪問控(kong)制、流量管(guan)理、上網(wǎng)行為(wei)審計(ji)等，

并提供(gong)統(tǒng)一中(zhong)文Web管(guan)理界面，一(yi)站式服(fu)務(wù)，極(ji)大的降(jiang)低網(wǎng)絡(luò)建(jian)設(shè)成本。

網(wǎng)絡(luò)(luo)分權(quán)(quan)分級(ji)管理：

分配不同(tong)的管理員分別(bie)管理(li)各自權(quán)(quan)限區(qū)(qu)域的無線(xian)AP，可以精細(xì)到(dao)對某AP分(fen)組有(you)管理權(quán)限，該(gai)管理員可(ke)以在(zai)該AP分組上建(jian)立無線(xian)網(wǎng)絡(luò)，能夠激活(huo)、刪除接入點(diǎn)，能(neng)夠?qū)P的配置進(jìn)(jin)行編輯(ji)修改。

可指定(ding)管理員針對每(mei)個頁(ye)面的編輯或(huo)可查看權(quán)(quan)限，控制粒度到(dao)控制器上(shang)的各個頁面，對(dui)某個(ge)頁面(mian)沒有讀權(quán)限則(ze)登錄時不顯示(shi)。

移動APP隨時隨(sui)地運(yùn)維管(guan)理：

支持跨互聯(lián)網(wǎng)(wang)運(yùn)維管理

登陸APP進(jìn)(jin)行維護(hù)管理(li)：不同(tong)管理員，不(bu)同權(quán)限

查看網(wǎng)絡(luò)運(yùn)(yun)行情況：在線(xian)用戶、在線(xian)AP數(shù)量、實(shí)時(shi)流量(liang)

無線網(wǎng)絡(luò)管(guan)理維護(hù)：開(kai)啟關(guān)閉SSID、終端綁(bang)定審批、二(er)維碼(ma)上網(wǎng)審(shen)核

故障、審批實(shí)時(shi)通知(zhi)：AP離線(xian)警告、服(fu)務(wù)器(qi)離線警告(gao)、網(wǎng)絡(luò)攻擊告(gao)警

方案優(yōu)(you)勢：

1、最豐富的無(wu)線安全機(jī)制(zhi)，提供從(cong)安全接(jie)入到安(an)全上網(wǎng)等(deng)端到端的安全(quan)策略(lve)

2、合理管控工(gong)作人員(yuan)上網(wǎng)行為，提(ti)升工作效率、防(fang)止帶寬浪費(fèi)，有(you)線無(wu)線雙(shuang)重管控

3、為會議室(shi)，報告廳(ting)等人員(yuan)密集區(qū)域(yu)接入網(wǎng)(wang)絡(luò)提(ti)高保(bao)證，解決(jue)有線網(wǎng)口不足(zu)的問題；

4、為企業(yè)員工的(de)移動(dong)辦公(gong)提供支撐，內(nèi)(nei)部員(yuan)工可通過無(wu)線網(wǎng)絡(luò)隨時(shi)安全接入內(nèi)(nei)部網(wǎng)絡(luò)，實(shí)現(xiàn)(xian)辦公；

5、內(nèi)部(bu)員工(gong)賬號及個(ge)人信息綁(bang)定，便于安(an)全管理(li)；

6、內(nèi)部員工可(ke)通過自(zi)己的辦公設(shè)(she)備在企業(yè)(ye)大樓(lou)內(nèi)快速移(yi)動辦公，網(wǎng)絡(luò)接(jie)入更快速(su)，上網(wǎng)行(xing)為管理(li)系統(tǒng)對員(yuan)工上網(wǎng)行(xing)為進(jìn)行審(shen)計與管控

7、來訪客戶接(jie)入企業(yè)網(wǎng)(wang)絡(luò)，可根(gen)據(jù)不同需(xu)求，分配不同(tong)的上網(wǎng)權(quán)限，保(bao)證了接入的(de)安全性同時提(ti)升群眾(zhong)上網(wǎng)的體驗

8、豐富的認(rèn)(ren)證機(jī)制，滿足組(zu)織對無線網(wǎng)(wang)絡(luò)安全、快(kuai)速接入(ru)

9、投資成本低，通(tong)過部署(shu)無線控制器替(ti)換原有網(wǎng)絡(luò)的(de)出口路(lu)由、行為管理(li)以及無線控制(zhi)器