大型企(qi)業(yè)在無線網(wǎng)絡(luò)(luo)建設(shè)期間要(yao)充分(fen)考慮訪客(ke)（領(lǐng)導(dǎo)、客戶、合作(zuo)伙伴）接入網(wǎng)絡(luò)(luo)的需求(qiu)。首先從安全性(xing)考慮，訪(fang)客網(wǎng)絡(luò)必(bi)須要和(he)辦公網(wǎng)絡(luò)分(fen)開，訪(fang)客網(wǎng)絡(luò)單(dan)獨提供(gong)給訪客使(shi)用。從用(yong)戶體驗(yan)角度考慮，訪客(ke)接入網(wǎng)絡(luò)(luo)的驗證方(fang)式一定要(yao)做到簡(jian)單易行，繁(fan)瑣的驗證(zheng)方式會降(jiang)低訪客對企業(yè)(ye)的整(zheng)體印象。同時對(dui)于訪客網(wǎng)(wang)絡(luò)，企業(yè)還需(xu)要建立完(wan)善的(de)網(wǎng)絡(luò)安全管理(li)機制(zhi)，避免由(you)于訪客的(de)網(wǎng)絡(luò)不良(liang)訪問給企(qi)業(yè)帶來的法律(lv)風(fēng)險(xian)。對于企(qi)業(yè)員工移(yi)動辦公(gong)上網(wǎng)，更需要做(zuo)到可(ke)管控，上(shang)網(wǎng)行為做(zuo)到可追溯(su)，企業(yè)有效的帶(dai)寬資(zi)源得到合理的(de)分配和保(bao)證，才能使(shi)企業(yè)的業(yè)(ye)務(wù)系統(tǒng)正常且(qie)穩(wěn)定高(gao)效地(di)運行，同時保(bao)證企業(yè)信(xin)息安(an)全，避(bi)免機密信息(xi)泄露(lu)。

存在的問題（用(yong)戶需求(qiu)）

1、接入不安全(quan)：缺乏(fa)安全可靠的認(ren)證機制，企(qi)業(yè)無(wu)線網(wǎng)絡(luò)接入(ru)不安全

2、上網(wǎng)權(quán)限混亂(luan)：缺乏有效(xiao)的控(kong)制策略，員工(gong)上網(wǎng)權(quán)限不(bu)分明(ming)

3、數(shù)據(jù)信息安(an)全：缺(que)乏有(you)效的數(shù)據(jù)加(jia)密機(ji)制，企(qi)業(yè)數(shù)(shu)據(jù)被黑客(ke)竊取篡改

4、無線信號差(cha)：AP性能不佳(jia)，上網(wǎng)總掉線，點(dian)位規(guī)劃不合(he)理，信號盲(mang)區(qū)多

5、漫游效果(guo)差：不能實現(xiàn)二(er)三層漫(man)游，移動辦公時(shi)，業(yè)務(wù)中(zhong)斷

解決方案：

結(jié)合用戶無(wu)線網(wǎng)絡(luò)需(xu)求情況，結(jié)合(he)產(chǎn)品自(zi)身技術(shù)特點(dian)，為了滿足用戶(hu)構(gòu)建(jian)一個(ge)高速、穩(wěn)定、安(an)全、可靠、易于管(guan)理的無線(xian)接入網(wǎng)(wang)絡(luò)的需求(qiu)，本設(shè)計方案(an)按照AP+AC的結(jié)構(gòu)化(hua)無線(xian)網(wǎng)絡(luò)解決方案(an)進行設(shè)(she)計。具(ju)體設(shè)計為在(zai)總部設(shè)置總部(bu)AC,在大型(xing)分支機(ji)構(gòu)設(shè)置分支AC與(yu)分支AP，中型分(fen)支機構(gòu)設(shè)計(ji)二級，三級交(jiao)換機，分支(zhi)AP。小微型分支(zhi)機構(gòu)直接設(shè)置(zhi)分支AP?？偛?bu)AC可以(yi)對大型分(fen)支機構(gòu)(gou)的AC進(jin)行管理，當(dāng)(dang)網(wǎng)點控制器(qi)采用集中(zhong)管理的模(mo)式進入到中心(xin)端控制器(qi)時，會自動下載(zai)中心端的公共(gong)配置(zhi)，比如(ru)IP組、MAC地址庫、時間(jian)計劃、角色授權(quán)(quan)、認證頁(ye)面等 。總部AC也(ye)可以直接管理(li)中小(xiao)型分支機(ji)構(gòu)的分支AP，實(shi)現(xiàn)統(tǒng)一管理。

方案設(shè)(she)計：

安全無線整(zheng)體解(jie)決方案(an)：

接入前&接(jie)入時(shi)進行(xing)身份認證、安全(quan)無線網(wǎng)卡(ka)、賬號綁(bang)定（硬(ying)件碼+手機號），非(fei)法熱點檢(jian)測及(ji)防御、網(wǎng)絡(luò)攻(gong)擊防護、射(she)頻定(ding)時關(guān)閉及安(an)全加固(gu)。

接入(ru)后&上網(wǎng)時進(jin)行訪問權(quán)限(xian)控制。

上網(wǎng)后進行(xing)上網(wǎng)行為(wei)記錄(lu)。

上網(wǎng)用戶身份(fen)實名認證(zheng)：

無線(xian)辦公網(wǎng)采(cai)用802.1X/Portal/WAPI認證，外(wai)置AAA和(he)RADIUS+AD用于存儲(chu)用戶賬號密(mi)碼。

每個賬號(hao)對應(yīng)一個(ge)員工，包括姓名(ming)、部門、性(xing)別以及身份(fen)證、手機號等(deng)個人信(xin)息，保證每(mei)個上網(wǎng)的(de)賬號都是(shi)可尋的，便于(yu)安全管理(li)。

用戶(hu)輸入(ru)賬號密碼(ma)上網(wǎng)驗證時均(jun)采用加密傳(chuan)輸，防(fang)止黑(hei)客空中攔截(jie)，竊取賬(zhang)號密碼等(deng)數(shù)據(jù)。

上網(wǎng)賬號自(zi)動綁定終端(duan)：

自動將賬號(hao)與終端(duan)的硬(ying)件特征碼進(jin)行綁定，防(fang)止賬(zhang)號被他人使用(yong)或者被(bei)盜用(yong)。

每臺設(shè)備的(de)硬件特征碼(ma)是唯一(yi)的，無法通(tong)過軟件(jian)修改。即使通過(guo)軟件(jian)修改了仍然可(ke)以識別原(yuan)始的。

每個賬號最(zui)多可以綁定(ding)5臺終端，超過(guo)1臺時需要管理(li)員審核。

上網(wǎng)賬號二次(ci)綁定手機(ji)號碼：

賬號首(shou)次登陸(lu)時需要綁定(ding)手機號并輸(shu)入短(duan)信驗證碼，當(dāng)用(yong)戶賬號在(zai)新終端登(deng)陸時（換終(zhong)端/被他用/被盜(dao)），不僅需要輸入(ru)密碼，還需要(yao)輸入短信(xin)驗證碼，解決(jue)員工賬(zhang)號認證的(de)安全問題

綁定手機號碼(ma)的用(yong)戶，可(ke)以自助(zhu)重置(zhi)密碼和修改密(mi)碼，無需通過IT管(guan)理員。

用戶(hu)密碼(ma)管理(li)及自助修(xiu)改：

無需(xu)通過(guo)管理員即可(ke)修改密(mi)碼，提高效率及(ji)減輕管理員(yuan)工作壓力。

通過口袋助(zhu)理、釘釘、企業(yè)(ye)號等手機MOA類APP軟(ruan)件進行無線(xian)密碼修(xiu)改。

若賬號綁定(ding)了手機號碼，可(ke)通過手機驗證(zheng)碼自助修改(gai)。

上網(wǎng)終端(duan)合法效(xiao)驗：

采用安全(quan)無線網(wǎng)(wang)卡接入(ru)無線網(wǎng)絡(luò)，終端(duan)與AP熱點的雙向(xiang)驗證，提高(gao)安全(quan)性。

可以將無(wu)線網(wǎng)絡(luò)(luo)設(shè)置為只有(you)安裝了安全無(wu)線網(wǎng)(wang)卡的終端(duan)才能(neng)接入無線網(wǎng)(wang)絡(luò)。

支持設(shè)(she)置安全(quan)無線(xian)網(wǎng)卡(ka)只能連指定SSID無(wu)線網(wǎng)(wang)絡(luò)，無(wu)法連接非(fei)授權(quán)SSID。

網(wǎng)卡與AP數(shù)據(jù)(ju)傳輸時自動(dong)進行(xing)數(shù)據(jù)加密，保(bao)證無線的空口(kou)安全。

無線熱點(dian)掃描及(ji)非法熱點(dian)抑制：

背景(jing)：黑客在附近搭(da)建一個一模一(yi)樣或者類(lei)似的WIFI名稱(cheng)，誘使(shi)用戶連到(dao)虛假釣(diao)魚WIFI上，黑客利(li)用分析軟(ruan)件從(cong)用戶(hu)上網(wǎng)產(chǎn)(chan)生的數(shù)據(jù)(ju)包中(zhong)分析(xi)提取用戶隱(yin)私信息(xi)。

我們(men)通過WIPS無線入侵(qin)防御系統(tǒng)實(shi)時檢(jian)測周圍無線信(xin)號，當(dāng)檢測出來(lai)的信號BSSID、且AP源(yuan)MAC地址不在(zai)授權(quán)列(lie)表中(zhong)時，我們向?qū)?dui)應(yīng)的AP和終端發(fā)(fa)送解除(chu)關(guān)聯(lián)(lian)幀，讓(rang)終端無(wu)法連上釣魚(yu)WIFI。7×24小時不(bu)間斷監(jiān)測(ce)網(wǎng)絡(luò)。

上網(wǎng)行為嚴(yan)格控(kong)制：

強大的管理(li)：通過應(yīng)用識別(bie)技術(shù)，可以(yi)根據(jù)應(yīng)用類型(xing)或者具體某一(yi)種應(yīng)(ying)用進行(xing)封堵(du)，包括視頻、論壇(tan)、游戲、金融、下載(zai)等2400多(duo)種網(wǎng)絡(luò)應(yīng)(ying)用。

通過應(yīng)用識(shi)別技(ji)術(shù)，可以根據(jù)應(yīng)(ying)用類型或者(zhe)具體(ti)某一種應(yīng)(ying)用進行封(feng)堵，比如上班時(shi)間不允許炒股(gu)，不允許P2P下載，不(bu)允許外發(fā)敏感(gan)文件等； 支(zhi)持主流移(yi)動平臺，可識別(bie)IM、社交、Mail、新聞、炒(chao)股等應(yīng)用。

無線控制器內(nèi)(nei)置千萬(wan)級別的(de)URL分類庫，能夠?qū)?dui)URL進行(xing)識別，包含(han)新聞、購物(wu)、金融(rong)、教育等18個種(zhong)類的URL地址； 準(zhun)確識(shi)別目(mu)前主流網(wǎng)(wang)站，識別率(lv)高達99.9%，有效(xiao)實現(xiàn)(xian)網(wǎng)頁過(guo)濾。例如禁(jin)止登(deng)陸非法網(wǎng)站

通過基于時間(jian)段的訪問控(kong)制策略(lve)，實現(xiàn)(xian)不同(tong)的時間段不(bu)同的訪(fang)問權(quán)(quan)限，比如上班(ban)時間，禁止訪問(wen)網(wǎng)上銀(yin)行、游戲(xi)、論壇(tan)貼吧(ba)等與工作無關(guān)(guan)的應(yīng)用，下班時(shi)間則不受限(xian)制。

辦公區(qū)(qu)域內(nèi)，不同(tong)辦公部門(men)總會有各自(zi)專屬的無線(xian)網(wǎng)絡(luò)，并(bing)且不希望部門(men)之外(wai)的成員(yuan)使用這個網(wǎng)(wang)絡(luò)。無線網(wǎng)(wang)絡(luò)控制器可以(yi)根據(jù)用戶的(de)屬性(xing)，限制(zhi)禁止(zhi)非本部門的用(yong)戶接入(ru)。

典型無線網(wǎng)(wang)絡(luò)攻擊防(fang)護：

對典型的危險(xian)攻擊行為進(jin)行檢測，當(dāng)超(chao)過設(shè)定的閾值(zhi)后自動將(jiang)攻擊者(zhe)加入到(dao)黑名單中(zhong)，并凍結(jié)一(yi)定時間(jian)，即時發(fā)(fa)現(xiàn)網(wǎng)絡(luò)攻擊并(bing)進行(xing)防御。

檢測(ce)的攻(gong)擊包括：DDOS防(fang)御、ARP掃描、IP掃(sao)描、端口掃描防(fang)御，禁止客戶端(duan)私設(shè)(she)IP以及ARP、網(wǎng)關(guān)欺(qi)騙防御、DHCP請求泛(fan)洪防御(yu)。

無線射頻定時(shi)關(guān)閉開啟(qi)：

通過射頻(pin)關(guān)閉控制策略(lve)，可以指定某(mou)SSID網(wǎng)絡(luò)，定時自(zi)動關(guān)閉和開(kai)啟無線網(wǎng)(wang)絡(luò)的射(she)頻信(xin)號，晚上下班(ban)后自(zi)動關(guān)閉(bi)無線(xian)射頻信號。

一方面可以(yi)節(jié)能(neng)減排、節(jié)省電(dian)費支(zhi)出；另一方面(mian)又能防止(zhi)非法用戶利(li)用深(shen)夜時(shi)間入侵無線網(wǎng)(wang)絡(luò)，做一些非法(fa)的操作。

有線無線一體(ti)化管理：

NAC的有線無(wu)線一體化(hua)，支持對有(you)線用(yong)戶的接(jie)入認(ren)證、訪問(wen)控制、流量管理(li)、上網(wǎng)行為審(shen)計等，

并提供統(tǒng)(tong)一中文Web管理界(jie)面，一站(zhan)式服務(wù)，極(ji)大的降低網(wǎng)(wang)絡(luò)建設(shè)成(cheng)本。

網(wǎng)絡(luò)分權(quán)分(fen)級管理：

分配不(bu)同的管理員分(fen)別管理各自權(quán)(quan)限區(qū)域(yu)的無線(xian)AP，可以精(jing)細到(dao)對某AP分組有(you)管理(li)權(quán)限，該(gai)管理員可以(yi)在該(gai)AP分組(zu)上建立無(wu)線網(wǎng)(wang)絡(luò)，能夠激(ji)活、刪除接(jie)入點(dian)，能夠(gou)對AP的(de)配置(zhi)進行編輯修(xiu)改。

可指定管(guan)理員針對每個(ge)頁面(mian)的編(bian)輯或可(ke)查看權(quán)限(xian)，控制(zhi)粒度到控(kong)制器上(shang)的各個頁面(mian)，對某(mou)個頁面沒有(you)讀權(quán)限則登錄(lu)時不(bu)顯示(shi)。

移動APP隨時(shi)隨地(di)運維(wei)管理：

支持跨互(hu)聯(lián)網(wǎng)運(yun)維管理

登陸APP進行維護(hu)管理：不同管(guan)理員(yuan)，不同權(quán)限

查看網(wǎng)絡(luò)運行(xing)情況：在線用(yong)戶、在線AP數(shù)(shu)量、實時流(liu)量

無線(xian)網(wǎng)絡(luò)(luo)管理(li)維護：開啟(qi)關(guān)閉SSID、終端(duan)綁定審批、二(er)維碼上(shang)網(wǎng)審核

故障(zhang)、審批實(shi)時通知：AP離線(xian)警告、服務(wù)器(qi)離線警告、網(wǎng)(wang)絡(luò)攻擊告警(jing)

方案(an)優(yōu)勢：

1、最豐富的無線(xian)安全機制，提供(gong)從安全接(jie)入到安全上網(wǎng)(wang)等端到端的安(an)全策略(lve)

2、合理(li)管控工作(zuo)人員上(shang)網(wǎng)行為，提升(sheng)工作效率、防止(zhi)帶寬浪費(fei)，有線(xian)無線雙重管控(kong)

3、為會議(yi)室，報(bao)告廳等人員(yuan)密集區(qū)域(yu)接入網(wǎng)絡(luò)提高(gao)保證，解(jie)決有線網(wǎng)口不(bu)足的問(wen)題；

4、為企業(yè)員(yuan)工的移動辦(ban)公提供支撐(cheng)，內(nèi)部員工可通(tong)過無線網(wǎng)絡(luò)(luo)隨時(shi)安全接(jie)入內(nèi)部網(wǎng)(wang)絡(luò)，實(shi)現(xiàn)辦公；

5、內(nèi)部員工賬號(hao)及個人(ren)信息綁定(ding)，便于安全(quan)管理(li)；

6、內(nèi)部員工可(ke)通過自(zi)己的辦(ban)公設(shè)備(bei)在企業(yè)大(da)樓內(nèi)快(kuai)速移(yi)動辦公(gong)，網(wǎng)絡(luò)(luo)接入更快(kuai)速，上網(wǎng)行為(wei)管理系統(tǒng)(tong)對員工上網(wǎng)行(xing)為進行審計與(yu)管控

7、來訪客戶接入(ru)企業(yè)網(wǎng)(wang)絡(luò)，可根據(jù)不同(tong)需求，分配不同(tong)的上網(wǎng)(wang)權(quán)限，保證了接(jie)入的安(an)全性同時提升(sheng)群眾上網(wǎng)的(de)體驗

8、豐富的認(ren)證機制，滿足(zu)組織對(dui)無線網(wǎng)絡(luò)安全(quan)、快速接入

9、投資成本低(di)，通過部(bu)署無線控制器(qi)替換原有(you)網(wǎng)絡(luò)的出口路(lu)由、行為管理(li)以及無(wu)線控制器