大型企(qi)業(yè)在無(wu)線網(wǎng)絡(luò)(luo)建設(shè)期(qi)間要充分考(kao)慮訪客(ke)（領(lǐng)導、客戶、合作(zuo)伙伴(ban)）接入網(wǎng)絡(luò)(luo)的需求。首先(xian)從安全性考慮(lv)，訪客(ke)網(wǎng)絡(luò)必(bi)須要和辦(ban)公網(wǎng)絡(luò)分開，訪(fang)客網(wǎng)絡(luò)(luo)單獨提供給(gei)訪客使(shi)用。從用戶體驗(yan)角度考慮(lv)，訪客接入網(wǎng)絡(luò)(luo)的驗證方(fang)式一定要做到(dao)簡單(dan)易行，繁瑣(suo)的驗證方(fang)式會降低訪(fang)客對企(qi)業(yè)的整體(ti)印象。同時對(dui)于訪(fang)客網(wǎng)絡(luò)(luo)，企業(yè)還需要(yao)建立完善(shan)的網(wǎng)絡(luò)(luo)安全(quan)管理機制，避免(mian)由于(yu)訪客(ke)的網(wǎng)(wang)絡(luò)不(bu)良訪問給企業(yè)(ye)帶來的法律(lv)風險。對于(yu)企業(yè)員工(gong)移動辦(ban)公上網(wǎng)(wang)，更需要做(zuo)到可(ke)管控(kong)，上網(wǎng)行為做(zuo)到可追(zhui)溯，企業(yè)有效的(de)帶寬資源(yuan)得到合理的分(fen)配和(he)保證(zheng)，才能(neng)使企業(yè)的(de)業(yè)務(wù)系統(tǒng)正常(chang)且穩(wěn)(wen)定高效(xiao)地運行(xing)，同時保證企(qi)業(yè)信息安(an)全，避免機(ji)密信息泄露。

存在(zai)的問題（用戶需(xu)求）

1、接入不安全：缺(que)乏安全可靠(kao)的認證機制，企(qi)業(yè)無線網(wǎng)絡(luò)接(jie)入不(bu)安全

2、上網(wǎng)(wang)權(quán)限混亂：缺(que)乏有效的(de)控制(zhi)策略，員工上網(wǎng)(wang)權(quán)限不分明

3、數(shù)據(jù)信息(xi)安全：缺(que)乏有(you)效的數(shù)(shu)據(jù)加密機(ji)制，企業(yè)(ye)數(shù)據(jù)(ju)被黑客(ke)竊取篡改

4、無線信號(hao)差：AP性能(neng)不佳(jia)，上網(wǎng)總掉線(xian)，點位規(guī)(gui)劃不合理(li)，信號(hao)盲區(qū)多

5、漫游(you)效果差：不能實(shi)現(xiàn)二三(san)層漫游(you)，移動辦(ban)公時，業(yè)(ye)務(wù)中斷(duan)

解決方案：

結(jié)合用戶無線(xian)網(wǎng)絡(luò)需求情況(kuang)，結(jié)合產(chǎn)品(pin)自身技(ji)術(shù)特點(dian)，為了滿(man)足用戶構(gòu)建(jian)一個高速、穩(wěn)(wen)定、安全、可靠(kao)、易于管(guan)理的無線(xian)接入網(wǎng)絡(luò)(luo)的需求(qiu)，本設(shè)計方(fang)案按(an)照AP+AC的(de)結(jié)構(gòu)化(hua)無線(xian)網(wǎng)絡(luò)解決(jue)方案進(jin)行設(shè)計。具體(ti)設(shè)計為(wei)在總部設(shè)置(zhi)總部AC,在(zai)大型分支(zhi)機構(gòu)設(shè)(she)置分支AC與(yu)分支AP，中型分支(zhi)機構(gòu)設(shè)計(ji)二級，三級交換(huan)機，分支(zhi)AP。小微(wei)型分支機構(gòu)(gou)直接設(shè)置分(fen)支AP?？偛緼C可以(yi)對大(da)型分(fen)支機構(gòu)(gou)的AC進行管理(li)，當網(wǎng)點控制器(qi)采用集中(zhong)管理的(de)模式(shi)進入到中(zhong)心端控制器(qi)時，會自動(dong)下載中心端(duan)的公共配置(zhi)，比如IP組、MAC地址庫(ku)、時間計劃、角色(se)授權(quán)(quan)、認證頁面(mian)等 ?？偛緼C也可以(yi)直接(jie)管理(li)中小型分支(zhi)機構(gòu)(gou)的分支AP，實現(xiàn)統(tǒng)(tong)一管理。

方案設(shè)計：

安全無線整體(ti)解決方案：

接入前(qian)&接入時(shi)進行(xing)身份認證(zheng)、安全無線網(wǎng)卡(ka)、賬號(hao)綁定（硬件碼+手(shou)機號），非法熱(re)點檢測(ce)及防(fang)御、網(wǎng)絡(luò)(luo)攻擊防護、射頻(pin)定時關(guān)閉及(ji)安全加(jia)固。

接入后&上網(wǎng)(wang)時進行(xing)訪問權(quán)(quan)限控制(zhi)。

上網(wǎng)后進(jin)行上網(wǎng)行為(wei)記錄。

上網(wǎng)用(yong)戶身(shen)份實名(ming)認證：

無線(xian)辦公網(wǎng)采(cai)用802.1X/Portal/WAPI認證，外置(zhi)AAA和RADIUS+AD用于存(cun)儲用(yong)戶賬號密碼。

每個賬(zhang)號對(dui)應(yīng)一個(ge)員工，包括姓(xing)名、部門、性別以(yi)及身份證(zheng)、手機號等個(ge)人信息，保(bao)證每個上網(wǎng)的(de)賬號都是(shi)可尋的，便于安(an)全管(guan)理。

用戶輸入(ru)賬號密碼上(shang)網(wǎng)驗證時均采(cai)用加(jia)密傳(chuan)輸，防止(zhi)黑客空中攔(lan)截，竊取賬號(hao)密碼等(deng)數(shù)據(jù)。

上網(wǎng)賬號自(zi)動綁定終端(duan)：

自動將(jiang)賬號與終(zhong)端的硬件(jian)特征碼進(jin)行綁(bang)定，防止賬(zhang)號被他人使(shi)用或者被盜用(yong)。

每臺設(shè)備的(de)硬件(jian)特征(zheng)碼是唯一(yi)的，無法(fa)通過軟件(jian)修改。即使通過(guo)軟件修改了仍(reng)然可(ke)以識別原始(shi)的。

每個賬號最多(duo)可以綁定5臺(tai)終端，超過1臺(tai)時需(xu)要管理員審核(he)。

上網(wǎng)賬號二次(ci)綁定手機號(hao)碼：

賬號首次(ci)登陸時需要(yao)綁定手(shou)機號并輸入(ru)短信驗證碼，當(dang)用戶(hu)賬號(hao)在新終端(duan)登陸(lu)時（換(huan)終端/被他(ta)用/被(bei)盜），不僅需(xu)要輸入(ru)密碼，還(hai)需要輸入短信(xin)驗證碼，解(jie)決員工賬號認(ren)證的(de)安全問(wen)題

綁定(ding)手機號(hao)碼的(de)用戶，可以(yi)自助(zhu)重置密碼和(he)修改密碼(ma)，無需通過IT管理(li)員。

用戶密(mi)碼管理及自(zi)助修改：

無需通(tong)過管(guan)理員即可修改(gai)密碼(ma)，提高效(xiao)率及(ji)減輕管理員(yuan)工作壓力。

通過口袋助(zhu)理、釘釘、企(qi)業(yè)號等手機MOA類(lei)APP軟件進行(xing)無線(xian)密碼修改。

若賬號綁定了(le)手機號碼(ma)，可通過手(shou)機驗(yan)證碼(ma)自助修改。

上網(wǎng)終(zhong)端合(he)法效驗(yan)：

采用(yong)安全無線(xian)網(wǎng)卡(ka)接入(ru)無線網(wǎng)(wang)絡(luò)，終端與AP熱點(dian)的雙向驗證(zheng)，提高安全性(xing)。

可以將無線(xian)網(wǎng)絡(luò)設(shè)置為(wei)只有(you)安裝(zhuang)了安全(quan)無線(xian)網(wǎng)卡的(de)終端才(cai)能接入無線網(wǎng)(wang)絡(luò)。

支持設(shè)置(zhi)安全無線網(wǎng)(wang)卡只(zhi)能連指定SSID無(wu)線網(wǎng)絡(luò)，無法連(lian)接非授權(quán)SSID。

網(wǎng)卡與AP數(shù)據(jù)(ju)傳輸(shu)時自動進(jin)行數(shù)據(jù)(ju)加密，保(bao)證無線的(de)空口安全。

無線熱(re)點掃描及非法(fa)熱點抑(yi)制：

背景：黑(hei)客在附(fu)近搭建一個(ge)一模一樣或者(zhe)類似的WIFI名稱，誘(you)使用戶連到虛(xu)假釣魚WIFI上，黑客(ke)利用分(fen)析軟件(jian)從用戶(hu)上網(wǎng)產(chǎn)生的(de)數(shù)據(jù)包(bao)中分析(xi)提取(qu)用戶隱私信息(xi)。

我們(men)通過WIPS無線(xian)入侵防(fang)御系(xi)統(tǒng)實時(shi)檢測周(zhou)圍無線信(xin)號，當檢測出(chu)來的信號(hao)BSSID、且AP源MAC地址不在(zai)授權(quán)(quan)列表(biao)中時，我們向(xiang)對應(yīng)的(de)AP和終端發(fā)(fa)送解除關(guān)(guan)聯(lián)幀，讓終(zhong)端無法連上(shang)釣魚(yu)WIFI。7×24小時不間斷(duan)監(jiān)測網(wǎng)絡(luò)。

上網(wǎng)行為嚴格(ge)控制(zhi)：

強大的(de)管理：通過應(yīng)用(yong)識別技術(shù)，可(ke)以根據(jù)應(yīng)(ying)用類型(xing)或者(zhe)具體某(mou)一種應(yīng)用進行(xing)封堵，包(bao)括視頻(pin)、論壇(tan)、游戲、金融(rong)、下載等2400多種(zhong)網(wǎng)絡(luò)(luo)應(yīng)用(yong)。

通過應(yīng)用(yong)識別(bie)技術(shù)，可以根據(jù)(ju)應(yīng)用(yong)類型或者具(ju)體某一種(zhong)應(yīng)用(yong)進行封(feng)堵，比如上班時(shi)間不(bu)允許炒(chao)股，不允許P2P下(xia)載，不(bu)允許外(wai)發(fā)敏感文件等(deng)； 支持主(zhu)流移動平臺(tai)，可識別IM、社(she)交、Mail、新聞、炒股等(deng)應(yīng)用。

無線控制器(qi)內(nèi)置(zhi)千萬級(ji)別的(de)URL分類庫，能(neng)夠?qū)RL進行(xing)識別，包含(han)新聞、購物、金(jin)融、教(jiao)育等(deng)18個種類的URL地址(zhi)； 準確識別目前(qian)主流(liu)網(wǎng)站，識(shi)別率高達99.9%，有(you)效實現(xiàn)網(wǎng)頁(ye)過濾。例如(ru)禁止登陸非法(fa)網(wǎng)站

通過基于時(shi)間段(duan)的訪(fang)問控制(zhi)策略，實現(xiàn)(xian)不同的時(shi)間段不同(tong)的訪問權(quán)限(xian)，比如上班(ban)時間，禁止訪問(wen)網(wǎng)上銀(yin)行、游戲(xi)、論壇貼吧等與(yu)工作(zuo)無關(guān)的應(yīng)用，下(xia)班時(shi)間則(ze)不受限(xian)制。

辦公區(qū)域(yu)內(nèi)，不同辦公(gong)部門(men)總會(hui)有各(ge)自專屬的(de)無線網(wǎng)(wang)絡(luò)，并且不希(xi)望部門之外的(de)成員使用(yong)這個網(wǎng)絡(luò)(luo)。無線(xian)網(wǎng)絡(luò)控制器可(ke)以根據(jù)用戶(hu)的屬性(xing)，限制禁止非(fei)本部門的用(yong)戶接入(ru)。

典型無線(xian)網(wǎng)絡(luò)攻擊防(fang)護：

對典型的危(wei)險攻擊(ji)行為(wei)進行檢測，當超(chao)過設(shè)定的閾值(zhi)后自動將攻(gong)擊者加入(ru)到黑名(ming)單中，并凍結(jié)一(yi)定時間，即時(shi)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊(ji)并進行防御(yu)。

檢測的攻(gong)擊包括：DDOS防(fang)御、ARP掃描(miao)、IP掃描、端(duan)口掃描防御(yu)，禁止(zhi)客戶端(duan)私設(shè)IP以(yi)及ARP、網(wǎng)關(guān)欺騙防(fang)御、DHCP請求泛洪防(fang)御。

無線(xian)射頻(pin)定時關(guān)(guan)閉開啟：

通過射(she)頻關(guān)閉控(kong)制策(ce)略，可以(yi)指定(ding)某SSID網(wǎng)絡(luò)，定時(shi)自動(dong)關(guān)閉和開啟無(wu)線網(wǎng)絡(luò)(luo)的射(she)頻信號，晚上(shang)下班后自(zi)動關(guān)閉無線射(she)頻信號。

一方面可以節(jié)(jie)能減(jian)排、節(jié)省電(dian)費支出(chu)；另一方面又能(neng)防止非(fei)法用戶(hu)利用深夜時(shi)間入侵無線網(wǎng)(wang)絡(luò)，做一些(xie)非法(fa)的操作。

有線(xian)無線一體化(hua)管理(li)：

NAC的有線無線(xian)一體化(hua)，支持對有(you)線用戶(hu)的接入認(ren)證、訪問控制、流(liu)量管理、上網(wǎng)行(xing)為審計(ji)等，

并提(ti)供統(tǒng)一中(zhong)文Web管(guan)理界面(mian)，一站(zhan)式服(fu)務(wù)，極大(da)的降低網(wǎng)絡(luò)(luo)建設(shè)成(cheng)本。

網(wǎng)絡(luò)分權(quán)(quan)分級管理：

分配不(bu)同的(de)管理員分別(bie)管理各自權(quán)限(xian)區(qū)域(yu)的無線AP，可(ke)以精細到對某(mou)AP分組有管理(li)權(quán)限，該管(guan)理員可以(yi)在該AP分組(zu)上建立無線(xian)網(wǎng)絡(luò)，能夠激活(huo)、刪除接(jie)入點(dian)，能夠?qū)P的(de)配置進行編輯(ji)修改。

可指定管(guan)理員(yuan)針對每個頁(ye)面的(de)編輯或可查看(kan)權(quán)限，控(kong)制粒(li)度到控制器(qi)上的各個頁(ye)面，對某個頁面(mian)沒有(you)讀權(quán)(quan)限則登錄(lu)時不顯示。

移動APP隨時(shi)隨地運維管理(li)：

支持跨互(hu)聯(lián)網(wǎng)(wang)運維(wei)管理

登陸APP進(jin)行維(wei)護管理：不(bu)同管(guan)理員，不(bu)同權(quán)限

查看網(wǎng)絡(luò)運行(xing)情況(kuang)：在線用戶、在(zai)線AP數(shù)量、實時(shi)流量

無線(xian)網(wǎng)絡(luò)(luo)管理維護：開啟(qi)關(guān)閉SSID、終端綁定(ding)審批、二維碼(ma)上網(wǎng)審核

故障、審(shen)批實(shi)時通知：AP離(li)線警告(gao)、服務(wù)(wu)器離線警(jing)告、網(wǎng)絡(luò)(luo)攻擊告警

方案(an)優(yōu)勢：

1、最豐富(fu)的無線(xian)安全機制，提(ti)供從安全接入(ru)到安(an)全上網(wǎng)等端(duan)到端的安(an)全策略

2、合理管控工作(zuo)人員(yuan)上網(wǎng)(wang)行為，提升工(gong)作效率、防止(zhi)帶寬浪費，有線(xian)無線雙重(zhong)管控(kong)

3、為會議(yi)室，報告廳(ting)等人員密(mi)集區(qū)(qu)域接入網(wǎng)絡(luò)(luo)提高保證(zheng)，解決有線網(wǎng)口(kou)不足的問(wen)題；

4、為企業(yè)(ye)員工的(de)移動辦公(gong)提供支撐(cheng)，內(nèi)部員(yuan)工可通過無(wu)線網(wǎng)絡(luò)(luo)隨時安全(quan)接入內(nèi)部(bu)網(wǎng)絡(luò)，實現(xiàn)辦公(gong)；

5、內(nèi)部員工賬號(hao)及個人信息綁(bang)定，便于安全(quan)管理；

6、內(nèi)部員工(gong)可通過自己(ji)的辦公(gong)設(shè)備在企業(yè)大(da)樓內(nèi)(nei)快速(su)移動辦公(gong)，網(wǎng)絡(luò)接入更快(kuai)速，上網(wǎng)行(xing)為管理系統(tǒng)(tong)對員工上網(wǎng)行(xing)為進行審(shen)計與管控(kong)

7、來訪(fang)客戶接入企(qi)業(yè)網(wǎng)絡(luò)(luo)，可根據(jù)不(bu)同需求(qiu)，分配不同的上(shang)網(wǎng)權(quán)限，保(bao)證了接入的安(an)全性同時提升(sheng)群眾(zhong)上網(wǎng)的體(ti)驗

8、豐富的認(ren)證機制(zhi)，滿足組織對無(wu)線網(wǎng)絡(luò)安全、快(kuai)速接入

9、投資成(cheng)本低，通過(guo)部署無線(xian)控制器(qi)替換原(yuan)有網(wǎng)絡(luò)的出(chu)口路由、行為(wei)管理以及(ji)無線控制器