大型(xing)企業(yè)在無(wu)線網(wǎng)絡(luò)建(jian)設(shè)期間(jian)要充分考慮訪(fang)客（領(lǐng)(ling)導、客戶、合(he)作伙伴）接(jie)入網(wǎng)絡(luò)的需(xu)求。首先從安(an)全性考(kao)慮，訪客網(wǎng)絡(luò)(luo)必須要和辦(ban)公網(wǎng)絡(luò)分開(kai)，訪客網(wǎng)絡(luò)單獨(du)提供給訪客使(shi)用。從用(yong)戶體驗角度(du)考慮，訪(fang)客接入網(wǎng)(wang)絡(luò)的驗證方式(shi)一定(ding)要做到簡單易(yi)行，繁(fan)瑣的驗證方(fang)式會降低訪客(ke)對企業(yè)的整(zheng)體印(yin)象。同(tong)時對于訪客網(wǎng)(wang)絡(luò)，企業(yè)還需要(yao)建立完(wan)善的網(wǎng)絡(luò)(luo)安全管(guan)理機制，避免(mian)由于訪客的網(wǎng)(wang)絡(luò)不良訪問(wen)給企(qi)業(yè)帶來的(de)法律風(feng)險。對于(yu)企業(yè)(ye)員工移動辦公(gong)上網(wǎng)，更(geng)需要做到可(ke)管控，上(shang)網(wǎng)行為(wei)做到可追溯(su)，企業(yè)有效的帶(dai)寬資源(yuan)得到合理的(de)分配和保證，才(cai)能使企業(yè)(ye)的業(yè)務(wù)系統(tǒng)(tong)正常且穩(wěn)(wen)定高效地(di)運行，同時保(bao)證企(qi)業(yè)信息安全(quan)，避免機密信(xin)息泄露。

存在的(de)問題（用戶(hu)需求）

1、接入不(bu)安全：缺乏(fa)安全可靠(kao)的認證機制，企(qi)業(yè)無(wu)線網(wǎng)絡(luò)接入(ru)不安全

2、上網(wǎng)權(quán)限混亂(luan)：缺乏有效的控(kong)制策略，員(yuan)工上網(wǎng)權(quán)限不(bu)分明

3、數(shù)據(jù)信息(xi)安全：缺乏有(you)效的數(shù)據(jù)(ju)加密機(ji)制，企業(yè)(ye)數(shù)據(jù)被黑(hei)客竊取篡改(gai)

4、無線信號(hao)差：AP性能不(bu)佳，上(shang)網(wǎng)總(zong)掉線，點(dian)位規(guī)劃不(bu)合理，信號(hao)盲區(qū)多

5、漫游(you)效果差(cha)：不能實現(xiàn)二(er)三層(ceng)漫游(you)，移動(dong)辦公時，業(yè)務(wù)(wu)中斷

解決方案：

結(jié)合用戶無線(xian)網(wǎng)絡(luò)需(xu)求情(qing)況，結(jié)合產(chǎn)(chan)品自身(shen)技術(shù)特點，為(wei)了滿足用戶(hu)構(gòu)建(jian)一個(ge)高速、穩(wěn)定、安(an)全、可靠、易(yi)于管理(li)的無線接(jie)入網(wǎng)絡(luò)(luo)的需求，本設(shè)計(ji)方案按照(zhao)AP+AC的結(jié)構(gòu)(gou)化無線(xian)網(wǎng)絡(luò)解(jie)決方案進行(xing)設(shè)計。具體(ti)設(shè)計為在總(zong)部設(shè)置總部(bu)AC,在大型分支(zhi)機構(gòu)設(shè)置分支(zhi)AC與分支(zhi)AP，中型(xing)分支機構(gòu)(gou)設(shè)計二級，三(san)級交換(huan)機，分支AP。小微(wei)型分支機構(gòu)(gou)直接設(shè)置(zhi)分支AP?？偛緼C可(ke)以對大(da)型分支機(ji)構(gòu)的AC進行(xing)管理，當網(wǎng)(wang)點控制器(qi)采用(yong)集中(zhong)管理的模(mo)式進入到(dao)中心端控制(zhi)器時，會自動下(xia)載中心(xin)端的公(gong)共配(pei)置，比如IP組(zu)、MAC地址庫(ku)、時間計劃(hua)、角色授權(quán)、認證(zheng)頁面等 。總部(bu)AC也可以直接(jie)管理中小(xiao)型分(fen)支機構(gòu)的分(fen)支AP，實現(xiàn)統(tǒng)一管(guan)理。

方案(an)設(shè)計(ji)：

安全無線(xian)整體解決(jue)方案(an)：

接入前&接入時(shi)進行身份(fen)認證、安全無線(xian)網(wǎng)卡、賬號(hao)綁定（硬(ying)件碼+手機號），非(fei)法熱(re)點檢測及(ji)防御、網(wǎng)(wang)絡(luò)攻擊防(fang)護、射頻定時關(guān)(guan)閉及安全(quan)加固。

接入(ru)后&上(shang)網(wǎng)時進(jin)行訪問權(quán)限控(kong)制。

上網(wǎng)后進行上(shang)網(wǎng)行為記錄(lu)。

上網(wǎng)用戶(hu)身份實(shi)名認證：

無線(xian)辦公網(wǎng)采(cai)用802.1X/Portal/WAPI認證，外置(zhi)AAA和RADIUS+AD用于存(cun)儲用戶賬號密(mi)碼。

每個賬(zhang)號對應(yīng)一個(ge)員工(gong)，包括(kuo)姓名、部門、性(xing)別以及身(shen)份證(zheng)、手機號等個人(ren)信息，保證每(mei)個上網(wǎng)的賬號(hao)都是可尋(xun)的，便(bian)于安全管理(li)。

用戶輸入賬(zhang)號密(mi)碼上(shang)網(wǎng)驗證時(shi)均采(cai)用加密(mi)傳輸，防(fang)止黑客空中攔(lan)截，竊取賬(zhang)號密碼(ma)等數(shù)據(jù)(ju)。

上網(wǎng)(wang)賬號自動綁定(ding)終端：

自動(dong)將賬號與終(zhong)端的硬件特(te)征碼進行綁定(ding)，防止賬(zhang)號被他人使(shi)用或(huo)者被盜(dao)用。

每臺設(shè)備的硬(ying)件特征碼是唯(wei)一的，無法通(tong)過軟件修(xiu)改。即使(shi)通過軟件修改(gai)了仍然可以(yi)識別原始的。

每個賬號最(zui)多可以綁(bang)定5臺終端(duan)，超過1臺時需(xu)要管理員審核(he)。

上網(wǎng)賬號二(er)次綁定手機號(hao)碼：

賬號首(shou)次登陸(lu)時需要(yao)綁定手機號(hao)并輸入短信(xin)驗證碼，當用(yong)戶賬號在新(xin)終端登陸時(shi)（換終端/被他(ta)用/被盜(dao)），不僅(jin)需要輸入密碼(ma)，還需要輸(shu)入短信驗證(zheng)碼，解決員工賬(zhang)號認證的安(an)全問(wen)題

綁定手(shou)機號碼的(de)用戶，可以自助(zhu)重置(zhi)密碼和修(xiu)改密(mi)碼，無需通過IT管(guan)理員。

用戶密碼管(guan)理及(ji)自助修改：

無需通過管(guan)理員即可修改(gai)密碼，提高效(xiao)率及減(jian)輕管理員工作(zuo)壓力。

通過(guo)口袋助(zhu)理、釘釘、企業(yè)(ye)號等手機MOA類APP軟(ruan)件進行無線密(mi)碼修改。

若賬號綁定了(le)手機號碼，可通(tong)過手機驗(yan)證碼自助修(xiu)改。

上網(wǎng)終(zhong)端合法效驗：

采用安全無線(xian)網(wǎng)卡接(jie)入無線網(wǎng)(wang)絡(luò)，終端與AP熱(re)點的雙向驗(yan)證，提高安(an)全性。

可以(yi)將無(wu)線網(wǎng)絡(luò)設(shè)置為(wei)只有安(an)裝了安全無線(xian)網(wǎng)卡的終(zhong)端才能(neng)接入無(wu)線網(wǎng)絡(luò)。

支持設(shè)置(zhi)安全無線網(wǎng)卡(ka)只能(neng)連指定SSID無(wu)線網(wǎng)絡(luò)(luo)，無法連接(jie)非授權(quán)SSID。

網(wǎng)卡與(yu)AP數(shù)據(jù)(ju)傳輸時自動進(jin)行數(shù)(shu)據(jù)加密，保(bao)證無線的(de)空口(kou)安全。

無線熱點掃描(miao)及非法熱(re)點抑制(zhi)：

背景：黑客(ke)在附(fu)近搭建(jian)一個一(yi)模一樣或者類(lei)似的(de)WIFI名稱，誘使用戶(hu)連到虛假釣魚(yu)WIFI上，黑客(ke)利用(yong)分析(xi)軟件從用戶(hu)上網(wǎng)產(chǎn)生的(de)數(shù)據(jù)包(bao)中分(fen)析提(ti)取用戶隱(yin)私信息(xi)。

我們通過(guo)WIPS無線入侵防御(yu)系統(tǒng)(tong)實時檢測(ce)周圍無線(xian)信號，當檢測(ce)出來的信(xin)號BSSID、且AP源(yuan)MAC地址不在授(shou)權(quán)列表中(zhong)時，我們向?qū)?dui)應(yīng)的AP和終端(duan)發(fā)送解除關(guān)(guan)聯(lián)幀，讓終端(duan)無法(fa)連上(shang)釣魚WIFI。7×24小(xiao)時不間斷(duan)監(jiān)測網(wǎng)絡(luò)。

上網(wǎng)行為(wei)嚴格控制：

強大的(de)管理：通過應(yīng)用(yong)識別技術(shù)，可以(yi)根據(jù)應(yīng)用類型(xing)或者具體某一(yi)種應(yīng)用進(jin)行封堵(du)，包括視頻、論壇(tan)、游戲、金融、下(xia)載等2400多種(zhong)網(wǎng)絡(luò)應(yīng)用。

通過應(yīng)用(yong)識別技術(shù)(shu)，可以根據(jù)應(yīng)用(yong)類型(xing)或者具(ju)體某一種(zhong)應(yīng)用進行(xing)封堵(du)，比如上(shang)班時間不允(yun)許炒股，不允許(xu)P2P下載(zai)，不允許外發(fā)(fa)敏感(gan)文件(jian)等； 支(zhi)持主流移動(dong)平臺，可識別IM、社(she)交、Mail、新聞、炒股等(deng)應(yīng)用(yong)。

無線(xian)控制器內(nèi)(nei)置千萬(wan)級別的URL分(fen)類庫，能夠(gou)對URL進行識別，包(bao)含新聞(wen)、購物、金融、教(jiao)育等18個種(zhong)類的URL地(di)址； 準確識別目(mu)前主流(liu)網(wǎng)站，識別率高(gao)達99.9%，有效(xiao)實現(xiàn)網(wǎng)頁過濾(lv)。例如禁止登(deng)陸非法(fa)網(wǎng)站

通過基于(yu)時間段的訪(fang)問控制(zhi)策略，實現(xiàn)不(bu)同的(de)時間段(duan)不同(tong)的訪問(wen)權(quán)限，比(bi)如上班時(shi)間，禁止訪問網(wǎng)(wang)上銀行、游戲、論(lun)壇貼(tie)吧等與(yu)工作無關(guān)(guan)的應(yīng)用(yong)，下班時間則(ze)不受限(xian)制。

辦公區(qū)(qu)域內(nèi)，不同(tong)辦公部(bu)門總會有各(ge)自專屬的(de)無線(xian)網(wǎng)絡(luò)，并且不希(xi)望部門(men)之外(wai)的成員使(shi)用這個網(wǎng)(wang)絡(luò)。無線網(wǎng)(wang)絡(luò)控制器(qi)可以根(gen)據(jù)用戶的屬(shu)性，限制(zhi)禁止(zhi)非本部門的用(yong)戶接入。

典型無線網(wǎng)(wang)絡(luò)攻擊防護：

對典型的危(wei)險攻擊行為進(jin)行檢測，當(dang)超過(guo)設(shè)定的(de)閾值后(hou)自動將攻擊者(zhe)加入到黑名單(dan)中，并凍結(jié)一(yi)定時間，即時(shi)發(fā)現(xiàn)網(wǎng)絡(luò)攻(gong)擊并進行防(fang)御。

檢測(ce)的攻擊(ji)包括：DDOS防御、ARP掃描(miao)、IP掃描(miao)、端口(kou)掃描防(fang)御，禁止客戶端(duan)私設(shè)IP以及ARP、網(wǎng)關(guān)(guan)欺騙防(fang)御、DHCP請求泛(fan)洪防(fang)御。

無線射頻定(ding)時關(guān)(guan)閉開啟(qi)：

通過射頻(pin)關(guān)閉控(kong)制策略(lve)，可以指定某(mou)SSID網(wǎng)絡(luò)，定時自動(dong)關(guān)閉和開啟(qi)無線網(wǎng)(wang)絡(luò)的射頻信號(hao)，晚上下班(ban)后自動關(guān)閉(bi)無線射頻(pin)信號。

一方面可以節(jié)(jie)能減排、節(jié)省(sheng)電費支出(chu)；另一方(fang)面又能(neng)防止非法用戶(hu)利用(yong)深夜(ye)時間入(ru)侵無線(xian)網(wǎng)絡(luò)，做一些(xie)非法的操作。

有線無線一(yi)體化管(guan)理：

NAC的有線無線(xian)一體化，支(zhi)持對(dui)有線(xian)用戶的接入(ru)認證、訪問控制(zhi)、流量管理(li)、上網(wǎng)行為審計(ji)等，

并提(ti)供統(tǒng)一(yi)中文Web管理(li)界面，一站式(shi)服務(wù)(wu)，極大的降(jiang)低網(wǎng)絡(luò)建(jian)設(shè)成(cheng)本。

網(wǎng)絡(luò)分權(quán)(quan)分級管理：

分配不(bu)同的管理員(yuan)分別(bie)管理各自(zi)權(quán)限區(qū)域的(de)無線(xian)AP，可以精細到(dao)對某AP分(fen)組有管理(li)權(quán)限，該管理員(yuan)可以在該AP分組(zu)上建立無線網(wǎng)(wang)絡(luò)，能夠激(ji)活、刪(shan)除接(jie)入點，能(neng)夠?qū)?dui)AP的配置(zhi)進行(xing)編輯(ji)修改。

可指定管理(li)員針對每(mei)個頁(ye)面的編輯或(huo)可查看權(quán)限(xian)，控制粒度到控(kong)制器上的各個(ge)頁面(mian)，對某個頁(ye)面沒(mei)有讀權(quán)限則(ze)登錄時不顯示(shi)。

移動APP隨時(shi)隨地運維管理(li)：

支持跨互聯(lián)網(wǎng)(wang)運維管(guan)理

登陸(lu)APP進行維護管(guan)理：不同管(guan)理員，不同權(quán)限(xian)

查看(kan)網(wǎng)絡(luò)運行情(qing)況：在(zai)線用戶(hu)、在線(xian)AP數(shù)量、實(shi)時流量

無線網(wǎng)絡(luò)(luo)管理維護：開啟(qi)關(guān)閉SSID、終(zhong)端綁(bang)定審(shen)批、二維碼上網(wǎng)(wang)審核

故障、審(shen)批實時通知：AP離(li)線警告、服(fu)務(wù)器離線(xian)警告(gao)、網(wǎng)絡(luò)攻(gong)擊告警

方案優(yōu)勢(shi)：

1、最豐富的無(wu)線安(an)全機(ji)制，提供從安(an)全接入到(dao)安全上網(wǎng)(wang)等端到(dao)端的安全(quan)策略

2、合理管控工作(zuo)人員上網(wǎng)行為(wei)，提升(sheng)工作(zuo)效率、防止帶(dai)寬浪費，有線無(wu)線雙重管控

3、為會(hui)議室，報告廳等(deng)人員密集區(qū)域(yu)接入(ru)網(wǎng)絡(luò)提高保(bao)證，解決有線(xian)網(wǎng)口(kou)不足的(de)問題(ti)；

4、為企業(yè)員工(gong)的移(yi)動辦公提(ti)供支撐，內(nèi)部(bu)員工可通過(guo)無線網(wǎng)絡(luò)(luo)隨時(shi)安全接入(ru)內(nèi)部網(wǎng)絡(luò)，實(shi)現(xiàn)辦公；

5、內(nèi)部員工(gong)賬號及個(ge)人信息綁(bang)定，便于安全(quan)管理(li)；

6、內(nèi)部員工可通(tong)過自己的(de)辦公設(shè)(she)備在企業(yè)(ye)大樓內(nèi)快速(su)移動辦公，網(wǎng)(wang)絡(luò)接入更快(kuai)速，上網(wǎng)(wang)行為管(guan)理系統(tǒng)(tong)對員(yuan)工上(shang)網(wǎng)行為進行(xing)審計(ji)與管控

7、來訪客(ke)戶接入(ru)企業(yè)網(wǎng)(wang)絡(luò)，可(ke)根據(jù)不(bu)同需求(qiu)，分配不(bu)同的上網(wǎng)權(quán)限(xian)，保證了(le)接入的(de)安全性同時提(ti)升群眾上網(wǎng)的(de)體驗

8、豐富的認證(zheng)機制(zhi)，滿足組(zu)織對(dui)無線網(wǎng)(wang)絡(luò)安全(quan)、快速接入

9、投資成本低，通(tong)過部(bu)署無線(xian)控制器替換(huan)原有網(wǎng)絡(luò)(luo)的出口路由(you)、行為管(guan)理以(yi)及無線(xian)控制器