?
大型企業(yè)在(zai)無線網(wǎng)(wang)絡建(jian)設(shè)期(qi)間要充分考慮(lv)訪客(領(lǐng)(ling)導��、客戶��、合作伙(huo)伴)接入網(wǎng)絡的(de)需求��。首先從(cong)安全性考(kao)慮��,訪(fang)客網(wǎng)絡必須要(yao)和辦公網(wǎng)(wang)絡分開��,訪客網(wǎng)(wang)絡單獨提供(gong)給訪客使用��。從(cong)用戶體驗(yan)角度(du)考慮��,訪(fang)客接入網(wǎng)絡(luo)的驗證方(fang)式一定要做(zuo)到簡單易行(xing)��,繁瑣的驗證(zheng)方式會(hui)降低訪客對(dui)企業(yè)的整體印(yin)象。同(tong)時對于訪(fang)客網(wǎng)絡��,企業(yè)還(hai)需要(yao)建立完善的(de)網(wǎng)絡安(an)全管(guan)理機制(zhi)��,避免(mian)由于訪客(ke)的網(wǎng)(wang)絡不良訪問(wen)給企業(yè)帶來(lai)的法律風(feng)險��。對于(yu)企業(yè)員工移動(dong)辦公上(shang)網(wǎng)��,更需要做到(dao)可管控(kong)��,上網(wǎng)(wang)行為做到可追(zhui)溯��,企業(yè)有(you)效的帶寬資源(yuan)得到合理的分(fen)配和保證��,才(cai)能使企業(yè)的業(yè)(ye)務系(xi)統(tǒng)正(zheng)常且穩(wěn)定高(gao)效地運行(xing)��,同時保證(zheng)企業(yè)信息安(an)全��,避免(mian)機密信息泄露(lu)��。
存在的問題(ti)(用戶需求)
1��、接入(ru)不安全:缺乏(fa)安全可靠的認(ren)證機制��,企業(yè)(ye)無線網(wǎng)絡接入(ru)不安全
2��、上網(wǎng)權(quán)限混(hun)亂:缺乏有(you)效的控制(zhi)策略��,員工上(shang)網(wǎng)權(quán)限不分(fen)明
3��、數(shù)據(jù)信息安(an)全:缺乏(fa)有效(xiao)的數(shù)據(jù)加密(mi)機制��,企業(yè)(ye)數(shù)據(jù)被黑(hei)客竊取篡改
4��、無線信號差:AP性(xing)能不佳��,上網(wǎng)(wang)總掉(diao)線��,點位(wei)規(guī)劃不合理��,信(xin)號盲區(qū)多(duo)
5��、漫游(you)效果差:不能(neng)實現(xiàn)二三(san)層漫游��,移動(dong)辦公時��,業(yè)(ye)務中(zhong)斷
解決方案:
結(jié)合用戶無(wu)線網(wǎng)絡需(xu)求情況��,結(jié)合產(chǎn)(chan)品自身(shen)技術(shù)特點(dian)��,為了滿(man)足用(yong)戶構(gòu)建一(yi)個高(gao)速��、穩(wěn)定��、安(an)全��、可靠��、易于管(guan)理的無線接入(ru)網(wǎng)絡的需求(qiu)��,本設(shè)計(ji)方案按照(zhao)AP+AC的結(jié)構(gòu)化(hua)無線(xian)網(wǎng)絡解決方案(an)進行(xing)設(shè)計��。具體設(shè)(she)計為(wei)在總部(bu)設(shè)置(zhi)總部AC,在大型(xing)分支機構(gòu)設(shè)置(zhi)分支AC與分支AP��,中(zhong)型分(fen)支機構(gòu)(gou)設(shè)計二級��,三級(ji)交換機��,分支(zhi)AP��。小微(wei)型分(fen)支機構(gòu)(gou)直接設(shè)置(zhi)分支(zhi)AP��?�?偛緼C可以(yi)對大型分支(zhi)機構(gòu)的AC進行管(guan)理��,當網(wǎng)點控(kong)制器采用(yong)集中(zhong)管理的模(mo)式進入到中(zhong)心端(duan)控制器(qi)時,會(hui)自動下(xia)載中心端的(de)公共配置(zhi)��,比如IP組��、MAC地址庫(ku)��、時間計劃(hua)��、角色授權(quán)��、認(ren)證頁面(mian)等 ��?�??zong)部AC也可以直接(jie)管理中小(xiao)型分支(zhi)機構(gòu)的(de)分支(zhi)AP��,實現(xiàn)統(tǒng)(tong)一管理��。
方案設(shè)計:
安全無線(xian)整體解決方案(an):
接入前(qian)&接入(ru)時進行(xing)身份認證��、安全(quan)無線網(wǎng)(wang)卡��、賬號(hao)綁定(硬(ying)件碼(ma)+手機號(hao))��,非法熱點檢測(ce)及防御��、網(wǎng)絡(luo)攻擊防護(hu)、射頻定時(shi)關(guān)閉及安全加(jia)固��。
接入(ru)后&上網(wǎng)時進行(xing)訪問權(quán)限控制(zhi)��。
上網(wǎng)(wang)后進行上網(wǎng)(wang)行為記錄��。
上網(wǎng)用戶(hu)身份實名(ming)認證:
無線(xian)辦公網(wǎng)采用(yong)802.1X/Portal/WAPI認證,外置(zhi)AAA和RADIUS+AD用于存儲用(yong)戶賬號(hao)密碼��。
每個賬號對應(ying)一個員工��,包(bao)括姓名��、部門��、性(xing)別以及身(shen)份證(zheng)��、手機號等(deng)個人信(xin)息��,保證(zheng)每個上網(wǎng)的賬(zhang)號都是可尋(xun)的��,便于安全(quan)管理��。
用戶輸入賬號(hao)密碼(ma)上網(wǎng)(wang)驗證時均采(cai)用加密傳輸��,防(fang)止黑客(ke)空中攔截,竊取(qu)賬號(hao)密碼(ma)等數(shù)據(jù)��。
上網(wǎng)(wang)賬號自動綁(bang)定終端:
自動將(jiang)賬號與終(zhong)端的硬件(jian)特征碼進行(xing)綁定(ding)��,防止(zhi)賬號被他人使(shi)用或者被盜(dao)用��。
每臺設(shè)備(bei)的硬(ying)件特(te)征碼(ma)是唯一的(de)��,無法通(tong)過軟件(jian)修改��。即(ji)使通過(guo)軟件修改(gai)了仍然可(ke)以識別原始(shi)的��。
每個賬(zhang)號最多可以(yi)綁定5臺終端(duan)��,超過1臺時需(xu)要管理員(yuan)審核��。
上網(wǎng)賬號二(er)次綁定手機號(hao)碼:
賬號首次登陸(lu)時需要綁(bang)定手機號(hao)并輸入短信驗(yan)證碼��,當(dang)用戶賬號(hao)在新終(zhong)端登陸時(換終(zhong)端/被他用/被(bei)盜)��,不僅需要輸(shu)入密碼��,還(hai)需要輸入短(duan)信驗(yan)證碼��,解決(jue)員工賬(zhang)號認證的安(an)全問(wen)題
綁定手(shou)機號碼(ma)的用戶��,可以自(zi)助重置密碼和(he)修改密碼,無需(xu)通過IT管理(li)員��。
用戶密碼(ma)管理及自(zi)助修改:
無需通(tong)過管理(li)員即可(ke)修改(gai)密碼��,提高效率(lv)及減輕管理員(yuan)工作壓力(li)��。
通過口袋助(zhu)理��、釘釘��、企業(yè)(ye)號等手機MOA類(lei)APP軟件(jian)進行無線密碼(ma)修改��。
若賬號綁定(ding)了手機號碼(ma)��,可通過手機驗(yan)證碼自助(zhu)修改��。
上網(wǎng)終端合(he)法效驗:
采用安(an)全無線網(wǎng)卡(ka)接入(ru)無線網(wǎng)絡��,終(zhong)端與AP熱點的(de)雙向驗證��,提(ti)高安全性(xing)��。
可以將無(wu)線網(wǎng)絡設(shè)置為(wei)只有安裝了安(an)全無線網(wǎng)(wang)卡的終(zhong)端才(cai)能接入(ru)無線網(wǎng)絡��。
支持設(shè)置安(an)全無線網(wǎng)(wang)卡只能連指(zhi)定SSID無線網(wǎng)絡��,無(wu)法連(lian)接非授權(quán)SSID��。
網(wǎng)卡(ka)與AP數(shù)據(jù)傳(chuan)輸時自(zi)動進行數(shù)(shu)據(jù)加密��,保證無(wu)線的空口安(an)全��。
無線熱點掃(sao)描及非法熱點(dian)抑制:
背景(jing):黑客在附近搭(da)建一個(ge)一模一樣(yang)或者(zhe)類似的WIFI名稱��,誘(you)使用戶連到虛(xu)假釣魚(yu)WIFI上��,黑客利用分(fen)析軟件(jian)從用戶上(shang)網(wǎng)產(chǎn)(chan)生的數(shù)據(jù)包中(zhong)分析(xi)提取用戶隱(yin)私信息��。
我們通(tong)過WIPS無(wu)線入侵防御系(xi)統(tǒng)實時(shi)檢測(ce)周圍無線信號(hao)��,當檢(jian)測出來的信號(hao)BSSID��、且AP源MAC地址(zhi)不在(zai)授權(quán)列(lie)表中(zhong)時��,我們向(xiang)對應的AP和終端(duan)發(fā)送(song)解除(chu)關(guān)聯(lián)幀��,讓終(zhong)端無法連上(shang)釣魚WIFI��。7×24小時不間(jian)斷監(jiān)測網(wǎng)絡��。
上網(wǎng)行為嚴格(ge)控制:
強大(da)的管理:通過應(ying)用識(shi)別技術(shù)��,可以(yi)根據(jù)(ju)應用(yong)類型或者(zhe)具體某一種應(ying)用進行封(feng)堵,包括視頻��、論(lun)壇��、游戲��、金融(rong)��、下載等2400多種(zhong)網(wǎng)絡(luo)應用��。
通過(guo)應用(yong)識別技術(shù)(shu)��,可以(yi)根據(jù)應用(yong)類型(xing)或者具體某(mou)一種應(ying)用進行封(feng)堵��,比如上班時(shi)間不允許炒股(gu)��,不允許P2P下載(zai)��,不允(yun)許外發(fā)敏感文(wen)件等��; 支持主流(liu)移動平臺��,可(ke)識別IM��、社交��、Mail��、新(xin)聞��、炒股等應用(yong)��。
無線控制器內(nèi)(nei)置千萬(wan)級別的URL分類(lei)庫��,能夠(gou)對URL進行識別(bie)��,包含(han)新聞��、購(gou)物��、金融(rong)��、教育等18個種(zhong)類的(de)URL地址��; 準(zhun)確識別(bie)目前主流網(wǎng)(wang)站��,識別率(lv)高達99.9%��,有效實現(xiàn)(xian)網(wǎng)頁過濾(lv)��。例如禁止登(deng)陸非法網(wǎng)站
通過基于時(shi)間段的訪問控(kong)制策(ce)略,實現(xiàn)不同的(de)時間段(duan)不同的訪(fang)問權(quán)限��,比(bi)如上班時(shi)間��,禁止訪(fang)問網(wǎng)上銀行��、游(you)戲��、論壇(tan)貼吧等與工作(zuo)無關(guān)的應用(yong)��,下班時(shi)間則不受限(xian)制��。
辦公區(qū)(qu)域內(nèi)(nei)��,不同辦(ban)公部門總(zong)會有各自(zi)專屬(shu)的無線網(wǎng)(wang)絡��,并且不(bu)希望部門(men)之外的成(cheng)員使(shi)用這(zhe)個網(wǎng)絡��。無線網(wǎng)(wang)絡控制器可以(yi)根據(jù)用戶(hu)的屬性��,限(xian)制禁止非本(ben)部門的(de)用戶接入��。
典型無(wu)線網(wǎng)絡攻擊(ji)防護:
對典型的(de)危險攻擊(ji)行為進(jin)行檢(jian)測��,當超過(guo)設(shè)定的閾值后(hou)自動將攻擊者(zhe)加入到黑名單(dan)中��,并(bing)凍結(jié)(jie)一定時間��,即(ji)時發(fā)現(xiàn)網(wǎng)絡攻(gong)擊并進行防(fang)御��。
檢測的(de)攻擊包括(kuo):DDOS防御��、ARP掃描��、IP掃(sao)描��、端口掃描(miao)防御��,禁止(zhi)客戶端私(si)設(shè)IP以(yi)及ARP��、網(wǎng)(wang)關(guān)欺騙防御��、DHCP請(qing)求泛洪(hong)防御��。
無線射頻定時(shi)關(guān)閉開啟:
通過射(she)頻關(guān)閉(bi)控制(zhi)策略��,可以(yi)指定某(mou)SSID網(wǎng)絡��,定時自(zi)動關(guān)閉和(he)開啟無線(xian)網(wǎng)絡的射頻(pin)信號��,晚(wan)上下班后(hou)自動關(guān)閉無(wu)線射頻(pin)信號��。
一方面可以節(jié)(jie)能減(jian)排、節(jié)省(sheng)電費支出��;另一(yi)方面又能防止(zhi)非法用戶(hu)利用深夜(ye)時間入侵無線(xian)網(wǎng)絡��,做一些(xie)非法(fa)的操作(zuo)��。
有線無線一(yi)體化(hua)管理:
NAC的有線無線(xian)一體化��,支持(chi)對有線用(yong)戶的接入(ru)認證��、訪問控制(zhi)��、流量管(guan)理��、上網(wǎng)行(xing)為審計等(deng)��,
并提(ti)供統(tǒng)一(yi)中文Web管理(li)界面��,一站式(shi)服務��,極(ji)大的降低網(wǎng)絡(luo)建設(shè)成本��。
網(wǎng)絡(luo)分權(quán)分級管(guan)理:
分配不(bu)同的管理員分(fen)別管理各自(zi)權(quán)限區(qū)域的(de)無線AP��,可(ke)以精細到對某(mou)AP分組有管(guan)理權(quán)限��,該(gai)管理員可以(yi)在該AP分組上建(jian)立無線網(wǎng)絡(luo)��,能夠激活��、刪除(chu)接入點��,能(neng)夠?qū)P的配(pei)置進行編輯修(xiu)改��。
可指定(ding)管理員(yuan)針對(dui)每個頁面(mian)的編輯或(huo)可查看權(quán)(quan)限��,控(kong)制粒度(du)到控制器上的(de)各個頁面��,對某(mou)個頁(ye)面沒有讀權(quán)(quan)限則(ze)登錄時(shi)不顯(xian)示��。
移動(dong)APP隨時隨地(di)運維管理:
支持跨互聯(lián)網(wǎng)(wang)運維管理
登陸APP進行(xing)維護管理(li):不同管理員(yuan)��,不同(tong)權(quán)限
查看網(wǎng)絡運(yun)行情況:在線用(yong)戶��、在線AP數(shù)(shu)量��、實時(shi)流量
無線網(wǎng)(wang)絡管理維護:開(kai)啟關(guān)閉(bi)SSID��、終端(duan)綁定審批(pi)��、二維碼上(shang)網(wǎng)審核
故障��、審批(pi)實時通知:AP離(li)線警(jing)告、服務器離(li)線警告��、網(wǎng)絡攻(gong)擊告警
方案(an)優(yōu)勢:
1��、最豐富的(de)無線(xian)安全機(ji)制��,提供從安全(quan)接入到安全(quan)上網(wǎng)(wang)等端(duan)到端(duan)的安全策(ce)略
2��、合理管(guan)控工作(zuo)人員上網(wǎng)行為(wei)��,提升工作(zuo)效率(lv)��、防止(zhi)帶寬浪費(fei)��,有線無線雙重(zhong)管控
3��、為會議(yi)室��,報告廳等人(ren)員密集區(qū)域接(jie)入網(wǎng)絡提(ti)高保證(zheng)��,解決有線網(wǎng)口(kou)不足的問題��;
4��、為企業(yè)員工的(de)移動辦公(gong)提供支撐��,內(nèi)(nei)部員工可(ke)通過無線網(wǎng)絡(luo)隨時安全接(jie)入內(nèi)部網(wǎng)絡��,實(shi)現(xiàn)辦公(gong)��;
5��、內(nèi)部員工賬(zhang)號及個(ge)人信息(xi)綁定��,便于安全(quan)管理��;
6��、內(nèi)部(bu)員工可通(tong)過自(zi)己的辦(ban)公設(shè)備在企業(yè)(ye)大樓(lou)內(nèi)快(kuai)速移動辦公��,網(wǎng)(wang)絡接入更快速(su)��,上網(wǎng)行為管(guan)理系統(tǒng)對員工(gong)上網(wǎng)行為(wei)進行(xing)審計與(yu)管控
7��、來訪(fang)客戶接入企業(yè)(ye)網(wǎng)絡��,可根據(jù)(ju)不同需求(qiu)��,分配不(bu)同的上網(wǎng)權(quán)(quan)限��,保證(zheng)了接入(ru)的安全性同時(shi)提升群眾上(shang)網(wǎng)的體驗
8��、豐富的認(ren)證機(ji)制,滿足組(zu)織對無(wu)線網(wǎng)絡安全��、快(kuai)速接入(ru)
9��、投資成(cheng)本低��,通過(guo)部署無(wu)線控制器替(ti)換原有網(wǎng)(wang)絡的出口路由(you)��、行為管理(li)以及(ji)無線控(kong)制器
