?
大型企業(yè)在(zai)無線網(wǎng)絡(luò)建設(shè)(she)期間要(yao)充分(fen)考慮訪客(ke)(領(lǐng)導(dǎo)(dao)�、客戶�、合作(zuo)伙伴)接入(ru)網(wǎng)絡(luò)的需求(qiu)�。首先從安全性(xing)考慮�,訪(fang)客網(wǎng)絡(luò)必須要(yao)和辦(ban)公網(wǎng)絡(luò)分開,訪(fang)客網(wǎng)(wang)絡(luò)單獨提(ti)供給(gei)訪客使用(yong)�。從用戶體(ti)驗角度考慮(lv),訪客接入網(wǎng)絡(luò)(luo)的驗證方(fang)式一定要做到(dao)簡單(dan)易行�,繁瑣的驗(yan)證方(fang)式會降(jiang)低訪客對企業(yè)(ye)的整體印象(xiang)。同時對于訪(fang)客網(wǎng)絡(luò)�,企(qi)業(yè)還需要建立(li)完善的網(wǎng)(wang)絡(luò)安全管(guan)理機制,避免(mian)由于訪客的(de)網(wǎng)絡(luò)不(bu)良訪問給(gei)企業(yè)(ye)帶來的法(fa)律風(fēng)險�。對(dui)于企業(yè)(ye)員工移動(dong)辦公上網(wǎng),更需(xu)要做到可管(guan)控�,上網(wǎng)行(xing)為做(zuo)到可追溯,企(qi)業(yè)有效的(de)帶寬資源得到(dao)合理的(de)分配和(he)保證�,才(cai)能使企業(yè)的(de)業(yè)務(wù)系統(tǒng)(tong)正常且(qie)穩(wěn)定高效(xiao)地運行(xing),同時保證企業(yè)(ye)信息安全�,避(bi)免機密信息(xi)泄露。
存在的(de)問題(用戶需求(qiu))
1�、接入不(bu)安全:缺乏(fa)安全可(ke)靠的(de)認證機制,企業(yè)(ye)無線網(wǎng)絡(luò)(luo)接入不安全
2�、上網(wǎng)(wang)權(quán)限混亂(luan):缺乏有效的(de)控制策略,員工(gong)上網(wǎng)權(quán)(quan)限不分明
3�、數(shù)據(jù)(ju)信息安(an)全:缺乏有(you)效的(de)數(shù)據(jù)加密機(ji)制,企(qi)業(yè)數(shù)據(jù)被(bei)黑客竊取篡(cuan)改
4�、無線信號差(cha):AP性能不佳,上網(wǎng)(wang)總掉(diao)線�,點位(wei)規(guī)劃不合理(li)�,信號盲(mang)區(qū)多
5�、漫游效果差:不(bu)能實現(xiàn)二(er)三層漫(man)游,移動辦公(gong)時�,業(yè)務(wù)中斷(duan)
解決方案(an):
結(jié)合(he)用戶無線網(wǎng)(wang)絡(luò)需(xu)求情況,結(jié)合(he)產(chǎn)品自身技術(shù)(shu)特點�,為(wei)了滿(man)足用(yong)戶構(gòu)(gou)建一(yi)個高速、穩(wěn)(wen)定�、安(an)全、可靠(kao)�、易于管理的無(wu)線接入網(wǎng)絡(luò)的(de)需求,本(ben)設(shè)計方(fang)案按照(zhao)AP+AC的結(jié)構(gòu)化無(wu)線網(wǎng)絡(luò)解決方(fang)案進行(xing)設(shè)計�。具體設(shè)(she)計為在總部(bu)設(shè)置總(zong)部AC,在(zai)大型分支(zhi)機構(gòu)設(shè)置分支(zhi)AC與分支AP,中(zhong)型分支機構(gòu)(gou)設(shè)計二級�,三(san)級交(jiao)換機,分支(zhi)AP�。小微型分(fen)支機構(gòu)直接(jie)設(shè)置分支AP???zong)部AC可以(yi)對大型(xing)分支機構(gòu)(gou)的AC進行管理(li),當網(wǎng)點控(kong)制器采用(yong)集中管理的(de)模式進入(ru)到中心端控制(zhi)器時�,會(hui)自動(dong)下載(zai)中心端的公(gong)共配置,比(bi)如IP組(zu)�、MAC地址庫、時間(jian)計劃�、角色(se)授權(quán)�、認(ren)證頁(ye)面等 �??偛?bu)AC也可以直(zhi)接管理中(zhong)小型分支機(ji)構(gòu)的(de)分支AP,實現(xiàn)(xian)統(tǒng)一管理(li)�。
方案設(shè)計(ji):
安全無線整體(ti)解決方案(an):
接入前&接入時(shi)進行身(shen)份認(ren)證、安全(quan)無線網(wǎng)卡�、賬號(hao)綁定(硬件碼(ma)+手機號),非法(fa)熱點(dian)檢測及防御(yu)�、網(wǎng)絡(luò)攻擊防護(hu)、射頻定(ding)時關(guān)(guan)閉及安全(quan)加固�。
接入后&上(shang)網(wǎng)時(shi)進行訪問權(quán)(quan)限控(kong)制。
上網(wǎng)(wang)后進行上網(wǎng)行(xing)為記錄�。
上網(wǎng)用戶身(shen)份實名認證(zheng):
無線辦公網(wǎng)(wang)采用802.1X/Portal/WAPI認證,外(wai)置AAA和RADIUS+AD用于存(cun)儲用戶賬號(hao)密碼�。
每個(ge)賬號對(dui)應(yīng)一個員工(gong),包括姓名(ming)�、部門、性(xing)別以及(ji)身份(fen)證�、手機(ji)號等(deng)個人信息,保證(zheng)每個上網(wǎng)的(de)賬號都是(shi)可尋的�,便于安(an)全管理(li)。
用戶(hu)輸入賬號密(mi)碼上網(wǎng)驗(yan)證時均采(cai)用加(jia)密傳輸(shu)�,防止黑客(ke)空中攔(lan)截,竊取(qu)賬號密碼(ma)等數(shù)據(jù)�。
上網(wǎng)賬(zhang)號自動綁定(ding)終端:
自動將(jiang)賬號與終端(duan)的硬件特征(zheng)碼進行綁定(ding),防止賬號被他(ta)人使用或者被(bei)盜用�。
每臺設(shè)(she)備的硬件特征(zheng)碼是唯(wei)一的�,無法(fa)通過(guo)軟件修(xiu)改�。即使通(tong)過軟(ruan)件修改(gai)了仍然(ran)可以識別原(yuan)始的(de)。
每個賬(zhang)號最多可(ke)以綁定5臺終(zhong)端�,超過1臺時需(xu)要管理員審核(he)。
上網(wǎng)賬號(hao)二次綁定手機(ji)號碼(ma):
賬號首次登陸(lu)時需(xu)要綁定手(shou)機號并輸(shu)入短信(xin)驗證碼(ma)�,當用戶賬(zhang)號在新(xin)終端登陸時(換(huan)終端/被他用/被(bei)盜),不僅需要(yao)輸入密碼�,還需(xu)要輸入短信驗(yan)證碼�,解決(jue)員工賬號(hao)認證的(de)安全問(wen)題
綁定手機號碼(ma)的用戶(hu),可以自助(zhu)重置(zhi)密碼和修改(gai)密碼�,無需(xu)通過IT管(guan)理員。
用戶密碼(ma)管理(li)及自助修改(gai):
無需通過管理(li)員即可修改密(mi)碼�,提高(gao)效率(lv)及減輕管理(li)員工作壓力。
通過(guo)口袋助理�、釘(ding)釘、企業(yè)(ye)號等手(shou)機MOA類APP軟件進(jin)行無線(xian)密碼修改�。
若賬號(hao)綁定了(le)手機(ji)號碼,可通過(guo)手機驗證(zheng)碼自(zi)助修(xiu)改�。
上網(wǎng)終端(duan)合法效驗:
采用安(an)全無(wu)線網(wǎng)卡接入無(wu)線網(wǎng)絡(luò),終端(duan)與AP熱(re)點的(de)雙向驗證�,提(ti)高安全性。
可以將無線(xian)網(wǎng)絡(luò)設(shè)置為(wei)只有安裝(zhuang)了安全無線網(wǎng)(wang)卡的終(zhong)端才(cai)能接入(ru)無線(xian)網(wǎng)絡(luò)�。
支持設(shè)(she)置安(an)全無線網(wǎng)卡(ka)只能連(lian)指定SSID無線(xian)網(wǎng)絡(luò),無法連(lian)接非授權(quán)SSID。
網(wǎng)卡與AP數(shù)據(jù)傳(chuan)輸時(shi)自動(dong)進行(xing)數(shù)據(jù)加密�,保證(zheng)無線的空(kong)口安全。
無線熱點掃(sao)描及非法熱(re)點抑制:
背景(jing):黑客(ke)在附近搭建一(yi)個一模(mo)一樣或者(zhe)類似的(de)WIFI名稱�,誘(you)使用(yong)戶連到(dao)虛假釣(diao)魚WIFI上�,黑客利(li)用分析軟件(jian)從用戶上(shang)網(wǎng)產(chǎn)生的數(shù)(shu)據(jù)包(bao)中分析提取用(yong)戶隱(yin)私信息。
我們通(tong)過WIPS無線入侵(qin)防御系統(tǒng)實(shi)時檢測周圍(wei)無線信號�,當(dang)檢測(ce)出來的信號(hao)BSSID、且AP源MAC地址不(bu)在授(shou)權(quán)列表(biao)中時�,我們向(xiang)對應(yīng)(ying)的AP和終端發(fā)送(song)解除關(guān)聯(lián)幀(zhen),讓終端無法(fa)連上釣魚(yu)WIFI�。7×24小時不間斷(duan)監(jiān)測網(wǎng)絡(luò)(luo)。
上網(wǎng)行為嚴(yan)格控制(zhi):
強大(da)的管理:通(tong)過應(yīng)用(yong)識別(bie)技術(shù)�,可以(yi)根據(jù)應(yīng)用類(lei)型或者具體(ti)某一種應(yīng)用進(jin)行封堵,包(bao)括視(shi)頻�、論壇(tan)、游戲�、金(jin)融、下(xia)載等2400多種(zhong)網(wǎng)絡(luò)應(yīng)用(yong)�。
通過應(yīng)(ying)用識別技(ji)術(shù),可(ke)以根據(jù)應(yīng)用類(lei)型或者(zhe)具體某一種應(yīng)(ying)用進行封堵�,比(bi)如上(shang)班時間不(bu)允許炒股(gu),不允(yun)許P2P下載(zai)�,不允許外發(fā)敏(min)感文件(jian)等; 支持(chi)主流移動平(ping)臺�,可識別IM、社(she)交�、Mail�、新聞(wen)�、炒股等應(yīng)(ying)用。
無線控制器內(nèi)(nei)置千萬級別(bie)的URL分類庫�,能夠(gou)對URL進行識別(bie),包含(han)新聞�、購物、金融(rong)�、教育(yu)等18個種類(lei)的URL地址; 準(zhun)確識(shi)別目前主流(liu)網(wǎng)站�,識(shi)別率高達99.9%,有效(xiao)實現(xiàn)網(wǎng)頁(ye)過濾�。例如禁(jin)止登陸(lu)非法網(wǎng)站
通過(guo)基于時(shi)間段的訪問控(kong)制策略,實(shi)現(xiàn)不同的(de)時間(jian)段不同的訪問(wen)權(quán)限�,比(bi)如上班時間(jian),禁止訪(fang)問網(wǎng)上(shang)銀行�、游(you)戲、論壇貼(tie)吧等與工作無(wu)關(guān)的應(yīng)用�,下(xia)班時(shi)間則不(bu)受限制。
辦公(gong)區(qū)域內(nèi)�,不(bu)同辦公部門(men)總會有(you)各自(zi)專屬的無線(xian)網(wǎng)絡(luò)(luo),并且不希望部(bu)門之(zhi)外的成員使(shi)用這個網(wǎng)絡(luò)�。無(wu)線網(wǎng)絡(luò)控制(zhi)器可以(yi)根據(jù)用戶(hu)的屬性,限制(zhi)禁止非本部(bu)門的用戶(hu)接入�。
典型無線網(wǎng)絡(luò)(luo)攻擊防護:
對典型(xing)的危(wei)險攻(gong)擊行為進行(xing)檢測(ce),當超(chao)過設(shè)定的(de)閾值后自(zi)動將攻(gong)擊者(zhe)加入(ru)到黑(hei)名單中,并凍(dong)結(jié)一(yi)定時間�,即時(shi)發(fā)現(xiàn)(xian)網(wǎng)絡(luò)(luo)攻擊(ji)并進行防(fang)御。
檢測的攻擊包(bao)括:DDOS防御�、ARP掃(sao)描、IP掃描(miao)�、端口掃描防(fang)御,禁止(zhi)客戶端私(si)設(shè)IP以及ARP�、網(wǎng)關(guān)欺(qi)騙防御�、DHCP請求泛(fan)洪防御。
無線射頻(pin)定時關(guān)閉(bi)開啟:
通過射頻關(guān)閉(bi)控制策(ce)略�,可以指(zhi)定某SSID網(wǎng)絡(luò),定(ding)時自(zi)動關(guān)(guan)閉和開(kai)啟無線網(wǎng)絡(luò)的(de)射頻信號�,晚(wan)上下(xia)班后自動(dong)關(guān)閉無線射頻(pin)信號。
一方(fang)面可以(yi)節(jié)能減排�、節(jié)(jie)省電(dian)費支出(chu);另一(yi)方面又能防(fang)止非法用戶(hu)利用深夜時(shi)間入侵無線網(wǎng)(wang)絡(luò)�,做一些(xie)非法的(de)操作。
有線無線一體(ti)化管理(li):
NAC的有線無線一(yi)體化�,支持對(dui)有線(xian)用戶的接(jie)入認證、訪問(wen)控制(zhi)�、流量管理、上(shang)網(wǎng)行為審(shen)計等�,
并提供統(tǒng)一(yi)中文Web管理(li)界面,一站式(shi)服務(wù)�,極(ji)大的降低網(wǎng)絡(luò)(luo)建設(shè)成(cheng)本。
網(wǎng)絡(luò)分權(quán)分(fen)級管理:
分配不同的管(guan)理員(yuan)分別(bie)管理各自權(quán)限(xian)區(qū)域的(de)無線(xian)AP,可以(yi)精細到對某AP分(fen)組有管(guan)理權(quán)限�,該(gai)管理員可以(yi)在該AP分組上(shang)建立無線網(wǎng)絡(luò)(luo),能夠激(ji)活�����、刪除接(jie)入點�����,能夠?qū)P的(de)配置進(jin)行編輯(ji)修改�����。
可指定(ding)管理員針對每(mei)個頁(ye)面的編(bian)輯或(huo)可查看權(quán)(quan)限�����,控制粒度到(dao)控制器上(shang)的各(ge)個頁面�����,對某(mou)個頁(ye)面沒有讀(du)權(quán)限則登錄時(shi)不顯示�����。
移動APP隨時(shi)隨地(di)運維(wei)管理(li):
支持跨互聯(lián)網(wǎng)(wang)運維管理
登陸APP進行(xing)維護管理(li):不同管理(li)員,不同權(quán)限(xian)
查看網(wǎng)絡(luò)運(yun)行情況(kuang):在線用戶(hu)�����、在線AP數(shù)(shu)量�����、實時流(liu)量
無線(xian)網(wǎng)絡(luò)管理維(wei)護:開啟關(guān)閉SSID�����、終(zhong)端綁定(ding)審批�����、二維(wei)碼上網(wǎng)審核(he)
故障�����、審批實時(shi)通知:AP離線警(jing)告�����、服務(wù)(wu)器離線警告(gao)�����、網(wǎng)絡(luò)攻擊(ji)告警
方案優(yōu)勢:
1�����、最豐富的無(wu)線安全機(ji)制�����,提供從安全(quan)接入到安全(quan)上網(wǎng)等端到(dao)端的安全策(ce)略
2�����、合理管控工作(zuo)人員上網(wǎng)行為(wei)�����,提升工作效率(lv)�����、防止(zhi)帶寬浪費�����,有(you)線無(wu)線雙(shuang)重管(guan)控
3、為會議(yi)室�����,報告廳(ting)等人員密集(ji)區(qū)域接入(ru)網(wǎng)絡(luò)提(ti)高保證�����,解(jie)決有線網(wǎng)(wang)口不足的問題(ti)�����;
4�����、為企(qi)業(yè)員工(gong)的移動辦公提(ti)供支撐�����,內(nèi)部員(yuan)工可通過(guo)無線(xian)網(wǎng)絡(luò)(luo)隨時安全接入(ru)內(nèi)部(bu)網(wǎng)絡(luò)�����,實(shi)現(xiàn)辦公�����;
5�����、內(nèi)部員(yuan)工賬號及(ji)個人信息綁(bang)定�����,便于(yu)安全(quan)管理�����;
6�����、內(nèi)部員工(gong)可通過自己(ji)的辦(ban)公設(shè)備在(zai)企業(yè)大(da)樓內(nèi)快速(su)移動辦公�����,網(wǎng)絡(luò)(luo)接入更快(kuai)速�����,上網(wǎng)行為管(guan)理系統(tǒng)對(dui)員工上(shang)網(wǎng)行為進(jin)行審計與(yu)管控
7、來訪客(ke)戶接入企業(yè)(ye)網(wǎng)絡(luò)�����,可(ke)根據(jù)不同需(xu)求�����,分配不同的(de)上網(wǎng)權(quán)(quan)限�����,保證了(le)接入的安全(quan)性同時提升群(qun)眾上網(wǎng)的體(ti)驗
8�����、豐富的認證機(ji)制�����,滿(man)足組織對無(wu)線網(wǎng)絡(luò)(luo)安全�����、快(kuai)速接入
9�����、投資成本(ben)低�����,通過(guo)部署無(wu)線控制(zhi)器替換(huan)原有網(wǎng)絡(luò)(luo)的出口(kou)路由�����、行為(wei)管理以及無線(xian)控制器
