?
大型企業(yè)在(zai)無線網(wǎng)絡(luò)(luo)建設(shè)期間要(yao)充分考(kao)慮訪客(ke)(領(lǐng)導(dǎo)���、客戶���、合(he)作伙(huo)伴)接入網(wǎng)絡(luò)的(de)需求���。首先從安(an)全性(xing)考慮���,訪客(ke)網(wǎng)絡(luò)(luo)必須要和(he)辦公網(wǎng)(wang)絡(luò)分開(kai),訪客網(wǎng)(wang)絡(luò)單獨(dú)(du)提供(gong)給訪(fang)客使用���。從用(yong)戶體(ti)驗(yàn)角度(du)考慮(lv),訪客接入(ru)網(wǎng)絡(luò)的驗(yàn)證(zheng)方式一定要做(zuo)到簡單易行���,繁(fan)瑣的(de)驗(yàn)證方式(shi)會降低訪客(ke)對企(qi)業(yè)的整(zheng)體印象(xiang)���。同時(shí)對于訪(fang)客網(wǎng)絡(luò)���,企業(yè)(ye)還需要(yao)建立(li)完善的網(wǎng)絡(luò)安(an)全管理機(jī)(ji)制,避免由(you)于訪客(ke)的網(wǎng)(wang)絡(luò)不良訪問(wen)給企業(yè)帶來的(de)法律風(fēng)(feng)險(xiǎn)���。對于(yu)企業(yè)員工移(yi)動辦公上網(wǎng)(wang)���,更需要做到可(ke)管控���,上網(wǎng)(wang)行為(wei)做到可追(zhui)溯���,企業(yè)有(you)效的帶(dai)寬資源得到(dao)合理(li)的分配和保證(zheng),才能使(shi)企業(yè)的業(yè)務(wù)系(xi)統(tǒng)正(zheng)常且(qie)穩(wěn)定高效(xiao)地運(yùn)行���,同時(shí)(shi)保證企業(yè)信息(xi)安全���,避免機(jī)密(mi)信息泄露(lu)。
存在的問題(ti)(用戶(hu)需求)
1���、接入不安全:缺(que)乏安全可靠(kao)的認(rèn)(ren)證機(jī)(ji)制���,企業(yè)無(wu)線網(wǎng)(wang)絡(luò)接入不安全(quan)
2���、上網(wǎng)權(quán)(quan)限混亂:缺乏有(you)效的控(kong)制策略,員工(gong)上網(wǎng)(wang)權(quán)限(xian)不分明(ming)
3���、數(shù)據(jù)信息(xi)安全:缺乏有(you)效的(de)數(shù)據(jù)加密(mi)機(jī)制���,企業(yè)(ye)數(shù)據(jù)被黑客(ke)竊取篡改
4、無線信號差(cha):AP性能不佳(jia)���,上網(wǎng)總(zong)掉線���,點(diǎn)位(wei)規(guī)劃不(bu)合理(li),信號盲區(qū)多
5���、漫游效(xiao)果差:不(bu)能實(shí)現(xiàn)二(er)三層漫游���,移動(dong)辦公時(shí),業(yè)(ye)務(wù)中斷
解決方案:
結(jié)合用(yong)戶無(wu)線網(wǎng)絡(luò)需(xu)求情況,結(jié)(jie)合產(chǎn)品自身技(ji)術(shù)特(te)點(diǎn)���,為了滿足(zu)用戶構(gòu)建(jian)一個(gè)高速���、穩(wěn)定(ding)、安全(quan)���、可靠���、易(yi)于管理的無線(xian)接入網(wǎng)(wang)絡(luò)的需求,本設(shè)(she)計(jì)方案按照AP+AC的(de)結(jié)構(gòu)化(hua)無線網(wǎng)絡(luò)解(jie)決方案進(jìn)(jin)行設(shè)計(jì)���。具體(ti)設(shè)計(jì)為在總部(bu)設(shè)置(zhi)總部(bu)AC,在大型(xing)分支(zhi)機(jī)構(gòu)設(shè)置(zhi)分支AC與分支AP���,中(zhong)型分支機(jī)構(gòu)設(shè)(she)計(jì)二級(ji)���,三級交換機(jī)(ji)���,分支AP。小微(wei)型分支機(jī)(ji)構(gòu)直接設(shè)置分(fen)支AP���?��?偛緼C可以對(dui)大型分支機(jī)構(gòu)(gou)的AC進(jìn)(jin)行管理(li)���,當(dāng)網(wǎng)點(diǎn)控制器(qi)采用集(ji)中管理的模(mo)式進(jìn)入到中(zhong)心端控制器(qi)時(shí),會(hui)自動下載中心(xin)端的公共(gong)配置���,比(bi)如IP組���、MAC地(di)址庫、時(shí)間計(jì)(ji)劃���、角色授權(quán)���、認(rèn)(ren)證頁(ye)面等 ?��?偛緼C也(ye)可以直(zhi)接管理中(zhong)小型分支(zhi)機(jī)構(gòu)的分支(zhi)AP���,實(shí)現(xiàn)統(tǒng)一(yi)管理。
方案設(shè)計(jì):
安全(quan)無線整(zheng)體解決(jue)方案:
接入前&接入(ru)時(shí)進(jìn)(jin)行身(shen)份認(rèn)證���、安全無(wu)線網(wǎng)卡(ka)���、賬號綁定(ding)(硬件碼+手機(jī)(ji)號)���,非法熱(re)點(diǎn)檢(jian)測及防御、網(wǎng)絡(luò)(luo)攻擊防護(hù)���、射頻(pin)定時(shí)關(guān)(guan)閉及安(an)全加固(gu)���。
接入后&上(shang)網(wǎng)時(shí)進(jìn)行(xing)訪問(wen)權(quán)限控制(zhi)。
上網(wǎng)(wang)后進(jìn)行上網(wǎng)(wang)行為記錄���。
上網(wǎng)用戶(hu)身份實(shí)(shi)名認(rèn)證(zheng):
無線辦(ban)公網(wǎng)(wang)采用802.1X/Portal/WAPI認(rèn)(ren)證���,外置AAA和RADIUS+AD用(yong)于存儲(chu)用戶賬號密(mi)碼。
每個(gè)賬號(hao)對應(yīng)一個(gè)員(yuan)工���,包括姓(xing)名、部門���、性別(bie)以及身份證(zheng)���、手機(jī)號等(deng)個(gè)人信息(xi)���,保證每個(gè)(ge)上網(wǎng)的賬號都(dou)是可尋(xun)的,便(bian)于安(an)全管理���。
用戶輸(shu)入賬(zhang)號密碼上網(wǎng)(wang)驗(yàn)證(zheng)時(shí)均采(cai)用加(jia)密傳(chuan)輸���,防止黑客空(kong)中攔截,竊(qie)取賬號密碼(ma)等數(shù)據(jù)(ju)���。
上網(wǎng)賬(zhang)號自動綁(bang)定終端(duan):
自動將賬號與(yu)終端的(de)硬件特征(zheng)碼進(jìn)行綁定���,防(fang)止賬(zhang)號被他人使(shi)用或(huo)者被(bei)盜用。
每臺設(shè)(she)備的硬件(jian)特征碼是唯(wei)一的���,無(wu)法通過軟(ruan)件修改���。即使通(tong)過軟件(jian)修改了仍然可(ke)以識(shi)別原始的(de)。
每個(gè)賬號最(zui)多可(ke)以綁定5臺終端(duan)���,超過1臺時(shí)(shi)需要(yao)管理員(yuan)審核���。
上網(wǎng)賬號二(er)次綁(bang)定手機(jī)(ji)號碼:
賬號(hao)首次(ci)登陸時(shí)需要(yao)綁定(ding)手機(jī)號并輸入(ru)短信驗(yàn)證碼(ma)���,當(dāng)用戶賬號(hao)在新終端登(deng)陸時(shí)(換終端(duan)/被他(ta)用/被盜(dao)),不僅需要(yao)輸入密碼���,還需(xu)要輸入(ru)短信驗(yàn)證(zheng)碼���,解決員工(gong)賬號認(rèn)證的安(an)全問題
綁定手(shou)機(jī)號碼的用戶(hu),可以(yi)自助重(zhong)置密碼(ma)和修改密碼(ma)���,無需通(tong)過IT管理(li)員���。
用戶密碼管(guan)理及自助修改(gai):
無需通過管(guan)理員即可修(xiu)改密碼,提高(gao)效率及(ji)減輕管理員(yuan)工作(zuo)壓力���。
通過口(kou)袋助理���、釘釘、企(qi)業(yè)號等手機(jī)(ji)MOA類APP軟(ruan)件進(jìn)行(xing)無線密碼修改(gai)���。
若賬號綁定(ding)了手機(jī)號碼(ma)���,可通過手機(jī)驗(yàn)(yan)證碼自助修(xiu)改。
上網(wǎng)終端(duan)合法效(xiao)驗(yàn):
采用安全(quan)無線網(wǎng)(wang)卡接入無(wu)線網(wǎng)絡(luò)���,終(zhong)端與AP熱點(diǎn)的雙(shuang)向驗(yàn)證���,提高(gao)安全性。
可以(yi)將無線(xian)網(wǎng)絡(luò)設(shè)置為(wei)只有安裝(zhuang)了安(an)全無(wu)線網(wǎng)卡的終端(duan)才能接入無(wu)線網(wǎng)絡(luò)���。
支持設(shè)置(zhi)安全無線網(wǎng)(wang)卡只(zhi)能連指定(ding)SSID無線網(wǎng)(wang)絡(luò)���,無(wu)法連接非授權(quán)(quan)SSID。
網(wǎng)卡與(yu)AP數(shù)據(jù)傳輸(shu)時(shí)自動(dong)進(jìn)行數(shù)據(jù)加密(mi)���,保證(zheng)無線的空口安(an)全���。
無線熱(re)點(diǎn)掃描及非(fei)法熱點(diǎn)抑(yi)制:
背景:黑客在(zai)附近搭(da)建一個(gè)一(yi)模一樣(yang)或者類(lei)似的(de)WIFI名稱,誘使(shi)用戶連到(dao)虛假釣魚WIFI上���,黑(hei)客利用分(fen)析軟件從用戶(hu)上網(wǎng)產(chǎn)生(sheng)的數(shù)據(jù)(ju)包中分(fen)析提取用戶隱(yin)私信(xin)息���。
我們通過WIPS無(wu)線入侵防(fang)御系統(tǒng)實(shí)時(shí)檢(jian)測周圍(wei)無線(xian)信號���,當(dāng)檢(jian)測出來的信號(hao)BSSID、且AP源MAC地址(zhi)不在(zai)授權(quán)(quan)列表中(zhong)時(shí)���,我們向(xiang)對應(yīng)(ying)的AP和終端(duan)發(fā)送解除(chu)關(guān)聯(lián)幀���,讓(rang)終端無(wu)法連(lian)上釣魚WIFI。7×24小時(shí)(shi)不間(jian)斷監(jiān)(jian)測網(wǎng)絡(luò)���。
上網(wǎng)行(xing)為嚴(yán)格(ge)控制:
強(qiáng)大的管(guan)理:通過(guo)應(yīng)用識別技術(shù)(shu)���,可以根(gen)據(jù)應(yīng)用類型(xing)或者具(ju)體某一種應(yīng)(ying)用進(jìn)行封堵(du),包括視頻���、論壇(tan)���、游戲、金融���、下載(zai)等2400多(duo)種網(wǎng)絡(luò)(luo)應(yīng)用���。
通過應(yīng)用識(shi)別技術(shù)(shu)���,可以(yi)根據(jù)應(yīng)用類(lei)型或者具體某(mou)一種應(yīng)(ying)用進(jìn)(jin)行封堵,比如上(shang)班時(shí)間(jian)不允許炒(chao)股���,不(bu)允許P2P下載(zai),不允許外發(fā)敏(min)感文件(jian)等���; 支持主流(liu)移動(dong)平臺(tai)���,可識別IM、社交���、Mail���、新(xin)聞、炒股(gu)等應(yīng)用���。
無線控(kong)制器內(nèi)(nei)置千萬級別(bie)的URL分類庫(ku)���,能夠?qū)?dui)URL進(jìn)行識(shi)別,包含新聞(wen)���、購物(wu)���、金融���、教育等18個(gè)(ge)種類的URL地址(zhi); 準(zhǔn)確識別目前(qian)主流網(wǎng)(wang)站���,識別率高達(dá)(da)99.9%���,有效實(shí)現(xiàn)網(wǎng)(wang)頁過(guo)濾。例如(ru)禁止登陸非法(fa)網(wǎng)站
通過基于(yu)時(shí)間段的訪問(wen)控制策略���,實(shí)現(xiàn)(xian)不同的時(shí)(shi)間段不同(tong)的訪問權(quán)限���,比(bi)如上班時(shí)(shi)間,禁止訪問(wen)網(wǎng)上(shang)銀行���、游(you)戲���、論壇貼吧等(deng)與工作(zuo)無關(guān)(guan)的應(yīng)用,下班(ban)時(shí)間(jian)則不受限制。
辦公區(qū)域內(nèi)(nei)���,不同(tong)辦公部門總(zong)會有(you)各自專屬的(de)無線(xian)網(wǎng)絡(luò)���,并且不希(xi)望部門之外(wai)的成員使用(yong)這個(gè)網(wǎng)絡(luò)(luo)。無線網(wǎng)絡(luò)控(kong)制器(qi)可以根據(jù)用戶(hu)的屬性(xing)���,限制禁止非本(ben)部門(men)的用戶接(jie)入。
典型無線(xian)網(wǎng)絡(luò)攻擊防護(hù)(hu):
對典型的危險(xiǎn)(xian)攻擊(ji)行為(wei)進(jìn)行(xing)檢測���,當(dāng)(dang)超過(guo)設(shè)定的閾(yu)值后自動(dong)將攻擊者加入(ru)到黑(hei)名單(dan)中���,并(bing)凍結(jié)一(yi)定時(shí)間(jian),即時(shí)發(fā)(fa)現(xiàn)網(wǎng)絡(luò)攻擊并(bing)進(jìn)行防(fang)御���。
檢測的攻(gong)擊包括:DDOS防御���、ARP掃(sao)描、IP掃描(miao)���、端口掃描防(fang)御���,禁止客戶(hu)端私設(shè)IP以及ARP���、網(wǎng)(wang)關(guān)欺騙防御(yu)、DHCP請求泛洪防御(yu)���。
無線射頻定(ding)時(shí)關(guān)閉開(kai)啟:
通過射頻關(guān)閉(bi)控制策略(lve)���,可以(yi)指定某(mou)SSID網(wǎng)絡(luò)(luo),定時(shí)自動關(guān)(guan)閉和開啟無線(xian)網(wǎng)絡(luò)(luo)的射頻信號(hao)���,晚上下(xia)班后自動(dong)關(guān)閉無線(xian)射頻(pin)信號���。
一方面可(ke)以節(jié)能減排(pai)、節(jié)省電費(fèi)支(zhi)出���;另一方面又(you)能防止非法(fa)用戶利(li)用深夜時(shí)間(jian)入侵無線網(wǎng)絡(luò)(luo)���,做一(yi)些非法的操作(zuo)。
有線無線一體(ti)化管理:
NAC的有線無線(xian)一體化���,支持(chi)對有線用戶的(de)接入認(rèn)(ren)證���、訪(fang)問控制(zhi)���、流量管理(li)、上網(wǎng)行為審(shen)計(jì)等���,
并提供(gong)統(tǒng)一(yi)中文Web管理(li)界面���,一站式(shi)服務(wù)(wu),極大的降低(di)網(wǎng)絡(luò)(luo)建設(shè)成本���。
網(wǎng)絡(luò)分權(quán)分(fen)級管(guan)理:
分配不同的(de)管理員分別管(guan)理各(ge)自權(quán)限區(qū)域的(de)無線(xian)AP,可以精細(xì)到(dao)對某(mou)AP分組有管理(li)權(quán)限���,該管理員(yuan)可以在該AP分(fen)組上建立(li)無線網(wǎng)絡(luò)���,能夠(gou)激活、刪除(chu)接入(ru)點(diǎn)���,能夠?qū)P的配(pei)置進(jìn)行(xing)編輯修改���。
可指定管理(li)員針對每(mei)個(gè)頁面的編(bian)輯或可(ke)查看權(quán)(quan)限���,控制粒度到(dao)控制器上(shang)的各(ge)個(gè)頁面(mian),對某個(gè)(ge)頁面沒有讀權(quán)(quan)限則登錄時(shí)(shi)不顯示���。
移動(dong)APP隨時(shí)隨地(di)運(yùn)維管理:
支持(chi)跨互聯(lián)網(wǎng)運(yùn)維(wei)管理(li)
登陸APP進(jìn)行(xing)維護(hù)管(guan)理:不同(tong)管理員(yuan)���,不同權(quán)限
查看網(wǎng)絡(luò)運(yùn)(yun)行情況:在線(xian)用戶、在(zai)線AP數(shù)量���、實(shí)時(shí)流(liu)量
無線(xian)網(wǎng)絡(luò)管(guan)理維護(hù):開啟關(guān)(guan)閉SSID���、終端綁(bang)定審批、二維(wei)碼上網(wǎng)審核(he)
故障���、審(shen)批實(shí)時(shí)通知:AP離(li)線警告(gao)���、服務(wù)器離線警(jing)告、網(wǎng)絡(luò)(luo)攻擊(ji)告警
方案優(yōu)勢:
1���、最豐富的(de)無線安全機(jī)制(zhi)���,提供(gong)從安全接入到(dao)安全上網(wǎng)等(deng)端到端的安全(quan)策略
2���、合理(li)管控工作人員(yuan)上網(wǎng)行為(wei),提升(sheng)工作效率(lv)���、防止帶寬浪(lang)費(fèi)���,有線無線(xian)雙重管控
3、為會議室���,報(bào)告(gao)廳等(deng)人員密集(ji)區(qū)域接入網(wǎng)絡(luò)(luo)提高保證���,解(jie)決有線(xian)網(wǎng)口(kou)不足的(de)問題;
4���、為企業(yè)員工的(de)移動辦公提(ti)供支(zhi)撐,內(nèi)部員工(gong)可通過無(wu)線網(wǎng)絡(luò)隨時(shí)安(an)全接入內(nèi)部(bu)網(wǎng)絡(luò)���,實(shí)現(xiàn)(xian)辦公���;
5、內(nèi)部(bu)員工賬號及個(gè)(ge)人信(xin)息綁定(ding)���,便于安全管理(li)���;
6���、內(nèi)部員(yuan)工可通過(guo)自己的辦公(gong)設(shè)備(bei)在企業(yè)(ye)大樓內(nèi)快(kuai)速移(yi)動辦公,網(wǎng)(wang)絡(luò)接(jie)入更快速���,上(shang)網(wǎng)行為(wei)管理系統(tǒng)對(dui)員工上網(wǎng)(wang)行為進(jìn)行審(shen)計(jì)與管控(kong)
7���、來訪客戶(hu)接入企業(yè)(ye)網(wǎng)絡(luò),可根(gen)據(jù)不(bu)同需求(qiu)���,分配不同的上(shang)網(wǎng)權(quán)限���,保證(zheng)了接入的安(an)全性同時(shí)提升(sheng)群眾上(shang)網(wǎng)的體驗(yàn)(yan)
8、豐富的認(rèn)(ren)證機(jī)(ji)制���,滿足(zu)組織對無(wu)線網(wǎng)(wang)絡(luò)安全(quan)���、快速接入
9、投資(zi)成本低���,通過部(bu)署無線控制器(qi)替換原(yuan)有網(wǎng)絡(luò)的出口(kou)路由(you)���、行為管理以(yi)及無(wu)線控制器
