?
大型企業(yè)在(zai)無線(xian)網(wǎng)絡(luò)(luo)建設(shè)期間要(yao)充分考(kao)慮訪客(領(lǐng)(ling)導(dǎo)、客戶��、合(he)作伙伴)接(jie)入網(wǎng)絡(luò)(luo)的需求��。首(shou)先從安全性(xing)考慮��,訪客(ke)網(wǎng)絡(luò)(luo)必須要和辦(ban)公網(wǎng)(wang)絡(luò)分(fen)開��,訪客(ke)網(wǎng)絡(luò)單獨(dú)(du)提供給訪客(ke)使用��。從用戶(hu)體驗(yàn)角(jiao)度考(kao)慮��,訪客接入(ru)網(wǎng)絡(luò)的(de)驗(yàn)證方式一(yi)定要做到簡(jiǎn)單(dan)易行��,繁(fan)瑣的驗(yàn)證(zheng)方式會(huì)降低(di)訪客(ke)對(duì)企(qi)業(yè)的整體印(yin)象��。同時(shí)(shi)對(duì)于訪(fang)客網(wǎng)絡(luò)(luo)��,企業(yè)還需要建(jian)立完(wan)善的網(wǎng)絡(luò)安全(quan)管理機(jī)制��,避(bi)免由于訪客(ke)的網(wǎng)絡(luò)不良訪(fang)問給企業(yè)帶來(lai)的法律風(fēng)險(xiǎn)��。對(duì)(dui)于企業(yè)員工(gong)移動(dòng)辦公(gong)上網(wǎng)��,更需(xu)要做到可管(guan)控,上網(wǎng)行為(wei)做到可追溯(su)��,企業(yè)有效的(de)帶寬資源得(de)到合理的分(fen)配和保(bao)證��,才能(neng)使企業(yè)的(de)業(yè)務(wù)系統(tǒng)正常(chang)且穩(wěn)(wen)定高效(xiao)地運(yùn)行��,同(tong)時(shí)保證企業(yè)信(xin)息安全��,避免機(jī)(ji)密信息泄露(lu)��。
存在的問題(ti)(用戶(hu)需求)
1��、接入不安(an)全:缺(que)乏安(an)全可靠(kao)的認(rèn)證機(jī)制(zhi)��,企業(yè)無線(xian)網(wǎng)絡(luò)接入不(bu)安全
2��、上網(wǎng)權(quán)限(xian)混亂:缺乏(fa)有效的控(kong)制策(ce)略��,員工上(shang)網(wǎng)權(quán)限不分(fen)明
3��、數(shù)據(jù)(ju)信息安全:缺乏(fa)有效(xiao)的數(shù)據(jù)加密(mi)機(jī)制��,企業(yè)數(shù)據(jù)(ju)被黑(hei)客竊取篡改
4��、無線信號(hào)差(cha):AP性能不佳(jia)��,上網(wǎng)總(zong)掉線(xian)��,點(diǎn)位規(guī)劃不(bu)合理��,信號(hào)(hao)盲區(qū)多
5��、漫游效果差(cha):不能實(shí)現(xiàn)(xian)二三層漫游��,移(yi)動(dòng)辦公時(shí)(shi)��,業(yè)務(wù)(wu)中斷
解決方案(an):
結(jié)合用(yong)戶無線網(wǎng)絡(luò)(luo)需求情況(kuang)��,結(jié)合產(chǎn)品(pin)自身(shen)技術(shù)特點(diǎn)��,為了(le)滿足用(yong)戶構(gòu)建一個(gè)高(gao)速��、穩(wěn)定(ding)��、安全��、可靠��、易于(yu)管理的無(wu)線接(jie)入網(wǎng)絡(luò)的需求(qiu)��,本設(shè)計(jì)(ji)方案按照(zhao)AP+AC的結(jié)構(gòu)化無線(xian)網(wǎng)絡(luò)(luo)解決(jue)方案(an)進(jìn)行設(shè)(she)計(jì)��。具體設(shè)計(jì)(ji)為在總部設(shè)(she)置總(zong)部AC,在大型分(fen)支機(jī)構(gòu)設(shè)置(zhi)分支AC與分支(zhi)AP,中型分支機(jī)構(gòu)(gou)設(shè)計(jì)(ji)二級(jí)��,三級(jí)交換(huan)機(jī)��,分支AP��。小微型(xing)分支(zhi)機(jī)構(gòu)直接設(shè)置(zhi)分支AP��?�?偛緼C可以(yi)對(duì)大(da)型分支機(jī)(ji)構(gòu)的AC進(jìn)(jin)行管理��,當(dāng)網(wǎng)(wang)點(diǎn)控制器采用(yong)集中管理的模(mo)式進(jìn)(jin)入到中心端(duan)控制器時(shí)��,會(huì)自(zi)動(dòng)下(xia)載中心端的(de)公共配置(zhi)��,比如IP組��、MAC地址庫(ku)��、時(shí)間計(jì)劃��、角(jiao)色授權(quán)��、認(rèn)(ren)證頁面等 ��?�?偛?bu)AC也可以(yi)直接管理中小(xiao)型分支(zhi)機(jī)構(gòu)(gou)的分支AP��,實(shí)現(xiàn)統(tǒng)(tong)一管理(li)��。
方案設(shè)計(jì)(ji):
安全無線整體(ti)解決方案(an):
接入前&接入(ru)時(shí)進(jìn)(jin)行身份認(rèn)證(zheng)��、安全無(wu)線網(wǎng)卡��、賬號(hào)(hao)綁定(硬件碼+手(shou)機(jī)號(hào))��,非法熱點(diǎn)(dian)檢測(cè)及防御(yu)��、網(wǎng)絡(luò)攻擊防護(hù)(hu)��、射頻定時(shí)關(guān)閉(bi)及安全加固��。
接入(ru)后&上網(wǎng)時(shí)進(jìn)行(xing)訪問權(quán)限控(kong)制��。
上網(wǎng)后(hou)進(jìn)行上(shang)網(wǎng)行為記錄��。
上網(wǎng)用(yong)戶身份(fen)實(shí)名認(rèn)證:
無線辦公網(wǎng)采(cai)用802.1X/Portal/WAPI認(rèn)證��,外(wai)置AAA和RADIUS+AD用于(yu)存儲(chǔ)用戶賬號(hào)(hao)密碼��。
每個(gè)賬號(hào)(hao)對(duì)應(yīng)一個(gè)(ge)員工,包括(kuo)姓名��、部門(men)��、性別以及身份(fen)證��、手機(jī)(ji)號(hào)等個(gè)人信息(xi)��,保證每個(gè)(ge)上網(wǎng)的賬(zhang)號(hào)都是可尋(xun)的��,便(bian)于安全管(guan)理��。
用戶輸入(ru)賬號(hào)密碼上(shang)網(wǎng)驗(yàn)證時(shí)(shi)均采(cai)用加(jia)密傳輸��,防止(zhi)黑客空中攔(lan)截��,竊取賬號(hào)密(mi)碼等數(shù)據(jù)��。
上網(wǎng)賬號(hào)自動(dòng)(dong)綁定(ding)終端:
自動(dòng)(dong)將賬號(hào)與(yu)終端的硬(ying)件特征碼(ma)進(jìn)行綁定(ding)��,防止賬號(hào)(hao)被他人(ren)使用(yong)或者被(bei)盜用(yong)��。
每臺(tái)設(shè)(she)備的硬件特(te)征碼是(shi)唯一的��,無法(fa)通過軟件修(xiu)改��。即(ji)使通過軟件(jian)修改(gai)了仍然可(ke)以識(shí)別原(yuan)始的��。
每個(gè)(ge)賬號(hào)(hao)最多可以綁(bang)定5臺(tái)終(zhong)端��,超過1臺(tái)時(shí)需(xu)要管理員(yuan)審核��。
上網(wǎng)賬號(hào)二(er)次綁(bang)定手機(jī)號(hào)碼(ma):
賬號(hào)(hao)首次登陸(lu)時(shí)需要綁(bang)定手機(jī)(ji)號(hào)并輸入(ru)短信(xin)驗(yàn)證(zheng)碼��,當(dāng)用戶賬(zhang)號(hào)在(zai)新終端登陸(lu)時(shí)(換終(zhong)端/被(bei)他用/被(bei)盜)��,不僅需要輸(shu)入密(mi)碼��,還需要輸入(ru)短信驗(yàn)證碼(ma)��,解決員工(gong)賬號(hào)認(rèn)(ren)證的安全(quan)問題
綁定手(shou)機(jī)號(hào)碼的用戶(hu)��,可以自助(zhu)重置密碼和(he)修改密碼��,無(wu)需通(tong)過IT管(guan)理員��。
用戶密(mi)碼管理及自助(zhu)修改:
無需通過(guo)管理員即可(ke)修改密(mi)碼��,提高效率及(ji)減輕管理員工(gong)作壓力��。
通過口(kou)袋助理��、釘釘、企(qi)業(yè)號(hào)等(deng)手機(jī)MOA類APP軟(ruan)件進(jìn)行無線密(mi)碼修改��。
若賬(zhang)號(hào)綁定了手(shou)機(jī)號(hào)碼��,可通過(guo)手機(jī)驗(yàn)證碼(ma)自助修改(gai)��。
上網(wǎng)終端(duan)合法效驗(yàn)(yan):
采用安全(quan)無線網(wǎng)(wang)卡接入無線(xian)網(wǎng)絡(luò),終(zhong)端與AP熱點(diǎn)(dian)的雙向驗(yàn)(yan)證,提高安全性(xing)��。
可以將無線(xian)網(wǎng)絡(luò)設(shè)置(zhi)為只有安(an)裝了安全(quan)無線網(wǎng)卡(ka)的終端才能(neng)接入無線網(wǎng)(wang)絡(luò)。
支持設(shè)置(zhi)安全無線網(wǎng)(wang)卡只能(neng)連指定(ding)SSID無線(xian)網(wǎng)絡(luò)��,無法連接(jie)非授權(quán)SSID��。
網(wǎng)卡與AP數(shù)據(jù)(ju)傳輸(shu)時(shí)自動(dòng)進(jìn)行數(shù)(shu)據(jù)加密(mi)��,保證無線的(de)空口安全(quan)��。
無線(xian)熱點(diǎn)(dian)掃描(miao)及非法熱點(diǎn)抑(yi)制:
背景:黑(hei)客在附近搭建(jian)一個(gè)一模一樣(yang)或者類似的WIFI名(ming)稱��,誘使用戶連(lian)到虛假釣(diao)魚WIFI上��,黑客利(li)用分(fen)析軟件從用(yong)戶上(shang)網(wǎng)產(chǎn)生的數(shù)(shu)據(jù)包中分(fen)析提取(qu)用戶隱私信(xin)息��。
我們(men)通過WIPS無線(xian)入侵(qin)防御(yu)系統(tǒng)實(shí)時(shí)檢測(cè)(ce)周圍無線(xian)信號(hào)��,當(dāng)(dang)檢測(cè)(ce)出來的信號(hào)BSSID��、且(qie)AP源MAC地址(zhi)不在授(shou)權(quán)列表(biao)中時(shí)��,我們向(xiang)對(duì)應(yīng)(ying)的AP和終端(duan)發(fā)送(song)解除關(guān)聯(lián)幀��,讓(rang)終端無法連上(shang)釣魚(yu)WIFI��。7×24小時(shí)不間(jian)斷監(jiān)測(cè)網(wǎng)(wang)絡(luò)��。
上網(wǎng)行(xing)為嚴(yán)(yan)格控制:
強(qiáng)大(da)的管理:通過(guo)應(yīng)用識(shí)別技(ji)術(shù)��,可(ke)以根據(jù)應(yīng)(ying)用類型或(huo)者具體某(mou)一種應(yīng)用進(jìn)(jin)行封堵��,包(bao)括視(shi)頻��、論壇(tan)��、游戲��、金(jin)融��、下載等2400多(duo)種網(wǎng)絡(luò)應(yīng)(ying)用��。
通過應(yīng)用識(shí)別(bie)技術(shù)��,可(ke)以根據(jù)應(yīng)用(yong)類型或者具體(ti)某一(yi)種應(yīng)(ying)用進(jìn)行封堵(du),比如(ru)上班時(shí)間不允(yun)許炒股��,不允(yun)許P2P下載��,不允許(xu)外發(fā)敏感文(wen)件等��; 支(zhi)持主流移動(dòng)平(ping)臺(tái)��,可識(shí)別IM��、社(she)交��、Mail��、新(xin)聞��、炒(chao)股等應(yīng)用(yong)��。
無線(xian)控制器(qi)內(nèi)置千萬(wan)級(jí)別的(de)URL分類庫(ku)��,能夠(gou)對(duì)URL進(jìn)(jin)行識(shí)別��,包(bao)含新聞��、購(gòu)物、金(jin)融��、教(jiao)育等18個(gè)種類的(de)URL地址��; 準(zhǔn)確(que)識(shí)別目前主(zhu)流網(wǎng)站��,識(shí)(shi)別率高達(dá)99.9%��,有效(xiao)實(shí)現(xiàn)網(wǎng)頁過濾(lv)��。例如禁止登陸(lu)非法網(wǎng)(wang)站
通過(guo)基于時(shí)間段(duan)的訪(fang)問控制策(ce)略��,實(shí)現(xiàn)不同(tong)的時(shí)間段(duan)不同的訪(fang)問權(quán)限(xian)��,比如上班時(shí)(shi)間��,禁止訪(fang)問網(wǎng)上銀行��、游(you)戲��、論壇貼吧(ba)等與工作無關(guān)(guan)的應(yīng)用��,下班(ban)時(shí)間(jian)則不受限制(zhi)��。
辦公(gong)區(qū)域內(nèi)��,不同(tong)辦公部門(men)總會(huì)有各自專(zhuan)屬的無線網(wǎng)(wang)絡(luò)��,并且(qie)不希望部門(men)之外(wai)的成員使用(yong)這個(gè)網(wǎng)絡(luò)��。無(wu)線網(wǎng)絡(luò)控制(zhi)器可以(yi)根據(jù)用戶的屬(shu)性��,限(xian)制禁止非本(ben)部門的用(yong)戶接(jie)入��。
典型(xing)無線網(wǎng)絡(luò)攻擊(ji)防護(hù)(hu):
對(duì)典(dian)型的危(wei)險(xiǎn)攻擊行為(wei)進(jìn)行檢測(cè)(ce)��,當(dāng)超過(guo)設(shè)定的閾(yu)值后(hou)自動(dòng)將(jiang)攻擊(ji)者加入到(dao)黑名單中��,并凍(dong)結(jié)一定時(shí)間��,即(ji)時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)(luo)攻擊并進(jìn)行防(fang)御��。
檢測(cè)的攻(gong)擊包括:DDOS防(fang)御��、ARP掃描(miao)��、IP掃描��、端口掃描(miao)防御��,禁止客戶(hu)端私設(shè)IP以及(ji)ARP��、網(wǎng)關(guān)欺騙防御(yu)、DHCP請(qǐng)求泛洪防御(yu)��。
無線(xian)射頻定時(shí)(shi)關(guān)閉開(kai)啟:
通過射(she)頻關(guān)(guan)閉控制策(ce)略��,可(ke)以指定(ding)某SSID網(wǎng)絡(luò)��,定(ding)時(shí)自(zi)動(dòng)關(guān)閉(bi)和開啟無(wu)線網(wǎng)絡(luò)的射(she)頻信號(hào)��,晚上(shang)下班后(hou)自動(dòng)關(guān)(guan)閉無(wu)線射頻信(xin)號(hào)��。
一方(fang)面可(ke)以節(jié)能(neng)減排��、節(jié)(jie)省電費(fèi)(fei)支出��;另一(yi)方面又能防止(zhi)非法用(yong)戶利用(yong)深夜(ye)時(shí)間入侵(qin)無線網(wǎng)絡(luò)��,做(zuo)一些(xie)非法的操作(zuo)��。
有線無(wu)線一(yi)體化(hua)管理(li):
NAC的有線無(wu)線一體(ti)化��,支持對(duì)有(you)線用戶的接入(ru)認(rèn)證��、訪問(wen)控制��、流(liu)量管理��、上網(wǎng)行(xing)為審計(jì)(ji)等��,
并提供(gong)統(tǒng)一中(zhong)文Web管理界(jie)面��,一站式(shi)服務(wù)(wu)��,極大的降低網(wǎng)(wang)絡(luò)建設(shè)(she)成本��。
網(wǎng)絡(luò)分權(quán)(quan)分級(jí)管理(li):
分配(pei)不同(tong)的管理員分別(bie)管理各自權(quán)限(xian)區(qū)域的無線(xian)AP��,可以(yi)精細(xì)到對(duì)某(mou)AP分組有管理(li)權(quán)限��,該管理(li)員可(ke)以在該(gai)AP分組上建立(li)無線網(wǎng)絡(luò)��,能夠(gou)激活��、刪除接入(ru)點(diǎn)��,能夠(gou)對(duì)AP的配置進(jìn)行(xing)編輯修(xiu)改��。
可指定管(guan)理員針對(duì)(dui)每個(gè)頁(ye)面的編輯(ji)或可(ke)查看權(quán)限��,控制(zhi)粒度(du)到控(kong)制器上的(de)各個(gè)頁面��,對(duì)(dui)某個(gè)頁面沒(mei)有讀權(quán)限則(ze)登錄時(shí)不(bu)顯示��。
移動(dòng)APP隨時(shí)隨地(di)運(yùn)維管(guan)理:
支持跨互(hu)聯(lián)網(wǎng)運(yùn)維管(guan)理
登陸(lu)APP進(jìn)行維護(hù)(hu)管理:不(bu)同管(guan)理員,不同(tong)權(quán)限
查看網(wǎng)絡(luò)運(yùn)(yun)行情況:在線(xian)用戶��、在(zai)線AP數(shù)量(liang)��、實(shí)時(shí)流量
無線網(wǎng)(wang)絡(luò)管理維護(hù):開(kai)啟關(guān)閉SSID��、終端(duan)綁定審(shen)批��、二維碼(ma)上網(wǎng)審(shen)核
故障��、審批實(shí)(shi)時(shí)通知:AP離(li)線警告��、服務(wù)器(qi)離線警告(gao)��、網(wǎng)絡(luò)攻擊(ji)告警
方案優(yōu)(you)勢(shì):
1��、最豐(feng)富的無(wu)線安(an)全機(jī)制��,提供從(cong)安全接入到安(an)全上網(wǎng)等端到(dao)端的(de)安全(quan)策略(lve)
2��、合理管控工作(zuo)人員(yuan)上網(wǎng)行(xing)為��,提升(sheng)工作效率(lv)��、防止帶寬浪費(fèi)(fei)��,有線(xian)無線雙重(zhong)管控
3��、為會(huì)(hui)議室��,報(bào)告(gao)廳等人員(yuan)密集區(qū)域接(jie)入網(wǎng)絡(luò)提(ti)高保證(zheng)��,解決有線(xian)網(wǎng)口不足的問(wen)題��;
4��、為企業(yè)員工(gong)的移(yi)動(dòng)辦(ban)公提供支(zhi)撐��,內(nèi)部員(yuan)工可通過無線(xian)網(wǎng)絡(luò)隨(sui)時(shí)安全接入(ru)內(nèi)部網(wǎng)絡(luò)��,實(shí)(shi)現(xiàn)辦公��;
5��、內(nèi)部(bu)員工賬號(hào)及(ji)個(gè)人(ren)信息綁定��,便于(yu)安全管理(li)��;
6��、內(nèi)部員(yuan)工可通過(guo)自己的辦公(gong)設(shè)備在企業(yè)(ye)大樓內(nèi)快(kuai)速移(yi)動(dòng)辦公��,網(wǎng)絡(luò)接(jie)入更(geng)快速,上網(wǎng)行(xing)為管理系(xi)統(tǒng)對(duì)(dui)員工上(shang)網(wǎng)行為進(jìn)行審(shen)計(jì)與管(guan)控
7��、來訪客戶(hu)接入(ru)企業(yè)網(wǎng)絡(luò)��,可(ke)根據(jù)不(bu)同需求��,分(fen)配不同(tong)的上網(wǎng)權(quán)(quan)限��,保證了(le)接入的安全性(xing)同時(shí)提升群(qun)眾上(shang)網(wǎng)的(de)體驗(yàn)
8��、豐富的認(rèn)證(zheng)機(jī)制��,滿足組(zu)織對(duì)(dui)無線網(wǎng)(wang)絡(luò)安(an)全��、快(kuai)速接入
9��、投資(zi)成本低��,通過部(bu)署無線控(kong)制器替換原(yuan)有網(wǎng)絡(luò)的出(chu)口路(lu)由��、行為管(guan)理以(yi)及無線控制(zhi)器
