?
大型企(qi)業(yè)在無線網(wǎng)絡(luò)(luo)建設(shè)期間要充(chong)分考慮訪客(ke)(領(lǐng)導、客戶�����、合作(zuo)伙伴)接入網(wǎng)(wang)絡(luò)的需求��。首先(xian)從安全性考(kao)慮�,訪客網(wǎng)絡(luò)必(bi)須要(yao)和辦公網(wǎng)絡(luò)分(fen)開����,訪客網(wǎng)絡(luò)(luo)單獨提供(gong)給訪客使(shi)用。從用(yong)戶體驗角度(du)考慮(lv)�����,訪客(ke)接入(ru)網(wǎng)絡(luò)的(de)驗證(zheng)方式一(yi)定要做到簡(jian)單易行��,繁瑣(suo)的驗證(zheng)方式會降低訪(fang)客對企業(yè)(ye)的整(zheng)體印(yin)象����。同時對于訪(fang)客網(wǎng)(wang)絡(luò),企(qi)業(yè)還需(xu)要建立(li)完善的網(wǎng)絡(luò)安(an)全管理(li)機制�,避(bi)免由于訪客(ke)的網(wǎng)絡(luò)不良(liang)訪問給(gei)企業(yè)帶(dai)來的法律(lv)風險(xian)。對于企業(yè)員工(gong)移動辦公(gong)上網(wǎng)��,更需要(yao)做到(dao)可管控(kong)����,上網(wǎng)行為做(zuo)到可追(zhui)溯��,企業(yè)有效(xiao)的帶寬資源得(de)到合理的(de)分配和保證�,才(cai)能使企業(yè)(ye)的業(yè)務(wù)(wu)系統(tǒng)正(zheng)常且穩(wěn)定高(gao)效地運行���,同(tong)時保證(zheng)企業(yè)信(xin)息安全(quan)�����,避免機密信息(xi)泄露���。
存在的問題(用(yong)戶需求)
1�����、接入(ru)不安(an)全:缺乏安(an)全可靠的(de)認證機制��,企(qi)業(yè)無線(xian)網(wǎng)絡(luò)接入不(bu)安全
2����、上網(wǎng)權(quán)限混亂(luan):缺乏有(you)效的控(kong)制策略(lve),員工上(shang)網(wǎng)權(quán)限(xian)不分明
3�����、數(shù)據(jù)(ju)信息安全:缺乏(fa)有效的數(shù)據(jù)加(jia)密機制,企業(yè)數(shù)(shu)據(jù)被黑客(ke)竊取篡改
4�����、無線(xian)信號差:AP性能不(bu)佳����,上網(wǎng)總掉線(xian),點位規(guī)劃不(bu)合理��,信(xin)號盲(mang)區(qū)多
5��、漫游效(xiao)果差:不(bu)能實現(xiàn)二(er)三層漫游�,移動(dong)辦公時,業(yè)(ye)務(wù)中斷
解決方案(an):
結(jié)合用戶(hu)無線網(wǎng)(wang)絡(luò)需求(qiu)情況���,結(jié)合(he)產(chǎn)品(pin)自身技(ji)術(shù)特(te)點�,為了滿足用(yong)戶構(gòu)建(jian)一個(ge)高速���、穩(wěn)定�����、安全(quan)�、可靠(kao)、易于管(guan)理的(de)無線接入(ru)網(wǎng)絡(luò)的需求(qiu)�,本設(shè)計(ji)方案按(an)照AP+AC的結(jié)構(gòu)(gou)化無線網(wǎng)絡(luò)解(jie)決方案(an)進行設(shè)計(ji)。具體設(shè)(she)計為(wei)在總部設(shè)置(zhi)總部AC,在大型(xing)分支機構(gòu)(gou)設(shè)置分支AC與(yu)分支AP�,中型分支(zhi)機構(gòu)設(shè)計二(er)級,三級交換機(ji)���,分支AP���。小微型分(fen)支機構(gòu)直(zhi)接設(shè)(she)置分支AP?�??zong)部AC可以對大(da)型分(fen)支機構(gòu)的(de)AC進行管理(li)�,當網(wǎng)點控制(zhi)器采(cai)用集(ji)中管理的(de)模式進入到(dao)中心端控制(zhi)器時,會(hui)自動下載(zai)中心端的公(gong)共配置(zhi)�,比如IP組�、MAC地址(zhi)庫、時間計(ji)劃�、角色授(shou)權(quán)、認(ren)證頁面等 �����。總(zong)部AC也可以直接(jie)管理中小型(xing)分支機構(gòu)的(de)分支AP���,實現(xiàn)統(tǒng)(tong)一管(guan)理�。
方案(an)設(shè)計:
安全無(wu)線整體解(jie)決方案:
接入前&接入時(shi)進行身份認(ren)證����、安全無線網(wǎng)(wang)卡、賬(zhang)號綁定(硬件碼(ma)+手機號)���,非法熱(re)點檢測及防御(yu)���、網(wǎng)絡(luò)攻擊(ji)防護、射頻(pin)定時關(guān)(guan)閉及安(an)全加固�����。
接入后&上網(wǎng)時(shi)進行訪問權(quán)(quan)限控制����。
上網(wǎng)后(hou)進行上網(wǎng)(wang)行為記錄。
上網(wǎng)用戶身(shen)份實名(ming)認證(zheng):
無線辦公(gong)網(wǎng)采用802.1X/Portal/WAPI認證�����,外(wai)置AAA和RADIUS+AD用(yong)于存儲用戶(hu)賬號密碼。
每個賬(zhang)號對應(yīng)一個(ge)員工�����,包(bao)括姓名����、部門(men)、性別以及身份(fen)證���、手機號等(deng)個人(ren)信息��,保證每(mei)個上(shang)網(wǎng)的賬號都是(shi)可尋的���,便于(yu)安全管理(li)。
用戶(hu)輸入賬號(hao)密碼上網(wǎng)(wang)驗證時均(jun)采用加密(mi)傳輸��,防止黑客(ke)空中攔截(jie)���,竊取賬號(hao)密碼等數(shù)據(jù)(ju)。
上網(wǎng)賬號(hao)自動綁定終端(duan):
自動將賬(zhang)號與終端的硬(ying)件特征碼進行(xing)綁定���,防止(zhi)賬號(hao)被他人(ren)使用或者被(bei)盜用���。
每臺設(shè)備的硬(ying)件特(te)征碼是(shi)唯一的(de)��,無法通(tong)過軟件修改�。即(ji)使通過軟(ruan)件修改了(le)仍然可以識(shi)別原始(shi)的���。
每個(ge)賬號(hao)最多可以(yi)綁定5臺終端��,超(chao)過1臺(tai)時需要管理(li)員審(shen)核�。
上網(wǎng)賬號二次(ci)綁定手機(ji)號碼(ma):
賬號首次登(deng)陸時(shi)需要(yao)綁定手機號并(bing)輸入短(duan)信驗證碼��,當用(yong)戶賬(zhang)號在新終(zhong)端登陸時(shi)(換終端(duan)/被他用/被盜(dao))���,不僅需要(yao)輸入密碼(ma)�,還需要輸入(ru)短信(xin)驗證碼���,解(jie)決員工賬(zhang)號認證的安(an)全問(wen)題
綁定(ding)手機號(hao)碼的用戶(hu)���,可以自助重置(zhi)密碼和修改(gai)密碼(ma),無需通(tong)過IT管理員�����。
用戶密碼(ma)管理(li)及自助(zhu)修改:
無需通過管(guan)理員即可修(xiu)改密碼,提高(gao)效率及(ji)減輕管理員(yuan)工作(zuo)壓力���。
通過口袋助理(li)�����、釘釘�、企(qi)業(yè)號等手機(ji)MOA類APP軟(ruan)件進行無線密(mi)碼修改����。
若賬號綁定(ding)了手機號碼,可(ke)通過手機驗(yan)證碼自助(zhu)修改(gai)����。
上網(wǎng)(wang)終端合法效驗(yan):
采用安(an)全無線網(wǎng)(wang)卡接(jie)入無(wu)線網(wǎng)絡(luò),終端與(yu)AP熱點的(de)雙向驗證��,提(ti)高安全(quan)性�����。
可以(yi)將無線網(wǎng)(wang)絡(luò)設(shè)置為只有(you)安裝了安全無(wu)線網(wǎng)(wang)卡的終(zhong)端才能接(jie)入無線網(wǎng)絡(luò)(luo)���。
支持設(shè)置安(an)全無線(xian)網(wǎng)卡(ka)只能連指(zhi)定SSID無線網(wǎng)絡(luò)(luo)����,無法連接(jie)非授權(quán)SSID�����。
網(wǎng)卡與AP數(shù)(shu)據(jù)傳輸(shu)時自動(dong)進行數(shù)據(jù)加密(mi)�,保證(zheng)無線的空口安(an)全。
無線熱點掃描(miao)及非(fei)法熱點抑制:
背景(jing):黑客(ke)在附近搭(da)建一個(ge)一模(mo)一樣或者類似(shi)的WIFI名稱�����,誘使用(yong)戶連到虛假釣(diao)魚WIFI上�,黑客(ke)利用(yong)分析軟件從(cong)用戶上網(wǎng)產(chǎn)(chan)生的數(shù)據(jù)包(bao)中分析提取用(yong)戶隱私信息。
我們通(tong)過WIPS無線入(ru)侵防御系統(tǒng)實(shi)時檢測周圍(wei)無線(xian)信號���,當(dang)檢測出來的(de)信號(hao)BSSID�����、且AP源MAC地址不(bu)在授權(quán)(quan)列表中時(shi)���,我們(men)向?qū)?yīng)的AP和終(zhong)端發(fā)送解除(chu)關(guān)聯(lián)幀,讓終端(duan)無法連上釣(diao)魚WIFI。7×24小時不(bu)間斷監(jiān)測網(wǎng)絡(luò)(luo)���。
上網(wǎng)(wang)行為嚴(yan)格控(kong)制:
強大的管理:通(tong)過應(yīng)用識別技(ji)術(shù)�,可以(yi)根據(jù)應(yīng)用(yong)類型(xing)或者(zhe)具體某(mou)一種應(yīng)(ying)用進行封堵(du)�,包括視頻、論壇(tan)�����、游戲�����、金融、下(xia)載等(deng)2400多種網(wǎng)絡(luò)應(yīng)(ying)用。
通過應(yīng)用(yong)識別技(ji)術(shù)�����,可以根據(jù)應(yīng)(ying)用類型或(huo)者具體(ti)某一種應(yīng)用進(jin)行封堵(du),比如上(shang)班時間不允許(xu)炒股��,不允許(xu)P2P下載�,不允許外(wai)發(fā)敏感文(wen)件等; 支持(chi)主流移動平臺(tai)�����,可識別IM、社(she)交�����、Mail��、新聞��、炒股(gu)等應(yīng)(ying)用�。
無線控制器(qi)內(nèi)置千萬級別(bie)的URL分類庫(ku)�,能夠(gou)對URL進行識別(bie),包含新聞(wen)�、購物、金融(rong)�����、教育等18個(ge)種類的URL地(di)址���; 準確識別目(mu)前主流網(wǎng)(wang)站���,識別(bie)率高達99.9%�,有效實(shi)現(xiàn)網(wǎng)頁過濾(lv)���。例如禁止(zhi)登陸非(fei)法網(wǎng)站
通過基(ji)于時間(jian)段的訪問控(kong)制策略����,實(shi)現(xiàn)不同的(de)時間段(duan)不同的訪問(wen)權(quán)限���,比如(ru)上班時(shi)間���,禁止訪問網(wǎng)(wang)上銀行、游(you)戲���、論(lun)壇貼吧(ba)等與工作(zuo)無關(guān)(guan)的應(yīng)用�,下(xia)班時間則不(bu)受限制���。
辦公區(qū)域內(nèi)(nei)�,不同辦公部(bu)門總會(hui)有各(ge)自專屬的(de)無線(xian)網(wǎng)絡(luò)(luo)���,并且(qie)不希望部門之(zhi)外的成(cheng)員使用這(zhe)個網(wǎng)(wang)絡(luò)�。無(wu)線網(wǎng)(wang)絡(luò)控制(zhi)器可(ke)以根(gen)據(jù)用戶的屬(shu)性���,限制禁(jin)止非本(ben)部門的(de)用戶接入(ru)�����。
典型無線網(wǎng)絡(luò)(luo)攻擊防護:
對典型(xing)的危險攻(gong)擊行(xing)為進行檢(jian)測�,當(dang)超過設(shè)定的(de)閾值后自(zi)動將攻(gong)擊者(zhe)加入(ru)到黑名單(dan)中,并凍結(jié)(jie)一定(ding)時間��,即時發(fā)現(xiàn)(xian)網(wǎng)絡(luò)攻擊并進(jin)行防御�����。
檢測的攻擊(ji)包括:DDOS防御(yu)�����、ARP掃描(miao)���、IP掃描(miao)、端口掃描防御(yu)���,禁止(zhi)客戶(hu)端私(si)設(shè)IP以及ARP�����、網(wǎng)關(guān)欺(qi)騙防(fang)御���、DHCP請求(qiu)泛洪防御����。
無線射頻定時(shi)關(guān)閉開啟(qi):
通過(guo)射頻關(guān)閉(bi)控制策略����,可(ke)以指定某SSID網(wǎng)絡(luò)(luo),定時(shi)自動(dong)關(guān)閉(bi)和開(kai)啟無線網(wǎng)絡(luò)的(de)射頻(pin)信號�,晚上(shang)下班后自(zi)動關(guān)閉無線(xian)射頻信號。
一方面可以(yi)節(jié)能減排(pai)�、節(jié)省電(dian)費支出(chu);另一方(fang)面又能防止非(fei)法用戶利(li)用深(shen)夜時間入侵無(wu)線網(wǎng)絡(luò)��,做(zuo)一些非法(fa)的操作�。
有線無線(xian)一體化管理:
NAC的有線(xian)無線一體(ti)化,支持(chi)對有(you)線用戶的(de)接入認(ren)證�����、訪問控(kong)制�、流量管理(li)、上網(wǎng)行(xing)為審計等�,
并提供統(tǒng)(tong)一中文Web管理(li)界面����,一(yi)站式服務(wù)�,極大(da)的降低網(wǎng)(wang)絡(luò)建(jian)設(shè)成(cheng)本。
網(wǎng)絡(luò)分權(quán)分(fen)級管理:
分配不(bu)同的管理員分(fen)別管理各自(zi)權(quán)限(xian)區(qū)域的(de)無線AP����,可以精細(xi)到對(dui)某AP分組(zu)有管(guan)理權(quán)(quan)限,該管理(li)員可(ke)以在該(gai)AP分組上建立無(wu)線網(wǎng)(wang)絡(luò)�,能夠激活(huo)、刪除接(jie)入點���,能夠?qū)?dui)AP的配(pei)置進行編(bian)輯修改(gai)。
可指定管理員(yuan)針對每個頁面(mian)的編輯或(huo)可查看權(quán)(quan)限��,控制粒度(du)到控制器上的(de)各個頁面(mian)��,對某(mou)個頁面沒有讀(du)權(quán)限則登(deng)錄時不顯示(shi)���。
移動APP隨時隨地(di)運維管理:
支持跨互聯(lián)(lian)網(wǎng)運維管理
登陸APP進(jin)行維護(hu)管理:不同管理(li)員��,不同(tong)權(quán)限
查看網(wǎng)(wang)絡(luò)運(yun)行情況(kuang):在線用戶(hu)�、在線AP數(shù)量�����、實(shi)時流(liu)量
無線網(wǎng)(wang)絡(luò)管理(li)維護:開啟關(guān)(guan)閉SSID、終端綁(bang)定審批�����、二(er)維碼上網(wǎng)審核(he)
故障���、審批實時(shi)通知:AP離線(xian)警告(gao)��、服務(wù)(wu)器離線警(jing)告��、網(wǎng)(wang)絡(luò)攻擊告警(jing)
方案優(yōu)(you)勢:
1���、最豐富(fu)的無線安全機(ji)制,提供從(cong)安全接入(ru)到安(an)全上網(wǎng)(wang)等端到端的安(an)全策略
2���、合理管控工作(zuo)人員上網(wǎng)(wang)行為(wei)��,提升工(gong)作效率�����、防止帶(dai)寬浪費�,有線無(wu)線雙重管控(kong)
3、為會議室��,報告(gao)廳等人員密集(ji)區(qū)域接(jie)入網(wǎng)(wang)絡(luò)提(ti)高保證��,解決(jue)有線網(wǎng)(wang)口不足的問題(ti)����;
4、為企業(yè)員工的(de)移動辦公提供(gong)支撐�,內(nèi)部員(yuan)工可通(tong)過無(wu)線網(wǎng)絡(luò)隨時(shi)安全接入(ru)內(nèi)部網(wǎng)絡(luò),實現(xiàn)(xian)辦公����;
5、內(nèi)部員(yuan)工賬號(hao)及個人信息(xi)綁定�,便于(yu)安全(quan)管理;
6�����、內(nèi)部員工(gong)可通過自己(ji)的辦(ban)公設(shè)備在(zai)企業(yè)大樓內(nèi)(nei)快速(su)移動辦公�����,網(wǎng)絡(luò)(luo)接入更快速(su)��,上網(wǎng)行為管(guan)理系統(tǒng)(tong)對員(yuan)工上網(wǎng)行為進(jin)行審計與管控(kong)
7���、來訪客戶接入(ru)企業(yè)網(wǎng)(wang)絡(luò)�,可根據(jù)(ju)不同需求��,分(fen)配不同的上(shang)網(wǎng)權(quán)(quan)限�����,保證了接入(ru)的安全性(xing)同時提升(sheng)群眾上網(wǎng)的體(ti)驗
8���、豐富(fu)的認(ren)證機制�,滿(man)足組織對無線(xian)網(wǎng)絡(luò)安全�、快速(su)接入
9、投資成本低���,通(tong)過部署無(wu)線控制(zhi)器替換原有網(wǎng)(wang)絡(luò)的出口路由(you)���、行為管理以及(ji)無線控制器
