?
大型企業(yè)在(zai)無線網(wang)絡建(jian)設期間要充分(fen)考慮訪(fang)客(領導���、客戶�、合(he)作伙伴)接入(ru)網絡的需求(qiu)�����。首先(xian)從安全性考慮(lv)���,訪客(ke)網絡必須要和(he)辦公(gong)網絡分開,訪(fang)客網絡單獨(du)提供給(gei)訪客使用���。從用(yong)戶體驗角度(du)考慮(lv)�,訪客接(jie)入網絡的驗證(zheng)方式一定(ding)要做到(dao)簡單易(yi)行�,繁瑣的(de)驗證方式會降(jiang)低訪(fang)客對企(qi)業(yè)的(de)整體印象。同時(shi)對于(yu)訪客網絡���,企(qi)業(yè)還(hai)需要建(jian)立完善(shan)的網絡安(an)全管理機制�,避(bi)免由于訪客的(de)網絡(luo)不良訪問(wen)給企業(yè)帶(dai)來的法(fa)律風險�����。對(dui)于企業(yè)員工移(yi)動辦公上(shang)網�,更需要(yao)做到可管(guan)控,上網(wang)行為(wei)做到(dao)可追溯�����,企業(yè)(ye)有效的(de)帶寬資源得到(dao)合理(li)的分配和(he)保證�,才(cai)能使企業(yè)(ye)的業(yè)(ye)務系統(tǒng)正常且(qie)穩(wěn)定高效地(di)運行,同時保(bao)證企(qi)業(yè)信息安全�����,避(bi)免機(ji)密信息泄露(lu)�����。
存在的問題(用(yong)戶需求)
1�����、接入不安全(quan):缺乏安全可(ke)靠的認(ren)證機(ji)制���,企業(yè)無線網(wang)絡接入(ru)不安全
2�����、上網權限混(hun)亂:缺(que)乏有(you)效的控(kong)制策(ce)略�,員(yuan)工上網(wang)權限不分明(ming)
3、數據(ju)信息安全(quan):缺乏有效的數(shu)據加密機制�,企(qi)業(yè)數據被黑(hei)客竊取篡改(gai)
4、無線信號差(cha):AP性能不佳�����,上(shang)網總掉(diao)線���,點位規(guī)劃(hua)不合理�����,信號盲(mang)區(qū)多
5�、漫游效果差(cha):不能實現二三(san)層漫游���,移動辦(ban)公時���,業(yè)務中斷(duan)
解決方案:
結合用戶無線(xian)網絡(luo)需求情況,結(jie)合產品自身(shen)技術特點�����,為(wei)了滿足用戶(hu)構建一個高速(su)、穩(wěn)定���、安全�����、可(ke)靠、易于管理(li)的無線接入(ru)網絡的(de)需求(qiu)�����,本設計方案(an)按照AP+AC的結(jie)構化無線網(wang)絡解決方案進(jin)行設計���。具體設(she)計為在總部(bu)設置總部(bu)AC,在大型分支機(ji)構設(she)置分(fen)支AC與分支AP�,中型(xing)分支(zhi)機構設計二(er)級���,三級交換(huan)機���,分支(zhi)AP。小微型分(fen)支機構直接設(she)置分支AP�。總部(bu)AC可以對大型分(fen)支機構(gou)的AC進行管理�,當(dang)網點控制(zhi)器采(cai)用集中(zhong)管理的模(mo)式進入到中心(xin)端控制(zhi)器時,會自(zi)動下載中(zhong)心端的公共(gong)配置,比如(ru)IP組���、MAC地址庫�����、時間(jian)計劃���、角(jiao)色授權、認(ren)證頁面(mian)等 ���?����?偛緼C也(ye)可以直接管理(li)中小型分(fen)支機構的分支(zhi)AP�,實現統(tǒng)一(yi)管理�。
方案設(she)計:
安全無線整(zheng)體解決方案:
接入前&接入時(shi)進行身份認證(zheng)、安全(quan)無線(xian)網卡���、賬號綁定(ding)(硬件碼+手機號(hao))�����,非法熱點(dian)檢測及防御�、網(wang)絡攻(gong)擊防護、射(she)頻定時關(guan)閉及安全(quan)加固�。
接入(ru)后&上網時進(jin)行訪問權限(xian)控制(zhi)。
上網后(hou)進行上(shang)網行為記錄�����。
上網用戶身(shen)份實名認(ren)證:
無線辦公網采(cai)用802.1X/Portal/WAPI認證(zheng)���,外置AAA和RADIUS+AD用(yong)于存儲用戶賬(zhang)號密碼。
每個(ge)賬號對(dui)應一(yi)個員工(gong)�����,包括(kuo)姓名(ming)�����、部門�、性別以(yi)及身份證(zheng)、手機號等(deng)個人信息�����,保(bao)證每(mei)個上網(wang)的賬號都(dou)是可尋(xun)的,便于安(an)全管理(li)�。
用戶輸入(ru)賬號密(mi)碼上網驗證時(shi)均采(cai)用加密傳輸,防(fang)止黑客(ke)空中(zhong)攔截(jie)���,竊取賬(zhang)號密碼等(deng)數據(ju)�����。
上網賬號自(zi)動綁定終端(duan):
自動(dong)將賬號與終端(duan)的硬件特(te)征碼進行(xing)綁定(ding)�,防止賬號被他(ta)人使用或者(zhe)被盜(dao)用�����。
每臺設備的硬(ying)件特征碼是(shi)唯一的�,無法通(tong)過軟件(jian)修改。即(ji)使通過軟件(jian)修改了仍然可(ke)以識別原始的(de)�。
每個賬號最多(duo)可以綁(bang)定5臺終端(duan),超過1臺(tai)時需要(yao)管理員(yuan)審核�����。
上網賬(zhang)號二次綁定(ding)手機號(hao)碼:
賬號(hao)首次登陸時(shi)需要綁定(ding)手機號(hao)并輸入(ru)短信(xin)驗證碼���,當(dang)用戶賬號在(zai)新終端登陸時(shi)(換終端/被他用(yong)/被盜)���,不僅需(xu)要輸入密碼�,還(hai)需要輸入(ru)短信(xin)驗證(zheng)碼���,解(jie)決員(yuan)工賬號認證(zheng)的安全(quan)問題
綁定手機(ji)號碼的用(yong)戶���,可以(yi)自助重(zhong)置密碼和修(xiu)改密碼,無需(xu)通過IT管理員(yuan)�����。
用戶(hu)密碼管理及自(zi)助修改:
無需通過管理(li)員即(ji)可修改密碼(ma)���,提高(gao)效率及減(jian)輕管理員工作(zuo)壓力。
通過口袋助(zhu)理�����、釘(ding)釘�、企業(yè)號等(deng)手機MOA類(lei)APP軟件(jian)進行無(wu)線密碼修(xiu)改。
若賬號(hao)綁定(ding)了手機號(hao)碼���,可通(tong)過手機驗證(zheng)碼自(zi)助修改�����。
上網終端合法(fa)效驗:
采用安全無(wu)線網(wang)卡接入(ru)無線(xian)網絡�,終(zhong)端與AP熱點的(de)雙向(xiang)驗證,提高安(an)全性(xing)���。
可以將無線網(wang)絡設置為只有(you)安裝了安全(quan)無線網(wang)卡的(de)終端才能接(jie)入無線(xian)網絡�。
支持(chi)設置(zhi)安全(quan)無線網卡(ka)只能連(lian)指定SSID無(wu)線網絡(luo)�,無法連接非(fei)授權SSID。
網卡與AP數據傳(chuan)輸時自動進(jin)行數據加(jia)密���,保證無線(xian)的空口安全(quan)���。
無線熱(re)點掃描及非法(fa)熱點(dian)抑制:
背景:黑客在(zai)附近搭建一(yi)個一模一(yi)樣或者類(lei)似的WIFI名稱,誘(you)使用戶連(lian)到虛假釣魚WIFI上(shang)�,黑客利用分(fen)析軟(ruan)件從用戶上(shang)網產生(sheng)的數據(ju)包中分(fen)析提(ti)取用(yong)戶隱私信息(xi)。
我們通過(guo)WIPS無線(xian)入侵防御系統(tǒng)(tong)實時檢測(ce)周圍無線信(xin)號�,當檢測(ce)出來的信(xin)號BSSID、且AP源(yuan)MAC地址不在授(shou)權列表(biao)中時���,我們向對(dui)應的AP和終端發(fā)(fa)送解除關(guan)聯(lián)幀�����,讓終端(duan)無法連上釣魚(yu)WIFI�。7×24小時不間斷(duan)監(jiān)測網絡。
上網(wang)行為(wei)嚴格控(kong)制:
強大的管理(li):通過應用(yong)識別技(ji)術�,可以(yi)根據應用類型(xing)或者(zhe)具體某一(yi)種應(ying)用進行封堵,包(bao)括視(shi)頻�����、論壇�、游(you)戲、金(jin)融���、下載等2400多種(zhong)網絡(luo)應用�����。
通過應(ying)用識別(bie)技術,可(ke)以根(gen)據應用(yong)類型或者具(ju)體某一種應用(yong)進行封堵�,比(bi)如上班時間(jian)不允(yun)許炒股,不(bu)允許P2P下(xia)載���,不允許(xu)外發(fā)敏感文件(jian)等���; 支持主流移(yi)動平臺�����,可識(shi)別IM�����、社交(jiao)���、Mail、新聞�、炒股等(deng)應用。
無線控制器(qi)內置千萬(wan)級別(bie)的URL分類庫(ku)�,能夠(gou)對URL進行識別(bie),包含新聞(wen)�、購物、金融(rong)�、教育等18個種(zhong)類的URL地址���; 準(zhun)確識(shi)別目前(qian)主流網站�,識(shi)別率高達99.9%,有效(xiao)實現網頁過(guo)濾�����。例(li)如禁止登陸非(fei)法網(wang)站
通過基于(yu)時間段的(de)訪問控制策略(lve),實現不同(tong)的時間段不同(tong)的訪問權限(xian)�����,比如上班(ban)時間����,禁止訪(fang)問網上銀(yin)行、游戲�����、論(lun)壇貼吧等與(yu)工作無關(guan)的應用���,下班時(shi)間則不受限(xian)制����。
辦公區(qū)域內(nei)����,不同辦公(gong)部門總會(hui)有各(ge)自專屬(shu)的無線網(wang)絡���,并且不希(xi)望部(bu)門之外的成員(yuan)使用這個網(wang)絡��。無(wu)線網絡控制器(qi)可以根據用(yong)戶的屬性����,限(xian)制禁止非(fei)本部門的(de)用戶接入。
典型無(wu)線網絡攻擊(ji)防護:
對典型的危險(xian)攻擊(ji)行為(wei)進行檢測(ce)����,當超過設定的(de)閾值后(hou)自動將(jiang)攻擊者(zhe)加入(ru)到黑(hei)名單中,并(bing)凍結(jie)一定(ding)時間�,即時(shi)發(fā)現網絡攻擊(ji)并進行(xing)防御。
檢測的攻擊(ji)包括:DDOS防御���、ARP掃(sao)描�����、IP掃描(miao)�、端口掃描防御(yu)���,禁止(zhi)客戶端(duan)私設IP以及ARP�、網關(guan)欺騙防(fang)御���、DHCP請求泛洪防(fang)御���。
無線射頻(pin)定時關閉(bi)開啟:
通過射頻關(guan)閉控(kong)制策略����,可以(yi)指定某(mou)SSID網絡���,定時自(zi)動關閉和開啟(qi)無線網絡的(de)射頻信號(hao)����,晚上下班后自(zi)動關(guan)閉無線射頻(pin)信號����。
一方面可(ke)以節(jié)(jie)能減(jian)排、節(jié)省電(dian)費支出�����;另一方(fang)面又能(neng)防止(zhi)非法用(yong)戶利用深夜(ye)時間入侵無(wu)線網絡�,做(zuo)一些非法的(de)操作。
有線無(wu)線一體化(hua)管理:
NAC的有(you)線無線一體化(hua)���,支持對有線用(yong)戶的接入認(ren)證����、訪問控(kong)制���、流量管(guan)理�、上網行為審(shen)計等�����,
并提供統(tǒng)一(yi)中文Web管理界面(mian)�,一站(zhan)式服務,極(ji)大的降低網(wang)絡建(jian)設成本�。
網絡分(fen)權分(fen)級管(guan)理:
分配不同的(de)管理員(yuan)分別管理各自(zi)權限區(qū)域的無(wu)線AP,可以精(jing)細到對某AP分(fen)組有管理(li)權限(xian)�����,該管理員可以(yi)在該AP分組上(shang)建立無線(xian)網絡(luo)�,能夠(gou)激活、刪除接(jie)入點�,能夠(gou)對AP的配(pei)置進(jin)行編(bian)輯修改。
可指定管理(li)員針(zhen)對每個頁面的(de)編輯或可查看(kan)權限�,控(kong)制粒度到(dao)控制器上的各(ge)個頁面,對某個(ge)頁面沒有讀權(quan)限則(ze)登錄(lu)時不顯(xian)示��。
移動APP隨時隨(sui)地運維管理(li):
支持跨互(hu)聯(lián)網運維管理(li)
登陸APP進行(xing)維護(hu)管理(li):不同(tong)管理員,不(bu)同權限(xian)
查看網絡運(yun)行情況:在(zai)線用戶�����、在線(xian)AP數量�����、實時流(liu)量
無線(xian)網絡管理維護(hu):開啟關(guan)閉SSID�����、終端綁(bang)定審批�、二(er)維碼上網(wang)審核
故障、審批實時(shi)通知:AP離(li)線警(jing)告��、服務器離線(xian)警告���、網絡(luo)攻擊告警
方案優(yōu)勢:
1�、最豐(feng)富的無線安全(quan)機制��,提供從(cong)安全(quan)接入到安全上(shang)網等端到端(duan)的安全(quan)策略
2���、合理管控工(gong)作人員(yuan)上網行為(wei)�����,提升工作效(xiao)率�、防止(zhi)帶寬浪費(fei),有線無(wu)線雙重管控
3��、為會議(yi)室�,報告廳(ting)等人員密集(ji)區(qū)域接入網絡(luo)提高(gao)保證����,解決(jue)有線網(wang)口不足的問題(ti);
4���、為企業(yè)(ye)員工的(de)移動(dong)辦公提供支(zhi)撐���,內(nei)部員工可(ke)通過無線(xian)網絡隨時安(an)全接(jie)入內(nei)部網絡,實(shi)現辦(ban)公�;
5、內部員(yuan)工賬(zhang)號及個人(ren)信息(xi)綁定���,便(bian)于安全管(guan)理��;
6����、內部員(yuan)工可通過自(zi)己的辦公設備(bei)在企業(yè)大(da)樓內快速移(yi)動辦公,網絡接(jie)入更快(kuai)速�����,上網(wang)行為管(guan)理系統(tǒng)對員(yuan)工上網行為(wei)進行審計(ji)與管控
7���、來訪客戶(hu)接入企業(yè)網(wang)絡�����,可根(gen)據不同需求�,分(fen)配不同的上網(wang)權限(xian)��,保證了(le)接入的安全(quan)性同(tong)時提(ti)升群眾上(shang)網的(de)體驗
8����、豐富的(de)認證機制(zhi),滿足組織(zhi)對無線網絡(luo)安全(quan)��、快速接入
9��、投資成本低(di)��,通過部署無線(xian)控制器(qi)替換原有(you)網絡的出口路(lu)由、行為管理(li)以及無(wu)線控制器
