?
大型(xing)企業(yè)在無(wu)線網(wǎng)絡(luo)建設期(qi)間要充(chong)分考慮(lv)訪客(ke)(領導、客(ke)戶、合作伙(huo)伴)接入(ru)網(wǎng)絡的(de)需求(qiu)�。首先(xian)從安全性考(kao)慮,訪客(ke)網(wǎng)絡必須(xu)要和(he)辦公網(wǎng)絡分(fen)開�,訪客(ke)網(wǎng)絡單獨提(ti)供給(gei)訪客使(shi)用。從(cong)用戶體(ti)驗角度(du)考慮(lv)�,訪客接入(ru)網(wǎng)絡的驗(yan)證方式一定(ding)要做到簡單(dan)易行�,繁瑣的(de)驗證(zheng)方式(shi)會降低訪客(ke)對企業(yè)的整體(ti)印象。同時(shi)對于訪客網(wǎng)(wang)絡�,企業(yè)還(hai)需要(yao)建立完善(shan)的網(wǎng)絡安(an)全管(guan)理機制,避(bi)免由于訪客的(de)網(wǎng)絡(luo)不良訪問給(gei)企業(yè)帶來(lai)的法律風險(xian)�。對于企業(yè)(ye)員工移(yi)動辦公上網(wǎng)(wang),更需要做到可(ke)管控�,上網(wǎng)行(xing)為做(zuo)到可追溯,企(qi)業(yè)有(you)效的帶寬資(zi)源得到合理(li)的分配和(he)保證(zheng),才能使企業(yè)(ye)的業(yè)務系(xi)統(tǒng)正常(chang)且穩(wěn)定高(gao)效地(di)運行�,同時(shi)保證企業(yè)信(xin)息安全(quan),避免機(ji)密信(xin)息泄露�。
存在的問(wen)題(用戶需求)
1、接入(ru)不安全:缺(que)乏安全(quan)可靠的認(ren)證機制�,企(qi)業(yè)無(wu)線網(wǎng)絡接入不(bu)安全
2、上網(wǎng)權限混亂(luan):缺乏有效的控(kong)制策(ce)略�,員工(gong)上網(wǎng)(wang)權限不分明(ming)
3、數(shù)據(jù)信息安(an)全:缺乏(fa)有效的數(shù)據(jù)加(jia)密機(ji)制�,企業(yè)數(shù)(shu)據(jù)被黑客(ke)竊取(qu)篡改
4、無線信號(hao)差:AP性能(neng)不佳�,上網(wǎng)總掉(diao)線,點位規(guī)劃不(bu)合理(li)�,信號(hao)盲區(qū)多
5、漫游效(xiao)果差(cha):不能實(shi)現(xiàn)二三層漫(man)游�,移(yi)動辦(ban)公時,業(yè)務(wu)中斷(duan)
解決方案:
結(jié)合用戶無(wu)線網(wǎng)(wang)絡需求情(qing)況�,結(jié)(jie)合產(chǎn)品自身技(ji)術特點(dian),為了滿足用(yong)戶構建(jian)一個高速�、穩(wěn)(wen)定、安全�、可(ke)靠、易于管(guan)理的(de)無線接入(ru)網(wǎng)絡的需(xu)求�,本設計方(fang)案按照(zhao)AP+AC的結(jié)構化無線(xian)網(wǎng)絡解決方(fang)案進(jin)行設計。具體(ti)設計為在總部(bu)設置總部AC,在(zai)大型(xing)分支機構設(she)置分支AC與(yu)分支AP�,中型分(fen)支機構(gou)設計二級�,三(san)級交換機�,分(fen)支AP�。小(xiao)微型(xing)分支(zhi)機構(gou)直接(jie)設置(zhi)分支AP??偛緼C可(ke)以對大型分(fen)支機構(gou)的AC進(jin)行管理,當(dang)網(wǎng)點控(kong)制器采用集中(zhong)管理的模式進(jin)入到中心端(duan)控制器(qi)時�,會自動(dong)下載中心端的(de)公共配置,比如(ru)IP組�、MAC地址庫(ku)、時間(jian)計劃�、角色(se)授權、認(ren)證頁面等(deng) �。總部AC也可以(yi)直接管(guan)理中小型分支(zhi)機構的分支(zhi)AP�,實現(xiàn)統(tǒng)(tong)一管理(li)。
方案設計:
安全(quan)無線整體解決(jue)方案:
接入前(qian)&接入時進(jin)行身份認(ren)證�、安全(quan)無線網(wǎng)卡、賬號(hao)綁定(硬(ying)件碼+手機(ji)號)�,非法熱點檢(jian)測及防御(yu)、網(wǎng)絡攻(gong)擊防護�、射頻定(ding)時關閉及安(an)全加固�。
接入后&上網(wǎng)時(shi)進行訪問(wen)權限控制。
上網(wǎng)后(hou)進行上(shang)網(wǎng)行為記錄�。
上網(wǎng)用(yong)戶身份實名認(ren)證:
無線辦(ban)公網(wǎng)采用802.1X/Portal/WAPI認(ren)證�,外置AAA和RADIUS+AD用(yong)于存儲用(yong)戶賬號密(mi)碼。
每個賬號對應(ying)一個員(yuan)工�,包括姓(xing)名、部門�、性別以(yi)及身(shen)份證、手(shou)機號等(deng)個人信(xin)息�,保證每(mei)個上網(wǎng)的(de)賬號都(dou)是可尋的,便(bian)于安(an)全管理�。
用戶輸入(ru)賬號密(mi)碼上網(wǎng)驗證(zheng)時均采(cai)用加密傳(chuan)輸,防止黑客(ke)空中攔截�,竊取(qu)賬號密碼(ma)等數(shù)據(jù)。
上網(wǎng)賬號(hao)自動綁定終端(duan):
自動將賬號與(yu)終端的(de)硬件(jian)特征碼進行(xing)綁定�,防止(zhi)賬號被他(ta)人使用或者被(bei)盜用。
每臺設備(bei)的硬件(jian)特征碼是(shi)唯一(yi)的�,無法(fa)通過軟件修改(gai)。即使通過軟(ruan)件修(xiu)改了仍然可以(yi)識別原始的(de)�。
每個賬號最多(duo)可以綁定(ding)5臺終端,超過(guo)1臺時需要管(guan)理員審(shen)核�。
上網(wǎng)(wang)賬號二次綁定(ding)手機號碼:
賬號首(shou)次登陸時(shi)需要綁定(ding)手機號并輸(shu)入短(duan)信驗證(zheng)碼,當用戶(hu)賬號(hao)在新(xin)終端(duan)登陸時(換終(zhong)端/被他用(yong)/被盜)�,不僅需(xu)要輸入密碼,還(hai)需要輸(shu)入短(duan)信驗證碼�,解決(jue)員工賬號認證(zheng)的安全問題(ti)
綁定手機號(hao)碼的用戶,可(ke)以自助重(zhong)置密碼和修改(gai)密碼�,無需通(tong)過IT管理員(yuan)。
用戶密碼(ma)管理及自(zi)助修改(gai):
無需通過(guo)管理員即可(ke)修改密碼(ma)�,提高效率(lv)及減輕管理員(yuan)工作壓(ya)力�。
通過口(kou)袋助理�、釘釘(ding)、企業(yè)(ye)號等(deng)手機MOA類APP軟(ruan)件進行無線密(mi)碼修改�。
若賬號綁定了(le)手機號碼(ma),可通過(guo)手機驗證(zheng)碼自助修(xiu)改�。
上網(wǎng)終端(duan)合法效驗:
采用安全無線(xian)網(wǎng)卡(ka)接入無線網(wǎng)絡(luo)�,終端與AP熱點的(de)雙向(xiang)驗證,提(ti)高安全性(xing)�。
可以將無(wu)線網(wǎng)絡設置(zhi)為只有(you)安裝了安(an)全無線(xian)網(wǎng)卡的終端(duan)才能接入(ru)無線網(wǎng)絡。
支持設(she)置安(an)全無線(xian)網(wǎng)卡只能連指(zhi)定SSID無線網(wǎng)絡(luo)�����,無法連接非(fei)授權SSID�����。
網(wǎng)卡與AP數(shù)(shu)據(jù)傳輸時自動(dong)進行(xing)數(shù)據(jù)加密�����,保證(zheng)無線的空口(kou)安全�����。
無線熱點掃(sao)描及(ji)非法熱點(dian)抑制:
背景:黑客在附(fu)近搭建(jian)一個(ge)一模一樣或者(zhe)類似的WIFI名稱(cheng),誘使用戶(hu)連到虛假釣魚(yu)WIFI上�����,黑客利用分(fen)析軟件從用(yong)戶上網(wǎng)產(chǎn)生(sheng)的數(shù)據(jù)(ju)包中(zhong)分析(xi)提取用戶隱私(si)信息(xi)�����。
我們通(tong)過WIPS無線入(ru)侵防御系統(tǒng)實(shi)時檢測(ce)周圍無線(xian)信號�����,當檢(jian)測出來的信號(hao)BSSID�����、且AP源MAC地(di)址不(bu)在授權列表中(zhong)時�����,我們向?qū)?ying)的AP和終端發(fā)(fa)送解除關聯(lián)幀(zhen)�����,讓終端無法(fa)連上釣(diao)魚WIFI�����。7×24小時不間(jian)斷監(jiān)測網(wǎng)(wang)絡�����。
上網(wǎng)行(xing)為嚴格(ge)控制:
強大(da)的管理(li):通過應用(yong)識別技(ji)術,可以(yi)根據(jù)應(ying)用類型或者具(ju)體某一種應用(yong)進行封堵(du),包括視頻、論壇(tan)�����、游戲、金融、下載(zai)等2400多(duo)種網(wǎng)絡(luo)應用。
通過應(ying)用識別技術(shu)�����,可以根據(jù)應(ying)用類型或者具(ju)體某一種(zhong)應用進行(xing)封堵,比(bi)如上班時間(jian)不允許炒股(gu)�����,不允許P2P下載�����,不(bu)允許外(wai)發(fā)敏感(gan)文件等�����; 支持主(zhu)流移動平(ping)臺,可識(shi)別IM、社交�����、Mail、新聞、炒(chao)股等應(ying)用�����。
無線控制器(qi)內(nèi)置千萬級(ji)別的URL分類(lei)庫,能夠?qū)RL進行(xing)識別�����,包含新(xin)聞�����、購物(wu)�����、金融、教(jiao)育等18個(ge)種類的URL地址�����; 準(zhun)確識別目前主(zhu)流網(wǎng)(wang)站�����,識(shi)別率高達(da)99.9%�����,有效實現(xiàn)網(wǎng)頁(ye)過濾�����。例如禁止(zhi)登陸非法(fa)網(wǎng)站
通過基于時(shi)間段的訪問控(kong)制策略,實(shi)現(xiàn)不同的時(shi)間段(duan)不同的(de)訪問權(quan)限�����,比如上班(ban)時間�����,禁止(zhi)訪問(wen)網(wǎng)上銀行�����、游戲(xi)�����、論壇貼吧等(deng)與工作無關(guan)的應用,下(xia)班時(shi)間則不受(shou)限制�����。
辦公區(qū)域內(nèi)�����,不(bu)同辦公部門總(zong)會有各自(zi)專屬的無(wu)線網(wǎng)絡�����,并且(qie)不希(xi)望部門之外(wai)的成員使用這(zhe)個網(wǎng)絡(luo)�����。無線網(wǎng)絡控(kong)制器可以根據(jù)(ju)用戶的屬(shu)性�����,限制禁(jin)止非(fei)本部門的(de)用戶接入�����。
典型(xing)無線網(wǎng)絡(luo)攻擊(ji)防護:
對典(dian)型的(de)危險攻擊行(xing)為進行檢(jian)測�����,當超過設定(ding)的閾值(zhi)后自動(dong)將攻擊(ji)者加入(ru)到黑名單中(zhong)�����,并凍(dong)結(jié)一定時(shi)間�����,即時發(fā)(fa)現(xiàn)網(wǎng)絡(luo)攻擊(ji)并進(jin)行防(fang)御�����。
檢測的攻擊包(bao)括:DDOS防御�����、ARP掃描�����、IP掃(sao)描�����、端口(kou)掃描(miao)防御,禁(jin)止客戶(hu)端私設IP以及ARP�����、網(wǎng)(wang)關欺騙防御(yu)�����、DHCP請求泛洪防(fang)御�����。
無線射頻定時(shi)關閉(bi)開啟:
通過射頻關(guan)閉控(kong)制策略(lve)�����,可以(yi)指定(ding)某SSID網(wǎng)絡�����,定(ding)時自動關(guan)閉和開啟(qi)無線網(wǎng)絡(luo)的射頻信號(hao)�����,晚上下班后(hou)自動關(guan)閉無線射頻信(xin)號�����。
一方面可(ke)以節(jié)能減排(pai)�����、節(jié)省(sheng)電費支出(chu)�����;另一方(fang)面又(you)能防止(zhi)非法用(yong)戶利用深夜(ye)時間入侵(qin)無線網(wǎng)(wang)絡�����,做一些非(fei)法的操(cao)作�����。
有線無線一(yi)體化管理:
NAC的有線無線一(yi)體化�����,支持(chi)對有(you)線用戶的(de)接入認證�����、訪(fang)問控制(zhi)、流量管(guan)理�����、上網(wǎng)(wang)行為審計等(deng)�����,
并提供統(tǒng)(tong)一中文(wen)Web管理界面(mian)�����,一站式服務�����,極(ji)大的降低網(wǎng)(wang)絡建設成(cheng)本�����。
網(wǎng)絡分(fen)權分級管(guan)理:
分配不同的(de)管理員分(fen)別管理(li)各自(zi)權限區(qū)域的無(wu)線AP�����,可(ke)以精細到對某(mou)AP分組有管(guan)理權限�����,該管理(li)員可以(yi)在該AP分組上(shang)建立無線(xian)網(wǎng)絡�����,能夠(gou)激活(huo)�����、刪除(chu)接入點�����,能夠(gou)對AP的(de)配置進行(xing)編輯修改�����。
可指定管(guan)理員針對(dui)每個頁(ye)面的(de)編輯或可(ke)查看權限�����,控(kong)制粒度到(dao)控制器(qi)上的各個頁(ye)面�����,對某個(ge)頁面沒有(you)讀權限則登(deng)錄時不顯(xian)示。
移動APP隨時隨地(di)運維管理:
支持跨(kua)互聯(lián)(lian)網(wǎng)運維管(guan)理
登陸APP進行維(wei)護管(guan)理:不同(tong)管理(li)員�����,不同權限(xian)
查看網(wǎng)(wang)絡運行情況(kuang):在線用(yong)戶�����、在線AP數(shù)量�����、實(shi)時流量
無線網(wǎng)絡管(guan)理維護:開啟(qi)關閉SSID�����、終端綁定(ding)審批�����、二維碼(ma)上網(wǎng)審核
故障�����、審批實時(shi)通知:AP離線警(jing)告�����、服務器離(li)線警(jing)告�����、網(wǎng)絡(luo)攻擊告(gao)警
方案優(yōu)勢(shi):
1�����、最豐富(fu)的無線安(an)全機制�����,提供從(cong)安全接入(ru)到安全(quan)上網(wǎng)等端到(dao)端的安(an)全策略
2�����、合理管控工作(zuo)人員上網(wǎng)行(xing)為�����,提升工作(zuo)效率�����、防止(zhi)帶寬(kuan)浪費(fei),有線(xian)無線(xian)雙重管控
3�����、為會(hui)議室�����,報告廳等(deng)人員密集區(qū)域(yu)接入網(wǎng)絡提(ti)高保證�����,解決(jue)有線(xian)網(wǎng)口不足的(de)問題�����;
4�����、為企業(yè)員工(gong)的移動辦公(gong)提供支撐(cheng)�����,內(nèi)部員工可(ke)通過(guo)無線網(wǎng)(wang)絡隨(sui)時安全接入內(nèi)(nei)部網(wǎng)絡(luo)�����,實現(xiàn)(xian)辦公�����;
5�����、內(nèi)部(bu)員工(gong)賬號及個(ge)人信息綁定�����,便(bian)于安全(quan)管理�����;
6�����、內(nèi)部員(yuan)工可通過自(zi)己的(de)辦公設備在(zai)企業(yè)大樓內(nèi)(nei)快速移動辦公(gong)�����,網(wǎng)絡(luo)接入更快速(su),上網(wǎng)行為管(guan)理系統(tǒng)對員(yuan)工上網(wǎng)行為(wei)進行審(shen)計與管控(kong)
7�����、來訪客(ke)戶接(jie)入企業(yè)網(wǎng)(wang)絡�����,可根(gen)據(jù)不同需求�����,分(fen)配不同(tong)的上網(wǎng)權限�����,保(bao)證了接入的安(an)全性同時提(ti)升群眾上(shang)網(wǎng)的體驗
8�����、豐富的認證(zheng)機制�����,滿(man)足組織對(dui)無線(xian)網(wǎng)絡(luo)安全、快(kuai)速接入
9�����、投資(zi)成本低�����,通過部(bu)署無線(xian)控制器替換(huan)原有網(wǎng)(wang)絡的出口路由(you)�����、行為管(guan)理以及無線(xian)控制器
