大型企業(yè)(ye)在無線網(wǎng)(wang)絡(luò)建設(shè)期間要(yao)充分(fen)考慮訪(fang)客（領(lǐng)導(dǎo)、客戶、合(he)作伙伴）接(jie)入網(wǎng)絡(luò)的需求(qiu)。首先從安(an)全性考慮，訪客(ke)網(wǎng)絡(luò)必須要和(he)辦公網(wǎng)絡(luò)(luo)分開，訪客(ke)網(wǎng)絡(luò)單獨提(ti)供給訪客使用(yong)。從用戶體(ti)驗角(jiao)度考慮，訪客(ke)接入網(wǎng)絡(luò)(luo)的驗(yan)證方式(shi)一定要做到(dao)簡單易行(xing)，繁瑣(suo)的驗證(zheng)方式會降(jiang)低訪客對企業(yè)(ye)的整體印象。同(tong)時對于(yu)訪客網(wǎng)(wang)絡(luò)，企業(yè)(ye)還需(xu)要建立(li)完善的網(wǎng)絡(luò)安(an)全管理機制(zhi)，避免由于訪客(ke)的網(wǎng)絡(luò)不(bu)良訪問給企業(yè)(ye)帶來的(de)法律風(fēng)(feng)險。對(dui)于企業(yè)員工(gong)移動辦(ban)公上(shang)網(wǎng)，更需(xu)要做到可(ke)管控，上網(wǎng)行(xing)為做(zuo)到可追溯，企(qi)業(yè)有效的帶(dai)寬資源得(de)到合理(li)的分(fen)配和保證，才(cai)能使企業(yè)的業(yè)(ye)務(wù)系統(tǒng)正常且(qie)穩(wěn)定高效(xiao)地運行，同(tong)時保證企業(yè)信(xin)息安全(quan)，避免機密(mi)信息泄(xie)露。

存在的(de)問題（用(yong)戶需(xu)求）

1、接入不(bu)安全：缺乏(fa)安全可靠的(de)認證(zheng)機制，企業(yè)無線(xian)網(wǎng)絡(luò)接入不(bu)安全

2、上網(wǎng)權(quán)限(xian)混亂：缺乏有(you)效的控制策(ce)略，員工上網(wǎng)權(quán)(quan)限不分(fen)明

3、數(shù)據(jù)(ju)信息安全：缺(que)乏有效(xiao)的數(shù)(shu)據(jù)加密機(ji)制，企業(yè)數(shù)據(jù)被(bei)黑客(ke)竊取篡改

4、無線(xian)信號差(cha)：AP性能不(bu)佳，上網(wǎng)總(zong)掉線，點位(wei)規(guī)劃(hua)不合理，信(xin)號盲區(qū)多(duo)

5、漫游效果差(cha)：不能(neng)實現(xiàn)二三層漫(man)游，移動辦公(gong)時，業(yè)務(wù)中斷

解決方(fang)案：

結(jié)合(he)用戶無(wu)線網(wǎng)絡(luò)需求情(qing)況，結(jié)合(he)產(chǎn)品(pin)自身技術(shù)(shu)特點，為(wei)了滿足用戶(hu)構(gòu)建一個(ge)高速(su)、穩(wěn)定、安全(quan)、可靠(kao)、易于(yu)管理的無(wu)線接(jie)入網(wǎng)絡(luò)(luo)的需求，本設(shè)(she)計方案(an)按照AP+AC的結(jié)構(gòu)(gou)化無(wu)線網(wǎng)絡(luò)解決(jue)方案進行設(shè)(she)計。具(ju)體設(shè)計為(wei)在總部設(shè)置(zhi)總部AC,在大型(xing)分支機構(gòu)設(shè)置(zhi)分支(zhi)AC與分(fen)支AP，中型分支機(ji)構(gòu)設(shè)計二級，三(san)級交換機，分(fen)支AP。小微型分支(zhi)機構(gòu)直接設(shè)(she)置分支AP?？偛緼C可(ke)以對大型分支(zhi)機構(gòu)的AC進行(xing)管理(li)，當網(wǎng)點(dian)控制(zhi)器采用集(ji)中管理(li)的模(mo)式進入到中(zhong)心端控制(zhi)器時，會自動下(xia)載中心端的公(gong)共配置，比如(ru)IP組、MAC地(di)址庫(ku)、時間計劃(hua)、角色授權(quán)、認證(zheng)頁面等 ?？偛緼C也(ye)可以(yi)直接管理中(zhong)小型(xing)分支(zhi)機構(gòu)的分支(zhi)AP，實現(xiàn)統(tǒng)一(yi)管理。

方案設(shè)計：

安全無線整(zheng)體解決方(fang)案：

接入(ru)前&接(jie)入時進行身份(fen)認證、安(an)全無線網(wǎng)卡、賬(zhang)號綁定（硬件(jian)碼+手(shou)機號），非法熱(re)點檢測及防御(yu)、網(wǎng)絡(luò)攻擊防護(hu)、射頻定(ding)時關(guān)閉(bi)及安全加(jia)固。

接入(ru)后&上網(wǎng)時進行(xing)訪問權(quán)限(xian)控制。

上網(wǎng)后進行上(shang)網(wǎng)行為(wei)記錄。

上網(wǎng)用(yong)戶身份實名認(ren)證：

無線辦(ban)公網(wǎng)采用(yong)802.1X/Portal/WAPI認證，外置AAA和(he)RADIUS+AD用于存(cun)儲用(yong)戶賬號密碼(ma)。

每個賬號對應(yīng)(ying)一個(ge)員工(gong)，包括姓名、部門(men)、性別以及身份(fen)證、手(shou)機號(hao)等個人信(xin)息，保(bao)證每個上(shang)網(wǎng)的賬(zhang)號都是可尋的(de)，便于(yu)安全管理。

用戶輸入(ru)賬號密碼上網(wǎng)(wang)驗證時均(jun)采用加密(mi)傳輸，防止黑客(ke)空中攔截(jie)，竊取賬號密碼(ma)等數(shù)據(jù)(ju)。

上網(wǎng)(wang)賬號自(zi)動綁定(ding)終端：

自動將賬號(hao)與終端的硬(ying)件特征(zheng)碼進行綁(bang)定，防(fang)止賬號被(bei)他人使用(yong)或者被盜用(yong)。

每臺(tai)設(shè)備的硬件特(te)征碼是唯(wei)一的，無(wu)法通過(guo)軟件修改(gai)。即使通過軟件(jian)修改(gai)了仍(reng)然可以識(shi)別原始(shi)的。

每個賬號(hao)最多(duo)可以綁定5臺(tai)終端，超過(guo)1臺時需要管(guan)理員審(shen)核。

上網(wǎng)賬(zhang)號二次綁定手(shou)機號碼：

賬號首(shou)次登陸時(shi)需要(yao)綁定手機(ji)號并(bing)輸入短(duan)信驗證碼(ma)，當用戶(hu)賬號在新終(zhong)端登(deng)陸時（換終端/被(bei)他用(yong)/被盜），不僅需(xu)要輸入密碼，還(hai)需要(yao)輸入短信驗證(zheng)碼，解決員工賬(zhang)號認證的安全(quan)問題

綁定手機號碼(ma)的用戶，可以(yi)自助重置(zhi)密碼和修改密(mi)碼，無需通過IT管(guan)理員(yuan)。

用戶密碼管(guan)理及自(zi)助修改：

無需(xu)通過管理(li)員即可修(xiu)改密碼，提(ti)高效率及(ji)減輕(qing)管理員(yuan)工作壓力。

通過(guo)口袋助(zhu)理、釘(ding)釘、企業(yè)(ye)號等手(shou)機MOA類(lei)APP軟件(jian)進行無線(xian)密碼修改。

若賬(zhang)號綁定了手機(ji)號碼，可(ke)通過手機驗(yan)證碼(ma)自助(zhu)修改。

上網(wǎng)終(zhong)端合(he)法效驗：

采用安全(quan)無線網(wǎng)卡接入(ru)無線(xian)網(wǎng)絡(luò)，終端與AP熱(re)點的雙向驗證(zheng)，提高安全性(xing)。

可以將無線(xian)網(wǎng)絡(luò)設(shè)(she)置為(wei)只有安裝(zhuang)了安全無線(xian)網(wǎng)卡的(de)終端(duan)才能(neng)接入無(wu)線網(wǎng)(wang)絡(luò)。

支持設(shè)置(zhi)安全(quan)無線網(wǎng)卡只(zhi)能連(lian)指定SSID無線網(wǎng)(wang)絡(luò)，無法(fa)連接非授(shou)權(quán)SSID。

網(wǎng)卡與(yu)AP數(shù)據(jù)傳輸時自(zi)動進行數(shù)(shu)據(jù)加密，保(bao)證無線的(de)空口安全(quan)。

無線熱點掃(sao)描及非法熱(re)點抑制：

背景：黑客在(zai)附近搭建一個(ge)一模一(yi)樣或者類似的(de)WIFI名稱，誘使用戶(hu)連到虛假釣(diao)魚WIFI上，黑客(ke)利用分析軟件(jian)從用(yong)戶上(shang)網(wǎng)產(chǎn)生(sheng)的數(shù)據(jù)包中(zhong)分析提(ti)取用(yong)戶隱私信息。

我們通過WIPS無(wu)線入侵防(fang)御系統(tǒng)實(shi)時檢測周(zhou)圍無(wu)線信號，當檢(jian)測出來(lai)的信(xin)號BSSID、且AP源MAC地址(zhi)不在授權(quán)列(lie)表中時，我們向(xiang)對應(yīng)的AP和終(zhong)端發(fā)送解除(chu)關(guān)聯(lián)幀，讓(rang)終端無法(fa)連上釣(diao)魚WIFI。7×24小(xiao)時不間斷監(jiān)測(ce)網(wǎng)絡(luò)。

上網(wǎng)行為(wei)嚴格控(kong)制：

強大的管理(li)：通過應(yīng)用(yong)識別技(ji)術(shù)，可以(yi)根據(jù)應(yīng)用類型(xing)或者具體某(mou)一種應(yīng)用(yong)進行封堵，包(bao)括視頻、論壇(tan)、游戲、金融、下(xia)載等2400多種(zhong)網(wǎng)絡(luò)(luo)應(yīng)用。

通過應(yīng)用(yong)識別(bie)技術(shù)，可以根(gen)據(jù)應(yīng)(ying)用類型或者具(ju)體某(mou)一種應(yīng)用進(jin)行封(feng)堵，比如上班時(shi)間不(bu)允許(xu)炒股，不(bu)允許P2P下載，不允(yun)許外發(fā)敏感(gan)文件等； 支(zhi)持主流移動平(ping)臺，可(ke)識別IM、社(she)交、Mail、新聞、炒股(gu)等應(yīng)用(yong)。

無線控制(zhi)器內(nèi)置千萬級(ji)別的(de)URL分類(lei)庫，能夠?qū)RL進(jin)行識(shi)別，包含新聞(wen)、購物、金融、教育(yu)等18個(ge)種類(lei)的URL地(di)址； 準確識別(bie)目前主流網(wǎng)站(zhan)，識別(bie)率高達99.9%，有(you)效實現(xiàn)網(wǎng)(wang)頁過濾。例(li)如禁止登(deng)陸非法網(wǎng)站(zhan)

通過基于時間(jian)段的(de)訪問控(kong)制策略(lve)，實現(xiàn)不同(tong)的時間段不同(tong)的訪問權(quán)限，比(bi)如上班時間，禁(jin)止訪問網(wǎng)上(shang)銀行、游(you)戲、論壇貼(tie)吧等與工作無(wu)關(guān)的應(yīng)用，下(xia)班時(shi)間則(ze)不受限制(zhi)。

辦公區(qū)(qu)域內(nèi)，不同辦公(gong)部門(men)總會有各(ge)自專屬的(de)無線網(wǎng)(wang)絡(luò)，并(bing)且不希望部門(men)之外(wai)的成(cheng)員使用這個網(wǎng)(wang)絡(luò)。無線(xian)網(wǎng)絡(luò)(luo)控制器可(ke)以根據(jù)用戶(hu)的屬(shu)性，限(xian)制禁止非(fei)本部門的用戶(hu)接入(ru)。

典型無(wu)線網(wǎng)絡(luò)攻(gong)擊防(fang)護：

對典型的(de)危險(xian)攻擊行為進行(xing)檢測，當(dang)超過設(shè)定(ding)的閾值(zhi)后自動將(jiang)攻擊者加(jia)入到黑名單中(zhong)，并凍結(jié)一(yi)定時間(jian)，即時發(fā)現(xiàn)網(wǎng)絡(luò)(luo)攻擊并進行防(fang)御。

檢測(ce)的攻擊包括：DDOS防(fang)御、ARP掃描、IP掃(sao)描、端口掃描(miao)防御，禁(jin)止客戶端(duan)私設(shè)(she)IP以及ARP、網(wǎng)關(guān)欺(qi)騙防御(yu)、DHCP請求(qiu)泛洪防御。

無線(xian)射頻定時關(guān)(guan)閉開啟：

通過射(she)頻關(guān)閉(bi)控制(zhi)策略，可以指定(ding)某SSID網(wǎng)絡(luò)，定時自(zi)動關(guān)(guan)閉和開啟無線(xian)網(wǎng)絡(luò)的射頻(pin)信號，晚(wan)上下班后自動(dong)關(guān)閉無線射(she)頻信(xin)號。

一方面可(ke)以節(jié)能減排(pai)、節(jié)省電費支(zhi)出；另一方面又(you)能防止非(fei)法用戶(hu)利用深夜時(shi)間入(ru)侵無線網(wǎng)(wang)絡(luò)，做一些(xie)非法的操作(zuo)。

有線無線一體(ti)化管理：

NAC的有線無線一(yi)體化，支持(chi)對有線用戶(hu)的接入認證(zheng)、訪問控制、流量(liang)管理、上網(wǎng)行(xing)為審計(ji)等，

并提(ti)供統(tǒng)一中文Web管(guan)理界面，一站(zhan)式服務(wù)，極大的(de)降低網(wǎng)絡(luò)建(jian)設(shè)成本(ben)。

網(wǎng)絡(luò)分權(quán)(quan)分級(ji)管理：

分配(pei)不同的(de)管理員分(fen)別管理(li)各自權(quán)限(xian)區(qū)域的無(wu)線AP，可(ke)以精細到對某(mou)AP分組有管(guan)理權(quán)限，該管理(li)員可以在該AP分(fen)組上建立(li)無線網(wǎng)絡(luò)，能(neng)夠激(ji)活、刪(shan)除接入點，能夠(gou)對AP的配置(zhi)進行編輯修(xiu)改。

可指(zhi)定管理員(yuan)針對(dui)每個頁面(mian)的編輯(ji)或可查看權(quán)限(xian)，控制(zhi)粒度到(dao)控制器上(shang)的各個頁面(mian)，對某(mou)個頁面(mian)沒有讀權(quán)限則(ze)登錄時(shi)不顯示。

移動APP隨時(shi)隨地(di)運維管理：

支持(chi)跨互(hu)聯(lián)網(wǎng)(wang)運維管理

登陸APP進行維護(hu)管理：不(bu)同管理(li)員，不同(tong)權(quán)限

查看網(wǎng)絡(luò)運行(xing)情況：在線(xian)用戶(hu)、在線AP數(shù)(shu)量、實時流(liu)量

無線網(wǎng)絡(luò)管理(li)維護：開啟關(guān)(guan)閉SSID、終端綁定(ding)審批、二維碼上(shang)網(wǎng)審(shen)核

故障、審批實(shi)時通知：AP離(li)線警告(gao)、服務(wù)器離線(xian)警告(gao)、網(wǎng)絡(luò)攻(gong)擊告警

方案優(yōu)(you)勢：

1、最豐富的(de)無線(xian)安全機制(zhi)，提供從安全接(jie)入到(dao)安全上網(wǎng)等(deng)端到端的安(an)全策略

2、合理管控工(gong)作人員上(shang)網(wǎng)行為，提(ti)升工作(zuo)效率、防止(zhi)帶寬浪(lang)費，有線無線雙(shuang)重管控

3、為會議室(shi)，報告廳等(deng)人員密集區(qū)(qu)域接(jie)入網(wǎng)(wang)絡(luò)提高保(bao)證，解決(jue)有線網(wǎng)口(kou)不足的(de)問題(ti)；

4、為企業(yè)(ye)員工的移(yi)動辦公提(ti)供支撐，內(nèi)(nei)部員工可通過(guo)無線網(wǎng)絡(luò)隨(sui)時安全(quan)接入內(nèi)部網(wǎng)絡(luò)(luo)，實現(xiàn)(xian)辦公；

5、內(nèi)部員工賬(zhang)號及(ji)個人(ren)信息綁定，便(bian)于安全(quan)管理；

6、內(nèi)部員工(gong)可通過自(zi)己的辦公設(shè)(she)備在企業(yè)大樓(lou)內(nèi)快速移(yi)動辦公，網(wǎng)(wang)絡(luò)接入(ru)更快速，上(shang)網(wǎng)行(xing)為管理系統(tǒng)(tong)對員工上網(wǎng)(wang)行為進行(xing)審計與(yu)管控

7、來訪客(ke)戶接入企業(yè)網(wǎng)(wang)絡(luò)，可根據(jù)不同(tong)需求，分配(pei)不同的上網(wǎng)權(quán)(quan)限，保證了接(jie)入的安全性(xing)同時(shi)提升群眾上網(wǎng)(wang)的體驗

8、豐富的認證機(ji)制，滿足組(zu)織對無(wu)線網(wǎng)絡(luò)安(an)全、快速接(jie)入

9、投資成本低，通(tong)過部(bu)署無線控(kong)制器替換原(yuan)有網(wǎng)絡(luò)的(de)出口(kou)路由、行為(wei)管理以及無線(xian)控制器