大型企業(yè)(ye)在無線網(wǎng)絡(luò)建(jian)設(shè)期間要充(chong)分考(kao)慮訪客（領(lǐng)(ling)導(dǎo)、客(ke)戶、合(he)作伙(huo)伴）接入網(wǎng)(wang)絡(luò)的(de)需求(qiu)。首先從安全性(xing)考慮，訪客(ke)網(wǎng)絡(luò)必須要和(he)辦公網(wǎng)絡(luò)(luo)分開，訪客(ke)網(wǎng)絡(luò)單獨(dú)提(ti)供給訪(fang)客使用(yong)。從用戶體驗(yàn)角(jiao)度考慮，訪(fang)客接入網(wǎng)絡(luò)(luo)的驗(yàn)證方式(shi)一定要做到簡(jian)單易行(xing)，繁瑣的驗(yàn)證方(fang)式會降低訪客(ke)對企業(yè)的整(zheng)體印象。同(tong)時(shí)對(dui)于訪客網(wǎng)絡(luò)，企(qi)業(yè)還需要(yao)建立(li)完善的網(wǎng)(wang)絡(luò)安全(quan)管理機(jī)(ji)制，避免由于(yu)訪客的網(wǎng)絡(luò)不(bu)良訪問給企(qi)業(yè)帶來的(de)法律風(fēng)(feng)險(xiǎn)。對于企業(yè)員(yuan)工移(yi)動辦(ban)公上網(wǎng)，更(geng)需要做到可(ke)管控，上(shang)網(wǎng)行為做到(dao)可追(zhui)溯，企業(yè)有效(xiao)的帶寬資(zi)源得到合(he)理的分(fen)配和保證(zheng)，才能使企業(yè)的(de)業(yè)務(wù)系統(tǒng)正(zheng)常且穩(wěn)定(ding)高效地運(yùn)行(xing)，同時(shí)(shi)保證企業(yè)(ye)信息安全，避(bi)免機(jī)密信(xin)息泄露。

存在的問題(ti)（用戶(hu)需求）

1、接入(ru)不安全(quan)：缺乏安全可(ke)靠的認(rèn)證機(jī)制(zhi)，企業(yè)無線(xian)網(wǎng)絡(luò)接入不安(an)全

2、上網(wǎng)(wang)權(quán)限(xian)混亂(luan)：缺乏有效(xiao)的控制策(ce)略，員工(gong)上網(wǎng)權(quán)限不分(fen)明

3、數(shù)據(jù)信息(xi)安全：缺乏有(you)效的(de)數(shù)據(jù)加(jia)密機(jī)制，企業(yè)(ye)數(shù)據(jù)(ju)被黑客竊取篡(cuan)改

4、無線信號差：AP性(xing)能不佳(jia)，上網(wǎng)(wang)總掉(diao)線，點(diǎn)位規(guī)劃(hua)不合理，信號盲(mang)區(qū)多(duo)

5、漫游效果差(cha)：不能實(shí)現(xiàn)二(er)三層漫游，移(yi)動辦公時(shí)，業(yè)(ye)務(wù)中(zhong)斷

解決方案：

結(jié)合用戶無線(xian)網(wǎng)絡(luò)需求(qiu)情況，結(jié)合產(chǎn)(chan)品自身(shen)技術(shù)特點(diǎn)，為了(le)滿足用戶(hu)構(gòu)建一個(gè)高(gao)速、穩(wěn)定(ding)、安全、可靠、易于(yu)管理的無線(xian)接入網(wǎng)絡(luò)的需(xu)求，本設(shè)計(jì)方(fang)案按照AP+AC的(de)結(jié)構(gòu)化無線(xian)網(wǎng)絡(luò)(luo)解決方案(an)進(jìn)行設(shè)計(jì)(ji)。具體設(shè)計(jì)為在(zai)總部設(shè)置(zhi)總部AC,在大型分(fen)支機(jī)構(gòu)設(shè)置分(fen)支AC與分支AP，中型(xing)分支機(jī)構(gòu)設(shè)(she)計(jì)二級，三級(ji)交換機(jī)，分支AP。小(xiao)微型分支機(jī)構(gòu)(gou)直接設(shè)(she)置分支AP?？偛緼C可(ke)以對大型(xing)分支機(jī)(ji)構(gòu)的(de)AC進(jìn)行管理，當(dāng)網(wǎng)(wang)點(diǎn)控制器采用(yong)集中管理的(de)模式進(jìn)入到中(zhong)心端控制(zhi)器時(shí)，會(hui)自動下載(zai)中心端的公(gong)共配置(zhi)，比如IP組(zu)、MAC地址庫、時(shí)間(jian)計(jì)劃、角色(se)授權(quán)、認(rèn)(ren)證頁面等 。總部(bu)AC也可以(yi)直接(jie)管理中(zhong)小型分(fen)支機(jī)構(gòu)的分支(zhi)AP，實(shí)現(xiàn)統(tǒng)一(yi)管理。

方案(an)設(shè)計(jì)：

安全無線(xian)整體解決(jue)方案：

接入前&接(jie)入時(shí)進(jìn)(jin)行身(shen)份認(rèn)證(zheng)、安全(quan)無線網(wǎng)(wang)卡、賬號綁(bang)定（硬件碼+手機(jī)(ji)號），非法熱點(diǎn)(dian)檢測及(ji)防御(yu)、網(wǎng)絡(luò)攻擊防護(hù)(hu)、射頻定(ding)時(shí)關(guān)(guan)閉及安全加固(gu)。

接入后&上網(wǎng)(wang)時(shí)進(jìn)行訪(fang)問權(quán)限控制(zhi)。

上網(wǎng)(wang)后進(jìn)行上網(wǎng)行(xing)為記錄(lu)。

上網(wǎng)(wang)用戶(hu)身份實(shí)名認(rèn)(ren)證：

無線(xian)辦公網(wǎng)采用802.1X/Portal/WAPI認(rèn)(ren)證，外置AAA和RADIUS+AD用(yong)于存儲(chu)用戶賬號(hao)密碼(ma)。

每個(gè)賬號對(dui)應(yīng)一個(gè)員工(gong)，包括姓(xing)名、部門、性(xing)別以及身份(fen)證、手機(jī)(ji)號等個(gè)人(ren)信息，保證(zheng)每個(gè)(ge)上網(wǎng)的(de)賬號都是可(ke)尋的，便于(yu)安全管理(li)。

用戶輸入(ru)賬號密碼上(shang)網(wǎng)驗(yàn)(yan)證時(shí)均采用(yong)加密傳(chuan)輸，防止(zhi)黑客空中(zhong)攔截，竊(qie)取賬號密碼等(deng)數(shù)據(jù)。

上網(wǎng)賬號(hao)自動綁定(ding)終端：

自動將賬號(hao)與終端的硬件(jian)特征(zheng)碼進(jìn)行綁定(ding)，防止賬號被他(ta)人使用或(huo)者被盜(dao)用。

每臺(tai)設(shè)備的(de)硬件特征(zheng)碼是唯一(yi)的，無法通過(guo)軟件修改(gai)。即使通過(guo)軟件(jian)修改了(le)仍然可以(yi)識別原(yuan)始的。

每個(gè)賬號(hao)最多可以(yi)綁定5臺終端(duan)，超過(guo)1臺時(shí)需(xu)要管理員審核(he)。

上網(wǎng)賬號二(er)次綁定(ding)手機(jī)號(hao)碼：

賬號首次(ci)登陸時(shí)需(xu)要綁定手(shou)機(jī)號并輸入短(duan)信驗(yàn)證(zheng)碼，當(dāng)用戶賬號(hao)在新終端登(deng)陸時(shí)（換終(zhong)端/被他用/被盜(dao)），不僅需要輸(shu)入密(mi)碼，還需(xu)要輸入短(duan)信驗(yàn)證碼，解決(jue)員工賬號認(rèn)證(zheng)的安全問題

綁定手(shou)機(jī)號(hao)碼的用戶(hu)，可以自(zi)助重(zhong)置密碼和(he)修改密碼，無需(xu)通過IT管理(li)員。

用戶(hu)密碼(ma)管理(li)及自(zi)助修改：

無需通過管(guan)理員(yuan)即可修(xiu)改密碼，提(ti)高效率及減輕(qing)管理員工作(zuo)壓力。

通過(guo)口袋助(zhu)理、釘釘、企業(yè)(ye)號等手機(jī)MOA類(lei)APP軟件進(jìn)行無線(xian)密碼修(xiu)改。

若賬號(hao)綁定(ding)了手(shou)機(jī)號碼(ma)，可通過(guo)手機(jī)驗(yàn)證碼(ma)自助修改。

上網(wǎng)(wang)終端合法(fa)效驗(yàn)：

采用安全(quan)無線網(wǎng)卡(ka)接入無線網(wǎng)(wang)絡(luò)，終(zhong)端與AP熱點(diǎn)(dian)的雙向驗(yàn)(yan)證，提高安全(quan)性。

可以將(jiang)無線網(wǎng)絡(luò)設(shè)(she)置為(wei)只有(you)安裝了(le)安全無線網(wǎng)卡(ka)的終端(duan)才能接入無(wu)線網(wǎng)(wang)絡(luò)。

支持設(shè)置安全(quan)無線網(wǎng)卡(ka)只能連指(zhi)定SSID無線網(wǎng)絡(luò)，無(wu)法連接非授(shou)權(quán)SSID。

網(wǎng)卡與(yu)AP數(shù)據(jù)傳(chuan)輸時(shí)自動(dong)進(jìn)行數(shù)據(jù)加密(mi)，保證無(wu)線的空口安全(quan)。

無線熱點(diǎn)(dian)掃描及非法(fa)熱點(diǎn)抑制：

背景(jing)：黑客在附近(jin)搭建一個(gè)一(yi)模一樣或者類(lei)似的(de)WIFI名稱，誘(you)使用戶連到虛(xu)假釣魚(yu)WIFI上，黑客利用(yong)分析(xi)軟件從用戶(hu)上網(wǎng)產(chǎn)生的(de)數(shù)據(jù)包中分析(xi)提取用(yong)戶隱私信息(xi)。

我們通過(guo)WIPS無線(xian)入侵防御系統(tǒng)(tong)實(shí)時(shí)檢(jian)測周(zhou)圍無線信(xin)號，當(dāng)檢(jian)測出來(lai)的信號BSSID、且AP源(yuan)MAC地址不在授權(quán)(quan)列表中時(shí)，我們(men)向?qū)?yīng)的(de)AP和終端發(fā)送解(jie)除關(guān)(guan)聯(lián)幀，讓終端(duan)無法(fa)連上釣魚WIFI。7×24小(xiao)時(shí)不間斷監(jiān)(jian)測網(wǎng)絡(luò)。

上網(wǎng)行為嚴(yán)(yan)格控制：

強(qiáng)大的管理：通(tong)過應(yīng)用識(shi)別技(ji)術(shù)，可(ke)以根據(jù)應(yīng)(ying)用類(lei)型或者具體(ti)某一種應(yīng)用(yong)進(jìn)行封堵，包括(kuo)視頻、論壇、游戲(xi)、金融(rong)、下載等(deng)2400多種網(wǎng)(wang)絡(luò)應(yīng)用。

通過應(yīng)用識別(bie)技術(shù)，可(ke)以根據(jù)應(yīng)用(yong)類型或者(zhe)具體某一種(zhong)應(yīng)用進(jìn)行封(feng)堵，比如上班(ban)時(shí)間不允(yun)許炒(chao)股，不允許P2P下載(zai)，不允許(xu)外發(fā)敏感文(wen)件等； 支持主(zhu)流移動平臺(tai)，可識別IM、社(she)交、Mail、新聞、炒(chao)股等應(yīng)用(yong)。

無線控(kong)制器內(nèi)置千萬(wan)級別的URL分(fen)類庫，能夠?qū)?dui)URL進(jìn)行(xing)識別(bie)，包含新(xin)聞、購物、金融、教(jiao)育等(deng)18個(gè)種類的(de)URL地址； 準(zhǔn)確識(shi)別目(mu)前主流(liu)網(wǎng)站(zhan)，識別率高達(dá)(da)99.9%，有效(xiao)實(shí)現(xiàn)網(wǎng)頁(ye)過濾。例如禁止(zhi)登陸(lu)非法網(wǎng)(wang)站

通過基(ji)于時(shí)(shi)間段的訪問(wen)控制策略，實(shí)(shi)現(xiàn)不同的時(shí)間(jian)段不同的訪問(wen)權(quán)限，比(bi)如上班(ban)時(shí)間，禁(jin)止訪問網(wǎng)(wang)上銀行、游(you)戲、論壇(tan)貼吧等(deng)與工作無(wu)關(guān)的應(yīng)用，下班(ban)時(shí)間則不受(shou)限制。

辦公區(qū)域內(nèi)(nei)，不同辦(ban)公部門(men)總會有各自(zi)專屬的(de)無線(xian)網(wǎng)絡(luò)(luo)，并且不希望部(bu)門之(zhi)外的成員使(shi)用這個(gè)網(wǎng)絡(luò)。無(wu)線網(wǎng)絡(luò)(luo)控制(zhi)器可以根據(jù)用(yong)戶的屬性，限(xian)制禁止非(fei)本部(bu)門的用戶接(jie)入。

典型無線網(wǎng)絡(luò)(luo)攻擊防護(hù)(hu)：

對典型的危(wei)險(xiǎn)攻擊行為進(jìn)(jin)行檢測(ce)，當(dāng)超過設(shè)定(ding)的閾值后(hou)自動將(jiang)攻擊者加入到(dao)黑名(ming)單中，并凍結(jié)(jie)一定時(shí)間，即時(shí)(shi)發(fā)現(xiàn)網(wǎng)絡(luò)(luo)攻擊并進(jìn)行(xing)防御。

檢測(ce)的攻擊包括(kuo)：DDOS防御、ARP掃(sao)描、IP掃描(miao)、端口掃描(miao)防御，禁止客(ke)戶端私(si)設(shè)IP以及ARP、網(wǎng)(wang)關(guān)欺(qi)騙防御(yu)、DHCP請求泛(fan)洪防御。

無線射頻定時(shí)(shi)關(guān)閉開啟：

通過射頻關(guān)閉(bi)控制策(ce)略，可以指定(ding)某SSID網(wǎng)絡(luò)，定(ding)時(shí)自動關(guān)閉和(he)開啟無線網(wǎng)絡(luò)(luo)的射頻(pin)信號，晚上下班(ban)后自(zi)動關(guān)閉無(wu)線射頻信號(hao)。

一方面可以(yi)節(jié)能(neng)減排、節(jié)(jie)省電費(fèi)支(zhi)出；另一方面又(you)能防止非(fei)法用(yong)戶利用深(shen)夜時(shí)間入(ru)侵無線(xian)網(wǎng)絡(luò)，做(zuo)一些非法的操(cao)作。

有線(xian)無線(xian)一體化管(guan)理：

NAC的有線無線(xian)一體化，支持對(dui)有線用(yong)戶的接(jie)入認(rèn)(ren)證、訪(fang)問控制、流量(liang)管理、上網(wǎng)(wang)行為審計(jì)等(deng)，

并提供統(tǒng)一(yi)中文Web管理界(jie)面，一站(zhan)式服務(wù)，極大的(de)降低網(wǎng)絡(luò)建(jian)設(shè)成本(ben)。

網(wǎng)絡(luò)分(fen)權(quán)分級管理(li)：

分配不同(tong)的管理(li)員分別管理(li)各自權(quán)限(xian)區(qū)域(yu)的無線(xian)AP，可以精(jing)細(xì)到對某(mou)AP分組(zu)有管(guan)理權(quán)限，該管(guan)理員可以(yi)在該AP分(fen)組上(shang)建立(li)無線網(wǎng)絡(luò)，能夠(gou)激活、刪除接入(ru)點(diǎn)，能夠?qū)?dui)AP的配置進(jìn)行(xing)編輯修(xiu)改。

可指定管理(li)員針對每個(gè)(ge)頁面的編(bian)輯或可(ke)查看(kan)權(quán)限，控制(zhi)粒度(du)到控(kong)制器上(shang)的各(ge)個(gè)頁面(mian)，對某(mou)個(gè)頁(ye)面沒有讀權(quán)(quan)限則登錄時(shí)(shi)不顯(xian)示。

移動(dong)APP隨時(shí)隨地運(yùn)(yun)維管理：

支持跨互聯(lián)(lian)網(wǎng)運(yùn)維管理

登陸APP進(jìn)行維(wei)護(hù)管理(li)：不同(tong)管理員(yuan)，不同(tong)權(quán)限

查看網(wǎng)絡(luò)運(yùn)(yun)行情況：在(zai)線用戶、在(zai)線AP數(shù)(shu)量、實(shí)時(shí)流量

無線網(wǎng)(wang)絡(luò)管理維(wei)護(hù)：開啟關(guān)閉SSID、終(zhong)端綁(bang)定審(shen)批、二(er)維碼上網(wǎng)(wang)審核(he)

故障、審(shen)批實(shí)時(shí)通(tong)知：AP離線警告(gao)、服務(wù)器離(li)線警告、網(wǎng)(wang)絡(luò)攻擊(ji)告警

方案(an)優(yōu)勢：

1、最豐富(fu)的無線安(an)全機(jī)制，提供(gong)從安全(quan)接入到安(an)全上(shang)網(wǎng)等(deng)端到端的安(an)全策略(lve)

2、合理管(guan)控工(gong)作人員(yuan)上網(wǎng)(wang)行為(wei)，提升工作效率(lv)、防止帶寬浪費(fèi)(fei)，有線無線(xian)雙重管控

3、為會(hui)議室，報(bào)(bao)告廳等人員(yuan)密集(ji)區(qū)域接入網(wǎng)絡(luò)(luo)提高保證，解(jie)決有線(xian)網(wǎng)口不足的(de)問題(ti)；

4、為企(qi)業(yè)員工的(de)移動(dong)辦公提(ti)供支(zhi)撐，內(nèi)部員工(gong)可通過無(wu)線網(wǎng)絡(luò)隨時(shí)(shi)安全接入內(nèi)(nei)部網(wǎng)絡(luò)，實(shí)(shi)現(xiàn)辦公；

5、內(nèi)部員工賬號(hao)及個(gè)人信息綁(bang)定，便于安全(quan)管理；

6、內(nèi)部員工可(ke)通過自己(ji)的辦公設(shè)備(bei)在企業(yè)(ye)大樓內(nèi)快速(su)移動辦公，網(wǎng)絡(luò)(luo)接入更(geng)快速，上網(wǎng)行(xing)為管(guan)理系統(tǒng)對(dui)員工上(shang)網(wǎng)行為(wei)進(jìn)行(xing)審計(jì)與管控(kong)

7、來訪客戶接入(ru)企業(yè)網(wǎng)絡(luò)，可根(gen)據(jù)不同需求，分(fen)配不(bu)同的上(shang)網(wǎng)權(quán)限(xian)，保證了接入的(de)安全性同(tong)時(shí)提(ti)升群眾上網(wǎng)的(de)體驗(yàn)

8、豐富的認(rèn)證(zheng)機(jī)制，滿(man)足組織對無線(xian)網(wǎng)絡(luò)安全、快速(su)接入

9、投資成本(ben)低，通過部(bu)署無線控制器(qi)替換原有網(wǎng)絡(luò)(luo)的出(chu)口路(lu)由、行為(wei)管理以(yi)及無線(xian)控制(zhi)器