?
大型企業(yè)(ye)在無線網(wǎng)絡建(jian)設期間要(yao)充分(fen)考慮(lv)訪客(領(ling)導����、客戶�����、合(he)作伙伴)接入網(wǎng)(wang)絡的需求�。首先(xian)從安(an)全性考慮(lv)�����,訪客網(wǎng)絡必(bi)須要(yao)和辦公網(wǎng)絡(luo)分開�����,訪客(ke)網(wǎng)絡單獨提(ti)供給(gei)訪客(ke)使用�。從用(yong)戶體(ti)驗角度考(kao)慮��,訪客接(jie)入網(wǎng)(wang)絡的驗證(zheng)方式一定要做(zuo)到簡單(dan)易行��,繁瑣的(de)驗證方式(shi)會降(jiang)低訪客對企業(yè)(ye)的整體(ti)印象����。同(tong)時對于(yu)訪客(ke)網(wǎng)絡���,企業(yè)(ye)還需要(yao)建立完善的網(wǎng)(wang)絡安全管理(li)機制�����,避免(mian)由于訪客的網(wǎng)(wang)絡不良(liang)訪問給(gei)企業(yè)帶來(lai)的法律風(feng)險�。對于企(qi)業(yè)員工移動(dong)辦公(gong)上網(wǎng)�����,更需要做(zuo)到可(ke)管控���,上網(wǎng)行(xing)為做到(dao)可追溯����,企業(yè)有(you)效的帶寬資(zi)源得到合理的(de)分配(pei)和保證(zheng)��,才能使(shi)企業(yè)的(de)業(yè)務系(xi)統(tǒng)正常且(qie)穩(wěn)定(ding)高效地運行,同(tong)時保證企(qi)業(yè)信息安全���,避(bi)免機密信(xin)息泄露�����。
存在(zai)的問題(用(yong)戶需求(qiu))
1、接入(ru)不安全:缺乏(fa)安全可靠的認(ren)證機制���,企業(yè)無(wu)線網(wǎng)絡接入(ru)不安全
2�、上網(wǎng)(wang)權限混亂(luan):缺乏有效的(de)控制策略����,員(yuan)工上網(wǎng)(wang)權限不(bu)分明
3、數(shù)據(jù)(ju)信息安全:缺(que)乏有效的數(shù)據(jù)(ju)加密(mi)機制���,企業(yè)數(shù)(shu)據(jù)被黑客竊(qie)取篡改
4���、無線信號(hao)差:AP性能(neng)不佳(jia),上網(wǎng)總(zong)掉線���,點(dian)位規(guī)(gui)劃不(bu)合理�����,信號(hao)盲區(qū)多
5��、漫游(you)效果(guo)差:不(bu)能實現(xiàn)二三層(ceng)漫游����,移動(dong)辦公時,業(yè)務中(zhong)斷
解決方案:
結合用戶無(wu)線網(wǎng)絡需求情(qing)況����,結合產(chǎn)品(pin)自身技術特(te)點,為了滿足用(yong)戶構建(jian)一個高(gao)速����、穩(wěn)定、安全��、可(ke)靠����、易于管理(li)的無(wu)線接入網(wǎng)絡的(de)需求,本(ben)設計方案(an)按照AP+AC的結構化(hua)無線(xian)網(wǎng)絡解決方案(an)進行設計����。具體(ti)設計為在總(zong)部設置總部(bu)AC,在大型(xing)分支機構設置(zhi)分支AC與分支AP����,中(zhong)型分支機構設(she)計二級(ji)���,三級交換機(ji)��,分支AP��。小(xiao)微型分支機構(gou)直接(jie)設置分(fen)支AP���?���?偛?bu)AC可以(yi)對大型分(fen)支機構的AC進(jin)行管(guan)理,當網(wǎng)點(dian)控制器(qi)采用集(ji)中管理的模式(shi)進入到(dao)中心端控制器(qi)時����,會自(zi)動下(xia)載中心端的公(gong)共配置,比(bi)如IP組(zu)��、MAC地址庫�����、時間計(ji)劃、角色(se)授權����、認證頁面(mian)等 ?���?偛?bu)AC也可以直接管(guan)理中(zhong)小型分支機(ji)構的分支(zhi)AP,實現(xiàn)統(tǒng)一管理(li)�����。
方案設(she)計:
安全無線整體(ti)解決(jue)方案:
接入前&接入(ru)時進行身份認(ren)證����、安全無線(xian)網(wǎng)卡、賬號綁定(ding)(硬件(jian)碼+手機號)�����,非法(fa)熱點檢(jian)測及防(fang)御�、網(wǎng)絡攻(gong)擊防護(hu)、射頻定時(shi)關閉及安(an)全加(jia)固���。
接入后&上網(wǎng)(wang)時進行訪問權(quan)限控(kong)制��。
上網(wǎng)后進(jin)行上網(wǎng)行為記(ji)錄��。
上網(wǎng)(wang)用戶身份(fen)實名(ming)認證:
無線(xian)辦公(gong)網(wǎng)采用802.1X/Portal/WAPI認證(zheng)��,外置AAA和RADIUS+AD用于(yu)存儲用戶賬號(hao)密碼�����。
每個(ge)賬號對應一(yi)個員(yuan)工���,包括姓名(ming)�����、部門��、性(xing)別以及身(shen)份證、手機(ji)號等個人信息(xi)�����,保證每個上網(wǎng)(wang)的賬號(hao)都是可尋的�����,便(bian)于安全(quan)管理。
用戶輸(shu)入賬號(hao)密碼(ma)上網(wǎng)(wang)驗證時(shi)均采用加(jia)密傳(chuan)輸��,防止黑(hei)客空(kong)中攔截�����,竊(qie)取賬(zhang)號密碼(ma)等數(shù)據(jù)��。
上網(wǎng)(wang)賬號(hao)自動綁定終端(duan):
自動(dong)將賬號與終(zhong)端的(de)硬件特征碼進(jin)行綁定(ding)�,防止賬(zhang)號被他人(ren)使用(yong)或者被盜用(yong)。
每臺設(she)備的硬件特(te)征碼是唯(wei)一的(de)�����,無法通過軟(ruan)件修改�����。即使(shi)通過(guo)軟件修改了(le)仍然可以識別(bie)原始的�����。
每個賬(zhang)號最多可(ke)以綁定5臺終(zhong)端��,超(chao)過1臺時需(xu)要管(guan)理員(yuan)審核。
上網(wǎng)賬號(hao)二次綁定(ding)手機號碼(ma):
賬號首次登陸(lu)時需要綁定手(shou)機號并(bing)輸入短信驗證(zheng)碼��,當用戶(hu)賬號在新(xin)終端登陸時(換(huan)終端(duan)/被他用/被(bei)盜)�����,不僅需要輸(shu)入密碼�����,還(hai)需要輸入(ru)短信驗證(zheng)碼�,解決(jue)員工賬號(hao)認證的安全問(wen)題
綁定手(shou)機號碼的用戶(hu),可以自(zi)助重置密碼和(he)修改(gai)密碼����,無(wu)需通過IT管(guan)理員(yuan)。
用戶密碼(ma)管理及自助修(xiu)改:
無需通(tong)過管理員(yuan)即可(ke)修改密(mi)碼���,提高效率及(ji)減輕管理員(yuan)工作壓(ya)力���。
通過口袋(dai)助理��、釘(ding)釘�、企業(yè)號等手(shou)機MOA類(lei)APP軟件進行無線(xian)密碼(ma)修改(gai)。
若賬號綁定(ding)了手機號(hao)碼,可通(tong)過手(shou)機驗證(zheng)碼自助修改��。
上網(wǎng)終端(duan)合法效驗(yan):
采用安(an)全無(wu)線網(wǎng)(wang)卡接入(ru)無線網(wǎng)絡�����,終端(duan)與AP熱點的雙(shuang)向驗證��,提(ti)高安全(quan)性�。
可以將無線網(wǎng)(wang)絡設置為只有(you)安裝了安全無(wu)線網(wǎng)卡的終端(duan)才能接(jie)入無(wu)線網(wǎng)(wang)絡。
支持設置(zhi)安全(quan)無線網(wǎng)卡只(zhi)能連指(zhi)定SSID無線網(wǎng)絡(luo)����,無法連接(jie)非授(shou)權SSID。
網(wǎng)卡與(yu)AP數(shù)據(jù)傳(chuan)輸時自動進行(xing)數(shù)據(jù)(ju)加密(mi)�����,保證無線的空(kong)口安全���。
無線(xian)熱點掃描及非(fei)法熱點抑制(zhi):
背景(jing):黑客在附近(jin)搭建一個一(yi)模一樣或(huo)者類(lei)似的WIFI名稱��,誘(you)使用戶連(lian)到虛假釣魚WIFI上(shang)��,黑客利(li)用分析軟件(jian)從用戶(hu)上網(wǎng)產(chǎn)生的數(shù)(shu)據(jù)包中分析(xi)提取用戶隱私(si)信息�。
我們(men)通過(guo)WIPS無線(xian)入侵防(fang)御系統(tǒng)實(shi)時檢測周圍(wei)無線信(xin)號,當檢測出(chu)來的信號(hao)BSSID����、且AP源MAC地址不(bu)在授權(quan)列表中時(shi),我們向對應(ying)的AP和(he)終端發(fā)(fa)送解除關聯(lián)(lian)幀����,讓(rang)終端無法連(lian)上釣魚WIFI。7×24小時(shi)不間斷監(jiān)測網(wǎng)(wang)絡�。
上網(wǎng)行為(wei)嚴格控制(zhi):
強大(da)的管理:通過(guo)應用識別技術(shu),可以(yi)根據(jù)(ju)應用類(lei)型或(huo)者具體某一(yi)種應用進(jin)行封(feng)堵�,包(bao)括視頻、論壇(tan)�、游戲、金(jin)融��、下載等(deng)2400多種網(wǎng)絡(luo)應用���。
通過應用(yong)識別技術(shu)�����,可以根據(jù)(ju)應用類型或(huo)者具(ju)體某一種應用(yong)進行(xing)封堵���,比如上(shang)班時(shi)間不允許炒(chao)股,不允許P2P下(xia)載����,不允(yun)許外發(fā)敏感(gan)文件(jian)等; 支(zhi)持主(zhu)流移動平臺�����,可(ke)識別IM�、社(she)交、Mail���、新聞�����、炒股等(deng)應用(yong)�����。
無線控制器內(nei)置千萬級別的(de)URL分類庫���,能夠對(dui)URL進行識(shi)別,包(bao)含新聞��、購(gou)物、金融�����、教(jiao)育等18個種類(lei)的URL地址(zhi)����; 準確識(shi)別目前主(zhu)流網(wǎng)站(zhan),識別率高達(da)99.9%�,有效(xiao)實現(xiàn)(xian)網(wǎng)頁過濾。例(li)如禁止登陸(lu)非法網(wǎng)站
通過基于時(shi)間段(duan)的訪問(wen)控制策略��,實現(xiàn)(xian)不同的時間(jian)段不(bu)同的(de)訪問權限(xian)�����,比如(ru)上班時間(jian)�����,禁止訪問網(wǎng)(wang)上銀(yin)行��、游戲(xi)��、論壇貼(tie)吧等與工作無(wu)關的應用�,下班(ban)時間則不受限(xian)制����。
辦公(gong)區(qū)域內����,不同(tong)辦公(gong)部門總會(hui)有各自專屬(shu)的無線網(wǎng)絡(luo)�����,并且不希望部(bu)門之外的成(cheng)員使用這個網(wǎng)(wang)絡���。無線(xian)網(wǎng)絡控制(zhi)器可以根據(jù)(ju)用戶的屬性�����,限(xian)制禁止非本(ben)部門的用戶接(jie)入�����。
典型無線網(wǎng)絡(luo)攻擊防護:
對典型的危(wei)險攻(gong)擊行為(wei)進行檢測�,當(dang)超過設定(ding)的閾(yu)值后自動將攻(gong)擊者加(jia)入到黑(hei)名單中����,并凍(dong)結一定(ding)時間��,即時發(fā)(fa)現(xiàn)網(wǎng)絡攻擊并(bing)進行(xing)防御����。
檢測的(de)攻擊(ji)包括:DDOS防御(yu)��、ARP掃描��、IP掃(sao)描����、端口掃描(miao)防御,禁止(zhi)客戶端(duan)私設(she)IP以及(ji)ARP���、網(wǎng)關欺騙防御(yu)���、DHCP請求泛洪防(fang)御。
無線(xian)射頻定時關閉(bi)開啟:
通過(guo)射頻(pin)關閉控制策略(lve)���,可以指(zhi)定某SSID網(wǎng)絡��,定時(shi)自動關閉和開(kai)啟無線網(wǎng)絡(luo)的射頻信號(hao)�����,晚上下班(ban)后自動關(guan)閉無線射頻(pin)信號�。
一方面可以(yi)節(jié)能(neng)減排、節(jié)省電費(fei)支出���;另一(yi)方面又(you)能防止非法(fa)用戶利用深夜(ye)時間入侵無(wu)線網(wǎng)絡���,做一(yi)些非(fei)法的操(cao)作����。
有線無(wu)線一體化管理(li):
NAC的有線無(wu)線一體化(hua),支持對有線用(yong)戶的接入(ru)認證��、訪問控(kong)制�、流(liu)量管(guan)理、上網(wǎng)(wang)行為(wei)審計(ji)等�,
并提(ti)供統(tǒng)一中文Web管(guan)理界面,一站(zhan)式服務(wu)���,極大(da)的降低網(wǎng)絡(luo)建設(she)成本����。
網(wǎng)絡(luo)分權分級管(guan)理:
分配不同的管(guan)理員分別管理(li)各自權(quan)限區(qū)域的無線(xian)AP,可以(yi)精細到對(dui)某AP分組有管理(li)權限�����,該(gai)管理員可以在(zai)該AP分組上(shang)建立無線網(wǎng)絡(luo)���,能夠(gou)激活(huo)�����、刪除(chu)接入點�����,能夠(gou)對AP的配置進(jin)行編輯修改(gai)���。
可指定管(guan)理員針對每(mei)個頁面的編(bian)輯或(huo)可查(cha)看權(quan)限,控制粒度(du)到控(kong)制器上(shang)的各(ge)個頁面����,對某(mou)個頁面沒有讀(du)權限則(ze)登錄時不顯示(shi)。
移動APP隨時隨地(di)運維(wei)管理:
支持跨互(hu)聯(lián)網(wǎng)(wang)運維管理
登陸(lu)APP進行維護管理(li):不同管(guan)理員�����,不(bu)同權限
查看(kan)網(wǎng)絡運行情況(kuang):在線用戶、在線(xian)AP數(shù)量(liang)�����、實時流(liu)量
無線網(wǎng)(wang)絡管理(li)維護:開啟(qi)關閉SSID��、終端綁定(ding)審批��、二維碼上(shang)網(wǎng)審(shen)核
故障���、審批實時(shi)通知:AP離線警告(gao)��、服務(wu)器離線警告(gao)��、網(wǎng)絡攻(gong)擊告警(jing)
方案(an)優(yōu)勢:
1、最豐富的(de)無線安(an)全機制(zhi)�����,提供(gong)從安全接入到(dao)安全上網(wǎng)(wang)等端到(dao)端的安全策(ce)略
2��、合理管(guan)控工作人(ren)員上網(wǎng)(wang)行為�����,提升工(gong)作效率(lv)、防止帶(dai)寬浪(lang)費�,有線無線(xian)雙重管控
3、為會議室����,報(bao)告廳(ting)等人員密(mi)集區(qū)域(yu)接入網(wǎng)絡(luo)提高保(bao)證,解決(jue)有線網(wǎng)口不(bu)足的問題�;
4、為企業(yè)(ye)員工的(de)移動辦公提(ti)供支撐���,內部員(yuan)工可通過無線(xian)網(wǎng)絡隨時(shi)安全(quan)接入內(nei)部網(wǎng)絡���,實(shi)現(xiàn)辦(ban)公;
5�����、內部員(yuan)工賬號(hao)及個人(ren)信息(xi)綁定(ding)�����,便于安全(quan)管理(li)�;
6、內部員工可(ke)通過(guo)自己的(de)辦公設備(bei)在企業(yè)大(da)樓內快速移動(dong)辦公����,網(wǎng)絡接(jie)入更快速����,上(shang)網(wǎng)行為管(guan)理系統(tǒng)對員工(gong)上網(wǎng)行為(wei)進行審計(ji)與管控
7�����、來訪客(ke)戶接入企業(yè)網(wǎng)(wang)絡���,可(ke)根據(jù)不同需(xu)求�����,分配(pei)不同的上網(wǎng)權(quan)限�,保證(zheng)了接入的安全(quan)性同時(shi)提升群(qun)眾上網(wǎng)(wang)的體驗(yan)
8��、豐富的認(ren)證機(ji)制�����,滿足組(zu)織對(dui)無線網(wǎng)絡安(an)全�、快速(su)接入(ru)
9��、投資成本低,通(tong)過部署無線(xian)控制器替換(huan)原有(you)網(wǎng)絡的出口(kou)路由����、行為管(guan)理以(yi)及無線控(kong)制器
