?
大型企業(yè)在無(wu)線網絡建設(she)期間要充(chong)分考慮訪(fang)客(領導、客戶、合(he)作伙伴)接入(ru)網絡的需(xu)求。首先從(cong)安全性考慮,訪(fang)客網(wang)絡必須要和辦(ban)公網絡(luo)分開,訪客網(wang)絡單獨提(ti)供給訪客使用(yong)。從用戶(hu)體驗角度考慮(lv),訪客接入網(wang)絡的驗證方式(shi)一定(ding)要做到(dao)簡單易行,繁(fan)瑣的驗(yan)證方式會降低(di)訪客對(dui)企業(yè)的(de)整體印象。同(tong)時對于訪(fang)客網絡,企(qi)業(yè)還需(xu)要建立(li)完善(shan)的網絡(luo)安全管(guan)理機制,避免由(you)于訪客的網(wang)絡不(bu)良訪(fang)問給企業(yè)帶(dai)來的(de)法律風(feng)險。對于企業(yè)員(yuan)工移動(dong)辦公(gong)上網,更需要(yao)做到可管控,上(shang)網行為(wei)做到可追溯,企(qi)業(yè)有效(xiao)的帶寬資源得(de)到合理的(de)分配和保證,才(cai)能使企業(yè)的(de)業(yè)務系統(tong)正常且穩(wěn)定(ding)高效地運(yun)行,同時保證(zheng)企業(yè)信息安全(quan),避免機密信(xin)息泄露。
存在(zai)的問題(用戶需(xu)求)
1、接入不安全:缺(que)乏安全可靠(kao)的認證機制(zhi),企業(yè)無(wu)線網絡(luo)接入(ru)不安全
2、上網權(quan)限混亂:缺乏有(you)效的控制策(ce)略,員(yuan)工上(shang)網權限不(bu)分明
3、數據信息(xi)安全:缺乏有(you)效的數據(ju)加密機制,企(qi)業(yè)數據被黑客(ke)竊取篡改(gai)
4、無線信號差:AP性(xing)能不佳,上(shang)網總(zong)掉線,點(dian)位規(guī)(gui)劃不合(he)理,信(xin)號盲區(qū)多
5、漫游(you)效果差:不(bu)能實現二三層(ceng)漫游,移動(dong)辦公時,業(yè)務(wu)中斷
解決方案:

結合用戶(hu)無線網(wang)絡需求(qiu)情況,結合產品(pin)自身(shen)技術特點,為(wei)了滿(man)足用戶構建(jian)一個(ge)高速、穩(wěn)(wen)定、安全(quan)、可靠、易(yi)于管理的無(wu)線接入網絡的(de)需求,本設(she)計方案(an)按照(zhao)AP+AC的結構化無(wu)線網絡解決方(fang)案進行設計。具(ju)體設計為在總(zong)部設置總部(bu)AC,在大(da)型分支機構設(she)置分支AC與(yu)分支AP,中型分支(zhi)機構設(she)計二級,三(san)級交換機,分支(zhi)AP。小微型分支機(ji)構直接(jie)設置分支(zhi)AP。總部AC可以(yi)對大型分支機(ji)構的AC進(jin)行管理,當網(wang)點控(kong)制器采(cai)用集中管理的(de)模式進入(ru)到中心(xin)端控制器(qi)時,會自(zi)動下(xia)載中(zhong)心端(duan)的公共配(pei)置,比如IP組(zu)、MAC地址庫、時間(jian)計劃、角色授(shou)權、認證頁(ye)面等(deng) 。總部AC也可以(yi)直接管理中(zhong)小型分支機構(gou)的分支(zhi)AP,實現統(tong)一管理。
方案設計:
安全無線整(zheng)體解決方(fang)案:
接入前&接入(ru)時進(jin)行身份認證(zheng)、安全(quan)無線(xian)網卡、賬(zhang)號綁定(硬(ying)件碼+手機號),非(fei)法熱點(dian)檢測及防(fang)御、網絡攻擊(ji)防護、射頻定(ding)時關閉(bi)及安(an)全加(jia)固。
接入后&上網(wang)時進行訪問權(quan)限控制。
上網(wang)后進行(xing)上網(wang)行為記錄。
上網用(yong)戶身份(fen)實名認(ren)證:
無線辦公網(wang)采用802.1X/Portal/WAPI認證,外置(zhi)AAA和RADIUS+AD用于存(cun)儲用戶賬號(hao)密碼(ma)。
每個賬號對應(ying)一個員(yuan)工,包括姓名、部(bu)門、性別(bie)以及身(shen)份證、手(shou)機號等(deng)個人信息,保證(zheng)每個上網的賬(zhang)號都是可尋的(de),便于安全(quan)管理。
用戶輸入(ru)賬號密碼(ma)上網驗(yan)證時(shi)均采用加密(mi)傳輸,防止黑(hei)客空中攔(lan)截,竊取賬號(hao)密碼(ma)等數據。
上網賬號自(zi)動綁定終(zhong)端:
自動將(jiang)賬號與終端的(de)硬件(jian)特征碼進行(xing)綁定,防止賬號(hao)被他(ta)人使用或者(zhe)被盜用(yong)。
每臺設備的(de)硬件特征碼(ma)是唯一的,無法(fa)通過軟件(jian)修改(gai)。即使通過軟(ruan)件修改了仍(reng)然可以識別原(yuan)始的。
每個賬(zhang)號最多可以綁(bang)定5臺終(zhong)端,超過1臺時(shi)需要(yao)管理員審核(he)。
上網賬(zhang)號二次(ci)綁定(ding)手機號碼(ma):
賬號首次(ci)登陸時需要(yao)綁定手機號(hao)并輸(shu)入短信(xin)驗證(zheng)碼,當用戶賬(zhang)號在新終端登(deng)陸時(換終端(duan)/被他用/被盜(dao)),不僅需要(yao)輸入密碼,還需(xu)要輸入(ru)短信(xin)驗證碼,解決(jue)員工賬號(hao)認證的安(an)全問題
綁定手機(ji)號碼的用戶,可(ke)以自助重(zhong)置密(mi)碼和(he)修改(gai)密碼,無需通(tong)過IT管理員。
用戶密碼管理(li)及自助修改:
無需通過管(guan)理員即(ji)可修改(gai)密碼,提高(gao)效率及減輕管(guan)理員工(gong)作壓力(li)。
通過口袋助(zhu)理、釘釘、企業(yè)(ye)號等手機MOA類APP軟(ruan)件進(jin)行無(wu)線密碼(ma)修改(gai)。
若賬號綁(bang)定了(le)手機號(hao)碼,可通(tong)過手機驗證(zheng)碼自(zi)助修改。
上網終端合法(fa)效驗:
采用(yong)安全無線網卡(ka)接入(ru)無線(xian)網絡,終(zhong)端與AP熱(re)點的雙向(xiang)驗證,提(ti)高安(an)全性。
可以將無(wu)線網絡設置(zhi)為只有安裝了(le)安全無(wu)線網卡(ka)的終端才(cai)能接入無線網(wang)絡。
支持設置安全(quan)無線網卡只能(neng)連指定SSID無(wu)線網絡,無法(fa)連接非(fei)授權SSID。
網卡與AP數(shu)據傳輸時(shi)自動進(jin)行數據(ju)加密(mi),保證(zheng)無線的空(kong)口安全(quan)。
無線熱(re)點掃描(miao)及非法(fa)熱點抑制:
背景:黑客在(zai)附近搭建一個(ge)一模一樣或者(zhe)類似的(de)WIFI名稱,誘使用戶(hu)連到(dao)虛假(jia)釣魚WIFI上,黑客利(li)用分析(xi)軟件從(cong)用戶上網產生(sheng)的數據包中(zhong)分析(xi)提取用戶(hu)隱私信息(xi)。
我們通(tong)過WIPS無線(xian)入侵(qin)防御系統(tong)實時檢(jian)測周圍無線信(xin)號,當(dang)檢測出來(lai)的信號BSSID、且(qie)AP源MAC地址不在授(shou)權列表中時(shi),我們向對(dui)應的AP和(he)終端發(fā)(fa)送解除(chu)關聯(lian)幀,讓終端無法(fa)連上釣魚WIFI。7×24小(xiao)時不間斷監(jiān)測(ce)網絡。
上網行(xing)為嚴格控制(zhi):
強大的管理:通(tong)過應用識(shi)別技術,可(ke)以根據應(ying)用類型或者具(ju)體某一種(zhong)應用(yong)進行封堵(du),包括視頻、論壇(tan)、游戲、金(jin)融、下載等2400多種(zhong)網絡應用。
通過應(ying)用識別技術,可(ke)以根(gen)據應用類型或(huo)者具體(ti)某一種應(ying)用進行封堵,比(bi)如上班時(shi)間不允許(xu)炒股,不允許(xu)P2P下載,不允許(xu)外發(fā)敏(min)感文件等; 支持(chi)主流移(yi)動平臺,可識(shi)別IM、社交、Mail、新聞、炒(chao)股等應用。
無線控(kong)制器內置千(qian)萬級(ji)別的URL分類庫(ku),能夠對URL進行識(shi)別,包含新聞、購(gou)物、金融、教育(yu)等18個(ge)種類的(de)URL地址; 準確(que)識別目前(qian)主流網站(zhan),識別率高達(da)99.9%,有效實(shi)現網頁過濾(lv)。例如(ru)禁止登(deng)陸非法網(wang)站
通過(guo)基于時(shi)間段的(de)訪問控(kong)制策略,實(shi)現不(bu)同的時間段不(bu)同的訪問(wen)權限(xian),比如上班時(shi)間,禁止(zhi)訪問(wen)網上(shang)銀行、游戲、論壇(tan)貼吧等與(yu)工作無關(guan)的應(ying)用,下班時(shi)間則不受(shou)限制。
辦公區(qū)(qu)域內(nei),不同辦公部門(men)總會有各自專(zhuan)屬的(de)無線網(wang)絡,并且(qie)不希望部門之(zhi)外的(de)成員(yuan)使用這個(ge)網絡(luo)。無線網絡(luo)控制器(qi)可以(yi)根據用(yong)戶的屬性,限(xian)制禁止非本部(bu)門的用(yong)戶接(jie)入。
典型無(wu)線網絡攻擊(ji)防護:
對典型的危險(xian)攻擊(ji)行為進行檢(jian)測,當(dang)超過設定的閾(yu)值后自動將攻(gong)擊者(zhe)加入到黑名單(dan)中,并凍結(jie)一定時間(jian),即時發(fā)現網(wang)絡攻擊并(bing)進行防御。
檢測的攻(gong)擊包(bao)括:DDOS防御、ARP掃描(miao)、IP掃描、端口掃(sao)描防御,禁止客(ke)戶端(duan)私設IP以(yi)及ARP、網關欺騙(pian)防御(yu)、DHCP請求泛洪(hong)防御。
無線射頻定(ding)時關閉開(kai)啟:
通過射頻(pin)關閉控制策略(lve),可以指(zhi)定某SSID網絡,定時(shi)自動關(guan)閉和(he)開啟無(wu)線網絡的(de)射頻(pin)信號,晚上(shang)下班后自動關(guan)閉無線射頻(pin)信號。
一方(fang)面可(ke)以節(jié)能減排(pai)、節(jié)省(sheng)電費支出;另一(yi)方面又能防(fang)止非法用戶(hu)利用深(shen)夜時(shi)間入侵無線(xian)網絡(luo),做一些非法(fa)的操作。
有線無(wu)線一體(ti)化管(guan)理:
NAC的有線(xian)無線(xian)一體化(hua),支持對有線用(yong)戶的接入(ru)認證、訪問(wen)控制、流量管理(li)、上網行(xing)為審計等,
并提供(gong)統一(yi)中文Web管(guan)理界面,一站(zhan)式服務,極(ji)大的降低(di)網絡(luo)建設成本。
網絡分(fen)權分(fen)級管理(li):
分配(pei)不同的管(guan)理員分別管(guan)理各(ge)自權(quan)限區(qū)(qu)域的(de)無線(xian)AP,可以(yi)精細(xi)到對某AP分組有(you)管理權(quan)限,該管理員(yuan)可以(yi)在該AP分組上建(jian)立無線網(wang)絡,能夠激活、刪(shan)除接(jie)入點,能(neng)夠對AP的配置進(jin)行編輯(ji)修改(gai)。
可指定(ding)管理員針對每(mei)個頁(ye)面的編輯(ji)或可查看權限(xian),控制(zhi)粒度(du)到控制(zhi)器上的各個頁(ye)面,對某個(ge)頁面沒有讀權(quan)限則(ze)登錄時不顯示(shi)。
移動APP隨時(shi)隨地運維(wei)管理(li):
支持跨互(hu)聯網運維管理(li)
登陸APP進行(xing)維護管理:不(bu)同管理(li)員,不同權(quan)限
查看網絡(luo)運行情況(kuang):在線(xian)用戶(hu)、在線AP數量(liang)、實時(shi)流量
無線網(wang)絡管理維(wei)護:開(kai)啟關(guan)閉SSID、終端綁定審(shen)批、二維(wei)碼上網(wang)審核(he)
故障、審批實時(shi)通知:AP離線(xian)警告、服(fu)務器離線警(jing)告、網絡(luo)攻擊告(gao)警
方案優(yōu)勢:
1、最豐富(fu)的無線(xian)安全機制(zhi),提供從(cong)安全接入(ru)到安(an)全上網等端到(dao)端的安全策略(lve)
2、合理管(guan)控工作(zuo)人員上網行為(wei),提升工作效率(lv)、防止帶寬(kuan)浪費,有線(xian)無線(xian)雙重管(guan)控
3、為會(hui)議室,報(bao)告廳等人員密(mi)集區(qū)域接(jie)入網絡(luo)提高保證,解(jie)決有(you)線網口(kou)不足的問題;
4、為企業(yè)員(yuan)工的移動辦公(gong)提供支(zhi)撐,內部(bu)員工可(ke)通過無(wu)線網絡(luo)隨時(shi)安全接入內(nei)部網絡,實現(xian)辦公;
5、內部員(yuan)工賬號及(ji)個人信息綁定(ding),便于(yu)安全管理;
6、內部員工可通(tong)過自己的辦公(gong)設備(bei)在企(qi)業(yè)大樓內快(kuai)速移(yi)動辦(ban)公,網(wang)絡接(jie)入更快速(su),上網(wang)行為管(guan)理系統(tong)對員工(gong)上網行為進(jin)行審計與(yu)管控
7、來訪客戶接(jie)入企業(yè)網絡,可(ke)根據不同需(xu)求,分配(pei)不同的上網(wang)權限(xian),保證了接(jie)入的安全性(xing)同時提升群(qun)眾上網的(de)體驗
8、豐富的認證機(ji)制,滿足組織(zhi)對無線網絡(luo)安全、快速接入(ru)
9、投資成本低,通(tong)過部署(shu)無線控制器替(ti)換原有(you)網絡的出口路(lu)由、行為(wei)管理以及(ji)無線控制器(qi)