?
大型企(qi)業(yè)在無線網(wǎng)(wang)絡(luò)建設(shè)(she)期間要(yao)充分考慮(lv)訪客(ke)(領(lǐng)導(dǎo)�、客(ke)戶�����、合作伙伴)接(jie)入網(wǎng)絡(luò)的需求(qiu)�����。首先從安(an)全性考慮���,訪(fang)客網(wǎng)絡(luò)(luo)必須要和(he)辦公(gong)網(wǎng)絡(luò)分開�����,訪客(ke)網(wǎng)絡(luò)單獨(dú)(du)提供(gong)給訪客使用�����。從(cong)用戶體驗(yàn)(yan)角度考慮�����,訪客(ke)接入網(wǎng)絡(luò)(luo)的驗(yàn)證方式一(yi)定要做到簡(jian)單易行(xing)�����,繁瑣(suo)的驗(yàn)(yan)證方式會(huì)降(jiang)低訪客(ke)對企業(yè)的整(zheng)體印(yin)象�����。同時(shí)對于訪(fang)客網(wǎng)絡(luò)�,企業(yè)(ye)還需(xu)要建立(li)完善的網(wǎng)(wang)絡(luò)安全管理(li)機(jī)制,避(bi)免由于訪客的(de)網(wǎng)絡(luò)不良訪(fang)問給(gei)企業(yè)帶來的法(fa)律風(fēng)險(xiǎn)�。對于(yu)企業(yè)員(yuan)工移(yi)動(dòng)辦(ban)公上(shang)網(wǎng),更需要(yao)做到可管控�����,上(shang)網(wǎng)行為做到可(ke)追溯�,企業(yè)有效(xiao)的帶(dai)寬資源得到合(he)理的分(fen)配和保證,才(cai)能使企(qi)業(yè)的(de)業(yè)務(wù)系統(tǒng)(tong)正常且穩(wěn)(wen)定高效(xiao)地運(yùn)行���,同時(shí)(shi)保證(zheng)企業(yè)(ye)信息安全�,避(bi)免機(jī)密(mi)信息泄露(lu)。
存在的問題(ti)(用戶需(xu)求)
1�、接入不安(an)全:缺乏安(an)全可(ke)靠的認(rèn)(ren)證機(jī)(ji)制,企業(yè)(ye)無線網(wǎng)絡(luò)接(jie)入不(bu)安全
2���、上網(wǎng)權(quán)限混(hun)亂:缺乏有(you)效的控(kong)制策略,員(yuan)工上網(wǎng)權(quán)(quan)限不(bu)分明
3�、數(shù)據(jù)信(xin)息安(an)全:缺乏(fa)有效的(de)數(shù)據(jù)加密機(jī)(ji)制,企業(yè)數(shù)(shu)據(jù)被(bei)黑客(ke)竊取篡改
4���、無線信號差(cha):AP性能不佳�,上網(wǎng)(wang)總掉線���,點(diǎn)(dian)位規(guī)(gui)劃不合理���,信(xin)號盲區(qū)多
5、漫游效果差(cha):不能實(shí)現(xiàn)二三(san)層漫游(you)���,移動(dòng)辦公(gong)時(shí)���,業(yè)務(wù)中斷
解決方(fang)案:
結(jié)合用戶(hu)無線網(wǎng)絡(luò)(luo)需求情況�,結(jié)(jie)合產(chǎn)品自身(shen)技術(shù)(shu)特點(diǎn),為(wei)了滿(man)足用戶構(gòu)建(jian)一個(gè)高速�、穩(wěn)(wen)定、安全(quan)����、可靠����、易于(yu)管理的無(wu)線接入(ru)網(wǎng)絡(luò)的需求,本(ben)設(shè)計(jì)方案按照(zhao)AP+AC的結(jié)構(gòu)化(hua)無線網(wǎng)絡(luò)解決(jue)方案(an)進(jìn)行設(shè)計(jì)(ji)�。具體設(shè)(she)計(jì)為在(zai)總部設(shè)(she)置總部AC,在大型(xing)分支機(jī)構(gòu)(gou)設(shè)置分(fen)支AC與分支AP,中(zhong)型分支機(jī)構(gòu)(gou)設(shè)計(jì)二級�����,三級(ji)交換機(jī)�����,分(fen)支AP�。小微(wei)型分支機(jī)構(gòu)直(zhi)接設(shè)置分(fen)支AP?��?偛?bu)AC可以對大(da)型分支(zhi)機(jī)構(gòu)的AC進(jìn)行管(guan)理����,當(dāng)網(wǎng)點(diǎn)(dian)控制器采用集(ji)中管理的模式(shi)進(jìn)入到(dao)中心端(duan)控制器時(shí),會(huì)(hui)自動(dòng)下載中(zhong)心端的(de)公共配置�,比如(ru)IP組、MAC地址庫(ku)����、時(shí)間(jian)計(jì)劃、角色授權(quán)(quan)��、認(rèn)證頁面(mian)等 ����??偛緼C也可(ke)以直接管理中(zhong)小型分支機(jī)(ji)構(gòu)的(de)分支AP,實(shí)(shi)現(xiàn)統(tǒng)(tong)一管理�����。
方案設(shè)計(jì):
安全無線整(zheng)體解決方案:
接入前&接入時(shí)(shi)進(jìn)行(xing)身份認(rèn)證(zheng)�、安全無(wu)線網(wǎng)卡、賬號綁(bang)定(硬(ying)件碼+手(shou)機(jī)號(hao))�����,非法(fa)熱點(diǎn)(dian)檢測(ce)及防(fang)御、網(wǎng)絡(luò)(luo)攻擊防護(hù)(hu)��、射頻定時(shí)(shi)關(guān)閉及安(an)全加固(gu)���。
接入后(hou)&上網(wǎng)時(shí)進(jìn)行訪(fang)問權(quán)(quan)限控制��。
上網(wǎng)(wang)后進(jìn)行(xing)上網(wǎng)行(xing)為記(ji)錄�。
上網(wǎng)用(yong)戶身份實(shí)(shi)名認(rèn)證:
無線辦(ban)公網(wǎng)采用(yong)802.1X/Portal/WAPI認(rèn)證��,外置AAA和(he)RADIUS+AD用于存儲(chǔ)用戶(hu)賬號密碼(ma)���。
每個(gè)賬(zhang)號對應(yīng)一個(gè)(ge)員工�����,包括(kuo)姓名(ming)�、部門(men)�����、性別(bie)以及身份(fen)證�����、手機(jī)號等(deng)個(gè)人信息(xi),保證(zheng)每個(gè)上(shang)網(wǎng)的賬(zhang)號都是(shi)可尋(xun)的���,便(bian)于安(an)全管理(li)�。
用戶(hu)輸入賬(zhang)號密碼上(shang)網(wǎng)驗(yàn)證(zheng)時(shí)均采(cai)用加(jia)密傳輸(shu)�,防止黑(hei)客空中攔截,竊(qie)取賬號(hao)密碼等數(shù)據(jù)(ju)�����。
上網(wǎng)賬號自(zi)動(dòng)綁(bang)定終端(duan):
自動(dòng)將賬號(hao)與終(zhong)端的(de)硬件特征(zheng)碼進(jìn)行綁定�����,防(fang)止賬號被他(ta)人使用(yong)或者被盜用����。
每臺(tái)設(shè)(she)備的硬(ying)件特征碼是唯(wei)一的���,無法通(tong)過軟件修改(gai)�����。即使(shi)通過軟件(jian)修改(gai)了仍然可以識(shi)別原始的�����。
每個(gè)賬號(hao)最多(duo)可以綁定(ding)5臺(tái)終端(duan)����,超過1臺(tái)時(shí)需要(yao)管理(li)員審核(he)。
上網(wǎng)賬號二次(ci)綁定手機(jī)(ji)號碼:
賬號首次登(deng)陸時(shí)需要綁(bang)定手(shou)機(jī)號(hao)并輸入(ru)短信驗(yàn)(yan)證碼����,當(dāng)(dang)用戶賬號在(zai)新終端(duan)登陸時(shí)(換終端(duan)/被他用/被(bei)盜),不僅需要(yao)輸入密碼��,還需(xu)要輸入(ru)短信(xin)驗(yàn)證碼��,解決員(yuan)工賬號(hao)認(rèn)證(zheng)的安全問題(ti)
綁定手機(jī)號碼(ma)的用(yong)戶���,可以(yi)自助重(zhong)置密碼(ma)和修改密碼���,無(wu)需通過IT管(guan)理員。
用戶密(mi)碼管理及自助(zhu)修改(gai):
無需通過管理(li)員即可修(xiu)改密碼�,提高(gao)效率及(ji)減輕管理(li)員工作(zuo)壓力。
通過口袋助理(li)���、釘釘���、企業(yè)號(hao)等手(shou)機(jī)MOA類APP軟件進(jìn)行(xing)無線密碼(ma)修改����。
若賬號綁(bang)定了手機(jī)號碼(ma)��,可通過手機(jī)驗(yàn)(yan)證碼自助修(xiu)改�。
上網(wǎng)(wang)終端合法效(xiao)驗(yàn):
采用安全(quan)無線網(wǎng)(wang)卡接入(ru)無線網(wǎng)絡(luò),終端(duan)與AP熱點(diǎn)的雙向(xiang)驗(yàn)證����,提高(gao)安全性。
可以將無線網(wǎng)(wang)絡(luò)設(shè)置為只(zhi)有安裝了(le)安全無線網(wǎng)(wang)卡的終端(duan)才能接入無線(xian)網(wǎng)絡(luò)����。
支持設(shè)置安(an)全無線網(wǎng)卡(ka)只能連(lian)指定SSID無線網(wǎng)絡(luò)(luo),無法連(lian)接非授權(quán)(quan)SSID�。
網(wǎng)卡與AP數(shù)(shu)據(jù)傳輸時(shí)自動(dòng)(dong)進(jìn)行數(shù)據(jù)加密(mi),保證無線的空(kong)口安全���。
無線(xian)熱點(diǎn)掃描及(ji)非法熱點(diǎn)抑(yi)制:
背景:黑客在附(fu)近搭建一個(gè)一(yi)模一樣或者類(lei)似的WIFI名稱,誘(you)使用戶(hu)連到虛(xu)假釣(diao)魚WIFI上���,黑客利(li)用分析軟(ruan)件從用戶上網(wǎng)(wang)產(chǎn)生的(de)數(shù)據(jù)包(bao)中分析提取(qu)用戶隱(yin)私信息�。
我們通過(guo)WIPS無線入侵防御(yu)系統(tǒng)(tong)實(shí)時(shí)檢測周(zhou)圍無線信號(hao),當(dāng)檢測出來(lai)的信(xin)號BSSID��、且AP源(yuan)MAC地址不在(zai)授權(quán)列(lie)表中時(shí)����,我們(men)向?qū)?yīng)的AP和(he)終端發(fā)送解(jie)除關(guān)聯(lián)(lian)幀,讓終端無(wu)法連上釣魚(yu)WIFI���。7×24小時(shí)不(bu)間斷監(jiān)測網(wǎng)(wang)絡(luò)���。
上網(wǎng)行為嚴(yán)格(ge)控制:
強(qiáng)大(da)的管理:通過(guo)應(yīng)用識別技術(shù)(shu),可以(yi)根據(jù)應(yīng)用類型(xing)或者具體(ti)某一種應(yīng)用(yong)進(jìn)行(xing)封堵�����,包括視頻(pin)���、論壇�����、游戲�、金融(rong)、下載等2400多種(zhong)網(wǎng)絡(luò)應(yīng)用�����。
通過(guo)應(yīng)用(yong)識別技術(shù)(shu)����,可以根(gen)據(jù)應(yīng)用(yong)類型或者(zhe)具體某(mou)一種(zhong)應(yīng)用進(jìn)行封堵(du),比如(ru)上班時(shí)間不(bu)允許炒股�,不(bu)允許P2P下載,不允(yun)許外發(fā)敏(min)感文件等(deng)�; 支持(chi)主流移動(dòng)(dong)平臺(tái),可識別IM�、社(she)交、Mail��、新(xin)聞��、炒股等(deng)應(yīng)用�����。
無線控制(zhi)器內(nèi)置千萬級(ji)別的(de)URL分類庫(ku)���,能夠?qū)RL進(jìn)(jin)行識(shi)別�,包含新聞���、購(gou)物�、金融�、教(jiao)育等(deng)18個(gè)種(zhong)類的URL地址; 準(zhǔn)確(que)識別目前主流(liu)網(wǎng)站�����,識別(bie)率高達(dá)99.9%����,有效(xiao)實(shí)現(xiàn)網(wǎng)頁(ye)過濾(lv)。例如(ru)禁止(zhi)登陸非法(fa)網(wǎng)站
通過基于時(shí)(shi)間段的(de)訪問控制(zhi)策略�,實(shí)(shi)現(xiàn)不同的時(shí)(shi)間段不同(tong)的訪問權(quán)限,比(bi)如上班時(shí)(shi)間�����,禁止訪問(wen)網(wǎng)上銀(yin)行��、游戲(xi)�����、論壇(tan)貼吧(ba)等與工作無關(guān)(guan)的應(yīng)用,下班(ban)時(shí)間則不受限(xian)制����。
辦公區(qū)域(yu)內(nèi),不(bu)同辦公(gong)部門總會(huì)(hui)有各(ge)自專屬的(de)無線網(wǎng)絡(luò)���,并(bing)且不希(xi)望部門之外(wai)的成(cheng)員使用這(zhe)個(gè)網(wǎng)絡(luò)����。無線(xian)網(wǎng)絡(luò)控制器(qi)可以根(gen)據(jù)用戶(hu)的屬性��,限(xian)制禁(jin)止非本部門(men)的用戶接入(ru)�。
典型無(wu)線網(wǎng)絡(luò)(luo)攻擊防護(hù):
對典型的(de)危險(xiǎn)攻擊行(xing)為進(jìn)行檢(jian)測,當(dāng)(dang)超過設(shè)定的(de)閾值后自動(dòng)將(jiang)攻擊(ji)者加入到(dao)黑名單中�,并(bing)凍結(jié)(jie)一定時(shí)(shi)間,即時(shí)發(fā)現(xiàn)(xian)網(wǎng)絡(luò)攻擊并進(jìn)(jin)行防御(yu)�����。
檢測的攻擊包(bao)括:DDOS防御���、ARP掃描���、IP掃(sao)描����、端口(kou)掃描(miao)防御���,禁(jin)止客戶端私(si)設(shè)IP以及ARP、網(wǎng)關(guān)(guan)欺騙防御�、DHCP請求(qiu)泛洪防(fang)御。
無線射(she)頻定(ding)時(shí)關(guān)閉開啟:
通過(guo)射頻關(guān)(guan)閉控制(zhi)策略�����,可以指定(ding)某SSID網(wǎng)(wang)絡(luò)�,定時(shí)自動(dòng)(dong)關(guān)閉(bi)和開啟無線網(wǎng)(wang)絡(luò)的射頻信(xin)號,晚(wan)上下(xia)班后(hou)自動(dòng)關(guān)閉無(wu)線射頻信(xin)號��。
一方面(mian)可以節(jié)能(neng)減排��、節(jié)省電費(fèi)(fei)支出��;另一(yi)方面又(you)能防止(zhi)非法用(yong)戶利用深夜(ye)時(shí)間入侵無(wu)線網(wǎng)(wang)絡(luò)�,做一些非(fei)法的操作(zuo)。
有線無線一體(ti)化管理:
NAC的有線無線(xian)一體化���,支(zhi)持對有線用戶(hu)的接(jie)入認(rèn)證�����、訪問(wen)控制(zhi)��、流量(liang)管理(li)��、上網(wǎng)行(xing)為審計(jì)等�����,
并提供統(tǒng)(tong)一中文Web管理(li)界面�����,一站式(shi)服務(wù)��,極大(da)的降低網(wǎng)絡(luò)建(jian)設(shè)成本���。
網(wǎng)絡(luò)分(fen)權(quán)分級管理(li):
分配不同的(de)管理員分別管(guan)理各自權(quán)限(xian)區(qū)域的無(wu)線AP���,可以精細(xì)(xi)到對某(mou)AP分組有管理權(quán)(quan)限,該管(guan)理員(yuan)可以在該AP分組(zu)上建立無線(xian)網(wǎng)絡(luò)�����,能夠(gou)激活(huo)、刪除接入點(diǎn)(dian)���,能夠?qū)P的(de)配置進(jìn)行(xing)編輯修改��。
可指定管理(li)員針對每個(gè)(ge)頁面的(de)編輯或可查看(kan)權(quán)限�����,控制粒度(du)到控制器上(shang)的各個(gè)頁面(mian),對某個(gè)頁(ye)面沒(mei)有讀權(quán)限則(ze)登錄時(shí)不顯示(shi)�����。
移動(dòng)APP隨時(shí)隨地(di)運(yùn)維(wei)管理:
支持跨(kua)互聯(lián)網(wǎng)運(yùn)維管(guan)理
登陸APP進(jìn)行(xing)維護(hù)(hu)管理:不同管理(li)員����,不同權(quán)限(xian)
查看網(wǎng)(wang)絡(luò)運(yùn)行情況(kuang):在線(xian)用戶�、在線AP數(shù)(shu)量、實(shí)時(shí)(shi)流量
無線網(wǎng)絡(luò)(luo)管理維(wei)護(hù):開啟關(guān)閉SSID�、終(zhong)端綁定(ding)審批(pi)����、二維碼(ma)上網(wǎng)審(shen)核
故障�、審批(pi)實(shí)時(shí)(shi)通知(zhi):AP離線警(jing)告���、服(fu)務(wù)器離線(xian)警告��、網(wǎng)(wang)絡(luò)攻擊告警(jing)
方案優(yōu)勢:
1、最豐富(fu)的無線安(an)全機(jī)制(zhi)�����,提供從安(an)全接入到安(an)全上網(wǎng)等(deng)端到端的(de)安全策略
2�����、合理管控(kong)工作(zuo)人員上(shang)網(wǎng)行為��,提(ti)升工作效(xiao)率�����、防止(zhi)帶寬浪(lang)費(fèi)�����,有(you)線無線雙重(zhong)管控
3�����、為會(huì)議室(shi)����,報(bào)告廳等(deng)人員密集(ji)區(qū)域接入網(wǎng)絡(luò)(luo)提高保(bao)證,解決有線網(wǎng)(wang)口不足的(de)問題�;
4、為企業(yè)員(yuan)工的移(yi)動(dòng)辦公提供支(zhi)撐����,內(nèi)部(bu)員工可通(tong)過無線(xian)網(wǎng)絡(luò)隨時(shí)(shi)安全接(jie)入內(nèi)部網(wǎng)(wang)絡(luò)��,實(shí)現(xiàn)(xian)辦公���;
5�����、內(nèi)部員工賬號(hao)及個(gè)(ge)人信息(xi)綁定�,便于安(an)全管理;
6��、內(nèi)部員工可通(tong)過自己的(de)辦公設(shè)備在企(qi)業(yè)大樓(lou)內(nèi)快速(su)移動(dòng)辦公���,網(wǎng)(wang)絡(luò)接(jie)入更快(kuai)速�����,上網(wǎng)行為(wei)管理系統(tǒng)對員(yuan)工上(shang)網(wǎng)行為進(jìn)(jin)行審(shen)計(jì)與(yu)管控
7���、來訪客(ke)戶接入企(qi)業(yè)網(wǎng)絡(luò),可根據(jù)(ju)不同(tong)需求����,分配不同(tong)的上網(wǎng)權(quán)(quan)限,保(bao)證了(le)接入的(de)安全性同時(shí)(shi)提升群眾上(shang)網(wǎng)的體驗(yàn)
8��、豐富的認(rèn)證(zheng)機(jī)制(zhi)��,滿足(zu)組織對無(wu)線網(wǎng)絡(luò)安(an)全����、快速接入
9、投資(zi)成本低�,通過(guo)部署無線控制(zhi)器替(ti)換原有(you)網(wǎng)絡(luò)的出口路(lu)由�、行(xing)為管理以及無(wu)線控(kong)制器
