?
大型企業(yè)(ye)在無(wu)線網(wǎng)絡(luò)建設(shè)期(qi)間要充分(fen)考慮訪客(領(lǐng)導(dǎo)(dao)、客戶、合作伙(huo)伴)接入(ru)網(wǎng)絡(luò)的需求(qiu)。首先從安全性(xing)考慮(lv),訪客(ke)網(wǎng)絡(luò)必須要(yao)和辦公(gong)網(wǎng)絡(luò)分開��,訪客(ke)網(wǎng)絡(luò)(luo)單獨(du)提供給訪(fang)客使用(yong)����。從用(yong)戶體驗角度考(kao)慮����,訪客接(jie)入網(wǎng)絡(luò)的驗證(zheng)方式一(yi)定要做(zuo)到簡單(dan)易行(xing),繁瑣的驗(yan)證方式(shi)會降低訪客對(dui)企業(yè)的(de)整體印象����。同(tong)時對于訪(fang)客網(wǎng)絡(luò)(luo),企業(yè)還(hai)需要建立(li)完善的(de)網(wǎng)絡(luò)安(an)全管理機(ji)制��,避免由于訪(fang)客的網(wǎng)(wang)絡(luò)不良訪問(wen)給企業(yè)帶(dai)來的法律風(feng)險��。對于(yu)企業(yè)員(yuan)工移動(dong)辦公上網(wǎng)����,更(geng)需要做到(dao)可管控,上(shang)網(wǎng)行為做到可(ke)追溯��,企業(yè)有效(xiao)的帶寬資(zi)源得(de)到合(he)理的分配(pei)和保(bao)證,才能使企業(yè)(ye)的業(yè)務(wù)系(xi)統(tǒng)正(zheng)常且穩(wěn)定高(gao)效地運行��,同時(shi)保證企業(yè)信息(xi)安全(quan)��,避免機密信(xin)息泄(xie)露��。
存在的問(wen)題(用戶需求(qiu))
1�、接入不安(an)全:缺乏安全可(ke)靠的認證(zheng)機制(zhi),企業(yè)(ye)無線網(wǎng)絡(luò)接(jie)入不安全(quan)
2�、上網(wǎng)權(quán)(quan)限混亂:缺乏(fa)有效的控制策(ce)略,員工上網(wǎng)(wang)權(quán)限不分明
3����、數(shù)據(jù)(ju)信息安全:缺(que)乏有效的數(shù)據(jù)(ju)加密機制,企業(yè)(ye)數(shù)據(jù)被(bei)黑客竊取篡改(gai)
4����、無線信號(hao)差:AP性能不佳(jia),上網(wǎng)(wang)總掉線,點位(wei)規(guī)劃不(bu)合理,信號盲區(qū)(qu)多
5��、漫游效果差:不(bu)能實現(xiàn)(xian)二三層(ceng)漫游,移(yi)動辦(ban)公時��,業(yè)務(wù)中斷(duan)
解決方案:
結(jié)合用戶無(wu)線網(wǎng)絡(luò)需求(qiu)情況����,結(jié)合產(chǎn)(chan)品自身(shen)技術(shù)特(te)點��,為了滿(man)足用戶構(gòu)建(jian)一個高速����、穩(wěn)定(ding)�、安全(quan)�、可靠、易于管理(li)的無線接入(ru)網(wǎng)絡(luò)(luo)的需求(qiu)����,本設(shè)計方案(an)按照AP+AC的(de)結(jié)構(gòu)化(hua)無線網(wǎng)絡(luò)解決(jue)方案進行設(shè)計(ji)。具體設(shè)(she)計為在總部設(shè)(she)置總(zong)部AC,在(zai)大型分支機(ji)構(gòu)設(shè)置(zhi)分支AC與分支AP����,中(zhong)型分支機構(gòu)設(shè)(she)計二級(ji),三級交換機����,分(fen)支AP。小微型分(fen)支機構(gòu)(gou)直接(jie)設(shè)置分(fen)支AP����?�?偛緼C可(ke)以對大型分支(zhi)機構(gòu)的AC進(jin)行管(guan)理�,當(dang)網(wǎng)點控制器采(cai)用集中管(guan)理的模式進入(ru)到中(zhong)心端控(kong)制器(qi)時����,會自(zi)動下載中(zhong)心端的公共配(pei)置,比如(ru)IP組�、MAC地址庫、時(shi)間計劃����、角(jiao)色授權(quán)、認證(zheng)頁面等 ����。總(zong)部AC也可以直(zhi)接管理中小(xiao)型分支機(ji)構(gòu)的分支AP��,實現(xiàn)(xian)統(tǒng)一(yi)管理�。
方案設(shè)(she)計:
安全無線(xian)整體(ti)解決(jue)方案:
接入前&接(jie)入時進行(xing)身份認證、安(an)全無(wu)線網(wǎng)(wang)卡�、賬號綁定(ding)(硬件(jian)碼+手機號),非法(fa)熱點檢測(ce)及防(fang)御�、網(wǎng)絡(luò)(luo)攻擊防護、射頻(pin)定時關(guān)(guan)閉及安全加固(gu)。
接入后&上(shang)網(wǎng)時進(jin)行訪問權(quán)限(xian)控制����。
上網(wǎng)后進行上(shang)網(wǎng)行為記(ji)錄。
上網(wǎng)用(yong)戶身份(fen)實名認證(zheng):
無線辦公網(wǎng)采(cai)用802.1X/Portal/WAPI認(ren)證�,外置AAA和RADIUS+AD用(yong)于存儲用(yong)戶賬號密碼。
每個(ge)賬號對應(yīng)(ying)一個(ge)員工����,包括(kuo)姓名、部門(men)����、性別以(yi)及身份證(zheng)��、手機號等個(ge)人信息����,保(bao)證每(mei)個上網(wǎng)(wang)的賬(zhang)號都(dou)是可尋(xun)的,便于(yu)安全管理��。
用戶(hu)輸入賬號密(mi)碼上網(wǎng)驗證時(shi)均采(cai)用加密傳輸��,防(fang)止黑(hei)客空中攔(lan)截�,竊取賬(zhang)號密碼(ma)等數(shù)據(jù)。
上網(wǎng)賬號自(zi)動綁(bang)定終端:
自動(dong)將賬號與終端(duan)的硬件特(te)征碼進行(xing)綁定,防止賬號(hao)被他人使(shi)用或(huo)者被(bei)盜用��。
每臺設(shè)(she)備的硬件特征(zheng)碼是(shi)唯一的�,無法通(tong)過軟件修改。即(ji)使通過(guo)軟件修改了仍(reng)然可以識別原(yuan)始的��。
每個賬號(hao)最多可(ke)以綁定(ding)5臺終(zhong)端����,超過1臺(tai)時需要管(guan)理員審核(he)。
上網(wǎng)賬(zhang)號二(er)次綁定手(shou)機號(hao)碼:
賬號(hao)首次登陸(lu)時需要綁(bang)定手機號并輸(shu)入短信驗證碼(ma)��,當用戶(hu)賬號在新終端(duan)登陸時(換終(zhong)端/被(bei)他用(yong)/被盜)��,不僅需(xu)要輸入密碼(ma)�,還需要輸入短(duan)信驗證(zheng)碼,解決員(yuan)工賬號認(ren)證的安全問(wen)題
綁定(ding)手機(ji)號碼的用戶(hu)�,可以自(zi)助重置(zhi)密碼和修改(gai)密碼,無(wu)需通(tong)過IT管理員��。
用戶密(mi)碼管(guan)理及(ji)自助修(xiu)改:
無需通過管理(li)員即可(ke)修改(gai)密碼����,提高效(xiao)率及減輕管(guan)理員工作壓力(li)。
通過口袋(dai)助理����、釘釘(ding)�、企業(yè)號等(deng)手機MOA類APP軟件進(jin)行無線密(mi)碼修(xiu)改��。
若賬號綁定(ding)了手機(ji)號碼��,可(ke)通過手機驗證(zheng)碼自(zi)助修(xiu)改��。
上網(wǎng)終(zhong)端合法效驗(yan):
采用安全無線(xian)網(wǎng)卡接(jie)入無線網(wǎng)絡(luò)(luo)��,終端與AP熱點的(de)雙向驗證(zheng)����,提高安全性(xing)。
可以將無線(xian)網(wǎng)絡(luò)設(shè)置(zhi)為只有(you)安裝了(le)安全無線網(wǎng)(wang)卡的終端(duan)才能接入無線(xian)網(wǎng)絡(luò)��。
支持設(shè)(she)置安(an)全無線(xian)網(wǎng)卡只能連(lian)指定(ding)SSID無線網(wǎng)絡(luò)����,無(wu)法連(lian)接非授權(quán)SSID�。
網(wǎng)卡與AP數(shù)據(jù)傳(chuan)輸時自(zi)動進行數(shù)(shu)據(jù)加密,保證無(wu)線的空(kong)口安全����。
無線熱點掃(sao)描及(ji)非法熱點(dian)抑制:
背景:黑客(ke)在附(fu)近搭建一個一(yi)模一樣或(huo)者類似的(de)WIFI名稱,誘使用(yong)戶連到虛假(jia)釣魚WIFI上,黑(hei)客利用分析軟(ruan)件從(cong)用戶上網(wǎng)產(chǎn)生(sheng)的數(shù)(shu)據(jù)包中分析(xi)提取用(yong)戶隱私(si)信息�。
我們通過WIPS無(wu)線入侵防御(yu)系統(tǒng)實(shi)時檢測周圍無(wu)線信號,當檢測(ce)出來的信(xin)號BSSID����、且AP源MAC地址(zhi)不在授權(quán)列表(biao)中時,我(wo)們向?qū)?yīng)的(de)AP和終(zhong)端發(fā)(fa)送解除關(guān)聯(lián)幀(zhen)��,讓終端無法(fa)連上釣(diao)魚WIFI��。7×24小時不(bu)間斷監(jiān)測網(wǎng)絡(luò)(luo)��。
上網(wǎng)行為嚴(yan)格控(kong)制:
強大的管(guan)理:通過應(yīng)(ying)用識(shi)別技術(shù)�,可(ke)以根據(jù)應(yīng)(ying)用類型(xing)或者具(ju)體某(mou)一種(zhong)應(yīng)用進(jin)行封堵,包括(kuo)視頻�、論壇、游戲(xi)�、金融(rong)、下載等(deng)2400多種網(wǎng)絡(luò)應(yīng)(ying)用��。
通過應(yīng)用識別(bie)技術(shù)�,可(ke)以根據(jù)應(yīng)用類(lei)型或者(zhe)具體(ti)某一(yi)種應(yīng)用進行封(feng)堵,比如上班(ban)時間不(bu)允許炒(chao)股��,不允許P2P下載(zai)��,不允許外(wai)發(fā)敏感文件等(deng); 支持主(zhu)流移動平臺�,可(ke)識別IM、社交(jiao)�、Mail、新聞(wen)�、炒股等應(yīng)用(yong)。
無線控制器(qi)內(nèi)置(zhi)千萬(wan)級別的(de)URL分類(lei)庫��,能夠(gou)對URL進行識別��,包(bao)含新聞(wen)����、購物(wu)、金融����、教育等(deng)18個種類的URL地(di)址; 準確識(shi)別目前主流網(wǎng)(wang)站�,識別率高達(da)99.9%,有效實現(xiàn)(xian)網(wǎng)頁(ye)過濾����。例如(ru)禁止登陸非法(fa)網(wǎng)站
通過基于時(shi)間段的訪問控(kong)制策(ce)略��,實現(xiàn)不同(tong)的時間段不同(tong)的訪問權(quán)(quan)限,比(bi)如上班時間�,禁(jin)止訪問網(wǎng)(wang)上銀(yin)行、游戲�、論壇貼(tie)吧等(deng)與工(gong)作無關(guān)的(de)應(yīng)用,下班時(shi)間則不受限制(zhi)����。
辦公區(qū)(qu)域內(nèi),不(bu)同辦公(gong)部門總會有各(ge)自專屬的無(wu)線網(wǎng)絡(luò)��,并(bing)且不希(xi)望部門之外(wai)的成員使用(yong)這個網(wǎng)絡(luò)����。無線(xian)網(wǎng)絡(luò)控制器可(ke)以根(gen)據(jù)用(yong)戶的屬性(xing),限制禁止非(fei)本部門的(de)用戶接入(ru)��。
典型無(wu)線網(wǎng)絡(luò)攻擊防(fang)護:
對典型(xing)的危險攻(gong)擊行為進(jin)行檢測��,當超過(guo)設(shè)定的(de)閾值后自(zi)動將攻擊者加(jia)入到黑名單中(zhong)�,并凍結(jié)一(yi)定時間,即(ji)時發(fā)現(xiàn)網(wǎng)(wang)絡(luò)攻擊并進(jin)行防御����。
檢測的攻擊(ji)包括(kuo):DDOS防御、ARP掃描����、IP掃(sao)描��、端口掃描(miao)防御����,禁止(zhi)客戶端(duan)私設(shè)(she)IP以及ARP��、網(wǎng)(wang)關(guān)欺騙(pian)防御����、DHCP請求泛洪(hong)防御。
無線射頻定時(shi)關(guān)閉開啟:
通過射頻關(guān)閉(bi)控制策略����,可以(yi)指定某SSID網(wǎng)(wang)絡(luò),定時(shi)自動關(guān)閉和(he)開啟(qi)無線網(wǎng)(wang)絡(luò)的射頻信號(hao)����,晚上下班(ban)后自動關(guān)(guan)閉無線射頻(pin)信號。
一方面可(ke)以節(jié)能減排(pai)��、節(jié)省電(dian)費支出����;另一(yi)方面(mian)又能防止非法(fa)用戶利用深夜(ye)時間(jian)入侵(qin)無線網(wǎng)絡(luò),做一(yi)些非(fei)法的操作��。
有線無線(xian)一體化管(guan)理:
NAC的有線(xian)無線一體化����,支(zhi)持對有線用戶(hu)的接(jie)入認證、訪(fang)問控制(zhi)��、流量管(guan)理����、上網(wǎng)行(xing)為審計(ji)等,
并提供統(tǒng)一(yi)中文Web管(guan)理界面��,一(yi)站式(shi)服務(wù)(wu)��,極大的降低網(wǎng)(wang)絡(luò)建設(shè)成本(ben)��。
網(wǎng)絡(luò)分(fen)權(quán)分(fen)級管理:
分配不(bu)同的管理員(yuan)分別管理各(ge)自權(quán)限區(qū)域的(de)無線AP����,可以精細(xi)到對(dui)某AP分組(zu)有管理權(quán)限,該(gai)管理(li)員可以在(zai)該AP分組(zu)上建(jian)立無(wu)線網(wǎng)絡(luò)����,能夠(gou)激活��、刪除(chu)接入點�,能(neng)夠?qū)P的配(pei)置進行編輯修(xiu)改����。
可指定管理員(yuan)針對每個頁面(mian)的編輯或(huo)可查看權(quán)限,控(kong)制粒度(du)到控(kong)制器上(shang)的各個頁面��,對(dui)某個頁面沒有(you)讀權(quán)(quan)限則登錄(lu)時不顯示(shi)�。
移動APP隨(sui)時隨(sui)地運(yun)維管理(li):
支持跨互聯(lián)網(wǎng)(wang)運維管理
登陸APP進(jin)行維護管理(li):不同管理員(yuan),不同權(quán)限
查看網(wǎng)絡(luò)運行(xing)情況:在線(xian)用戶(hu)����、在線AP數(shù)量、實(shi)時流量
無線網(wǎng)絡(luò)管(guan)理維護:開啟(qi)關(guān)閉SSID����、終端綁(bang)定審(shen)批、二維碼上網(wǎng)(wang)審核
故障��、審(shen)批實(shi)時通知:AP離線(xian)警告�、服務(wù)器(qi)離線警告、網(wǎng)絡(luò)(luo)攻擊(ji)告警
方案優(yōu)(you)勢:
1��、最豐(feng)富的無線(xian)安全機制(zhi),提供從安全接(jie)入到安全上網(wǎng)(wang)等端(duan)到端的安(an)全策略
2��、合理管控工(gong)作人(ren)員上網(wǎng)行(xing)為�,提升工作效(xiao)率、防(fang)止帶寬浪費��,有(you)線無線雙重管(guan)控
3����、為會議室����,報告(gao)廳等人(ren)員密集區(qū)域(yu)接入網(wǎng)絡(luò)(luo)提高保證,解(jie)決有(you)線網(wǎng)口不(bu)足的問題�;
4、為企(qi)業(yè)員工的(de)移動(dong)辦公提供支(zhi)撐��,內(nèi)部員(yuan)工可通過無(wu)線網(wǎng)絡(luò)隨(sui)時安(an)全接入內(nèi)(nei)部網(wǎng)絡(luò)��,實現(xiàn)辦(ban)公����;
5、內(nèi)部員工賬(zhang)號及個人信息(xi)綁定����,便于安(an)全管理�;
6����、內(nèi)部員(yuan)工可(ke)通過(guo)自己的(de)辦公設(shè)(she)備在企業(yè)大(da)樓內(nèi)快速(su)移動辦公(gong),網(wǎng)絡(luò)接入更(geng)快速�,上網(wǎng)行(xing)為管理系統(tǒng)(tong)對員工上(shang)網(wǎng)行為(wei)進行(xing)審計與(yu)管控
7、來訪(fang)客戶接(jie)入企業(yè)網(wǎng)絡(luò)(luo)����,可根據(jù)不(bu)同需求,分配(pei)不同的上(shang)網(wǎng)權(quán)限(xian)��,保證了(le)接入的(de)安全性(xing)同時提升(sheng)群眾(zhong)上網(wǎng)(wang)的體驗
8�、豐富(fu)的認證機制,滿(man)足組織對無(wu)線網(wǎng)絡(luò)安全(quan)����、快速接入
9、投資成(cheng)本低��,通過(guo)部署無線控(kong)制器替換(huan)原有網(wǎng)絡(luò)的出(chu)口路由�、行(xing)為管理以及(ji)無線控制器
