?
大型企業(yè)在無(wu)線網(wǎng)絡(luo)建設期(qi)間要(yao)充分(fen)考慮訪客(領導(dao)、客戶、合作伙伴(ban))接入網(wǎng)絡的需(xu)求�。首(shou)先從安全(quan)性考慮,訪客(ke)網(wǎng)絡必須(xu)要和辦(ban)公網(wǎng)絡分(fen)開�����,訪客網(wǎng)(wang)絡單獨提供(gong)給訪(fang)客使用���。從(cong)用戶體驗角(jiao)度考慮(lv)�,訪客接入網(wǎng)絡(luo)的驗證方(fang)式一定要做到(dao)簡單易(yi)行�,繁瑣的(de)驗證(zheng)方式(shi)會降(jiang)低訪(fang)客對企業(yè)(ye)的整(zheng)體印象。同時對(dui)于訪客網(wǎng)(wang)絡�����,企業(yè)還需要(yao)建立完(wan)善的網(wǎng)絡安全(quan)管理機制(zhi)���,避免由于(yu)訪客的網(wǎng)(wang)絡不良訪問(wen)給企業(yè)帶(dai)來的法律風險(xian)�����。對于企業(yè)員(yuan)工移動辦(ban)公上網(wǎng),更需(xu)要做到可(ke)管控���,上網(wǎng)(wang)行為做到可追(zhui)溯�,企業(yè)有(you)效的帶寬資(zi)源得(de)到合理的分(fen)配和保證,才能(neng)使企(qi)業(yè)的業(yè)務系(xi)統(tǒng)正常且穩(wěn)定(ding)高效地運行(xing)�����,同時(shi)保證企業(yè)信息(xi)安全����,避免(mian)機密(mi)信息泄露(lu)。
存在的問題(用(yong)戶需求)
1�����、接入(ru)不安(an)全:缺乏安全(quan)可靠的(de)認證機制����,企業(yè)(ye)無線(xian)網(wǎng)絡接入(ru)不安全
2、上網(wǎng)權限混亂(luan):缺乏有效的(de)控制策略�����,員工(gong)上網(wǎng)權限(xian)不分明
3����、數(shù)據(jù)信息安(an)全:缺(que)乏有效的數(shù)據(jù)(ju)加密機制�����,企(qi)業(yè)數(shù)據(jù)被黑(hei)客竊取(qu)篡改
4����、無線信號差(cha):AP性能不佳���,上網(wǎng)(wang)總掉線�����,點位(wei)規(guī)劃不(bu)合理����,信號盲(mang)區(qū)多
5�、漫游效果(guo)差:不能實(shi)現(xiàn)二(er)三層漫游,移(yi)動辦公時�,業(yè)務(wu)中斷
解決(jue)方案:
結合用(yong)戶無線(xian)網(wǎng)絡需求(qiu)情況(kuang),結合產(chǎn)品自(zi)身技(ji)術特點�����,為了(le)滿足(zu)用戶(hu)構建一(yi)個高(gao)速���、穩(wěn)(wen)定��、安全���、可(ke)靠、易于管(guan)理的無線(xian)接入網(wǎng)絡的需(xu)求���,本設計方(fang)案按照AP+AC的(de)結構化無線(xian)網(wǎng)絡(luo)解決(jue)方案進(jin)行設計��。具(ju)體設計為在(zai)總部設(she)置總部(bu)AC,在大型分支機(ji)構設置分(fen)支AC與分支(zhi)AP�,中型分支(zhi)機構(gou)設計二(er)級��,三級交換機(ji)�����,分支AP�。小微(wei)型分支(zhi)機構直接(jie)設置分支AP??偛?bu)AC可以(yi)對大型(xing)分支機構的(de)AC進行管理,當網(wǎng)(wang)點控制(zhi)器采(cai)用集中(zhong)管理的模式進(jin)入到中心(xin)端控制器(qi)時�����,會自動下(xia)載中(zhong)心端的公(gong)共配(pei)置,比(bi)如IP組�、MAC地(di)址庫、時間計(ji)劃���、角色授權�����、認(ren)證頁面等 �?��??zong)部AC也可(ke)以直接管(guan)理中小(xiao)型分(fen)支機構的(de)分支AP����,實(shi)現(xiàn)統(tǒng)一(yi)管理�����。
方案設計:
安全無線整(zheng)體解決方(fang)案:
接入(ru)前&接(jie)入時進行身份(fen)認證���、安全(quan)無線網(wǎng)(wang)卡�����、賬號綁(bang)定(硬件(jian)碼+手(shou)機號)��,非法(fa)熱點檢測及防(fang)御����、網(wǎng)絡(luo)攻擊防護�����、射(she)頻定(ding)時關閉(bi)及安全加固(gu)�����。
接入后&上(shang)網(wǎng)時進行訪(fang)問權限控制(zhi)��。
上網(wǎng)后進(jin)行上網(wǎng)行為(wei)記錄�����。
上網(wǎng)用戶身(shen)份實名認證(zheng):
無線辦公網(wǎng)(wang)采用802.1X/Portal/WAPI認證(zheng)�,外置AAA和RADIUS+AD用(yong)于存(cun)儲用戶賬(zhang)號密(mi)碼。
每個(ge)賬號對應一個(ge)員工����,包括(kuo)姓名�����、部門����、性(xing)別以(yi)及身(shen)份證(zheng)���、手機(ji)號等個(ge)人信息���,保(bao)證每個上網(wǎng)(wang)的賬(zhang)號都是可尋(xun)的,便于安全(quan)管理��。
用戶輸(shu)入賬號密碼(ma)上網(wǎng)驗證時(shi)均采用加密傳(chuan)輸���,防止(zhi)黑客空中攔(lan)截�,竊取賬號(hao)密碼等數(shù)據(jù)(ju)�。
上網(wǎng)賬號(hao)自動綁(bang)定終端:
自動將賬號(hao)與終(zhong)端的(de)硬件特征(zheng)碼進行綁定,防(fang)止賬(zhang)號被他人使(shi)用或者被盜(dao)用�。
每臺設(she)備的硬件(jian)特征碼是(shi)唯一的(de),無法通過(guo)軟件修改(gai)�����。即使通過軟(ruan)件修(xiu)改了(le)仍然可以識別(bie)原始的。
每個賬號最(zui)多可以(yi)綁定5臺終端�����,超(chao)過1臺時(shi)需要管理員(yuan)審核���。
上網(wǎng)賬號二(er)次綁定手機(ji)號碼(ma):
賬號(hao)首次登陸時(shi)需要綁定(ding)手機號并輸入(ru)短信驗證碼(ma),當用(yong)戶賬號在新(xin)終端(duan)登陸時(換終端(duan)/被他用/被盜(dao))���,不僅需要輸入(ru)密碼�����,還需要(yao)輸入短信(xin)驗證碼��,解決員(yuan)工賬號認(ren)證的安(an)全問題(ti)
綁定手機(ji)號碼的用戶(hu)���,可以自助重置(zhi)密碼和修改密(mi)碼,無需通(tong)過IT管理員����。
用戶密碼(ma)管理及自助(zhu)修改:
無需(xu)通過管(guan)理員即可修改(gai)密碼(ma),提高效率(lv)及減輕(qing)管理員工作壓(ya)力。
通過口袋助(zhu)理�、釘(ding)釘、企業(yè)號(hao)等手機MOA類(lei)APP軟件進行(xing)無線密(mi)碼修(xiu)改�。
若賬號綁(bang)定了手機號碼(ma),可通過手(shou)機驗證碼自(zi)助修改(gai)��。
上網(wǎng)終端合法(fa)效驗:
采用安全無(wu)線網(wǎng)(wang)卡接入無(wu)線網(wǎng)絡���,終端(duan)與AP熱點的雙向(xiang)驗證�����,提高安(an)全性����。
可以(yi)將無線網(wǎng)絡設(she)置為只有安裝(zhuang)了安(an)全無線(xian)網(wǎng)卡的(de)終端(duan)才能接入(ru)無線網(wǎng)(wang)絡��。
支持設置安全(quan)無線網(wǎng)卡只能(neng)連指定SSID無線網(wǎng)(wang)絡����,無法連接非(fei)授權SSID。
網(wǎng)卡(ka)與AP數(shù)據(jù)(ju)傳輸(shu)時自(zi)動進行(xing)數(shù)據(jù)加密�����,保證(zheng)無線的(de)空口安全。
無線熱點(dian)掃描及非(fei)法熱點抑(yi)制:
背景:黑客(ke)在附(fu)近搭建(jian)一個一(yi)模一(yi)樣或者類似的(de)WIFI名稱�����,誘使用(yong)戶連到(dao)虛假釣魚WIFI上(shang)�����,黑客利用分(fen)析軟件從用戶(hu)上網(wǎng)產(chǎn)生的數(shù)(shu)據(jù)包中分析提(ti)取用(yong)戶隱(yin)私信息�����。
我們通(tong)過WIPS無線入侵(qin)防御系(xi)統(tǒng)實時(shi)檢測周圍(wei)無線信號���,當(dang)檢測出來(lai)的信號BSSID、且(qie)AP源MAC地址不在(zai)授權(quan)列表中時(shi)��,我們(men)向對應的(de)AP和終(zhong)端發(fā)送解(jie)除關聯(lián)幀�,讓(rang)終端無法(fa)連上釣魚(yu)WIFI。7×24小時不(bu)間斷監(jiān)測網(wǎng)絡(luo)�。
上網(wǎng)行(xing)為嚴格控制(zhi):
強大的管理(li):通過(guo)應用識(shi)別技術,可(ke)以根據(jù)應(ying)用類型或(huo)者具體某(mou)一種應(ying)用進(jin)行封堵��,包(bao)括視頻(pin)��、論壇、游(you)戲�、金(jin)融、下載等2400多種(zhong)網(wǎng)絡應(ying)用����。
通過應用識別(bie)技術,可以(yi)根據(jù)應用類(lei)型或者(zhe)具體某一(yi)種應用進行封(feng)堵���,比如上班時(shi)間不允許(xu)炒股��,不允許P2P下(xia)載�����,不允許(xu)外發(fā)敏感文件(jian)等�����; 支持主流移(yi)動平(ping)臺�����,可識(shi)別IM�����、社交�、Mail、新聞(wen)�、炒股(gu)等應用(yong)。
無線控制(zhi)器內(nèi)置千萬級(ji)別的URL分類(lei)庫����,能夠對(dui)URL進行識別,包含(han)新聞(wen)�����、購物(wu)����、金融、教育等(deng)18個種類(lei)的URL地址�����; 準確(que)識別(bie)目前主(zhu)流網(wǎng)站�,識(shi)別率高達99.9%�����,有(you)效實(shi)現(xiàn)網(wǎng)頁過濾(lv)。例如(ru)禁止登(deng)陸非法網(wǎng)站(zhan)
通過基(ji)于時間段的(de)訪問控(kong)制策略���,實現(xiàn)不(bu)同的時間(jian)段不同的訪問(wen)權限���,比如上班(ban)時間(jian),禁止(zhi)訪問網(wǎng)(wang)上銀行(xing)�����、游戲(xi)���、論壇貼吧等(deng)與工作(zuo)無關(guan)的應用�,下(xia)班時間則(ze)不受限(xian)制�。
辦公(gong)區(qū)域內(nèi)(nei),不同(tong)辦公部門總(zong)會有各自(zi)專屬(shu)的無線網(wǎng)絡����,并(bing)且不希望部門(men)之外(wai)的成(cheng)員使(shi)用這個網(wǎng)絡。無(wu)線網(wǎng)(wang)絡控制器可以(yi)根據(jù)用(yong)戶的屬性(xing)���,限制(zhi)禁止(zhi)非本部門(men)的用戶(hu)接入�����。
典型(xing)無線網(wǎng)絡(luo)攻擊防護:
對典(dian)型的危險攻(gong)擊行為進行檢(jian)測����,當超過(guo)設定的閾值后(hou)自動將攻擊者(zhe)加入到黑名單(dan)中,并凍結一定(ding)時間��,即時發(fā)(fa)現(xiàn)網(wǎng)絡(luo)攻擊并進行防(fang)御����。
檢測(ce)的攻擊包括(kuo):DDOS防御、ARP掃描�、IP掃(sao)描、端口掃(sao)描防(fang)御���,禁(jin)止客戶端私設(she)IP以及ARP�����、網(wǎng)關(guan)欺騙防御���、DHCP請(qing)求泛洪防御�。
無線射頻(pin)定時關閉開(kai)啟:
通過射頻關(guan)閉控制(zhi)策略(lve),可以指定(ding)某SSID網(wǎng)絡�����,定時(shi)自動(dong)關閉和開(kai)啟無線網(wǎng)(wang)絡的射頻(pin)信號,晚上(shang)下班后自動(dong)關閉無(wu)線射頻信(xin)號�����。
一方面可以(yi)節(jié)能減排�、節(jié)省(sheng)電費支出(chu);另一(yi)方面(mian)又能防止(zhi)非法用戶利(li)用深夜時間(jian)入侵無線網(wǎng)(wang)絡�,做一(yi)些非法的操(cao)作。
有線無(wu)線一體化(hua)管理:
NAC的有線無線一(yi)體化���,支持對(dui)有線用(yong)戶的(de)接入認證(zheng)��、訪問控制��、流量(liang)管理(li)�����、上網(wǎng)行(xing)為審計(ji)等���,
并提供(gong)統(tǒng)一中文Web管(guan)理界面,一站(zhan)式服務,極(ji)大的降低網(wǎng)絡(luo)建設成本(ben)�。
網(wǎng)絡分權分(fen)級管理(li):
分配不(bu)同的(de)管理員分別(bie)管理各自權限(xian)區(qū)域的(de)無線AP,可(ke)以精細到對(dui)某AP分(fen)組有管理(li)權限���,該管(guan)理員可以在該(gai)AP分組上建立無(wu)線網(wǎng)絡��,能夠激(ji)活��、刪除接入點(dian)��,能夠對AP的(de)配置進行編(bian)輯修改���。
可指定管(guan)理員針對每(mei)個頁面的(de)編輯或可查(cha)看權限(xian),控制粒(li)度到控(kong)制器上的各個(ge)頁面�����,對某個(ge)頁面沒(mei)有讀權限則(ze)登錄時不顯(xian)示���。
移動APP隨時隨(sui)地運維管(guan)理:
支持跨(kua)互聯(lián)網(wǎng)(wang)運維管(guan)理
登陸(lu)APP進行維(wei)護管(guan)理:不(bu)同管(guan)理員�����,不(bu)同權限(xian)
查看網(wǎng)絡運行(xing)情況:在線用戶(hu)�、在線AP數(shù)量、實時(shi)流量
無線網(wǎng)(wang)絡管理維(wei)護:開(kai)啟關閉SSID�、終端(duan)綁定審批(pi)��、二維碼上網(wǎng)審(shen)核
故障����、審批(pi)實時通(tong)知:AP離線警告(gao)、服務器離線警(jing)告���、網(wǎng)絡攻擊(ji)告警
方案(an)優(yōu)勢:
1���、最豐富的無(wu)線安(an)全機(ji)制,提供從(cong)安全接入(ru)到安全(quan)上網(wǎng)等端到(dao)端的安全策略(lve)
2�����、合理管控(kong)工作人員上網(wǎng)(wang)行為(wei)�����,提升工作效(xiao)率�、防止(zhi)帶寬浪費,有線(xian)無線雙重(zhong)管控
3���、為會議室�����,報(bao)告廳(ting)等人員密集區(qū)(qu)域接入(ru)網(wǎng)絡提(ti)高保(bao)證�,解(jie)決有(you)線網(wǎng)口不(bu)足的問題;
4����、為企業(yè)員工的(de)移動辦(ban)公提(ti)供支撐,內(nèi)(nei)部員(yuan)工可通過(guo)無線(xian)網(wǎng)絡隨時安全(quan)接入內(nèi)部網(wǎng)絡(luo)��,實現(xiàn)辦公��;
5����、內(nèi)部員工賬(zhang)號及個(ge)人信息(xi)綁定(ding),便于(yu)安全管理(li)�����;
6��、內(nèi)部員(yuan)工可通過自(zi)己的辦公(gong)設備在企業(yè)(ye)大樓內(nèi)(nei)快速移動辦公(gong)���,網(wǎng)絡(luo)接入更快速�,上(shang)網(wǎng)行為管(guan)理系統(tǒng)對(dui)員工(gong)上網(wǎng)行為進(jin)行審(shen)計與管控
7、來訪客戶接(jie)入企(qi)業(yè)網(wǎng)絡�����,可根(gen)據(jù)不同需求(qiu)�,分配不(bu)同的上(shang)網(wǎng)權限(xian)���,保證(zheng)了接入的(de)安全(quan)性同時提升(sheng)群眾(zhong)上網(wǎng)的體(ti)驗
8�����、豐富的(de)認證(zheng)機制���,滿足組(zu)織對無線網(wǎng)絡(luo)安全、快速(su)接入(ru)
9�、投資成本低(di),通過(guo)部署無(wu)線控制器替(ti)換原有網(wǎng)(wang)絡的出口(kou)路由�、行為管(guan)理以及(ji)無線(xian)控制器
