?
大型企業(yè)在(zai)無(wú)線網(wǎng)絡(luò)(luo)建設(shè)期間要充(chong)分考慮訪(fang)客(領(lǐng)導(dǎo)、客戶���、合(he)作伙伴)接入網(wǎng)(wang)絡(luò)的(de)需求(qiu)���。首先從(cong)安全性考(kao)慮,訪客網(wǎng)(wang)絡(luò)必須要和辦(ban)公網(wǎng)絡(luò)分開(kāi)(kai)�����,訪客網(wǎng)絡(luò)單獨(dú)(du)提供給訪客使(shi)用���。從用(yong)戶體(ti)驗(yàn)角度考慮,訪(fang)客接入網(wǎng)絡(luò)的(de)驗(yàn)證方式一定(ding)要做到(dao)簡(jiǎn)單易行���,繁瑣(suo)的驗(yàn)證方式會(huì)(hui)降低訪客對(duì)(dui)企業(yè)(ye)的整體印象(xiang)���。同時(shí)(shi)對(duì)于訪客網(wǎng)絡(luò)(luo),企業(yè)還需(xu)要建立完(wan)善的網(wǎng)絡(luò)(luo)安全管(guan)理機(jī)(ji)制���,避(bi)免由(you)于訪(fang)客的(de)網(wǎng)絡(luò)不良訪問(wèn)(wen)給企業(yè)帶(dai)來(lái)的法律(lv)風(fēng)險(xiǎn)�。對(duì)于(yu)企業(yè)員工移動(dòng)(dong)辦公上(shang)網(wǎng),更需要做(zuo)到可管控�����,上網(wǎng)(wang)行為做到可追(zhui)溯�,企業(yè)有效的(de)帶寬資源(yuan)得到合理的(de)分配和(he)保證,才能使(shi)企業(yè)的(de)業(yè)務(wù)系統(tǒng)正常(chang)且穩(wěn)定高效地(di)運(yùn)行�����,同(tong)時(shí)保(bao)證企業(yè)信息(xi)安全���,避免機(jī)密(mi)信息泄露(lu)�。
存在的問(wèn)(wen)題(用戶需(xu)求)
1�、接入不安(an)全:缺乏安全可(ke)靠的認(rèn)證機(jī)制(zhi),企業(yè)(ye)無(wú)線網(wǎng)絡(luò)接(jie)入不安全
2���、上網(wǎng)權(quán)限混(hun)亂:缺乏有(you)效的(de)控制策略���,員(yuan)工上(shang)網(wǎng)權(quán)限不(bu)分明
3、數(shù)據(jù)信(xin)息安全:缺乏(fa)有效的數(shù)據(jù)(ju)加密機(jī)制�����,企業(yè)(ye)數(shù)據(jù)被黑客竊(qie)取篡改(gai)
4、無(wú)線(xian)信號(hào)差:AP性能(neng)不佳(jia)�����,上網(wǎng)總(zong)掉線(xian)�,點(diǎn)位規(guī)劃(hua)不合理,信號(hào)盲(mang)區(qū)多(duo)
5�、漫游效(xiao)果差:不能實(shí)(shi)現(xiàn)二三層漫游(you),移動(dòng)辦(ban)公時(shí)���,業(yè)務(wù)中(zhong)斷
解決方(fang)案:
結(jié)合用戶無(wú)線(xian)網(wǎng)絡(luò)需(xu)求情況�,結(jié)(jie)合產(chǎn)(chan)品自身技術(shù)(shu)特點(diǎn)�����,為了滿(man)足用戶(hu)構(gòu)建一個(gè)高(gao)速�����、穩(wěn)定�����、安全���、可(ke)靠�、易(yi)于管理的無(wú)(wu)線接入網(wǎng)絡(luò)(luo)的需求�,本設(shè)(she)計(jì)方案按照AP+AC的(de)結(jié)構(gòu)化無(wú)(wu)線網(wǎng)絡(luò)解(jie)決方案(an)進(jìn)行(xing)設(shè)計(jì)。具體設(shè)(she)計(jì)為在總部設(shè)(she)置總部AC,在大(da)型分支機(jī)構(gòu)(gou)設(shè)置分(fen)支AC與分支(zhi)AP���,中型分支機(jī)(ji)構(gòu)設(shè)計(jì)二(er)級(jí)�,三級(jí)交換(huan)機(jī)�����,分支AP�����。小微型(xing)分支機(jī)構(gòu)直接(jie)設(shè)置分支(zhi)AP���?����?偛緼C可以對(duì)(dui)大型分支(zhi)機(jī)構(gòu)的AC進(jìn)(jin)行管理(li)���,當(dāng)網(wǎng)點(diǎn)(dian)控制(zhi)器采(cai)用集中管理的(de)模式進(jìn)(jin)入到(dao)中心端控(kong)制器時(shí)�,會(huì)自動(dòng)(dong)下載中(zhong)心端的(de)公共配置�,比(bi)如IP組(zu)、MAC地址庫(kù)(ku)���、時(shí)間計(jì)劃�����、角色(se)授權(quán)���、認(rèn)證(zheng)頁(yè)面(mian)等 ?����?偛緼C也可(ke)以直接(jie)管理中(zhong)小型分支機(jī)(ji)構(gòu)的分支AP�����,實(shí)(shi)現(xiàn)統(tǒng)(tong)一管理(li)���。
方案(an)設(shè)計(jì)(ji):
安全無(wú)線整體(ti)解決方案:
接入前(qian)&接入時(shí)進(jìn)行(xing)身份認(rèn)(ren)證�、安(an)全無(wú)線(xian)網(wǎng)卡���、賬號(hào)綁定(ding)(硬件碼(ma)+手機(jī)號(hào)(hao))���,非法(fa)熱點(diǎn)檢測(cè)及防(fang)御、網(wǎng)絡(luò)(luo)攻擊(ji)防護(hù)���、射頻定(ding)時(shí)關(guān)閉(bi)及安全加(jia)固�����。
接入后&上(shang)網(wǎng)時(shí)(shi)進(jìn)行訪問(wèn)權(quán)限(xian)控制�����。
上網(wǎng)(wang)后進(jìn)行上網(wǎng)(wang)行為記錄(lu)���。
上網(wǎng)用戶身份(fen)實(shí)名認(rèn)證(zheng):
無(wú)線辦公網(wǎng)采(cai)用802.1X/Portal/WAPI認(rèn)證,外置AAA和(he)RADIUS+AD用于存儲(chǔ)用(yong)戶賬號(hào)密碼���。
每個(gè)賬號(hào)(hao)對(duì)應(yīng)一個(gè)(ge)員工�����,包括姓名(ming)�、部門(mén)、性別以及(ji)身份(fen)證�、手機(jī)(ji)號(hào)等(deng)個(gè)人信息(xi),保證每個(gè)上(shang)網(wǎng)的賬號(hào)都(dou)是可(ke)尋的(de)���,便于安(an)全管理���。
用戶輸入賬號(hào)(hao)密碼上網(wǎng)(wang)驗(yàn)證(zheng)時(shí)均采(cai)用加密(mi)傳輸,防止黑(hei)客空中攔截�����,竊(qie)取賬號(hào)(hao)密碼等數(shù)(shu)據(jù)�����。
上網(wǎng)賬號(hào)自動(dòng)(dong)綁定終端:
自動(dòng)將賬號(hào)(hao)與終端(duan)的硬件(jian)特征碼進(jìn)(jin)行綁定(ding)�����,防止賬號(hào)被他(ta)人使用或(huo)者被盜用���。
每臺(tái)設(shè)備的硬(ying)件特征碼(ma)是唯一的���,無(wú)法(fa)通過(guò)軟件修改(gai)。即使通過(guò)(guo)軟件修(xiu)改了仍然可(ke)以識(shí)別原始(shi)的�����。
每個(gè)賬號(hào)最(zui)多可以綁定5臺(tái)(tai)終端���,超過(guò)1臺(tái)時(shí)(shi)需要管理員審(shen)核�����。
上網(wǎng)(wang)賬號(hào)二(er)次綁定手機(jī)號(hào)(hao)碼:
賬號(hào)(hao)首次(ci)登陸時(shí)(shi)需要綁(bang)定手機(jī)號(hào)并(bing)輸入(ru)短信驗(yàn)(yan)證碼�����,當(dāng)用戶賬(zhang)號(hào)在新終(zhong)端登(deng)陸時(shí)(換終端(duan)/被他(ta)用/被(bei)盜)�����,不僅需要(yao)輸入密碼�����,還(hai)需要輸入短(duan)信驗(yàn)證碼(ma)���,解決員工(gong)賬號(hào)認(rèn)證的(de)安全問(wèn)題(ti)
綁定手(shou)機(jī)號(hào)碼的用(yong)戶�����,可(ke)以自助重置密(mi)碼和修改密碼(ma)�����,無(wú)需通過(guò)(guo)IT管理員(yuan)�。
用戶密碼管理(li)及自助(zhu)修改:
無(wú)需通過(guò)管理(li)員即可修改(gai)密碼���,提高效(xiao)率及減輕(qing)管理員(yuan)工作壓力���。
通過(guò)口袋(dai)助理、釘(ding)釘�����、企業(yè)號(hào)等手(shou)機(jī)MOA類APP軟(ruan)件進(jìn)行無(wú)(wu)線密碼修(xiu)改���。
若賬號(hào)綁定了(le)手機(jī)(ji)號(hào)碼�,可通(tong)過(guò)手機(jī)(ji)驗(yàn)證碼自助(zhu)修改(gai)。
上網(wǎng)終端合法(fa)效驗(yàn)(yan):
采用安(an)全無(wú)線網(wǎng)(wang)卡接入(ru)無(wú)線網(wǎng)絡(luò)�����,終(zhong)端與AP熱點(diǎn)的(de)雙向(xiang)驗(yàn)證�,提高(gao)安全性。
可以將無(wú)線(xian)網(wǎng)絡(luò)設(shè)(she)置為只(zhi)有安(an)裝了安全(quan)無(wú)線(xian)網(wǎng)卡的終端才(cai)能接入無(wú)(wu)線網(wǎng)絡(luò)���。
支持(chi)設(shè)置(zhi)安全無(wú)(wu)線網(wǎng)卡只能連(lian)指定SSID無(wú)(wu)線網(wǎng)絡(luò),無(wú)(wu)法連(lian)接非授權(quán)(quan)SSID�。
網(wǎng)卡(ka)與AP數(shù)據(jù)傳(chuan)輸時(shí)自動(dòng)(dong)進(jìn)行數(shù)(shu)據(jù)加密,保證無(wú)(wu)線的空(kong)口安全(quan)�����。
無(wú)線(xian)熱點(diǎn)掃描(miao)及非(fei)法熱點(diǎn)抑(yi)制:
背景:黑客在(zai)附近搭(da)建一個(gè)一模(mo)一樣(yang)或者類似的WIFI名(ming)稱�,誘(you)使用戶(hu)連到虛(xu)假釣魚(yú)WIFI上,黑客(ke)利用(yong)分析軟(ruan)件從用(yong)戶上網(wǎng)(wang)產(chǎn)生的數(shù)據(jù)(ju)包中分析提(ti)取用戶(hu)隱私信息(xi)���。
我們通(tong)過(guò)WIPS無(wú)線入侵(qin)防御系統(tǒng)實(shí)(shi)時(shí)檢(jian)測(cè)周?chē)?wei)無(wú)線(xian)信號(hào)(hao)���,當(dāng)檢測(cè)出來(lái)(lai)的信號(hào)BSSID、且(qie)AP源MAC地址不(bu)在授權(quán)列表中(zhong)時(shí)�����,我們向?qū)?yīng)(ying)的AP和終端(duan)發(fā)送解(jie)除關(guān)聯(lián)(lian)幀,讓終(zhong)端無(wú)(wu)法連上(shang)釣魚(yú)WIFI�。7×24小時(shí)不間(jian)斷監(jiān)測(cè)網(wǎng)絡(luò)。
上網(wǎng)行為嚴(yán)格(ge)控制:
強(qiáng)大的管理:通(tong)過(guò)應(yīng)(ying)用識(shí)別(bie)技術(shù)�,可以(yi)根據(jù)應(yīng)(ying)用類型或者具(ju)體某一種應(yīng)(ying)用進(jìn)行封堵(du),包括視頻���、論壇(tan)�����、游戲�����、金(jin)融�����、下載(zai)等2400多(duo)種網(wǎng)(wang)絡(luò)應(yīng)用�。
通過(guò)應(yīng)用識(shí)(shi)別技術(shù)�����,可(ke)以根據(jù)應(yīng)用(yong)類型或者具(ju)體某一種應(yīng)(ying)用進(jìn)行封(feng)堵,比如上(shang)班時(shí)間不允(yun)許炒(chao)股�����,不允許P2P下載(zai)���,不允許外發(fā)敏(min)感文件等�����; 支(zhi)持主流移動(dòng)(dong)平臺(tái),可識(shí)別IM���、社(she)交���、Mail、新聞�、炒(chao)股等應(yīng)用(yong)。
無(wú)線控制器內(nèi)(nei)置千萬(wàn)(wan)級(jí)別的URL分類庫(kù)(ku)���,能夠?qū)RL進(jìn)行識(shí)(shi)別�,包含新(xin)聞�、購(gòu)物�、金(jin)融�����、教育等(deng)18個(gè)種類的URL地(di)址�����; 準(zhǔn)確(que)識(shí)別目前(qian)主流網(wǎng)站���,識(shí)別(bie)率高達(dá)(da)99.9%�����,有效實(shí)現(xiàn)網(wǎng)頁(yè)(ye)過(guò)濾���。例(li)如禁止登(deng)陸非(fei)法網(wǎng)站
通過(guò)基于時(shí)(shi)間段的訪問(wèn)控(kong)制策略,實(shí)現(xiàn)不(bu)同的時(shí)間段不(bu)同的訪問(wèn)權(quán)(quan)限�����,比如(ru)上班時(shí)間���,禁止(zhi)訪問(wèn)網(wǎng)(wang)上銀行���、游戲(xi)���、論壇貼吧等(deng)與工作無(wú)關(guān)的(de)應(yīng)用,下班(ban)時(shí)間則(ze)不受限制(zhi)�。
辦公區(qū)(qu)域內(nèi)(nei),不同辦(ban)公部(bu)門(mén)總會(huì)有各(ge)自專(zhuan)屬的無(wú)(wu)線網(wǎng)(wang)絡(luò)���,并且(qie)不希望(wang)部門(mén)之外的(de)成員使用這(zhe)個(gè)網(wǎng)絡(luò)(luo)�����。無(wú)線網(wǎng)(wang)絡(luò)控制(zhi)器可以(yi)根據(jù)用戶的屬(shu)性���,限制禁(jin)止非本部門(mén)的(de)用戶接入���。
典型(xing)無(wú)線網(wǎng)絡(luò)(luo)攻擊防(fang)護(hù):
對(duì)典(dian)型的(de)危險(xiǎn)攻擊行為(wei)進(jìn)行檢測(cè)(ce)���,當(dāng)超(chao)過(guò)設(shè)定(ding)的閾值(zhi)后自動(dòng)(dong)將攻擊(ji)者加入到(dao)黑名單(dan)中,并凍結(jié)一(yi)定時(shí)間�����,即(ji)時(shí)發(fā)(fa)現(xiàn)網(wǎng)絡(luò)攻擊并(bing)進(jìn)行防御。
檢測(cè)的(de)攻擊包括:DDOS防(fang)御�、ARP掃描(miao)、IP掃描�、端(duan)口掃(sao)描防御(yu),禁止客戶(hu)端私(si)設(shè)IP以(yi)及ARP�����、網(wǎng)關(guān)欺(qi)騙防(fang)御�����、DHCP請(qǐng)求(qiu)泛洪防(fang)御�。
無(wú)線(xian)射頻(pin)定時(shí)關(guān)閉開(kāi)(kai)啟:
通過(guò)射(she)頻關(guān)(guan)閉控制(zhi)策略,可以(yi)指定(ding)某SSID網(wǎng)絡(luò)���,定時(shí)自(zi)動(dòng)關(guān)閉和開(kāi)啟(qi)無(wú)線網(wǎng)絡(luò)(luo)的射頻(pin)信號(hào)�����,晚上(shang)下班(ban)后自動(dòng)關(guān)閉無(wú)(wu)線射(she)頻信(xin)號(hào)���。
一方面(mian)可以節(jié)能(neng)減排、節(jié)省(sheng)電費(fèi)支(zhi)出;另一方(fang)面又(you)能防止非法(fa)用戶利(li)用深夜時(shí)間入(ru)侵無(wú)線網(wǎng)(wang)絡(luò)���,做一些非(fei)法的操作(zuo)�。
有線無(wú)線(xian)一體化管理(li):
NAC的有線(xian)無(wú)線(xian)一體化�����,支持(chi)對(duì)有線(xian)用戶的接(jie)入認(rèn)證�����、訪問(wèn)(wen)控制���、流量(liang)管理(li)�、上網(wǎng)行為(wei)審計(jì)等���,
并提供統(tǒng)一中(zhong)文Web管理界面�,一(yi)站式服務(wù)(wu)�,極大的降(jiang)低網(wǎng)(wang)絡(luò)建設(shè)成本�。
網(wǎng)絡(luò)(luo)分權(quán)分級(jí)管理(li):
分配不同的管(guan)理員分(fen)別管(guan)理各(ge)自權(quán)限區(qū)(qu)域的(de)無(wú)線AP,可(ke)以精細(xì)到對(duì)某(mou)AP分組有管(guan)理權(quán)限�,該管(guan)理員可以(yi)在該AP分組(zu)上建立無(wú)線(xian)網(wǎng)絡(luò)(luo),能夠激(ji)活、刪除接入(ru)點(diǎn)�����,能(neng)夠?qū)P的配置(zhi)進(jìn)行編輯修改(gai)���。
可指定管(guan)理員針對(duì)每個(gè)(ge)頁(yè)面的(de)編輯或(huo)可查看權(quán)(quan)限���,控(kong)制粒度到(dao)控制器(qi)上的各個(gè)(ge)頁(yè)面,對(duì)某個(gè)(ge)頁(yè)面沒(méi)有讀權(quán)(quan)限則登錄(lu)時(shí)不顯示�。
移動(dòng)APP隨時(shí)(shi)隨地運(yùn)維管(guan)理:
支持跨互聯(lián)(lian)網(wǎng)運(yùn)維管(guan)理
登陸APP進(jìn)行(xing)維護(hù)管理:不(bu)同管理(li)員,不(bu)同權(quán)限
查看網(wǎng)(wang)絡(luò)運(yùn)行情況(kuang):在線用戶�、在線(xian)AP數(shù)量、實(shí)(shi)時(shí)流量
無(wú)線網(wǎng)絡(luò)管(guan)理維護(hù):開(kāi)(kai)啟關(guān)閉SSID�����、終端綁(bang)定審批�、二維碼(ma)上網(wǎng)審核
故障、審批實(shí)時(shí)(shi)通知:AP離線(xian)警告(gao)���、服務(wù)(wu)器離線警告�、網(wǎng)(wang)絡(luò)攻(gong)擊告警
方案優(yōu)勢(shì)(shi):
1�����、最豐(feng)富的無(wú)(wu)線安全機(jī)(ji)制,提供(gong)從安(an)全接入到安全(quan)上網(wǎng)等(deng)端到端的(de)安全策略
2�、合理管控工(gong)作人員上網(wǎng)(wang)行為(wei),提升工作效率(lv)�、防止帶寬(kuan)浪費(fèi),有(you)線無(wú)線雙重(zhong)管控
3�����、為會(huì)議(yi)室�����,報(bào)告廳等人(ren)員密集區(qū)(qu)域接入網(wǎng)絡(luò)(luo)提高保(bao)證�����,解決(jue)有線網(wǎng)口(kou)不足(zu)的問(wèn)題���;
4���、為企業(yè)(ye)員工的移(yi)動(dòng)辦公(gong)提供支撐(cheng),內(nèi)部員(yuan)工可通過(guò)無(wú)線(xian)網(wǎng)絡(luò)(luo)隨時(shí)安全接入(ru)內(nèi)部(bu)網(wǎng)絡(luò)(luo)�����,實(shí)現(xiàn)辦公(gong)�;
5、內(nèi)部員工賬號(hào)(hao)及個(gè)人信息綁(bang)定���,便于安全(quan)管理�;
6���、內(nèi)部員工可(ke)通過(guò)自己的辦(ban)公設(shè)備(bei)在企業(yè)大樓內(nèi)(nei)快速移(yi)動(dòng)辦(ban)公�,網(wǎng)絡(luò)接入更(geng)快速(su)�,上網(wǎng)行為管(guan)理系統(tǒng)對(duì)(dui)員工(gong)上網(wǎng)行為進(jìn)(jin)行審計(jì)與管控(kong)
7、來(lái)訪客(ke)戶接入企業(yè)(ye)網(wǎng)絡(luò)�����,可(ke)根據(jù)不同需(xu)求�����,分(fen)配不同的上(shang)網(wǎng)權(quán)限���,保證(zheng)了接(jie)入的安(an)全性(xing)同時(shí)提升群(qun)眾上網(wǎng)(wang)的體驗(yàn)
8�����、豐富的認(rèn)(ren)證機(jī)制�,滿足組(zu)織對(duì)無(wú)線網(wǎng)絡(luò)(luo)安全、快(kuai)速接(jie)入
9�����、投資成本低�,通(tong)過(guò)部署無(wú)線控(kong)制器替換原(yuan)有網(wǎng)絡(luò)的出口(kou)路由、行(xing)為管(guan)理以(yi)及無(wú)線控(kong)制器
