?
大型企業(yè)在(zai)無線網(wǎng)絡(luò)建(jian)設(shè)期間要充(chong)分考慮訪客(ke)(領(lǐng)導(dǎo)(dao)���、客戶(hu)���、合作伙伴)接入(ru)網(wǎng)絡(luò)的(de)需求。首先從安(an)全性考慮���,訪客(ke)網(wǎng)絡(luò)(luo)必須要和(he)辦公網(wǎng)絡(luò)分(fen)開���,訪(fang)客網(wǎng)絡(luò)單(dan)獨提供給訪客(ke)使用。從用戶體(ti)驗角(jiao)度考慮���,訪客(ke)接入網(wǎng)(wang)絡(luò)的驗證方(fang)式一定要(yao)做到簡單(dan)易行���,繁瑣的(de)驗證(zheng)方式會(hui)降低(di)訪客對企業(yè)(ye)的整體(ti)印象���。同時對于(yu)訪客(ke)網(wǎng)絡(luò)���,企業(yè)還需(xu)要建立完善的(de)網(wǎng)絡(luò)安全管理(li)機制,避免由于(yu)訪客的網(wǎng)(wang)絡(luò)不良(liang)訪問給企(qi)業(yè)帶(dai)來的法(fa)律風(fēng)險(xian)���。對于企(qi)業(yè)員工移動辦(ban)公上網(wǎng)���,更需要(yao)做到可管控���,上(shang)網(wǎng)行為做到可(ke)追溯,企業(yè)(ye)有效的帶寬資(zi)源得到合理的(de)分配和保證(zheng)���,才能(neng)使企業(yè)的業(yè)務(wù)(wu)系統(tǒng)(tong)正常且穩(wěn)定高(gao)效地運(yun)行���,同時保證(zheng)企業(yè)信息安全(quan),避免機密信息(xi)泄露���。
存在的問題(ti)(用戶需求)
1���、接入不安(an)全:缺乏安全可(ke)靠的認證(zheng)機制,企業(yè)無(wu)線網(wǎng)絡(luò)接(jie)入不安全
2���、上網(wǎng)(wang)權(quán)限(xian)混亂:缺(que)乏有效的控制(zhi)策略(lve)���,員工上網(wǎng)權(quán)(quan)限不分明
3、數(shù)據(jù)信息安全(quan):缺乏(fa)有效的數(shù)據(jù)加(jia)密機制(zhi)���,企業(yè)數(shù)(shu)據(jù)被黑客(ke)竊取篡改
4���、無線信(xin)號差:AP性能不(bu)佳���,上網(wǎng)(wang)總掉線,點位(wei)規(guī)劃(hua)不合理���,信(xin)號盲區(qū)多(duo)
5���、漫游(you)效果(guo)差:不能(neng)實現(xiàn)二(er)三層漫游,移動(dong)辦公時���,業(yè)務(wù)(wu)中斷
解決方案:
結(jié)合用戶無(wu)線網(wǎng)絡(luò)需(xu)求情況(kuang)���,結(jié)合產(chǎn)品自身(shen)技術(shù)特(te)點,為了(le)滿足用戶(hu)構(gòu)建(jian)一個高速(su)���、穩(wěn)定���、安全(quan)���、可靠���、易于管理(li)的無(wu)線接入網(wǎng)絡(luò)(luo)的需求���,本設(shè)計(ji)方案按(an)照AP+AC的結(jié)構(gòu)化(hua)無線網(wǎng)(wang)絡(luò)解決(jue)方案(an)進行設(shè)計(ji)。具體設(shè)計(ji)為在總部設(shè)置(zhi)總部AC,在大型(xing)分支機構(gòu)設(shè)(she)置分支AC與分(fen)支AP���,中(zhong)型分(fen)支機構(gòu)(gou)設(shè)計二級(ji)���,三級交換機(ji),分支AP���。小微型(xing)分支機構(gòu)(gou)直接設(shè)(she)置分(fen)支AP���。總部AC可(ke)以對大型分(fen)支機構(gòu)的AC進(jin)行管理(li)���,當(dāng)網(wǎng)點(dian)控制器(qi)采用集(ji)中管理的模式(shi)進入到(dao)中心端控制器(qi)時���,會自動(dong)下載中心端(duan)的公共配置,比(bi)如IP組���、MAC地址庫(ku)���、時間(jian)計劃���、角色(se)授權(quán)、認(ren)證頁面等 ���?��??zong)部AC也可以直(zhi)接管理中小型(xing)分支機構(gòu)的(de)分支AP,實現(xiàn)(xian)統(tǒng)一管理(li)���。
方案(an)設(shè)計:
安全無線整(zheng)體解決(jue)方案:
接入(ru)前&接入時進行(xing)身份認證(zheng)���、安全(quan)無線網(wǎng)(wang)卡、賬號綁定(ding)(硬件碼+手機(ji)號)���,非法熱點(dian)檢測(ce)及防御���、網(wǎng)絡(luò)攻(gong)擊防護(hu)、射頻定時關(guān)(guan)閉及(ji)安全加固���。
接入(ru)后&上網(wǎng)時進(jin)行訪問(wen)權(quán)限(xian)控制���。
上網(wǎng)后進行(xing)上網(wǎng)行(xing)為記錄(lu)。
上網(wǎng)用戶(hu)身份實名認證(zheng):
無線(xian)辦公網(wǎng)采用802.1X/Portal/WAPI認(ren)證���,外置AAA和RADIUS+AD用于(yu)存儲用戶賬號(hao)密碼���。
每個賬(zhang)號對應(yīng)(ying)一個員工,包(bao)括姓名���、部門���、性(xing)別以及身(shen)份證、手機號等(deng)個人信息���,保證(zheng)每個上網(wǎng)的賬(zhang)號都是可尋(xun)的���,便(bian)于安全管理。
用戶(hu)輸入賬(zhang)號密碼上網(wǎng)驗(yan)證時均采用加(jia)密傳輸���,防止(zhi)黑客空中(zhong)攔截(jie)���,竊取賬號密(mi)碼等數(shù)據(jù)���。
上網(wǎng)賬(zhang)號自動綁定終(zhong)端:
自動將(jiang)賬號與(yu)終端(duan)的硬件(jian)特征碼(ma)進行綁定,防(fang)止賬(zhang)號被(bei)他人使用或(huo)者被盜用���。
每臺設(shè)(she)備的硬件特(te)征碼(ma)是唯(wei)一的���,無法通過(guo)軟件修改。即使(shi)通過(guo)軟件修改了(le)仍然可以識(shi)別原始的���。
每個賬號最多(duo)可以綁(bang)定5臺終(zhong)端���,超過1臺時(shi)需要管理員審(shen)核。
上網(wǎng)賬號二(er)次綁定手機(ji)號碼:
賬號首次登陸(lu)時需要(yao)綁定手(shou)機號并(bing)輸入短信(xin)驗證碼(ma)���,當(dāng)用戶賬(zhang)號在新終端(duan)登陸時(換(huan)終端/被他用/被(bei)盜)���,不僅需要輸(shu)入密(mi)碼,還需(xu)要輸入短(duan)信驗證(zheng)碼���,解決員(yuan)工賬號認證的(de)安全問題
綁定手機(ji)號碼的用(yong)戶���,可以自助(zhu)重置(zhi)密碼和修改(gai)密碼���,無需通過(guo)IT管理員���。
用戶密碼管(guan)理及(ji)自助修改:
無需(xu)通過(guo)管理(li)員即可修改密(mi)碼���,提高效率及(ji)減輕管理員(yuan)工作壓力。
通過口袋助理(li)���、釘釘���、企業(yè)(ye)號等手機MOA類APP軟(ruan)件進行無(wu)線密碼修(xiu)改。
若賬號綁定了(le)手機號碼���,可(ke)通過手(shou)機驗證(zheng)碼自(zi)助修(xiu)改���。
上網(wǎng)終端(duan)合法效驗:
采用安(an)全無線(xian)網(wǎng)卡接(jie)入無線網(wǎng)絡(luò),終(zhong)端與AP熱點的雙(shuang)向驗證���,提(ti)高安全(quan)性���。
可以(yi)將無線(xian)網(wǎng)絡(luò)設(shè)(she)置為只有安裝(zhuang)了安全無線(xian)網(wǎng)卡的終端(duan)才能接入無(wu)線網(wǎng)絡(luò)���。
支持設(shè)(she)置安(an)全無線(xian)網(wǎng)卡只(zhi)能連(lian)指定SSID無線網(wǎng)(wang)絡(luò),無法連接(jie)非授(shou)權(quán)SSID���。
網(wǎng)卡與AP數(shù)據(jù)傳(chuan)輸時自(zi)動進行數(shù)據(jù)加(jia)密���,保證(zheng)無線(xian)的空口安全(quan)。
無線熱點掃描(miao)及非法熱點抑(yi)制:
背景:黑客(ke)在附近(jin)搭建一個一(yi)模一樣(yang)或者(zhe)類似的(de)WIFI名稱���,誘(you)使用戶連到(dao)虛假(jia)釣魚WIFI上���,黑客利(li)用分析軟件(jian)從用戶上網(wǎng)(wang)產(chǎn)生的(de)數(shù)據(jù)包中分(fen)析提取用(yong)戶隱私(si)信息。
我們(men)通過(guo)WIPS無線(xian)入侵防御(yu)系統(tǒng)實時檢(jian)測周圍無線(xian)信號���,當(dāng)檢(jian)測出來的(de)信號BSSID���、且(qie)AP源MAC地址不在授(shou)權(quán)列表(biao)中時(shi),我們向(xiang)對應(yīng)的AP和(he)終端發(fā)送解(jie)除關(guān)聯(lián)幀���,讓終(zhong)端無法連上(shang)釣魚WIFI���。7×24小時不(bu)間斷監(jiān)測網(wǎng)(wang)絡(luò)���。
上網(wǎng)行(xing)為嚴(yán)格控制:
強大的管理:通(tong)過應(yīng)(ying)用識別技(ji)術(shù),可以根據(jù)(ju)應(yīng)用類型或(huo)者具體某一種(zhong)應(yīng)用進(jin)行封堵���,包(bao)括視頻���、論壇���、游(you)戲���、金(jin)融、下(xia)載等2400多種(zhong)網(wǎng)絡(luò)應(yīng)用���。
通過應(yīng)用識別(bie)技術(shù)���,可以根據(jù)(ju)應(yīng)用類型或者(zhe)具體某一種應(yīng)(ying)用進(jin)行封堵(du),比如上班(ban)時間不允許炒(chao)股���,不允許P2P下載(zai)���,不允許(xu)外發(fā)敏感文件(jian)等���; 支(zhi)持主流移(yi)動平臺,可識別(bie)IM���、社交���、Mail、新(xin)聞���、炒(chao)股等應(yīng)(ying)用���。
無線控制(zhi)器內(nèi)置千萬(wan)級別的(de)URL分類庫,能夠(gou)對URL進(jin)行識別���,包(bao)含新聞���、購物、金(jin)融���、教育等18個種(zhong)類的URL地(di)址���; 準(zhǔn)(zhun)確識別目前(qian)主流網(wǎng)站���,識(shi)別率高達(da)99.9%,有效實現(xiàn)網(wǎng)頁(ye)過濾���。例如禁止(zhi)登陸非(fei)法網(wǎng)(wang)站
通過基于時(shi)間段的訪(fang)問控制策略���,實(shi)現(xiàn)不同(tong)的時(shi)間段不同(tong)的訪問權(quán)(quan)限,比如上(shang)班時間���,禁止訪(fang)問網(wǎng)上銀行、游(you)戲���、論壇貼(tie)吧等與(yu)工作無關(guān)(guan)的應(yīng)用(yong)���,下班時間則(ze)不受限制。
辦公(gong)區(qū)域內(nèi)���,不(bu)同辦公部門總(zong)會有各自專(zhuan)屬的(de)無線網(wǎng)絡(luò)(luo)���,并且不希(xi)望部門(men)之外的成員(yuan)使用這個網(wǎng)絡(luò)(luo)���。無線網(wǎng)絡(luò)控(kong)制器可以(yi)根據(jù)用(yong)戶的屬性,限制(zhi)禁止非本部門(men)的用戶接入(ru)���。
典型無線(xian)網(wǎng)絡(luò)攻擊防(fang)護:
對典(dian)型的危險攻擊(ji)行為(wei)進行檢(jian)測���,當(dāng)超過(guo)設(shè)定的閾(yu)值后自動將(jiang)攻擊者加入到(dao)黑名單中,并(bing)凍結(jié)一定(ding)時間���,即時發(fā)現(xiàn)(xian)網(wǎng)絡(luò)攻擊并進(jin)行防御���。
檢測的攻(gong)擊包(bao)括:DDOS防御(yu)、ARP掃描���、IP掃描(miao)���、端口掃描防御(yu),禁止(zhi)客戶端私設(shè)IP以(yi)及ARP���、網(wǎng)關(guān)欺(qi)騙防御���、DHCP請求(qiu)泛洪防御���。
無線射頻定(ding)時關(guān)閉開(kai)啟:
通過射頻(pin)關(guān)閉控制策略(lve),可以指定(ding)某SSID網(wǎng)絡(luò)���,定時(shi)自動關(guān)閉和開(kai)啟無線網(wǎng)絡(luò)的(de)射頻信號���,晚(wan)上下班后自(zi)動關(guān)閉無(wu)線射頻信(xin)號。
一方面可以(yi)節(jié)能減排���、節(jié)(jie)省電費支(zhi)出���;另一方面(mian)又能防止(zhi)非法用(yong)戶利用深夜時(shi)間入侵無線網(wǎng)(wang)絡(luò),做一些(xie)非法(fa)的操作���。
有線(xian)無線(xian)一體化管(guan)理:
NAC的有線無(wu)線一體(ti)化,支持對有線(xian)用戶的接(jie)入認證(zheng)���、訪問控制���、流(liu)量管(guan)理、上網(wǎng)行(xing)為審計等���,
并提供統(tǒng)(tong)一中文Web管理(li)界面(mian)���,一站式服務(wù)(wu)���,極大(da)的降低網(wǎng)(wang)絡(luò)建設(shè)成本。
網(wǎng)絡(luò)(luo)分權(quán)分(fen)級管理(li):
分配不同的管(guan)理員(yuan)分別管理(li)各自權(quán)限(xian)區(qū)域的無線(xian)AP���,可以精(jing)細到對某AP分(fen)組有管理權(quán)(quan)限���,該(gai)管理員可以在(zai)該AP分(fen)組上(shang)建立無(wu)線網(wǎng)絡(luò),能(neng)夠激活���、刪除接(jie)入點(dian)���,能夠?qū)P的配置(zhi)進行編(bian)輯修(xiu)改。
可指定(ding)管理員針對(dui)每個頁面(mian)的編輯或可(ke)查看權(quán)限(xian)���,控制(zhi)粒度到(dao)控制(zhi)器上(shang)的各個頁面���,對(dui)某個頁(ye)面沒(mei)有讀權(quán)限則登(deng)錄時不顯示。
移動APP隨時(shi)隨地運(yun)維管理:
支持跨互聯(lián)網(wǎng)(wang)運維管理(li)
登陸APP進行(xing)維護(hu)管理:不(bu)同管理(li)員���,不同權(quán)(quan)限
查看網(wǎng)絡(luò)運(yun)行情況:在線(xian)用戶���、在線AP數(shù)量(liang)���、實時流量
無線網(wǎng)絡(luò)管(guan)理維護(hu):開啟關(guān)閉(bi)SSID、終端綁定(ding)審批���、二維碼上(shang)網(wǎng)審核(he)
故障���、審批實(shi)時通知(zhi):AP離線警告(gao)、服務(wù)器(qi)離線警(jing)告���、網(wǎng)(wang)絡(luò)攻擊告警
方案(an)優(yōu)勢:
1���、最豐富(fu)的無線安全(quan)機制,提(ti)供從(cong)安全接入(ru)到安(an)全上網(wǎng)等端到(dao)端的安(an)全策略(lve)
2���、合理(li)管控工作人(ren)員上網(wǎng)行(xing)為,提升工作效(xiao)率���、防止(zhi)帶寬浪費(fei)���,有線無線雙重(zhong)管控(kong)
3���、為會(hui)議室(shi),報告廳(ting)等人員密集(ji)區(qū)域(yu)接入網(wǎng)絡(luò)(luo)提高保證���,解決(jue)有線(xian)網(wǎng)口(kou)不足的問題���;
4、為企業(yè)員(yuan)工的移動(dong)辦公提供(gong)支撐���,內(nèi)(nei)部員(yuan)工可通過無(wu)線網(wǎng)絡(luò)隨時安(an)全接入(ru)內(nèi)部網(wǎng)絡(luò)���,實(shi)現(xiàn)辦公;
5���、內(nèi)部員工賬(zhang)號及個人信息(xi)綁定���,便于安(an)全管理(li);
6���、內(nèi)部員工可通(tong)過自己的辦公(gong)設(shè)備在企(qi)業(yè)大樓內(nèi)(nei)快速移動辦(ban)公���,網(wǎng)絡(luò)(luo)接入(ru)更快速���,上網(wǎng)(wang)行為管(guan)理系統(tǒng)對(dui)員工上(shang)網(wǎng)行(xing)為進行審計(ji)與管(guan)控
7、來訪客戶接(jie)入企業(yè)網(wǎng)絡(luò)���,可(ke)根據(jù)不同需(xu)求���,分(fen)配不(bu)同的上網(wǎng)權(quán)限(xian),保證了接(jie)入的安全(quan)性同時(shi)提升群眾上網(wǎng)(wang)的體(ti)驗
8���、豐富的認證機(ji)制���,滿足組(zu)織對無(wu)線網(wǎng)絡(luò)安全、快(kuai)速接入
9���、投資成本低���,通(tong)過部(bu)署無線控(kong)制器替(ti)換原(yuan)有網(wǎng)絡(luò)(luo)的出(chu)口路由(you)、行為管理(li)以及無線(xian)控制器(qi)
