?
大型企業(yè)在無(wu)線網(wang)絡建設期間(jian)要充(chong)分考慮(lv)訪客(領導(dao)��、客戶����、合作(zuo)伙伴)接入(ru)網絡的需求(qiu)。首先從安全(quan)性考慮���,訪客網(wang)絡必須要(yao)和辦公(gong)網絡(luo)分開����,訪客網絡(luo)單獨提供給訪(fang)客使用����。從(cong)用戶體驗角度(du)考慮��,訪客接(jie)入網(wang)絡的(de)驗證方式(shi)一定要做(zuo)到簡單易行����,繁(fan)瑣的驗證方式(shi)會降(jiang)低訪(fang)客對企業(yè)的整(zheng)體印(yin)象�。同時對于訪(fang)客網絡���,企業(yè)還(hai)需要建立(li)完善(shan)的網絡安全管(guan)理機制���,避免由(you)于訪客的網(wang)絡不(bu)良訪問(wen)給企業(yè)(ye)帶來的法(fa)律風險。對(dui)于企業(yè)(ye)員工移動辦公(gong)上網(wang)��,更需要做(zuo)到可管控(kong)���,上網行(xing)為做到(dao)可追溯���,企(qi)業(yè)有效的帶寬(kuan)資源得(de)到合理(li)的分配和(he)保證,才能使(shi)企業(yè)的業(yè)(ye)務系統正(zheng)常且穩(wěn)(wen)定高效地(di)運行��,同時(shi)保證企業(yè)信息(xi)安全��,避免(mian)機密信息泄(xie)露���。
存在(zai)的問題(用戶(hu)需求(qiu))
1��、接入不安全(quan):缺乏安全可(ke)靠的認證(zheng)機制�����,企(qi)業(yè)無線(xian)網絡接入不安(an)全
2��、上網權(quan)限混亂:缺乏有(you)效的控制策(ce)略��,員工(gong)上網權限不分(fen)明
3�、數據(ju)信息安(an)全:缺乏有效(xiao)的數(shu)據加密(mi)機制,企業(yè)(ye)數據(ju)被黑客竊(qie)取篡改(gai)
4����、無線信(xin)號差:AP性能(neng)不佳,上網總(zong)掉線(xian)�����,點位規(guī)(gui)劃不合理�����,信(xin)號盲區(qū)多
5����、漫游(you)效果差(cha):不能實現二(er)三層漫游(you)��,移動辦(ban)公時,業(yè)務中(zhong)斷
解決方案(an):
結合用戶(hu)無線網(wang)絡需求情況(kuang)��,結合(he)產品自身技術(shu)特點�,為(wei)了滿足用戶構(gou)建一個高速(su)、穩(wěn)定�、安(an)全、可(ke)靠���、易(yi)于管理的(de)無線接入網絡(luo)的需求��,本設計(ji)方案(an)按照AP+AC的結構化(hua)無線網絡(luo)解決方案進(jin)行設(she)計����。具體設計(ji)為在總部設置(zhi)總部AC,在大(da)型分支機(ji)構設置分支(zhi)AC與分支AP��,中型分(fen)支機(ji)構設計(ji)二級��,三級交(jiao)換機(ji)��,分支(zhi)AP�����。小微型分支(zhi)機構直接設置(zhi)分支AP���??偛?bu)AC可以(yi)對大(da)型分支機(ji)構的(de)AC進行(xing)管理,當網點(dian)控制(zhi)器采用集中(zhong)管理(li)的模式進(jin)入到中心(xin)端控(kong)制器時����,會自(zi)動下載中(zhong)心端的公(gong)共配(pei)置,比如IP組��、MAC地址(zhi)庫�����、時間計(ji)劃�、角色(se)授權、認證頁(ye)面等 ����。總部AC也可(ke)以直接(jie)管理(li)中小型分支(zhi)機構的分(fen)支AP��,實(shi)現統(tong)一管(guan)理��。
方案設計:
安全無線整體(ti)解決方(fang)案:
接入前&接(jie)入時進(jin)行身份(fen)認證(zheng)��、安全無線(xian)網卡(ka)��、賬號綁(bang)定(硬(ying)件碼+手機(ji)號)�����,非法熱點(dian)檢測及防(fang)御�����、網絡攻擊(ji)防護���、射頻定時(shi)關閉及安(an)全加固���。
接入(ru)后&上(shang)網時進(jin)行訪問(wen)權限控制(zhi)。
上網后進(jin)行上網行為記(ji)錄����。
上網(wang)用戶身份實(shi)名認證(zheng):
無線辦公網(wang)采用(yong)802.1X/Portal/WAPI認證,外置(zhi)AAA和RADIUS+AD用于存(cun)儲用戶賬(zhang)號密碼��。
每個賬號(hao)對應一(yi)個員工���,包(bao)括姓名���、部門(men)����、性別(bie)以及身份(fen)證���、手機號(hao)等個人信息����,保(bao)證每個(ge)上網(wang)的賬號都是可(ke)尋的�����,便于安(an)全管理��。
用戶輸入賬(zhang)號密(mi)碼上網驗(yan)證時均(jun)采用加(jia)密傳輸����,防止黑(hei)客空中(zhong)攔截(jie),竊取賬號密碼(ma)等數據�。
上網賬(zhang)號自動(dong)綁定終(zhong)端:
自動將(jiang)賬號與終(zhong)端的硬件特(te)征碼進(jin)行綁(bang)定,防止(zhi)賬號被他人(ren)使用或(huo)者被盜(dao)用����。
每臺設備的硬(ying)件特征碼是唯(wei)一的(de),無法通過軟(ruan)件修改。即使(shi)通過軟件(jian)修改了(le)仍然可以(yi)識別原始的�����。
每個賬號最多(duo)可以綁(bang)定5臺(tai)終端����,超過1臺時(shi)需要管理員審(shen)核��。
上網賬號二(er)次綁定手機號(hao)碼:
賬號首(shou)次登陸時需要(yao)綁定手機號并(bing)輸入短信(xin)驗證碼(ma)�����,當用(yong)戶賬號在(zai)新終端登(deng)陸時(換(huan)終端/被他(ta)用/被(bei)盜)��,不僅需(xu)要輸入(ru)密碼��,還需要輸(shu)入短信驗證碼(ma)�����,解決員工賬(zhang)號認證(zheng)的安全問題
綁定手機號(hao)碼的(de)用戶���,可以自助(zhu)重置密碼和修(xiu)改密碼��,無需(xu)通過IT管(guan)理員�����。
用戶密碼管理(li)及自助修改:
無需(xu)通過管理員(yuan)即可修改密(mi)碼��,提高效率(lv)及減輕管理(li)員工(gong)作壓力(li)���。
通過口袋(dai)助理�、釘釘�、企業(yè)(ye)號等手機MOA類(lei)APP軟件(jian)進行無(wu)線密碼修改(gai)。
若賬(zhang)號綁(bang)定了手(shou)機號(hao)碼��,可(ke)通過(guo)手機驗證碼(ma)自助(zhu)修改����。
上網終(zhong)端合(he)法效驗:
采用安全(quan)無線網卡接入(ru)無線網絡,終(zhong)端與AP熱(re)點的雙向(xiang)驗證�,提高(gao)安全性。
可以將無線網(wang)絡設置為(wei)只有(you)安裝了安全(quan)無線網(wang)卡的終端(duan)才能接入無線(xian)網絡�。
支持(chi)設置安全無(wu)線網卡只(zhi)能連指定SSID無線(xian)網絡(luo),無法連接(jie)非授權SSID�。
網卡與AP數據傳(chuan)輸時自動進(jin)行數據加密,保(bao)證無線的(de)空口安全���。
無線熱點掃(sao)描及非法(fa)熱點抑制(zhi):
背景:黑客在(zai)附近搭建一個(ge)一模一樣或者(zhe)類似的(de)WIFI名稱�,誘使(shi)用戶連(lian)到虛(xu)假釣魚WIFI上,黑(hei)客利用(yong)分析軟件從(cong)用戶(hu)上網產生(sheng)的數據包中(zhong)分析提(ti)取用戶(hu)隱私信息(xi)����。
我們通過WIPS無線(xian)入侵防御系(xi)統實(shi)時檢測周圍(wei)無線信號,當檢(jian)測出來的(de)信號(hao)BSSID���、且AP源(yuan)MAC地址不在(zai)授權(quan)列表中(zhong)時,我們向對(dui)應的(de)AP和終端發(fā)(fa)送解(jie)除關聯幀�����,讓(rang)終端無(wu)法連上釣(diao)魚WIFI��。7×24小時不間(jian)斷監(jiān)測網絡(luo)����。
上網行為嚴(yan)格控制:
強大的管(guan)理:通過應用識(shi)別技術,可以根(gen)據應用(yong)類型或者具(ju)體某一(yi)種應用進行(xing)封堵���,包括(kuo)視頻����、論壇、游戲(xi)�、金融、下載(zai)等2400多種網絡應(ying)用�����。
通過應用識別(bie)技術�,可(ke)以根據應用(yong)類型或者具體(ti)某一種(zhong)應用進(jin)行封(feng)堵,比如上班(ban)時間不允許炒(chao)股�����,不允許(xu)P2P下載����,不允許(xu)外發(fā)(fa)敏感文件等(deng); 支持主流移(yi)動平臺����,可(ke)識別IM、社交(jiao)���、Mail��、新聞�、炒(chao)股等應用。
無線控制(zhi)器內置(zhi)千萬級別的URL分(fen)類庫�����,能夠對URL進(jin)行識別��,包含新(xin)聞�、購(gou)物、金融(rong)����、教育(yu)等18個(ge)種類的URL地(di)址; 準確識別(bie)目前主(zhu)流網站���,識(shi)別率(lv)高達(da)99.9%,有效實(shi)現網頁過濾(lv)��。例如禁止登陸(lu)非法網站
通過基于(yu)時間段(duan)的訪問控制策(ce)略���,實(shi)現不同(tong)的時(shi)間段不同的訪(fang)問權(quan)限��,比(bi)如上班(ban)時間(jian)�,禁止訪問(wen)網上銀行�、游戲(xi)�、論壇貼吧等與(yu)工作無關的(de)應用����,下班時間(jian)則不受限(xian)制。
辦公區(qū)域(yu)內����,不同辦公部(bu)門總會有各自(zi)專屬的無線(xian)網絡(luo),并且(qie)不希望部(bu)門之外的(de)成員使(shi)用這個網(wang)絡�。無線(xian)網絡(luo)控制器(qi)可以根據(ju)用戶的屬(shu)性,限制禁(jin)止非本(ben)部門的用戶接(jie)入�����。
典型(xing)無線網絡(luo)攻擊防護:
對典型的危險(xian)攻擊(ji)行為(wei)進行(xing)檢測�����,當超(chao)過設定的閾值(zhi)后自動將攻(gong)擊者加入到(dao)黑名單中���,并(bing)凍結一定(ding)時間����,即時發(fā)(fa)現網絡攻擊(ji)并進(jin)行防御�����。
檢測的(de)攻擊包括(kuo):DDOS防御(yu)、ARP掃描��、IP掃描(miao)���、端口(kou)掃描防御��,禁(jin)止客(ke)戶端私設(she)IP以及ARP��、網(wang)關欺騙防(fang)御�、DHCP請求(qiu)泛洪(hong)防御��。
無線(xian)射頻定時(shi)關閉開啟:
通過射頻關閉(bi)控制策略�,可以(yi)指定某SSID網絡(luo),定時自動(dong)關閉和開啟(qi)無線網絡的射(she)頻信號�,晚上(shang)下班后自(zi)動關閉(bi)無線(xian)射頻信號���。
一方面可(ke)以節(jié)能減排����、節(jié)(jie)省電費支出(chu)��;另一(yi)方面又能防止(zhi)非法用戶(hu)利用深夜(ye)時間入侵無(wu)線網絡,做一(yi)些非法的操作(zuo)��。
有線無線(xian)一體化管理:
NAC的有線無(wu)線一體化���,支持(chi)對有線用(yong)戶的接入認證(zheng)�、訪問控(kong)制��、流(liu)量管理(li)���、上網行為審(shen)計等(deng)�����,
并提供統(tong)一中文Web管理界(jie)面�,一(yi)站式服(fu)務����,極大的(de)降低(di)網絡(luo)建設成本。
網絡分權分(fen)級管理:
分配(pei)不同的管理員(yuan)分別管理(li)各自權限(xian)區(qū)域的無線AP���,可(ke)以精細到對某(mou)AP分組(zu)有管理權限(xian)�,該管理員可(ke)以在(zai)該AP分組上建(jian)立無線(xian)網絡,能(neng)夠激活(huo)���、刪除接入點�,能(neng)夠對AP的配置進(jin)行編輯修(xiu)改�。
可指定管理(li)員針(zhen)對每(mei)個頁面的編(bian)輯或可查(cha)看權限(xian),控制粒度到(dao)控制器上的各(ge)個頁面����,對某個(ge)頁面沒有讀(du)權限則登錄時(shi)不顯(xian)示。
移動APP隨時隨(sui)地運維管(guan)理:
支持跨互聯(lian)網運維管理(li)
登陸APP進行(xing)維護(hu)管理(li):不同(tong)管理(li)員�,不同權限(xian)
查看網絡(luo)運行情況:在(zai)線用戶、在線(xian)AP數量����、實時流量(liang)
無線網絡管理(li)維護:開(kai)啟關(guan)閉SSID、終端綁(bang)定審批(pi)��、二維碼上網(wang)審核
故障����、審(shen)批實(shi)時通知:AP離(li)線警告、服務器(qi)離線警告����、網絡(luo)攻擊告警(jing)
方案(an)優(yōu)勢:
1、最豐富(fu)的無(wu)線安全機(ji)制����,提供從安全(quan)接入到安(an)全上網等端到(dao)端的安全(quan)策略
2、合理管(guan)控工作(zuo)人員上網行為(wei)�,提升工作效(xiao)率、防止(zhi)帶寬(kuan)浪費(fei)���,有線無線(xian)雙重管控
3��、為會議室���,報告(gao)廳等人(ren)員密集區(qū)域接(jie)入網絡提(ti)高保證(zheng),解決有線(xian)網口(kou)不足的問題����;
4、為企業(yè)(ye)員工的移(yi)動辦公提供(gong)支撐����,內(nei)部員工(gong)可通過(guo)無線(xian)網絡隨時(shi)安全(quan)接入內部網(wang)絡,實現辦公�;
5、內部員工賬(zhang)號及(ji)個人(ren)信息綁(bang)定����,便于安全管(guan)理���;
6、內部員工(gong)可通過自己的(de)辦公設(she)備在企業(yè)(ye)大樓內快(kuai)速移動辦公�,網(wang)絡接入(ru)更快速,上網(wang)行為管理(li)系統對員(yuan)工上網行為(wei)進行審(shen)計與管控(kong)
7�、來訪客戶接入(ru)企業(yè)網絡(luo),可根據不同(tong)需求(qiu)�,分配不同(tong)的上網權限(xian),保證了接(jie)入的(de)安全(quan)性同時提(ti)升群眾上(shang)網的體驗(yan)
8��、豐富的認證機(ji)制��,滿足組(zu)織對無(wu)線網絡安全(quan)�、快速接入
9、投資(zi)成本低��,通(tong)過部署(shu)無線控(kong)制器替換原(yuan)有網絡的(de)出口(kou)路由����、行為(wei)管理(li)以及無線控制(zhi)器
