?
大型企(qi)業(yè)在無(wu)線網(wǎng)絡(luò)建(jian)設(shè)期(qi)間要充(chong)分考(kao)慮訪客(領(lǐng)導(dǎo)(dao)��、客戶��、合作伙伴(ban))接入網(wǎng)絡(luò)(luo)的需求��。首先從(cong)安全性考慮��,訪(fang)客網(wǎng)絡(luò)必須(xu)要和辦(ban)公網(wǎng)(wang)絡(luò)分(fen)開,訪(fang)客網(wǎng)絡(luò)單獨(dú)(du)提供給(gei)訪客使用��。從用(yong)戶體驗(yàn)角度(du)考慮��,訪客接(jie)入網(wǎng)絡(luò)的驗(yàn)證(zheng)方式一定要(yao)做到簡單(dan)易行��,繁瑣的驗(yàn)(yan)證方式會(hui)降低訪客(ke)對企(qi)業(yè)的整體(ti)印象(xiang)��。同時(shí)對于訪(fang)客網(wǎng)絡(luò)��,企(qi)業(yè)還需要建(jian)立完善(shan)的網(wǎng)絡(luò)安(an)全管理機(jī)制��,避(bi)免由于訪客(ke)的網(wǎng)絡(luò)不良訪(fang)問給企業(yè)帶來(lai)的法律(lv)風(fēng)險(xiǎn)��。對于企(qi)業(yè)員工(gong)移動辦公上網(wǎng)(wang)��,更需要做到(dao)可管控��,上網(wǎng)(wang)行為做(zuo)到可追溯��,企(qi)業(yè)有效的(de)帶寬資源(yuan)得到合(he)理的分配(pei)和保證��,才能使(shi)企業(yè)的業(yè)(ye)務(wù)系(xi)統(tǒng)正(zheng)常且穩(wěn)定(ding)高效地(di)運(yùn)行(xing)��,同時(shí)保(bao)證企(qi)業(yè)信息(xi)安全��,避免機(jī)(ji)密信息泄露��。
存在的問題(ti)(用戶需(xu)求)
1��、接入不安(an)全:缺乏安全可(ke)靠的認(rèn)證機(jī)(ji)制��,企業(yè)(ye)無線網(wǎng)(wang)絡(luò)接入不(bu)安全
2��、上網(wǎng)權(quán)(quan)限混亂:缺乏有(you)效的控制(zhi)策略��,員(yuan)工上網(wǎng)(wang)權(quán)限不分明
3��、數(shù)據(jù)信息安全(quan):缺乏有效(xiao)的數(shù)據(jù)加密(mi)機(jī)制��,企(qi)業(yè)數(shù)據(jù)被(bei)黑客竊取篡改(gai)
4��、無線信(xin)號差:AP性能不佳(jia)��,上網(wǎng)總掉線��,點(diǎn)(dian)位規(guī)(gui)劃不合理��,信(xin)號盲區(qū)多
5��、漫游(you)效果(guo)差:不能實(shí)現(xiàn)(xian)二三(san)層漫游��,移動(dong)辦公時(shí)(shi),業(yè)務(wù)中斷(duan)
解決方案:
結(jié)合(he)用戶無線(xian)網(wǎng)絡(luò)需求情(qing)況��,結(jié)合(he)產(chǎn)品自身(shen)技術(shù)(shu)特點(diǎn)��,為了(le)滿足用戶(hu)構(gòu)建(jian)一個(gè)高速��、穩(wěn)定(ding)��、安全(quan)��、可靠��、易于管(guan)理的(de)無線接(jie)入網(wǎng)絡(luò)(luo)的需求(qiu)��,本設(shè)(she)計(jì)方案按照AP+AC的(de)結(jié)構(gòu)化無線網(wǎng)(wang)絡(luò)解決方案進(jìn)(jin)行設(shè)計(jì)��。具體設(shè)(she)計(jì)為在(zai)總部設(shè)置(zhi)總部AC,在(zai)大型分支機(jī)構(gòu)(gou)設(shè)置分(fen)支AC與分支(zhi)AP��,中型分支機(jī)構(gòu)(gou)設(shè)計(jì)二級��,三(san)級交(jiao)換機(jī)��,分支AP��。小(xiao)微型(xing)分支機(jī)構(gòu)直(zhi)接設(shè)置分支AP��?�??zong)部AC可以對大型(xing)分支機(jī)(ji)構(gòu)的AC進(jìn)(jin)行管理��,當(dāng)網(wǎng)(wang)點(diǎn)控制(zhi)器采用集(ji)中管理的模(mo)式進(jìn)(jin)入到中(zhong)心端(duan)控制器時(shí)��,會(hui)自動下(xia)載中(zhong)心端的公共配(pei)置��,比如IP組��、MAC地址(zhi)庫��、時(shí)間計(jì)劃(hua)��、角色授權(quán)(quan)��、認(rèn)證頁面等 ��?�??zong)部AC也可以(yi)直接(jie)管理中小(xiao)型分支(zhi)機(jī)構(gòu)的(de)分支AP��,實(shí)現(xiàn)統(tǒng)(tong)一管理��。
方案(an)設(shè)計(jì)(ji):
安全無線(xian)整體解(jie)決方案:
接入前&接(jie)入時(shí)進(jìn)行(xing)身份認(rèn)(ren)證、安全無線(xian)網(wǎng)卡��、賬(zhang)號綁定(ding)(硬件碼+手機(jī)號(hao))��,非法熱點(diǎn)檢測(ce)及防御��、網(wǎng)絡(luò)攻(gong)擊防護(hù)��、射頻定(ding)時(shí)關(guān)閉及安(an)全加(jia)固��。
接入后&上(shang)網(wǎng)時(shí)進(jìn)行訪(fang)問權(quán)限控制(zhi)��。
上網(wǎng)(wang)后進(jìn)行上(shang)網(wǎng)行(xing)為記(ji)錄��。
上網(wǎng)用戶身份(fen)實(shí)名認(rèn)證:
無線辦(ban)公網(wǎng)采用802.1X/Portal/WAPI認(rèn)證(zheng)��,外置(zhi)AAA和RADIUS+AD用于存(cun)儲用戶賬號密(mi)碼��。
每個(gè)賬號對(dui)應(yīng)一個(gè)員工��,包(bao)括姓名��、部門(men)��、性別以(yi)及身份證��、手機(jī)(ji)號等個(gè)人信息(xi)��,保證每個(gè)上網(wǎng)(wang)的賬(zhang)號都是可(ke)尋的��,便(bian)于安全管理(li)��。
用戶(hu)輸入賬號(hao)密碼上(shang)網(wǎng)驗(yàn)證時(shí)均采(cai)用加密傳(chuan)輸��,防(fang)止黑客空(kong)中攔截(jie)��,竊取(qu)賬號密碼等數(shù)(shu)據(jù)��。
上網(wǎng)賬(zhang)號自動綁定(ding)終端:
自動將賬號(hao)與終端的硬件(jian)特征碼(ma)進(jìn)行綁(bang)定��,防止賬(zhang)號被他(ta)人使用或(huo)者被盜用��。
每臺設(shè)備(bei)的硬件(jian)特征(zheng)碼是唯一的��,無(wu)法通過軟件修(xiu)改��。即使通(tong)過軟件修(xiu)改了仍(reng)然可(ke)以識別原始的(de)��。
每個(gè)(ge)賬號最多可以(yi)綁定5臺終端(duan)��,超過1臺(tai)時(shí)需要管理員(yuan)審核��。
上網(wǎng)賬號二次(ci)綁定手機(jī)號碼(ma):
賬號首次登陸(lu)時(shí)需要綁定(ding)手機(jī)號(hao)并輸入短(duan)信驗(yàn)(yan)證碼,當(dāng)用(yong)戶賬號(hao)在新終端登陸(lu)時(shí)(換(huan)終端/被他用/被(bei)盜)��,不(bu)僅需要輸入(ru)密碼��,還需(xu)要輸入短(duan)信驗(yàn)證碼(ma)��,解決員工賬號(hao)認(rèn)證的安(an)全問(wen)題
綁定(ding)手機(jī)號碼(ma)的用戶��,可(ke)以自助重置(zhi)密碼和(he)修改密碼(ma)��,無需(xu)通過IT管理員(yuan)��。
用戶密碼管理(li)及自(zi)助修改:
無需通過(guo)管理(li)員即可修(xiu)改密碼(ma)��,提高效率及減(jian)輕管(guan)理員(yuan)工作壓(ya)力��。
通過口袋助(zhu)理��、釘(ding)釘��、企(qi)業(yè)號等手(shou)機(jī)MOA類(lei)APP軟件進(jìn)行無線(xian)密碼修改��。
若賬號綁定(ding)了手機(jī)號碼��,可(ke)通過手機(jī)驗(yàn)(yan)證碼(ma)自助修(xiu)改��。
上網(wǎng)終端合(he)法效驗(yàn)(yan):
采用安全(quan)無線網(wǎng)卡接入(ru)無線網(wǎng)絡(luò)��,終(zhong)端與AP熱點(diǎn)(dian)的雙向驗(yàn)證��,提(ti)高安全(quan)性��。
可以將(jiang)無線網(wǎng)(wang)絡(luò)設(shè)置為只有(you)安裝了安全無(wu)線網(wǎng)卡(ka)的終端才能(neng)接入無(wu)線網(wǎng)絡(luò)��。
支持設(shè)置安全(quan)無線網(wǎng)卡只能(neng)連指定(ding)SSID無線網(wǎng)絡(luò)��,無法(fa)連接非授權(quán)SSID��。
網(wǎng)卡與(yu)AP數(shù)據(jù)傳輸時(shí)(shi)自動進(jìn)(jin)行數(shù)據(jù)加密��,保(bao)證無(wu)線的(de)空口安(an)全��。
無線熱點(diǎn)掃描(miao)及非法熱點(diǎn)抑(yi)制:
背景:黑客在(zai)附近搭建(jian)一個(gè)一模一(yi)樣或者類似的(de)WIFI名稱��,誘(you)使用(yong)戶連到(dao)虛假釣(diao)魚WIFI上��,黑客利用(yong)分析(xi)軟件從用(yong)戶上(shang)網(wǎng)產(chǎn)生的數(shù)(shu)據(jù)包中分(fen)析提取用戶隱(yin)私信息��。
我們通(tong)過WIPS無線入侵(qin)防御系(xi)統(tǒng)實(shí)(shi)時(shí)檢(jian)測周(zhou)圍無線信號��,當(dāng)(dang)檢測出(chu)來的信號BSSID��、且(qie)AP源MAC地址(zhi)不在授(shou)權(quán)列(lie)表中時(shí),我們向(xiang)對應(yīng)(ying)的AP和(he)終端發(fā)送(song)解除關(guān)(guan)聯(lián)幀��,讓(rang)終端無(wu)法連上釣魚(yu)WIFI��。7×24小時(shí)不間(jian)斷監(jiān)(jian)測網(wǎng)(wang)絡(luò)��。
上網(wǎng)行為嚴(yán)格(ge)控制:
強(qiáng)大的管理(li):通過應(yīng)用(yong)識別技(ji)術(shù)��,可以根據(jù)(ju)應(yīng)用類型或(huo)者具(ju)體某(mou)一種應(yīng)用(yong)進(jìn)行封堵��,包括(kuo)視頻��、論壇��、游戲(xi)��、金融(rong)��、下載等2400多(duo)種網(wǎng)絡(luò)(luo)應(yīng)用��。
通過應(yīng)用(yong)識別技術(shù)��,可以(yi)根據(jù)應(yīng)用(yong)類型(xing)或者具體某(mou)一種應(yīng)(ying)用進(jìn)行封堵(du)��,比如上(shang)班時(shí)間(jian)不允許炒股(gu)��,不允許P2P下(xia)載,不允許外(wai)發(fā)敏感文件等(deng)��; 支持主(zhu)流移動平臺��,可(ke)識別IM��、社交��、Mail��、新聞(wen)��、炒股等(deng)應(yīng)用��。
無線控制器內(nèi)(nei)置千(qian)萬級(ji)別的URL分(fen)類庫��,能(neng)夠?qū)RL進(jìn)(jin)行識別��,包含新(xin)聞��、購(gou)物��、金融(rong)��、教育(yu)等18個(gè)種類的(de)URL地址��; 準(zhǔn)確(que)識別目(mu)前主流網(wǎng)站��,識(shi)別率高達(dá)99.9%��,有(you)效實(shí)(shi)現(xiàn)網(wǎng)頁過濾(lv)��。例如禁止登(deng)陸非法網(wǎng)站
通過基(ji)于時(shí)(shi)間段的訪問控(kong)制策(ce)略��,實(shí)現(xiàn)不同(tong)的時(shí)間段不(bu)同的訪(fang)問權(quán)(quan)限��,比如(ru)上班時(shí)間��,禁(jin)止訪問網(wǎng)(wang)上銀行��、游戲��、論(lun)壇貼吧等(deng)與工作無(wu)關(guān)的應(yīng)(ying)用��,下班時(shí)間則(ze)不受限制��。
辦公(gong)區(qū)域(yu)內(nèi)��,不同(tong)辦公部門總會(hui)有各自專(zhuan)屬的無(wu)線網(wǎng)絡(luò)��,并(bing)且不希望部(bu)門之外的(de)成員使用這(zhe)個(gè)網(wǎng)絡(luò)��。無線網(wǎng)(wang)絡(luò)控(kong)制器(qi)可以根據(jù)用(yong)戶的屬(shu)性,限制禁止(zhi)非本(ben)部門的(de)用戶接入��。
典型無(wu)線網(wǎng)絡(luò)攻擊防(fang)護(hù):
對典型的危險(xiǎn)(xian)攻擊行為(wei)進(jìn)行(xing)檢測��,當(dāng)超過(guo)設(shè)定的閾(yu)值后自動(dong)將攻(gong)擊者加入(ru)到黑(hei)名單中(zhong)��,并凍結(jié)一(yi)定時(shí)間��,即時(shí)發(fā)(fa)現(xiàn)網(wǎng)(wang)絡(luò)攻擊(ji)并進(jìn)(jin)行防御��。
檢測(ce)的攻擊包(bao)括:DDOS防御��、ARP掃描��、IP掃(sao)描��、端口掃(sao)描防御��,禁止(zhi)客戶(hu)端私設(shè)IP以(yi)及ARP��、網(wǎng)關(guān)欺騙(pian)防御��、DHCP請(qing)求泛洪防(fang)御��。
無線射頻(pin)定時(shí)(shi)關(guān)閉開啟:
通過射(she)頻關(guān)閉控制策(ce)略��,可(ke)以指定某SSID網(wǎng)絡(luò)(luo)��,定時(shí)自動關(guān)(guan)閉和開啟無線(xian)網(wǎng)絡(luò)的射頻信(xin)號��,晚上(shang)下班(ban)后自動關(guān)(guan)閉無(wu)線射頻信號��。
一方(fang)面可(ke)以節(jié)(jie)能減排(pai)��、節(jié)省電費(fèi)支(zhi)出��;另一方(fang)面又能防(fang)止非法用(yong)戶利用深(shen)夜時(shí)(shi)間入(ru)侵無線(xian)網(wǎng)絡(luò)��,做(zuo)一些非法(fa)的操作��。
有線無線一(yi)體化管(guan)理:
NAC的有線無(wu)線一體(ti)化��,支持(chi)對有(you)線用戶的(de)接入認(rèn)證��、訪問(wen)控制��、流量管理(li)��、上網(wǎng)行(xing)為審計(jì)(ji)等��,
并提供統(tǒng)一中(zhong)文Web管理界面(mian),一站式服(fu)務(wù)��,極大的(de)降低(di)網(wǎng)絡(luò)建設(shè)成(cheng)本��。
網(wǎng)絡(luò)分權(quán)分級(ji)管理(li):
分配(pei)不同的(de)管理(li)員分別管理(li)各自權(quán)(quan)限區(qū)域(yu)的無(wu)線AP��,可(ke)以精(jing)細(xì)到(dao)對某AP分組(zu)有管理權(quán)限(xian)��,該管理(li)員可以在該AP分(fen)組上建立無線(xian)網(wǎng)絡(luò)��,能夠激(ji)活��、刪(shan)除接入點(diǎn)��,能(neng)夠?qū)P的配置進(jìn)(jin)行編輯修改��。
可指定管理員(yuan)針對每個(gè)(ge)頁面(mian)的編(bian)輯或可(ke)查看權(quán)限��,控(kong)制粒度到控(kong)制器上(shang)的各個(gè)(ge)頁面��,對(dui)某個(gè)頁面(mian)沒有讀(du)權(quán)限則(ze)登錄時(shí)不顯示(shi)��。
移動APP隨時(shí)隨(sui)地運(yùn)維管理(li):
支持跨互聯(lián)網(wǎng)(wang)運(yùn)維管(guan)理
登陸APP進(jìn)(jin)行維護(hù)管理:不(bu)同管(guan)理員��,不(bu)同權(quán)(quan)限
查看網(wǎng)絡(luò)(luo)運(yùn)行情(qing)況:在線用戶(hu)��、在線AP數(shù)(shu)量��、實(shí)時(shí)流量
無線網(wǎng)絡(luò)(luo)管理維護(hù)(hu):開啟關(guān)閉(bi)SSID��、終端綁定(ding)審批��、二維(wei)碼上網(wǎng)審(shen)核
故障��、審(shen)批實(shí)時(shí)通知:AP離(li)線警告��、服務(wù)(wu)器離線(xian)警告��、網(wǎng)絡(luò)(luo)攻擊告(gao)警
方案優(yōu)勢:
1��、最豐富(fu)的無(wu)線安(an)全機(jī)制��,提供(gong)從安全接入(ru)到安(an)全上網(wǎng)等端(duan)到端的(de)安全策略(lve)
2��、合理管控(kong)工作(zuo)人員上(shang)網(wǎng)行為��,提升(sheng)工作效(xiao)率��、防(fang)止帶寬浪費(fèi)(fei)��,有線無(wu)線雙重管控(kong)
3��、為會議(yi)室,報(bào)告廳等人(ren)員密(mi)集區(qū)(qu)域接入網(wǎng)絡(luò)提(ti)高保(bao)證��,解決(jue)有線(xian)網(wǎng)口不足的問(wen)題��;
4��、為企業(yè)(ye)員工(gong)的移(yi)動辦公提(ti)供支撐��,內(nèi)部員(yuan)工可通過無(wu)線網(wǎng)絡(luò)隨(sui)時(shí)安全接入內(nèi)(nei)部網(wǎng)絡(luò)(luo)��,實(shí)現(xiàn)辦公��;
5��、內(nèi)部員工賬(zhang)號及個(gè)人信息(xi)綁定(ding)��,便于(yu)安全(quan)管理��;
6��、內(nèi)部(bu)員工(gong)可通過自己(ji)的辦公(gong)設(shè)備(bei)在企(qi)業(yè)大樓內(nèi)快(kuai)速移動辦公��,網(wǎng)(wang)絡(luò)接(jie)入更快速��,上(shang)網(wǎng)行為管理系(xi)統(tǒng)對員工上網(wǎng)(wang)行為進(jìn)行審計(jì)(ji)與管控
7��、來訪(fang)客戶接(jie)入企(qi)業(yè)網(wǎng)絡(luò)��,可(ke)根據(jù)不同需(xu)求��,分配不同的(de)上網(wǎng)權(quán)(quan)限��,保證了(le)接入的安全性(xing)同時(shí)提(ti)升群眾(zhong)上網(wǎng)的體驗(yàn)
8��、豐富的認(rèn)證(zheng)機(jī)制(zhi)��,滿足(zu)組織對(dui)無線(xian)網(wǎng)絡(luò)(luo)安全��、快速接入(ru)
9��、投資成本(ben)低��,通過部署(shu)無線控制(zhi)器替(ti)換原有網(wǎng)絡(luò)的(de)出口路由(you)��、行為管(guan)理以及無線(xian)控制器
