?
大型企業(yè)在(zai)無線網(wǎng)絡建(jian)設期間要充分(fen)考慮訪客(領導(dao)、客戶��、合作(zuo)伙伴)接(jie)入網(wǎng)絡的(de)需求(qiu)。首先從安全(quan)性考慮��,訪(fang)客網(wǎng)絡必須要(yao)和辦公網(wǎng)(wang)絡分開��,訪客(ke)網(wǎng)絡單獨提供(gong)給訪(fang)客使(shi)用�。從用戶體(ti)驗角(jiao)度考慮,訪客(ke)接入網(wǎng)絡(luo)的驗證方式(shi)一定要做(zuo)到簡單(dan)易行(xing)����,繁瑣(suo)的驗(yan)證方式(shi)會降低(di)訪客對(dui)企業(yè)(ye)的整體(ti)印象。同時對于(yu)訪客網(wǎng)絡����,企(qi)業(yè)還需要建(jian)立完善的(de)網(wǎng)絡安全管理(li)機制,避免(mian)由于(yu)訪客的網(wǎng)絡不(bu)良訪問給企業(yè)(ye)帶來的(de)法律(lv)風險����。對于(yu)企業(yè)員(yuan)工移動辦(ban)公上網(wǎng)(wang)��,更需要做到(dao)可管控(kong)�����,上網(wǎng)行為做(zuo)到可追溯,企業(yè)(ye)有效的帶(dai)寬資源(yuan)得到合理的分(fen)配和保(bao)證���,才能使(shi)企業(yè)的業(yè)務(wu)系統(tǒng)正常且穩(wěn)(wen)定高效地運行(xing)��,同時保(bao)證企業(yè)(ye)信息安全��,避免(mian)機密信息(xi)泄露��。
存在(zai)的問(wen)題(用(yong)戶需求(qiu))
1���、接入不安(an)全:缺乏安全(quan)可靠的(de)認證機制,企業(yè)(ye)無線網(wǎng)絡接(jie)入不安全
2���、上網(wǎng)權(quan)限混亂:缺(que)乏有效的(de)控制策略(lve)���,員工上(shang)網(wǎng)權限不分(fen)明
3、數(shù)據(jù)(ju)信息安全:缺乏(fa)有效的(de)數(shù)據(jù)加密機制(zhi)�,企業(yè)(ye)數(shù)據(jù)被(bei)黑客竊取篡(cuan)改
4、無線信號(hao)差:AP性能不佳���,上(shang)網(wǎng)總掉線(xian)��,點位規(guī)劃不合(he)理�,信號盲(mang)區(qū)多
5、漫游效果差:不(bu)能實現(xiàn)二三(san)層漫(man)游��,移動(dong)辦公時�����,業(yè)(ye)務中斷
解決方案(an):
結合用戶無(wu)線網(wǎng)絡需求情(qing)況����,結(jie)合產(chǎn)品自身技(ji)術特點(dian),為了滿足用戶(hu)構建一個高(gao)速�����、穩(wěn)定��、安(an)全���、可靠(kao)��、易于管理(li)的無線(xian)接入網(wǎng)絡(luo)的需求(qiu)��,本設計方案(an)按照AP+AC的結構(gou)化無線網(wǎng)絡(luo)解決方案(an)進行設計(ji)����。具體設計為(wei)在總部設置(zhi)總部AC,在大(da)型分支機構設(she)置分支AC與分支(zhi)AP����,中型(xing)分支機構(gou)設計二級���,三級(ji)交換機,分支AP�。小(xiao)微型分(fen)支機構直接設(she)置分支AP��?����?偛緼C可(ke)以對大型(xing)分支機(ji)構的AC進(jin)行管(guan)理�,當網(wǎng)點控(kong)制器采用集中(zhong)管理的模式(shi)進入(ru)到中心端控制(zhi)器時���,會自(zi)動下載中(zhong)心端的(de)公共(gong)配置����,比如IP組(zu)、MAC地址庫�、時(shi)間計劃、角色授(shou)權�、認證頁面等(deng) ??偛?bu)AC也可以直接(jie)管理中小型(xing)分支機構的分(fen)支AP,實現(xiàn)統(tǒng)一(yi)管理(li)��。
方案(an)設計:
安全無線整(zheng)體解決方案(an):
接入前&接(jie)入時進(jin)行身份認(ren)證�、安全無線(xian)網(wǎng)卡、賬號綁(bang)定(硬件碼(ma)+手機號)�����,非法(fa)熱點(dian)檢測及(ji)防御(yu)����、網(wǎng)絡攻(gong)擊防(fang)護、射頻定時(shi)關閉及安全(quan)加固�。
接入后(hou)&上網(wǎng)(wang)時進行訪問(wen)權限控制(zhi)。
上網(wǎng)后進(jin)行上網(wǎng)行為(wei)記錄(lu)�。
上網(wǎng)用戶身份(fen)實名(ming)認證:
無線辦公網(wǎng)采(cai)用802.1X/Portal/WAPI認證,外置AAA和(he)RADIUS+AD用于存(cun)儲用戶(hu)賬號密(mi)碼���。
每個賬(zhang)號對應一個員(yuan)工�,包括姓名(ming)�、部門(men)、性別(bie)以及身份證��、手(shou)機號等個人(ren)信息��,保證每個(ge)上網(wǎng)的賬號(hao)都是可(ke)尋的����,便于安(an)全管理(li)。
用戶(hu)輸入賬(zhang)號密碼上網(wǎng)(wang)驗證時均(jun)采用加(jia)密傳輸�,防止黑(hei)客空中攔截,竊(qie)取賬號密碼等(deng)數(shù)據(jù)����。
上網(wǎng)賬號自(zi)動綁定終端(duan):
自動將賬號與(yu)終端的(de)硬件(jian)特征(zheng)碼進(jin)行綁定,防止(zhi)賬號被(bei)他人(ren)使用或者被(bei)盜用�。
每臺設備(bei)的硬(ying)件特征(zheng)碼是唯一的,無(wu)法通過軟件(jian)修改(gai)�����。即使(shi)通過軟件修(xiu)改了仍然可以(yi)識別原始的(de)�。
每個賬號最(zui)多可以綁(bang)定5臺終端(duan),超過1臺時需要(yao)管理員審核(he)。
上網(wǎng)(wang)賬號二(er)次綁定手機(ji)號碼(ma):
賬號(hao)首次登陸(lu)時需要綁定手(shou)機號并輸入短(duan)信驗證碼(ma)����,當用(yong)戶賬號在(zai)新終(zhong)端登陸(lu)時(換(huan)終端/被他用/被(bei)盜),不僅(jin)需要輸入密碼(ma)����,還需要輸入(ru)短信驗證碼(ma),解決員工賬(zhang)號認證的安全(quan)問題
綁定手機號碼(ma)的用(yong)戶���,可(ke)以自助(zhu)重置密碼(ma)和修改密(mi)碼����,無需(xu)通過IT管理員�����。
用戶密碼管理(li)及自助修(xiu)改:
無需通過管理(li)員即可(ke)修改密(mi)碼�����,提高效率及(ji)減輕管(guan)理員(yuan)工作壓力�����。
通過口袋助(zhu)理、釘釘(ding)��、企業(yè)號(hao)等手機MOA類APP軟件(jian)進行(xing)無線密碼修改(gai)��。
若賬號綁定(ding)了手機(ji)號碼���,可通過(guo)手機驗(yan)證碼自助修(xiu)改。
上網(wǎng)終端合(he)法效驗(yan):
采用安(an)全無線網(wǎng)卡(ka)接入無線網(wǎng)絡(luo)����,終端(duan)與AP熱點的雙(shuang)向驗證,提(ti)高安全性�。
可以(yi)將無線網(wǎng)絡設(she)置為(wei)只有安(an)裝了(le)安全(quan)無線網(wǎng)卡(ka)的終端才(cai)能接入無線(xian)網(wǎng)絡(luo)。
支持設置(zhi)安全無線網(wǎng)(wang)卡只能連(lian)指定SSID無線網(wǎng)絡(luo)�,無法連接非(fei)授權(quan)SSID。
網(wǎng)卡與AP數(shù)據(jù)(ju)傳輸時自動進(jin)行數(shù)據(jù)加密�,保(bao)證無線的空(kong)口安全。
無線熱點(dian)掃描及(ji)非法(fa)熱點抑(yi)制:
背景:黑(hei)客在附近搭(da)建一個一(yi)模一(yi)樣或者類(lei)似的(de)WIFI名稱��,誘使用戶(hu)連到虛假釣魚(yu)WIFI上���,黑客(ke)利用分析(xi)軟件從用(yong)戶上網(wǎng)產(chǎn)(chan)生的數(shù)據(jù)包中(zhong)分析提取用(yong)戶隱私信息��。
我們通過WIPS無線(xian)入侵防(fang)御系統(tǒng)實時檢(jian)測周圍無(wu)線信號(hao)�,當檢測出來的(de)信號BSSID、且(qie)AP源MAC地址不在授(shou)權列表(biao)中時��,我(wo)們向?qū)?dui)應的AP和終端(duan)發(fā)送解除(chu)關聯(lián)(lian)幀����,讓終端無(wu)法連上釣魚(yu)WIFI。7×24小時不(bu)間斷監(jiān)測網(wǎng)(wang)絡����。
上網(wǎng)行為(wei)嚴格控制:
強大的管理:通(tong)過應用識別技(ji)術,可以根據(jù)應(ying)用類型(xing)或者具體(ti)某一種(zhong)應用進(jin)行封堵�����,包(bao)括視頻�、論(lun)壇、游戲(xi)����、金融、下載(zai)等2400多種(zhong)網(wǎng)絡應(ying)用�。
通過應用(yong)識別技術,可以(yi)根據(jù)應用(yong)類型或者(zhe)具體某一種(zhong)應用進行封堵(du)��,比如上(shang)班時間不允許(xu)炒股���,不允許P2P下(xia)載�,不允(yun)許外發(fā)(fa)敏感文件等(deng); 支持主(zhu)流移動(dong)平臺�,可識別(bie)IM、社交(jiao)�、Mail、新聞�����、炒(chao)股等應(ying)用����。
無線控(kong)制器內(nèi)置千(qian)萬級別的URL分(fen)類庫���,能夠?qū)RL進(jin)行識別��,包含新(xin)聞�、購物���、金融���、教(jiao)育等18個(ge)種類的(de)URL地址��; 準(zhun)確識別目前主(zhu)流網(wǎng)站��,識別(bie)率高達99.9%���,有(you)效實(shi)現(xiàn)網(wǎng)頁過(guo)濾。例如禁止登(deng)陸非法網(wǎng)站(zhan)
通過基于時間(jian)段的訪問(wen)控制策(ce)略�,實現(xiàn)(xian)不同的(de)時間段不(bu)同的訪問權(quan)限,比如上(shang)班時間��,禁止訪(fang)問網(wǎng)上銀行�、游(you)戲、論壇貼(tie)吧等與工(gong)作無(wu)關的應用(yong)���,下班時間則(ze)不受限制����。
辦公區(qū)域內(nèi)�,不(bu)同辦公部(bu)門總會有各自(zi)專屬的無線網(wǎng)(wang)絡,并(bing)且不希望部(bu)門之(zhi)外的成員(yuan)使用這個(ge)網(wǎng)絡�。無線(xian)網(wǎng)絡(luo)控制器可以(yi)根據(jù)用戶的(de)屬性,限制禁(jin)止非(fei)本部門的用戶(hu)接入(ru)���。
典型(xing)無線網(wǎng)絡(luo)攻擊(ji)防護(hu):
對典型的危(wei)險攻擊行(xing)為進行(xing)檢測����,當超過(guo)設定的閾值(zhi)后自動將攻擊(ji)者加入到黑名(ming)單中,并凍(dong)結一定(ding)時間�,即時(shi)發(fā)現(xiàn)網(wǎng)(wang)絡攻擊并進行(xing)防御。
檢測的攻擊(ji)包括:DDOS防御����、ARP掃描(miao)、IP掃描�、端口掃描(miao)防御,禁止(zhi)客戶端(duan)私設IP以及ARP���、網(wǎng)(wang)關欺騙防御����、DHCP請(qing)求泛洪防御(yu)�����。
無線射(she)頻定時關閉(bi)開啟:
通過射頻關閉(bi)控制(zhi)策略�,可以(yi)指定某SSID網(wǎng)絡(luo)��,定時(shi)自動關閉(bi)和開啟無線網(wǎng)(wang)絡的(de)射頻信(xin)號�,晚上下班(ban)后自動關閉無(wu)線射頻(pin)信號����。
一方面(mian)可以(yi)節(jié)能減排��、節(jié)省(sheng)電費支出��;另(ling)一方面(mian)又能(neng)防止(zhi)非法用戶利用(yong)深夜時間(jian)入侵無(wu)線網(wǎng)(wang)絡�,做一些(xie)非法的操(cao)作。
有線無(wu)線一體化管(guan)理:
NAC的有線無(wu)線一體化(hua)����,支持對有(you)線用戶(hu)的接入認證(zheng)、訪問控制�����、流(liu)量管理��、上(shang)網(wǎng)行(xing)為審(shen)計等(deng)����,
并提供統(tǒng)一(yi)中文(wen)Web管理界面,一站(zhan)式服務����,極(ji)大的降低(di)網(wǎng)絡(luo)建設成本����。
網(wǎng)絡分權分(fen)級管(guan)理:
分配(pei)不同的管(guan)理員分別管理(li)各自權限區(qū)域(yu)的無線(xian)AP����,可以(yi)精細到對某(mou)AP分組有管理(li)權限,該管(guan)理員可以在該(gai)AP分組(zu)上建(jian)立無線網(wǎng)(wang)絡���,能夠激活����、刪(shan)除接入點��,能夠(gou)對AP的配置(zhi)進行編(bian)輯修改���。
可指定管(guan)理員(yuan)針對每個頁面(mian)的編輯或(huo)可查看(kan)權限�,控(kong)制粒度到控制(zhi)器上的(de)各個頁面(mian)���,對某個(ge)頁面沒(mei)有讀權(quan)限則(ze)登錄時不顯示(shi)。
移動APP隨時隨(sui)地運維(wei)管理:
支持(chi)跨互(hu)聯(lián)網(wǎng)(wang)運維管理
登陸APP進行維(wei)護管理:不(bu)同管理員(yuan)�����,不同權限
查看(kan)網(wǎng)絡(luo)運行情況:在(zai)線用戶、在線AP數(shù)(shu)量��、實時流(liu)量
無線網(wǎng)絡管(guan)理維(wei)護:開(kai)啟關閉SSID����、終(zhong)端綁(bang)定審批(pi)、二維碼上(shang)網(wǎng)審核(he)
故障����、審批實(shi)時通知(zhi):AP離線警告、服務(wu)器離線警告(gao)��、網(wǎng)絡攻擊告(gao)警
方案優(yōu)勢:
1��、最豐(feng)富的無線(xian)安全機制(zhi)����,提供從安(an)全接入到安全(quan)上網(wǎng)等端到(dao)端的(de)安全(quan)策略
2、合理管控工作(zuo)人員(yuan)上網(wǎng)行為(wei)�����,提升(sheng)工作(zuo)效率�、防止帶寬(kuan)浪費,有線(xian)無線(xian)雙重管(guan)控
3、為會議(yi)室�,報告廳(ting)等人員密集區(qū)(qu)域接入網(wǎng)絡(luo)提高保證,解決(jue)有線網(wǎng)(wang)口不足(zu)的問(wen)題�����;
4�、為企業(yè)員工的(de)移動辦(ban)公提供(gong)支撐,內(nèi)(nei)部員工(gong)可通過無線網(wǎng)(wang)絡隨時安全(quan)接入(ru)內(nèi)部網(wǎng)絡�,實現(xiàn)(xian)辦公;
5����、內(nèi)部員工賬號(hao)及個(ge)人信息(xi)綁定(ding),便于安全管理(li)�����;
6���、內(nèi)部(bu)員工(gong)可通過自(zi)己的辦(ban)公設(she)備在企業(yè)大樓(lou)內(nèi)快(kuai)速移動辦公��,網(wǎng)(wang)絡接入(ru)更快速�����,上網(wǎng)行(xing)為管理系統(tǒng)(tong)對員工(gong)上網(wǎng)行為進(jin)行審計與管(guan)控
7���、來訪客(ke)戶接入(ru)企業(yè)(ye)網(wǎng)絡,可根據(jù)(ju)不同(tong)需求���,分配(pei)不同的上網(wǎng)權(quan)限�,保證了接(jie)入的安全性同(tong)時提升群(qun)眾上(shang)網(wǎng)的體(ti)驗
8��、豐富的認證機(ji)制��,滿(man)足組織(zhi)對無(wu)線網(wǎng)絡安(an)全�、快速接入(ru)
9、投資成本(ben)低����,通過部(bu)署無線(xian)控制(zhi)器替換(huan)原有網(wǎng)絡的(de)出口路由、行(xing)為管理以及無(wu)線控制(zhi)器
