?
大型(xing)企業(yè)在無(wu)線網(wǎng)絡(luò)(luo)建設(shè)期間要(yao)充分考慮訪(fang)客(領(lǐng)導(dǎo)���、客戶、合(he)作伙伴)接入(ru)網(wǎng)絡(luò)的需求(qiu)���。首先從安全性(xing)考慮���,訪客網(wǎng)絡(luò)(luo)必須要和(he)辦公網(wǎng)(wang)絡(luò)分開(kai)���,訪客(ke)網(wǎng)絡(luò)單獨(dú)提(ti)供給(gei)訪客使用。從(cong)用戶體驗(yàn)角(jiao)度考慮(lv)���,訪客接入網(wǎng)(wang)絡(luò)的驗(yàn)證方式(shi)一定要(yao)做到簡(jiǎn)(jian)單易行���,繁瑣(suo)的驗(yàn)證方式會(huì)(hui)降低訪客對(duì)企(qi)業(yè)的(de)整體印象。同時(shí)(shi)對(duì)于訪客網(wǎng)絡(luò)(luo)���,企業(yè)還需要(yao)建立完善的網(wǎng)(wang)絡(luò)安全管理機(jī)(ji)制���,避免由(you)于訪(fang)客的網(wǎng)絡(luò)不良(liang)訪問給(gei)企業(yè)帶來的(de)法律風(fēng)險(xiǎn)。對(duì)(dui)于企業(yè)員工(gong)移動(dòng)(dong)辦公上網(wǎng)(wang)���,更需要做到(dao)可管控���,上網(wǎng)行(xing)為做到可追(zhui)溯,企業(yè)有效的(de)帶寬資(zi)源得(de)到合理的(de)分配和保證���,才(cai)能使(shi)企業(yè)的業(yè)(ye)務(wù)系統(tǒng)正常(chang)且穩(wěn)定高(gao)效地運(yùn)行(xing)���,同時(shí)保證企(qi)業(yè)信息安全(quan)���,避免機(jī)(ji)密信息泄露(lu)���。
存在的問(wen)題(用戶(hu)需求)
1���、接入不安(an)全:缺(que)乏安(an)全可靠的認(rèn)(ren)證機(jī)(ji)制,企業(yè)(ye)無線網(wǎng)絡(luò)接(jie)入不安全
2���、上網(wǎng)權(quán)(quan)限混亂:缺乏有(you)效的控制策(ce)略���,員工上(shang)網(wǎng)權(quán)限不分(fen)明
3、數(shù)據(jù)信息(xi)安全:缺乏(fa)有效(xiao)的數(shù)據(jù)加密(mi)機(jī)制���,企業(yè)(ye)數(shù)據(jù)被(bei)黑客(ke)竊取(qu)篡改(gai)
4���、無線信(xin)號(hào)差(cha):AP性能不佳(jia),上網(wǎng)總掉線(xian)���,點(diǎn)位規(guī)劃不合(he)理���,信號(hào)盲區(qū)多(duo)
5���、漫游效果差:不(bu)能實(shí)現(xiàn)二三層(ceng)漫游,移動(dòng)辦(ban)公時(shí)���,業(yè)務(wù)(wu)中斷(duan)
解決(jue)方案:
結(jié)合(he)用戶(hu)無線網(wǎng)絡(luò)需求(qiu)情況���,結(jié)合(he)產(chǎn)品自(zi)身技術(shù)特(te)點(diǎn),為了滿(man)足用戶(hu)構(gòu)建一個(gè)高(gao)速���、穩(wěn)定���、安全(quan)、可靠(kao)���、易于管理的無(wu)線接入(ru)網(wǎng)絡(luò)的(de)需求���,本設(shè)(she)計(jì)方案按照AP+AC的(de)結(jié)構(gòu)化無線(xian)網(wǎng)絡(luò)解(jie)決方案進(jìn)行(xing)設(shè)計(jì)。具體設(shè)(she)計(jì)為在總部(bu)設(shè)置總(zong)部AC,在(zai)大型分支機(jī)構(gòu)(gou)設(shè)置分支AC與分(fen)支AP���,中型分支(zhi)機(jī)構(gòu)設(shè)計(jì)二級(jí)(ji)���,三級(jí)交換(huan)機(jī)���,分支AP。小微(wei)型分支機(jī)構(gòu)直(zhi)接設(shè)(she)置分(fen)支AP���?��?偛緼C可以對(duì)(dui)大型分(fen)支機(jī)構(gòu)(gou)的AC進(jìn)行管理���,當(dāng)(dang)網(wǎng)點(diǎn)控(kong)制器(qi)采用(yong)集中(zhong)管理的模式(shi)進(jìn)入到中心(xin)端控制器時(shí)���,會(huì)(hui)自動(dòng)下(xia)載中(zhong)心端的(de)公共配置(zhi),比如IP組���、MAC地(di)址庫(kù)���、時(shí)(shi)間計(jì)(ji)劃、角色(se)授權(quán)���、認(rèn)證頁(yè)面(mian)等 ���?��?偛緼C也(ye)可以直接管(guan)理中小(xiao)型分支機(jī)(ji)構(gòu)的分支AP,實(shí)(shi)現(xiàn)統(tǒng)(tong)一管理���。
方案設(shè)計(jì):
安全無線整(zheng)體解決方(fang)案:
接入(ru)前&接入(ru)時(shí)進(jìn)行身(shen)份認(rèn)證���、安全無(wu)線網(wǎng)卡、賬號(hào)綁(bang)定(硬件(jian)碼+手機(jī)號(hào))���,非法(fa)熱點(diǎn)(dian)檢測(cè)及防御���、網(wǎng)(wang)絡(luò)攻擊防護(hù)、射(she)頻定時(shí)關(guān)閉(bi)及安全加固(gu)���。
接入后(hou)&上網(wǎng)時(shí)進(jìn)行訪(fang)問權(quán)限控(kong)制���。
上網(wǎng)后進(jìn)(jin)行上網(wǎng)行為(wei)記錄。
上網(wǎng)用戶(hu)身份實(shí)名認(rèn)證(zheng):
無線(xian)辦公(gong)網(wǎng)采用802.1X/Portal/WAPI認(rèn)證(zheng)���,外置AAA和RADIUS+AD用(yong)于存儲(chǔ)用(yong)戶賬號(hào)密碼(ma)���。
每個(gè)賬號(hào)對(duì)(dui)應(yīng)一個(gè)員工���,包(bao)括姓名、部(bu)門���、性別以(yi)及身份(fen)證���、手(shou)機(jī)號(hào)等個(gè)(ge)人信(xin)息,保證每(mei)個(gè)上網(wǎng)的(de)賬號(hào)都是可(ke)尋的���,便(bian)于安(an)全管理。
用戶輸入(ru)賬號(hào)密碼(ma)上網(wǎng)驗(yàn)證時(shí)(shi)均采用加(jia)密傳輸���,防止(zhi)黑客空中(zhong)攔截(jie)���,竊取賬號(hào)(hao)密碼等數(shù)據(jù)。
上網(wǎng)賬號(hào)自動(dòng)(dong)綁定終端:
自動(dòng)將(jiang)賬號(hào)(hao)與終(zhong)端的(de)硬件(jian)特征碼(ma)進(jìn)行綁定���,防(fang)止賬號(hào)(hao)被他人使用(yong)或者被盜用(yong)���。
每臺(tái)設(shè)備(bei)的硬件特征(zheng)碼是唯一的���,無(wu)法通過軟件(jian)修改。即使通過(guo)軟件修改了仍(reng)然可以(yi)識(shí)別原(yuan)始的(de)���。
每個(gè)賬號(hào)最(zui)多可以綁定(ding)5臺(tái)終端(duan)���,超過1臺(tái)(tai)時(shí)需要管理員(yuan)審核。
上網(wǎng)(wang)賬號(hào)二次綁(bang)定手機(jī)號(hào)(hao)碼:
賬號(hào)(hao)首次登陸時(shí)需(xu)要綁定手機(jī)號(hào)(hao)并輸入短信(xin)驗(yàn)證(zheng)碼���,當(dāng)用戶(hu)賬號(hào)在(zai)新終端登(deng)陸時(shí)(換終端(duan)/被他用/被盜)���,不(bu)僅需(xu)要輸入(ru)密碼,還需要(yao)輸入(ru)短信驗(yàn)證碼(ma)���,解決(jue)員工賬號(hào)認(rèn)(ren)證的(de)安全問(wen)題
綁定手機(jī)號(hào)(hao)碼的用戶(hu)���,可以(yi)自助(zhu)重置(zhi)密碼和修改(gai)密碼,無需通(tong)過IT管理員���。
用戶密(mi)碼管(guan)理及(ji)自助修改:
無需通(tong)過管(guan)理員即(ji)可修(xiu)改密(mi)碼���,提高效率及(ji)減輕管(guan)理員工作壓力(li)���。
通過口袋助理(li)、釘釘���、企業(yè)(ye)號(hào)等手機(jī)MOA類APP軟(ruan)件進(jìn)行(xing)無線密碼(ma)修改���。
若賬號(hào)(hao)綁定了手機(jī)(ji)號(hào)碼,可通(tong)過手機(jī)(ji)驗(yàn)證(zheng)碼自助修改(gai)���。
上網(wǎng)終端合(he)法效驗(yàn)(yan):
采用安全無(wu)線網(wǎng)卡接入(ru)無線網(wǎng)絡(luò)(luo)���,終端(duan)與AP熱點(diǎn)的(de)雙向驗(yàn)證,提高(gao)安全(quan)性���。
可以將無(wu)線網(wǎng)絡(luò)設(shè)置為(wei)只有安裝了(le)安全無(wu)線網(wǎng)卡(ka)的終端才(cai)能接入(ru)無線網(wǎng)絡(luò)。
支持設(shè)置安全(quan)無線網(wǎng)卡只(zhi)能連指(zhi)定SSID無線(xian)網(wǎng)絡(luò)���,無法(fa)連接非授權(quán)(quan)SSID���。
網(wǎng)卡與(yu)AP數(shù)據(jù)傳輸(shu)時(shí)自動(dòng)進(jìn)行數(shù)(shu)據(jù)加密(mi),保證(zheng)無線(xian)的空口安(an)全���。
無線熱點(diǎn)(dian)掃描及(ji)非法(fa)熱點(diǎn)(dian)抑制:
背景(jing):黑客在附(fu)近搭建一(yi)個(gè)一模一樣或(huo)者類似的WIFI名稱(cheng)���,誘使用戶連(lian)到虛假(jia)釣魚WIFI上���,黑客(ke)利用分(fen)析軟件從用戶(hu)上網(wǎng)產(chǎn)生的數(shù)(shu)據(jù)包中分析(xi)提取(qu)用戶隱私(si)信息。
我們通過WIPS無線(xian)入侵防御系(xi)統(tǒng)實(shí)時(shí)(shi)檢測(cè)周(zhou)圍無(wu)線信(xin)號(hào)���,當(dāng)檢測(cè)出(chu)來的信號(hào)BSSID���、且AP源(yuan)MAC地址不在(zai)授權(quán)(quan)列表中(zhong)時(shí),我們向?qū)?dui)應(yīng)的AP和終端(duan)發(fā)送解除(chu)關(guān)聯(lián)幀���,讓(rang)終端無(wu)法連上釣魚WIFI���。7×24小(xiao)時(shí)不間斷監(jiān)(jian)測(cè)網(wǎng)絡(luò)。
上網(wǎng)行為嚴(yán)(yan)格控制:
強(qiáng)大的(de)管理:通過應(yīng)用(yong)識(shí)別技(ji)術(shù)���,可(ke)以根據(jù)(ju)應(yīng)用類型(xing)或者具體某(mou)一種應(yīng)用進(jìn)(jin)行封(feng)堵���,包括(kuo)視頻、論壇、游戲(xi)���、金融���、下(xia)載等2400多(duo)種網(wǎng)絡(luò)(luo)應(yīng)用。
通過(guo)應(yīng)用識(shí)別(bie)技術(shù)(shu)���,可以根據(jù)應(yīng)(ying)用類型(xing)或者(zhe)具體(ti)某一種應(yīng)用進(jìn)(jin)行封堵���,比如(ru)上班時(shí)間不允(yun)許炒股(gu),不允許(xu)P2P下載���,不(bu)允許外發(fā)敏(min)感文件等(deng)���; 支持主流(liu)移動(dòng)(dong)平臺(tái),可(ke)識(shí)別IM���、社交���、Mail���、新聞(wen)���、炒股等應(yīng)(ying)用���。
無線控制(zhi)器內(nèi)(nei)置千(qian)萬級(jí)(ji)別的URL分類庫(kù)(ku),能夠?qū)RL進(jìn)行識(shí)(shi)別���,包(bao)含新聞���、購(gòu)(gou)物、金融���、教育等(deng)18個(gè)種類(lei)的URL地(di)址���; 準(zhǔn)(zhun)確識(shí)別目前主(zhu)流網(wǎng)站(zhan),識(shí)別率高(gao)達(dá)99.9%���,有(you)效實(shí)現(xiàn)網(wǎng)頁(yè)過(guo)濾���。例如禁(jin)止登陸(lu)非法網(wǎng)站
通過基(ji)于時(shí)(shi)間段(duan)的訪(fang)問控制(zhi)策略,實(shí)現(xiàn)不(bu)同的時(shí)(shi)間段(duan)不同的訪(fang)問權(quán)限(xian)���,比如上班時(shí)間(jian)���,禁止訪問網(wǎng)上(shang)銀行(xing)���、游戲、論(lun)壇貼吧等與工(gong)作無關(guān)(guan)的應(yīng)用(yong)���,下班時(shí)間(jian)則不受(shou)限制���。
辦公區(qū)域內(nèi)(nei),不同辦公部門(men)總會(huì)有各自專(zhuan)屬的無線網(wǎng)絡(luò)(luo)���,并且(qie)不希望(wang)部門之外(wai)的成員(yuan)使用這個(gè)(ge)網(wǎng)絡(luò)���。無線網(wǎng)絡(luò)(luo)控制器(qi)可以根據(jù)(ju)用戶的屬(shu)性,限制禁止(zhi)非本部門的(de)用戶接入���。
典型無線網(wǎng)(wang)絡(luò)攻(gong)擊防護(hù)(hu):
對(duì)典(dian)型的危險(xiǎn)攻(gong)擊行為進(jìn)(jin)行檢(jian)測(cè)���,當(dāng)超(chao)過設(shè)定的(de)閾值后(hou)自動(dòng)將攻擊(ji)者加入到黑名(ming)單中,并凍(dong)結(jié)一(yi)定時(shí)間���,即時(shí)(shi)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊(ji)并進(jìn)行(xing)防御���。
檢測(cè)的攻擊包(bao)括:DDOS防御、ARP掃(sao)描���、IP掃描���、端口掃(sao)描防御,禁止(zhi)客戶(hu)端私設(shè)IP以及(ji)ARP���、網(wǎng)關(guān)欺(qi)騙防御���、DHCP請(qǐng)求(qiu)泛洪防御。
無線射頻定時(shí)(shi)關(guān)閉開(kai)啟:
通過射頻(pin)關(guān)閉控制(zhi)策略(lve)���,可以指定(ding)某SSID網(wǎng)絡(luò)���,定時(shí)自(zi)動(dòng)關(guān)閉和開啟(qi)無線網(wǎng)絡(luò)的射(she)頻信號(hào),晚(wan)上下班后自(zi)動(dòng)關(guān)閉無線(xian)射頻信(xin)號(hào)���。
一方面可以節(jié)(jie)能減排���、節(jié)(jie)省電(dian)費(fèi)支出(chu)���;另一方(fang)面又(you)能防止非(fei)法用戶(hu)利用深夜(ye)時(shí)間入(ru)侵無線(xian)網(wǎng)絡(luò),做(zuo)一些非法的操(cao)作���。
有線無線一體(ti)化管理(li):
NAC的有(you)線無線一體(ti)化���,支持對(duì)(dui)有線用戶的接(jie)入認(rèn)證、訪問(wen)控制(zhi)���、流量管理���、上(shang)網(wǎng)行為審(shen)計(jì)等,
并提(ti)供統(tǒng)一(yi)中文(wen)Web管理(li)界面���,一(yi)站式服務(wù)(wu)���,極大(da)的降低網(wǎng)絡(luò)建(jian)設(shè)成本。
網(wǎng)絡(luò)(luo)分權(quán)分級(jí)(ji)管理:
分配不同的(de)管理(li)員分別管理各(ge)自權(quán)限區(qū)域(yu)的無線AP���,可以精(jing)細(xì)到(dao)對(duì)某(mou)AP分組有(you)管理(li)權(quán)限���,該(gai)管理員可(ke)以在(zai)該AP分組上建立(li)無線網(wǎng)(wang)絡(luò)���,能夠(gou)激活、刪除(chu)接入點(diǎn)���,能夠(gou)對(duì)AP的配(pei)置進(jìn)行編輯修(xiu)改。
可指定管理員(yuan)針對(duì)每個(gè)頁(yè)(ye)面的(de)編輯或(huo)可查(cha)看權(quán)限���,控(kong)制粒度到控(kong)制器上的各個(gè)(ge)頁(yè)面���,對(duì)某(mou)個(gè)頁(yè)面沒有讀(du)權(quán)限則(ze)登錄時(shí)不(bu)顯示(shi)。
移動(dòng)APP隨時(shí)(shi)隨地運(yùn)(yun)維管理:
支持(chi)跨互(hu)聯(lián)網(wǎng)(wang)運(yùn)維(wei)管理
登陸APP進(jìn)行維護(hù)(hu)管理:不同管(guan)理員���,不同權(quán)限(xian)
查看網(wǎng)絡(luò)(luo)運(yùn)行情(qing)況:在線(xian)用戶���、在線AP數(shù)(shu)量、實(shí)時(shí)流量(liang)
無線(xian)網(wǎng)絡(luò)管(guan)理維護(hù):開(kai)啟關(guān)閉SSID���、終端(duan)綁定審批���、二維(wei)碼上網(wǎng)(wang)審核
故障���、審批實(shí)時(shí)(shi)通知:AP離線警(jing)告、服務(wù)(wu)器離線警告���、網(wǎng)(wang)絡(luò)攻擊告(gao)警
方案優(yōu)勢(shì):
1���、最豐富(fu)的無線(xian)安全(quan)機(jī)制,提(ti)供從安全接入(ru)到安全上網(wǎng)等(deng)端到端的(de)安全(quan)策略(lve)
2���、合理管(guan)控工作人(ren)員上網(wǎng)(wang)行為���,提升工(gong)作效率、防止帶(dai)寬浪費(fèi)���,有線(xian)無線雙重管控(kong)
3���、為會(huì)(hui)議室,報(bào)告廳(ting)等人(ren)員密集(ji)區(qū)域接(jie)入網(wǎng)絡(luò)提(ti)高保(bao)證���,解(jie)決有線(xian)網(wǎng)口不足(zu)的問題���;
4���、為企業(yè)員(yuan)工的移動(dòng)辦公(gong)提供支撐(cheng),內(nèi)部(bu)員工可通(tong)過無線(xian)網(wǎng)絡(luò)隨時(shí)安(an)全接(jie)入內(nèi)部(bu)網(wǎng)絡(luò)���,實(shí)(shi)現(xiàn)辦公���;
5、內(nèi)部員(yuan)工賬號(hào)(hao)及個(gè)人信息綁(bang)定���,便于安(an)全管理;
6���、內(nèi)部員工(gong)可通過(guo)自己的辦公設(shè)(she)備在(zai)企業(yè)大樓內(nèi)快(kuai)速移動(dòng)(dong)辦公���,網(wǎng)絡(luò)接(jie)入更快速(su),上網(wǎng)行為管(guan)理系統(tǒng)對(duì)(dui)員工(gong)上網(wǎng)行為(wei)進(jìn)行審計(jì)與(yu)管控(kong)
7���、來訪(fang)客戶接入(ru)企業(yè)網(wǎng)(wang)絡(luò)���,可根(gen)據(jù)不同需求(qiu),分配(pei)不同(tong)的上網(wǎng)權(quán)限,保(bao)證了接入的(de)安全性同時(shí)(shi)提升群(qun)眾上網(wǎng)的體驗(yàn)(yan)
8���、豐富的認(rèn)證(zheng)機(jī)制���,滿足組(zu)織對(duì)無線網(wǎng)絡(luò)(luo)安全(quan)、快速接(jie)入
9���、投資成本低(di)���,通過部(bu)署無線(xian)控制(zhi)器替換原有(you)網(wǎng)絡(luò)的出口路(lu)由、行(xing)為管理以及無(wu)線控制器
