?
大型企(qi)業(yè)在(zai)無線網(wǎng)(wang)絡建設(she)期間要充分(fen)考慮訪客(領(ling)導����、客戶��、合作(zuo)伙伴)接(jie)入網(wǎng)絡的需(xu)求��。首先從安全(quan)性考(kao)慮����,訪(fang)客網(wǎng)絡(luo)必須要和辦(ban)公網(wǎng)(wang)絡分開,訪客(ke)網(wǎng)絡(luo)單獨(du)提供給(gei)訪客使用�����。從用(yong)戶體驗角(jiao)度考慮�,訪客接(jie)入網(wǎng)絡的(de)驗證方(fang)式一定(ding)要做到簡(jian)單易(yi)行,繁瑣的驗證(zheng)方式會(hui)降低訪客(ke)對企業(yè)(ye)的整體(ti)印象�����。同時對于(yu)訪客網(wǎng)絡�,企業(yè)(ye)還需要建(jian)立完善的(de)網(wǎng)絡(luo)安全管理機制(zhi),避免由(you)于訪客的(de)網(wǎng)絡不良訪問(wen)給企業(yè)帶(dai)來的法(fa)律風險��。對于(yu)企業(yè)員工移(yi)動辦公上網(wǎng)�,更(geng)需要(yao)做到(dao)可管(guan)控,上網(wǎng)(wang)行為(wei)做到可追溯���,企(qi)業(yè)有(you)效的(de)帶寬資(zi)源得到合理的(de)分配和保證(zheng)�,才能使企(qi)業(yè)的(de)業(yè)務(wu)系統(tǒng)(tong)正常且穩(wěn)定高(gao)效地運(yun)行�,同(tong)時保證企(qi)業(yè)信息安(an)全,避免(mian)機密信息泄露(lu)����。
存在的問題(ti)(用戶(hu)需求)
1、接入不(bu)安全:缺乏(fa)安全可(ke)靠的認(ren)證機(ji)制��,企業(yè)無(wu)線網(wǎng)(wang)絡接入(ru)不安全(quan)
2�����、上網(wǎng)權限混亂(luan):缺乏(fa)有效(xiao)的控制策(ce)略��,員工(gong)上網(wǎng)權限不分(fen)明
3�、數(shù)據(jù)(ju)信息安全:缺乏(fa)有效的數(shù)據(jù)(ju)加密機制,企業(yè)(ye)數(shù)據(jù)被(bei)黑客竊取篡改(gai)
4��、無線信號差(cha):AP性能不佳����,上(shang)網(wǎng)總掉線(xian),點位規(guī)劃(hua)不合(he)理�,信號盲區(qū)多(duo)
5、漫游效果差:不(bu)能實現(xiàn)二三(san)層漫游(you)��,移動辦公時(shi),業(yè)務(wu)中斷
解決方案:
結合用戶無(wu)線網(wǎng)絡需(xu)求情況��,結合(he)產(chǎn)品自身(shen)技術特(te)點��,為了滿(man)足用戶構(gou)建一個高速(su)��、穩(wěn)定(ding)��、安全����、可靠、易(yi)于管理的無線(xian)接入網(wǎng)絡(luo)的需求����,本(ben)設計方案按照(zhao)AP+AC的結構化無(wu)線網(wǎng)絡解(jie)決方案進行(xing)設計。具(ju)體設計為(wei)在總(zong)部設置總部(bu)AC,在大型(xing)分支機(ji)構設置分支(zhi)AC與分支AP���,中型分(fen)支機構設計二(er)級����,三(san)級交換機��,分(fen)支AP���。小微型分(fen)支機構直(zhi)接設置分(fen)支AP����。總部AC可以(yi)對大型分支機(ji)構的AC進行管(guan)理����,當網(wǎng)(wang)點控(kong)制器采用(yong)集中管(guan)理的模式進(jin)入到中心(xin)端控制(zhi)器時(shi)����,會自動下(xia)載中心端(duan)的公共(gong)配置(zhi),比如IP組�����、MAC地址庫(ku)�、時間計劃、角(jiao)色授(shou)權�、認(ren)證頁面等 ??偛?bu)AC也可以直(zhi)接管理中小(xiao)型分支機(ji)構的分支(zhi)AP,實現(xiàn)統(tǒng)(tong)一管理���。
方案設計:
安全(quan)無線整體(ti)解決方案(an):
接入前&接(jie)入時進行身(shen)份認(ren)證�����、安全(quan)無線網(wǎng)卡�、賬(zhang)號綁(bang)定(硬件(jian)碼+手(shou)機號),非法熱點(dian)檢測及防御(yu)�����、網(wǎng)絡攻擊防護(hu)����、射頻定(ding)時關(guan)閉及安全加(jia)固。
接入后&上網(wǎng)(wang)時進行訪問權(quan)限控制�。
上網(wǎng)后進行上(shang)網(wǎng)行為記錄。
上網(wǎng)用戶身份(fen)實名認證:
無線辦公網(wǎng)(wang)采用802.1X/Portal/WAPI認(ren)證��,外置AAA和RADIUS+AD用于(yu)存儲(chu)用戶賬(zhang)號密碼(ma)�。
每個賬號(hao)對應(ying)一個員工,包括(kuo)姓名�����、部(bu)門�、性別以及身(shen)份證、手(shou)機號等個(ge)人信息,保證(zheng)每個上網(wǎng)的賬(zhang)號都是可尋的(de)�����,便于安全管(guan)理�。
用戶輸入賬號(hao)密碼上(shang)網(wǎng)驗證(zheng)時均(jun)采用加密傳(chuan)輸,防止(zhi)黑客空中攔截(jie)����,竊取賬號密(mi)碼等數(shù)據(jù)。
上網(wǎng)賬號自動(dong)綁定終端(duan):
自動將賬號(hao)與終端(duan)的硬件(jian)特征碼進行(xing)綁定���,防止(zhi)賬號被他人(ren)使用(yong)或者被盜用。
每臺設備(bei)的硬(ying)件特征碼(ma)是唯一的��,無(wu)法通過軟(ruan)件修(xiu)改�����。即(ji)使通過軟件(jian)修改了仍然(ran)可以識別(bie)原始的(de)����。
每個賬號(hao)最多可以綁定(ding)5臺終端,超(chao)過1臺時需要管(guan)理員(yuan)審核�。
上網(wǎng)賬號(hao)二次(ci)綁定手(shou)機號碼:
賬號首次(ci)登陸(lu)時需要綁(bang)定手機(ji)號并輸入(ru)短信(xin)驗證碼,當(dang)用戶(hu)賬號在新(xin)終端登陸時(shi)(換終(zhong)端/被(bei)他用(yong)/被盜),不(bu)僅需要輸入(ru)密碼(ma)�,還需要輸入(ru)短信驗證碼,解(jie)決員工賬號(hao)認證的安全問(wen)題
綁定(ding)手機號碼(ma)的用戶��,可以自(zi)助重置密(mi)碼和修改密碼(ma)�����,無需通過(guo)IT管理員�。
用戶密碼管理(li)及自助(zhu)修改:
無需通過(guo)管理(li)員即可修改(gai)密碼(ma),提高(gao)效率及減(jian)輕管(guan)理員(yuan)工作壓力��。
通過(guo)口袋(dai)助理���、釘(ding)釘���、企(qi)業(yè)號等手機MOA類(lei)APP軟件進行無線(xian)密碼(ma)修改。
若賬號綁定(ding)了手機號碼��,可(ke)通過手機(ji)驗證碼自助(zhu)修改���。
上網(wǎng)終端(duan)合法效驗:
采用(yong)安全無線網(wǎng)(wang)卡接入無線(xian)網(wǎng)絡(luo)��,終端與AP熱點(dian)的雙向驗(yan)證��,提高安全(quan)性����。
可以將無線(xian)網(wǎng)絡設置為只(zhi)有安(an)裝了安(an)全無線網(wǎng)卡(ka)的終端才(cai)能接入(ru)無線網(wǎng)(wang)絡。
支持設置(zhi)安全(quan)無線網(wǎng)(wang)卡只能(neng)連指定SSID無線(xian)網(wǎng)絡�,無法連接(jie)非授權SSID。
網(wǎng)卡與AP數(shù)(shu)據(jù)傳輸時自動(dong)進行數(shù)據(jù)加密(mi)����,保證無(wu)線的(de)空口安全。
無線熱點(dian)掃描及非(fei)法熱(re)點抑制:
背景:黑客在附(fu)近搭(da)建一個一(yi)模一樣或者類(lei)似的WIFI名稱��,誘(you)使用戶連到(dao)虛假釣魚WIFI上(shang)���,黑客利用分(fen)析軟件(jian)從用戶上網(wǎng)(wang)產(chǎn)生的數(shù)(shu)據(jù)包中分(fen)析提(ti)取用戶(hu)隱私信息。
我們通(tong)過WIPS無線(xian)入侵防御系統(tǒng)(tong)實時檢測周圍(wei)無線信號����,當(dang)檢測出來(lai)的信號(hao)BSSID、且AP源MAC地(di)址不在(zai)授權列表中時(shi)����,我們(men)向對應(ying)的AP和終端發(fā)送(song)解除關聯(lián)(lian)幀,讓終端無(wu)法連上(shang)釣魚WIFI�。7×24小時不(bu)間斷監(jiān)(jian)測網(wǎng)絡。
上網(wǎng)(wang)行為嚴格控制(zhi):
強大的管(guan)理:通過應(ying)用識(shi)別技術(shu),可以根據(jù)(ju)應用類型或者(zhe)具體某(mou)一種應用進(jin)行封堵��,包(bao)括視頻(pin)���、論壇��、游(you)戲�、金融���、下(xia)載等(deng)2400多種(zhong)網(wǎng)絡應用���。
通過應(ying)用識別技術(shu),可以根據(jù)應(ying)用類型(xing)或者(zhe)具體某一種(zhong)應用進行(xing)封堵����,比如(ru)上班時間不允(yun)許炒股,不(bu)允許P2P下載���,不允(yun)許外發(fā)敏感(gan)文件等���; 支持(chi)主流(liu)移動平臺(tai),可識別IM�、社(she)交�、Mail���、新聞����、炒股等(deng)應用��。
無線控制器內(nèi)(nei)置千(qian)萬級別的URL分(fen)類庫�,能夠對(dui)URL進行識(shi)別,包含新(xin)聞��、購物����、金融(rong)、教育等18個(ge)種類的URL地(di)址����; 準確(que)識別(bie)目前主流網(wǎng)站(zhan)����,識別(bie)率高達(da)99.9%,有效實現(xiàn)網(wǎng)(wang)頁過(guo)濾�。例如禁止登(deng)陸非(fei)法網(wǎng)站
通過基于時(shi)間段的訪問(wen)控制策略(lve)�,實現(xiàn)(xian)不同的時(shi)間段不同的訪(fang)問權限�,比如上(shang)班時間,禁止訪(fang)問網(wǎng)上銀行(xing)�、游戲(xi)、論壇貼(tie)吧等與工作無(wu)關的應用��,下(xia)班時間則(ze)不受限制(zhi)�����。
辦公區(qū)域內(nèi)�,不(bu)同辦公部門(men)總會(hui)有各自專(zhuan)屬的無線網(wǎng)(wang)絡,并且不希望(wang)部門之外的(de)成員使用這(zhe)個網(wǎng)(wang)絡�。無(wu)線網(wǎng)絡控制(zhi)器可以根據(jù)用(yong)戶的(de)屬性,限制禁止(zhi)非本(ben)部門的用戶接(jie)入��。
典型無線網(wǎng)絡(luo)攻擊防護:
對典型(xing)的危險攻(gong)擊行為進行檢(jian)測���,當超(chao)過設定的閾(yu)值后自動將(jiang)攻擊者加入到(dao)黑名單中(zhong)�����,并凍(dong)結一定時(shi)間���,即時發(fā)現(xiàn)網(wǎng)(wang)絡攻擊并進行(xing)防御(yu)����。
檢測的攻擊(ji)包括(kuo):DDOS防御��、ARP掃描��、IP掃(sao)描�、端口掃描(miao)防御,禁止客(ke)戶端私設IP以及(ji)ARP�、網(wǎng)關欺(qi)騙防(fang)御、DHCP請求泛洪防(fang)御�。
無線(xian)射頻(pin)定時關閉開啟(qi):
通過射頻關(guan)閉控制策(ce)略,可(ke)以指定某SSID網(wǎng)絡(luo)����,定時自(zi)動關閉和(he)開啟(qi)無線網(wǎng)絡(luo)的射(she)頻信號(hao),晚上下(xia)班后(hou)自動關閉(bi)無線射(she)頻信號�。
一方面可(ke)以節(jié)能減(jian)排、節(jié)省電(dian)費支出�;另一方(fang)面又(you)能防止非(fei)法用(yong)戶利用深(shen)夜時間入侵(qin)無線網(wǎng)絡(luo),做一些非(fei)法的操作(zuo)���。
有線無線一(yi)體化管(guan)理:
NAC的有線無(wu)線一體(ti)化,支持對(dui)有線用戶(hu)的接入(ru)認證����、訪問控制(zhi)�、流量管理����、上網(wǎng)(wang)行為審計(ji)等,
并提供(gong)統(tǒng)一中文Web管理(li)界面�,一站(zhan)式服(fu)務,極大的降低(di)網(wǎng)絡建(jian)設成本��。
網(wǎng)絡分(fen)權分級管(guan)理:
分配不(bu)同的管理員(yuan)分別管(guan)理各自權限(xian)區(qū)域的無(wu)線AP�����,可(ke)以精細到(dao)對某AP分組有(you)管理(li)權限�����,該(gai)管理員可以(yi)在該AP分組上(shang)建立無線網(wǎng)(wang)絡�,能夠激活、刪(shan)除接(jie)入點����,能夠對(dui)AP的配置進行編(bian)輯修改。
可指定管理員(yuan)針對(dui)每個(ge)頁面(mian)的編輯或可查(cha)看權限,控(kong)制粒(li)度到(dao)控制(zhi)器上的各(ge)個頁面(mian)��,對某個頁面(mian)沒有讀權限則(ze)登錄時不顯(xian)示����。
移動APP隨時(shi)隨地運維(wei)管理:
支持跨互聯(lián)(lian)網(wǎng)運維管(guan)理
登陸APP進行維護(hu)管理:不同管理(li)員,不同權限
查看網(wǎng)絡運行(xing)情況(kuang):在線用戶(hu)�、在線AP數(shù)量(liang)、實時流量(liang)
無線網(wǎng)絡(luo)管理維(wei)護:開啟關閉SSID��、終(zhong)端綁定(ding)審批��、二(er)維碼上網(wǎng)審(shen)核
故障����、審批實時(shi)通知:AP離線(xian)警告、服(fu)務器離線警告(gao)��、網(wǎng)絡攻擊告警(jing)
方案優(yōu)勢:
1�、最豐富的(de)無線安(an)全機制,提供從(cong)安全接入到安(an)全上網(wǎng)等(deng)端到端的安(an)全策略
2���、合理管(guan)控工作人員上(shang)網(wǎng)行為(wei)�,提升工作(zuo)效率�、防(fang)止帶(dai)寬浪(lang)費,有線無線雙(shuang)重管(guan)控
3、為會議室(shi)�����,報告廳等人員(yuan)密集區(qū)域接(jie)入網(wǎng)絡提高保(bao)證�����,解決有線網(wǎng)(wang)口不(bu)足的(de)問題(ti)��;
4����、為企(qi)業(yè)員(yuan)工的移(yi)動辦公提供支(zhi)撐���,內(nèi)部員(yuan)工可通過無線(xian)網(wǎng)絡隨(sui)時安全接入(ru)內(nèi)部網(wǎng)絡�����,實(shi)現(xiàn)辦公��;
5�、內(nèi)部(bu)員工賬號及個(ge)人信息綁定(ding)�,便于安(an)全管(guan)理;
6、內(nèi)部員工(gong)可通(tong)過自(zi)己的(de)辦公設備(bei)在企業(yè)大(da)樓內(nèi)快速(su)移動(dong)辦公(gong)�,網(wǎng)絡(luo)接入更(geng)快速(su),上網(wǎng)行為管(guan)理系統(tǒng)(tong)對員工上(shang)網(wǎng)行為進行審(shen)計與(yu)管控
7�、來訪客戶接入(ru)企業(yè)網(wǎng)絡(luo),可根據(jù)不同(tong)需求��,分配(pei)不同的上網(wǎng)(wang)權限����,保(bao)證了接入(ru)的安全性同(tong)時提升群(qun)眾上網(wǎng)(wang)的體驗
8、豐富的(de)認證機制(zhi)��,滿足組織對(dui)無線(xian)網(wǎng)絡安全���、快(kuai)速接入(ru)
9���、投資成本(ben)低,通過部(bu)署無線控(kong)制器替(ti)換原有網(wǎng)絡的(de)出口路(lu)由��、行為管(guan)理以及(ji)無線控(kong)制器
