大型企業(yè)(ye)在無線(xian)網(wǎng)絡(luò)建(jian)設(shè)期間要充(chong)分考慮訪客（領(lǐng)(ling)導(dǎo)、客戶、合(he)作伙(huo)伴）接入網(wǎng)絡(luò)的(de)需求。首先(xian)從安(an)全性考慮(lv)，訪客網(wǎng)絡(luò)必(bi)須要和辦公網(wǎng)(wang)絡(luò)分開(kai)，訪客網(wǎng)絡(luò)單獨(du)提供給訪客使(shi)用。從用(yong)戶體驗角度(du)考慮，訪客(ke)接入網(wǎng)絡(luò)的(de)驗證方式一(yi)定要做到(dao)簡單易行(xing)，繁瑣(suo)的驗證方(fang)式會降低訪(fang)客對企(qi)業(yè)的整體印(yin)象。同(tong)時對于(yu)訪客網(wǎng)絡(luò)(luo)，企業(yè)還(hai)需要建(jian)立完善的網(wǎng)(wang)絡(luò)安全管(guan)理機(jī)(ji)制，避免由(you)于訪(fang)客的網(wǎng)(wang)絡(luò)不良訪問給(gei)企業(yè)帶來的(de)法律風(fēng)險。對于(yu)企業(yè)員工(gong)移動(dong)辦公(gong)上網(wǎng)(wang)，更需要做(zuo)到可管(guan)控，上網(wǎng)(wang)行為做到(dao)可追溯，企業(yè)(ye)有效(xiao)的帶(dai)寬資(zi)源得到合(he)理的分配和(he)保證，才(cai)能使企業(yè)(ye)的業(yè)(ye)務(wù)系統(tǒng)(tong)正常且穩(wěn)定高(gao)效地運(yùn)行，同(tong)時保(bao)證企業(yè)信息(xi)安全，避免機(jī)密(mi)信息泄露。

存在的問題(ti)（用戶需求(qiu)）

1、接入不(bu)安全(quan)：缺乏(fa)安全可靠的認(rèn)(ren)證機(jī)制，企業(yè)無(wu)線網(wǎng)(wang)絡(luò)接入不安全(quan)

2、上網(wǎng)權(quán)限(xian)混亂：缺乏有效(xiao)的控制策略(lve)，員工上(shang)網(wǎng)權(quán)限不分(fen)明

3、數(shù)據(jù)信息(xi)安全：缺乏有(you)效的數(shù)據(jù)加(jia)密機(jī)制，企業(yè)數(shù)(shu)據(jù)被黑(hei)客竊取篡改

4、無線信號差：AP性(xing)能不(bu)佳，上(shang)網(wǎng)總掉線，點(dian)位規(guī)(gui)劃不合(he)理，信號(hao)盲區(qū)多

5、漫游效果差：不(bu)能實現(xiàn)(xian)二三層(ceng)漫游，移(yi)動辦公(gong)時，業(yè)務(wù)中斷(duan)

解決(jue)方案：

結(jié)合(he)用戶無線(xian)網(wǎng)絡(luò)需求情況(kuang)，結(jié)合產(chǎn)品(pin)自身技術(shù)(shu)特點，為了滿足(zu)用戶構(gòu)(gou)建一個高速(su)、穩(wěn)定、安全、可靠(kao)、易于(yu)管理(li)的無(wu)線接入網(wǎng)(wang)絡(luò)的需求(qiu)，本設(shè)(she)計方案按照(zhao)AP+AC的結(jié)構(gòu)化無(wu)線網(wǎng)絡(luò)解決(jue)方案進(jìn)行設(shè)計(ji)。具體設(shè)計為(wei)在總部設(shè)(she)置總部AC,在(zai)大型(xing)分支機(jī)構(gòu)設(shè)置(zhi)分支AC與分支AP，中(zhong)型分支機(jī)(ji)構(gòu)設(shè)計二級(ji)，三級交換機(jī)，分(fen)支AP。小微型分支(zhi)機(jī)構(gòu)(gou)直接設(shè)置分支(zhi)AP。總部(bu)AC可以對大型(xing)分支機(jī)(ji)構(gòu)的AC進(jìn)行管理(li)，當(dāng)網(wǎng)點控(kong)制器采用集(ji)中管理(li)的模式進(jìn)入(ru)到中心端控制(zhi)器時(shi)，會自動下(xia)載中心端的公(gong)共配(pei)置，比(bi)如IP組(zu)、MAC地址(zhi)庫、時(shi)間計劃(hua)、角色授權(quán)(quan)、認(rèn)證頁面(mian)等 。總(zong)部AC也可以直接(jie)管理中小型(xing)分支機(jī)(ji)構(gòu)的(de)分支AP，實現(xiàn)統(tǒng)一(yi)管理(li)。

方案設(shè)計：

安全無線整體(ti)解決(jue)方案：

接入(ru)前&接入(ru)時進(jìn)行(xing)身份認(rèn)證(zheng)、安全無線網(wǎng)(wang)卡、賬號綁定(ding)（硬件碼+手(shou)機(jī)號），非法熱點(dian)檢測(ce)及防(fang)御、網(wǎng)絡(luò)攻(gong)擊防護(hù)、射頻定(ding)時關(guān)閉及安全(quan)加固(gu)。

接入后(hou)&上網(wǎng)時進(jìn)(jin)行訪問(wen)權(quán)限控(kong)制。

上網(wǎng)(wang)后進(jìn)行上網(wǎng)(wang)行為記錄。

上網(wǎng)用戶(hu)身份實名認(rèn)(ren)證：

無線辦公(gong)網(wǎng)采用(yong)802.1X/Portal/WAPI認(rèn)證(zheng)，外置AAA和RADIUS+AD用于(yu)存儲用(yong)戶賬號密碼。

每個賬(zhang)號對應(yīng)一(yi)個員工，包(bao)括姓名、部(bu)門、性別以(yi)及身份證、手(shou)機(jī)號等個人(ren)信息，保證(zheng)每個上(shang)網(wǎng)的賬號(hao)都是可尋(xun)的，便于安(an)全管理。

用戶輸入賬號(hao)密碼(ma)上網(wǎng)驗證時(shi)均采用加密傳(chuan)輸，防止黑客(ke)空中攔截，竊(qie)取賬號密碼(ma)等數(shù)據(jù)。

上網(wǎng)賬號自動(dong)綁定終端：

自動將賬(zhang)號與終(zhong)端的硬件特(te)征碼(ma)進(jìn)行綁(bang)定，防(fang)止賬號被他(ta)人使用或(huo)者被(bei)盜用。

每臺設(shè)備的硬(ying)件特(te)征碼是(shi)唯一的，無法通(tong)過軟(ruan)件修改。即使(shi)通過軟件修(xiu)改了仍(reng)然可以(yi)識別原(yuan)始的。

每個賬號(hao)最多可(ke)以綁定(ding)5臺終端，超過1臺(tai)時需要管理員(yuan)審核。

上網(wǎng)賬號二(er)次綁定手(shou)機(jī)號碼：

賬號首次登(deng)陸時需要(yao)綁定手機(jī)號(hao)并輸入短信驗(yan)證碼(ma)，當(dāng)用(yong)戶賬(zhang)號在新(xin)終端登(deng)陸時（換終(zhong)端/被他用/被盜(dao)），不僅需要(yao)輸入密(mi)碼，還需要(yao)輸入短信(xin)驗證碼，解決員(yuan)工賬(zhang)號認(rèn)證的安(an)全問題

綁定(ding)手機(jī)號碼的用(yong)戶，可以自助重(zhong)置密(mi)碼和修改密碼(ma)，無需(xu)通過IT管理員(yuan)。

用戶(hu)密碼管理及自(zi)助修(xiu)改：

無需通過(guo)管理員(yuan)即可(ke)修改(gai)密碼(ma)，提高效率及減(jian)輕管理員(yuan)工作壓力。

通過口袋助(zhu)理、釘(ding)釘、企業(yè)(ye)號等手(shou)機(jī)MOA類APP軟件進(jìn)行(xing)無線密碼(ma)修改。

若賬號(hao)綁定了手機(jī)號(hao)碼，可通過手(shou)機(jī)驗證(zheng)碼自助修(xiu)改。

上網(wǎng)終(zhong)端合法(fa)效驗：

采用安全無(wu)線網(wǎng)卡接入(ru)無線網(wǎng)絡(luò)，終端(duan)與AP熱點(dian)的雙(shuang)向驗證，提(ti)高安全(quan)性。

可以將無(wu)線網(wǎng)(wang)絡(luò)設(shè)(she)置為只有(you)安裝了安全無(wu)線網(wǎng)(wang)卡的終端才(cai)能接(jie)入無線(xian)網(wǎng)絡(luò)(luo)。

支持設(shè)(she)置安全無線(xian)網(wǎng)卡只能連指(zhi)定SSID無(wu)線網(wǎng)絡(luò)，無(wu)法連接非授權(quán)(quan)SSID。

網(wǎng)卡與AP數(shù)據(jù)傳(chuan)輸時自動進(jìn)(jin)行數(shù)(shu)據(jù)加密，保證無(wu)線的(de)空口安全。

無線熱點(dian)掃描及(ji)非法熱點抑制(zhi)：

背景：黑客(ke)在附近搭(da)建一個(ge)一模(mo)一樣或(huo)者類似(shi)的WIFI名稱，誘使(shi)用戶連到(dao)虛假釣(diao)魚WIFI上，黑客(ke)利用(yong)分析(xi)軟件從用戶(hu)上網(wǎng)產(chǎn)生(sheng)的數(shù)(shu)據(jù)包(bao)中分析提取(qu)用戶(hu)隱私信息(xi)。

我們(men)通過WIPS無線入侵(qin)防御系統(tǒng)實(shi)時檢(jian)測周圍無線(xian)信號，當(dāng)(dang)檢測出來的信(xin)號BSSID、且AP源MAC地(di)址不在授權(quán)列(lie)表中時，我們向(xiang)對應(yīng)的(de)AP和終端(duan)發(fā)送解(jie)除關(guān)聯(lián)幀，讓(rang)終端無法(fa)連上(shang)釣魚WIFI。7×24小(xiao)時不(bu)間斷監(jiān)測(ce)網(wǎng)絡(luò)。

上網(wǎng)行為嚴(yán)(yan)格控制(zhi)：

強(qiáng)大的管(guan)理：通過應(yīng)用(yong)識別(bie)技術(shù)(shu)，可以(yi)根據(jù)應(yīng)用類型(xing)或者具體(ti)某一種應(yīng)(ying)用進(jìn)(jin)行封堵，包括(kuo)視頻、論(lun)壇、游(you)戲、金融、下載(zai)等2400多種網(wǎng)(wang)絡(luò)應(yīng)用。

通過應(yīng)用識(shi)別技術(shù)，可(ke)以根據(jù)應(yīng)(ying)用類型或(huo)者具體某一種(zhong)應(yīng)用進(jìn)行封堵(du)，比如上班(ban)時間不允許(xu)炒股，不(bu)允許P2P下(xia)載，不允許外(wai)發(fā)敏感文件(jian)等； 支持主(zhu)流移動平臺，可(ke)識別(bie)IM、社交、Mail、新聞(wen)、炒股(gu)等應(yīng)(ying)用。

無線控制器(qi)內(nèi)置千萬(wan)級別(bie)的URL分類庫，能(neng)夠?qū)RL進(jìn)行識別(bie)，包含新(xin)聞、購物、金(jin)融、教育等(deng)18個種類(lei)的URL地(di)址； 準(zhǔn)(zhun)確識(shi)別目(mu)前主流網(wǎng)站(zhan)，識別率(lv)高達(dá)99.9%，有效實現(xiàn)(xian)網(wǎng)頁過(guo)濾。例如禁止(zhi)登陸非法網(wǎng)站(zhan)

通過(guo)基于時間(jian)段的訪(fang)問控制策(ce)略，實現(xiàn)不同的(de)時間段不同(tong)的訪問權(quán)限，比(bi)如上班時(shi)間，禁止(zhi)訪問(wen)網(wǎng)上銀行、游戲(xi)、論壇貼吧等與(yu)工作(zuo)無關(guān)(guan)的應(yīng)用，下班(ban)時間則不(bu)受限制。

辦公區(qū)域內(nèi)，不(bu)同辦公部門總(zong)會有各自專屬(shu)的無線網(wǎng)(wang)絡(luò)，并且(qie)不希望部(bu)門之外的(de)成員(yuan)使用這個(ge)網(wǎng)絡(luò)。無線(xian)網(wǎng)絡(luò)控(kong)制器可以根(gen)據(jù)用戶的屬性(xing)，限制禁(jin)止非本部門(men)的用戶(hu)接入。

典型無線網(wǎng)(wang)絡(luò)攻擊防護(hù)：

對典型的危(wei)險攻擊行(xing)為進(jìn)行檢測，當(dāng)(dang)超過設(shè)定的閾(yu)值后自動將攻(gong)擊者加(jia)入到黑名單(dan)中，并凍(dong)結(jié)一定時間，即(ji)時發(fā)現(xiàn)(xian)網(wǎng)絡(luò)攻擊(ji)并進(jìn)行防(fang)御。

檢測的攻(gong)擊包括：DDOS防御(yu)、ARP掃描、IP掃描、端口(kou)掃描(miao)防御，禁(jin)止客戶端(duan)私設(shè)IP以及ARP、網(wǎng)關(guān)(guan)欺騙(pian)防御、DHCP請求(qiu)泛洪防御(yu)。

無線射頻定(ding)時關(guān)閉開啟：

通過射頻關(guān)(guan)閉控制策略，可(ke)以指定(ding)某SSID網(wǎng)絡(luò)，定(ding)時自動關(guān)閉和(he)開啟無線(xian)網(wǎng)絡(luò)(luo)的射(she)頻信號，晚上下(xia)班后自動(dong)關(guān)閉無線射頻(pin)信號。

一方(fang)面可以節(jié)能(neng)減排、節(jié)省電(dian)費(fèi)支出；另(ling)一方(fang)面又(you)能防止非法用(yong)戶利用深(shen)夜時間入侵無(wu)線網(wǎng)絡(luò)(luo)，做一些非法(fa)的操(cao)作。

有線無線(xian)一體化(hua)管理：

NAC的有(you)線無線一(yi)體化，支持對有(you)線用戶的(de)接入認(rèn)證(zheng)、訪問控(kong)制、流量管理、上(shang)網(wǎng)行為審(shen)計等(deng)，

并提供統(tǒng)(tong)一中文Web管理界(jie)面，一站(zhan)式服務(wù)，極(ji)大的降低網(wǎng)(wang)絡(luò)建(jian)設(shè)成本。

網(wǎng)絡(luò)分權(quán)分級(ji)管理(li)：

分配(pei)不同的管理員(yuan)分別管(guan)理各自權(quán)限(xian)區(qū)域的(de)無線(xian)AP，可以精細(xì)到(dao)對某AP分組有管(guan)理權(quán)限，該管理(li)員可以在(zai)該AP分組上建(jian)立無線網(wǎng)(wang)絡(luò)，能夠激活、刪(shan)除接(jie)入點，能夠(gou)對AP的配置進(jìn)行(xing)編輯修改。

可指(zhi)定管理員(yuan)針對每個(ge)頁面的編輯或(huo)可查看權(quán)限(xian)，控制粒度到(dao)控制器上的(de)各個頁面(mian)，對某個頁面沒(mei)有讀權(quán)(quan)限則登錄時(shi)不顯(xian)示。

移動(dong)APP隨時(shi)隨地(di)運(yùn)維(wei)管理(li)：

支持跨互聯(lián)網(wǎng)(wang)運(yùn)維(wei)管理

登陸APP進(jìn)行(xing)維護(hù)管理：不(bu)同管理員，不(bu)同權(quán)(quan)限

查看網(wǎng)絡(luò)(luo)運(yùn)行情況：在(zai)線用戶、在(zai)線AP數(shù)量、實(shi)時流量

無線網(wǎng)絡(luò)管理(li)維護(hù)：開啟(qi)關(guān)閉SSID、終端綁(bang)定審(shen)批、二維碼上網(wǎng)(wang)審核

故障、審批實(shi)時通知(zhi)：AP離線(xian)警告、服務(wù)器(qi)離線警告、網(wǎng)絡(luò)(luo)攻擊告(gao)警

方案優(yōu)勢(shi)：

1、最豐富的無線(xian)安全(quan)機(jī)制，提供從(cong)安全接入到(dao)安全上(shang)網(wǎng)等端到(dao)端的安全策略(lve)

2、合理管控工(gong)作人員上(shang)網(wǎng)行為，提升(sheng)工作效率、防(fang)止帶(dai)寬浪費(fèi)，有線(xian)無線雙重(zhong)管控

3、為會議室(shi)，報告(gao)廳等人員密(mi)集區(qū)域接(jie)入網(wǎng)絡(luò)提高(gao)保證，解(jie)決有線網(wǎng)口不(bu)足的問題；

4、為企業(yè)員(yuan)工的移動辦(ban)公提供(gong)支撐，內(nèi)部(bu)員工可通過(guo)無線網(wǎng)(wang)絡(luò)隨時(shi)安全接(jie)入內(nèi)(nei)部網(wǎng)絡(luò)，實現(xiàn)(xian)辦公(gong)；

5、內(nèi)部(bu)員工賬號(hao)及個人信息(xi)綁定，便(bian)于安全管理(li)；

6、內(nèi)部員工可(ke)通過(guo)自己的辦(ban)公設(shè)備在企業(yè)(ye)大樓內(nèi)快速(su)移動辦公，網(wǎng)(wang)絡(luò)接入(ru)更快速，上(shang)網(wǎng)行為(wei)管理系(xi)統(tǒng)對員(yuan)工上網(wǎng)(wang)行為進(jìn)行審計(ji)與管控(kong)

7、來訪客戶(hu)接入(ru)企業(yè)(ye)網(wǎng)絡(luò)(luo)，可根(gen)據(jù)不同需求(qiu)，分配(pei)不同的上網(wǎng)權(quán)(quan)限，保證了接(jie)入的安全性(xing)同時提(ti)升群眾上(shang)網(wǎng)的體驗(yan)

8、豐富的認(rèn)(ren)證機(jī)(ji)制，滿足組織(zhi)對無線(xian)網(wǎng)絡(luò)安全、快(kuai)速接(jie)入

9、投資成(cheng)本低，通過部(bu)署無線控制(zhi)器替換原有(you)網(wǎng)絡(luò)的(de)出口路由(you)、行為管理以及(ji)無線控(kong)制器