大型企(qi)業(yè)在(zai)無線網(wǎng)絡(luò)建(jian)設(shè)期間要充分(fen)考慮訪客（領(lǐng)(ling)導(dǎo)、客戶(hu)、合作伙伴）接(jie)入網(wǎng)絡(luò)的(de)需求(qiu)。首先從安全(quan)性考慮，訪(fang)客網(wǎng)絡(luò)必須(xu)要和辦公網(wǎng)(wang)絡(luò)分開，訪客(ke)網(wǎng)絡(luò)單(dan)獨提供(gong)給訪(fang)客使(shi)用。從用戶體驗(yan)角度考慮，訪(fang)客接入網(wǎng)絡(luò)的(de)驗證方式一(yi)定要(yao)做到(dao)簡單(dan)易行，繁瑣(suo)的驗證方(fang)式會降低訪(fang)客對企(qi)業(yè)的整體(ti)印象(xiang)。同時對于(yu)訪客網(wǎng)絡(luò)，企業(yè)(ye)還需要建立完(wan)善的網(wǎng)(wang)絡(luò)安(an)全管理機制(zhi)，避免由于(yu)訪客的網(wǎng)(wang)絡(luò)不(bu)良訪問給企業(yè)(ye)帶來的法律風(feng)險。對(dui)于企業(yè)(ye)員工移動辦公(gong)上網(wǎng)，更需要做(zuo)到可管(guan)控，上網(wǎng)行(xing)為做到可(ke)追溯，企業(yè)有(you)效的帶寬(kuan)資源(yuan)得到合理(li)的分配(pei)和保證，才能(neng)使企業(yè)的業(yè)(ye)務(wù)系統(tǒng)正常且(qie)穩(wěn)定高效(xiao)地運(yun)行，同時保證(zheng)企業(yè)(ye)信息安全，避免(mian)機密(mi)信息泄露。

存在的(de)問題（用(yong)戶需(xu)求）

1、接入(ru)不安全：缺乏安(an)全可靠的(de)認證機制，企(qi)業(yè)無(wu)線網(wǎng)絡(luò)接入(ru)不安全(quan)

2、上網(wǎng)(wang)權(quán)限混亂：缺乏(fa)有效(xiao)的控制策略(lve)，員工上網(wǎng)(wang)權(quán)限不(bu)分明(ming)

3、數(shù)據(jù)信息(xi)安全：缺乏有效(xiao)的數(shù)據(jù)加密機(ji)制，企(qi)業(yè)數(shù)據(jù)被黑(hei)客竊取篡改(gai)

4、無線信號差：AP性(xing)能不佳，上(shang)網(wǎng)總(zong)掉線，點(dian)位規(guī)劃不合(he)理，信號盲(mang)區(qū)多

5、漫游效果差：不(bu)能實現(xiàn)二三層(ceng)漫游，移動辦(ban)公時(shi)，業(yè)務(wù)(wu)中斷

解決(jue)方案：

結(jié)合用戶無線(xian)網(wǎng)絡(luò)(luo)需求情況(kuang)，結(jié)合產(chǎn)品(pin)自身技(ji)術(shù)特點，為(wei)了滿足用戶構(gòu)(gou)建一(yi)個高速、穩(wěn)定、安(an)全、可靠、易于管(guan)理的無線(xian)接入(ru)網(wǎng)絡(luò)的需求，本(ben)設(shè)計方(fang)案按照AP+AC的結(jié)(jie)構(gòu)化(hua)無線網(wǎng)絡(luò)解決(jue)方案進(jin)行設(shè)計。具體(ti)設(shè)計為在(zai)總部設(shè)(she)置總部(bu)AC,在大型(xing)分支機(ji)構(gòu)設(shè)置(zhi)分支AC與分支AP，中(zhong)型分支機構(gòu)(gou)設(shè)計二級，三級(ji)交換機，分(fen)支AP。小微(wei)型分(fen)支機構(gòu)直(zhi)接設(shè)置(zhi)分支AP?？偛?bu)AC可以(yi)對大型分支機(ji)構(gòu)的AC進行管(guan)理，當網(wǎng)(wang)點控制器采(cai)用集中(zhong)管理的模式進(jin)入到中心端(duan)控制器時，會(hui)自動下載中(zhong)心端的公(gong)共配置，比如IP組(zu)、MAC地址庫(ku)、時間計(ji)劃、角(jiao)色授(shou)權(quán)、認證頁面(mian)等 ?？偛緼C也可以(yi)直接管理(li)中小型(xing)分支機(ji)構(gòu)的分支AP，實現(xiàn)(xian)統(tǒng)一(yi)管理。

方案設(shè)計：

安全無線(xian)整體(ti)解決方案(an)：

接入前&接入時(shi)進行身(shen)份認證、安全(quan)無線網(wǎng)卡、賬(zhang)號綁定(ding)（硬件碼+手機號(hao)），非法熱點(dian)檢測及防(fang)御、網(wǎng)(wang)絡(luò)攻擊防(fang)護、射頻(pin)定時關(guān)閉及安(an)全加固(gu)。

接入后&上(shang)網(wǎng)時(shi)進行訪問(wen)權(quán)限控制。

上網(wǎng)后進(jin)行上網(wǎng)(wang)行為記(ji)錄。

上網(wǎng)用戶(hu)身份實名(ming)認證(zheng)：

無線(xian)辦公網(wǎng)(wang)采用802.1X/Portal/WAPI認證(zheng)，外置AAA和RADIUS+AD用于存(cun)儲用(yong)戶賬(zhang)號密碼。

每個賬號(hao)對應(yīng)一個(ge)員工(gong)，包括姓名、部(bu)門、性別以及身(shen)份證、手機號(hao)等個人(ren)信息，保證每(mei)個上網(wǎng)的賬號(hao)都是(shi)可尋的，便于安(an)全管理(li)。

用戶(hu)輸入(ru)賬號密(mi)碼上網(wǎng)(wang)驗證時均采(cai)用加密傳輸，防(fang)止黑客空中(zhong)攔截，竊取賬號(hao)密碼等數(shù)據(jù)(ju)。

上網(wǎng)賬號自動(dong)綁定(ding)終端：

自動將賬號與(yu)終端的(de)硬件特(te)征碼進行(xing)綁定，防止賬(zhang)號被他人(ren)使用或者被盜(dao)用。

每臺(tai)設(shè)備的(de)硬件特征碼(ma)是唯一(yi)的，無法通(tong)過軟件修改(gai)。即使通過軟件(jian)修改了仍然(ran)可以(yi)識別原始(shi)的。

每個賬號最(zui)多可以綁定(ding)5臺終端，超過1臺(tai)時需要管(guan)理員審(shen)核。

上網(wǎng)賬號(hao)二次綁(bang)定手機(ji)號碼：

賬號首(shou)次登陸時需要(yao)綁定手(shou)機號并輸(shu)入短(duan)信驗證碼，當用(yong)戶賬(zhang)號在新終(zhong)端登陸時（換(huan)終端/被他用(yong)/被盜），不(bu)僅需要輸入(ru)密碼(ma)，還需要輸(shu)入短信驗證碼(ma)，解決員工賬號(hao)認證(zheng)的安全(quan)問題(ti)

綁定手機(ji)號碼(ma)的用(yong)戶，可以(yi)自助重置密(mi)碼和修改(gai)密碼，無需通過(guo)IT管理員(yuan)。

用戶密碼管理(li)及自助(zhu)修改：

無需通過管理(li)員即可(ke)修改密碼(ma)，提高效率及減(jian)輕管理(li)員工作壓(ya)力。

通過口袋助(zhu)理、釘釘、企(qi)業(yè)號(hao)等手機MOA類APP軟件(jian)進行無(wu)線密碼(ma)修改。

若賬號綁定(ding)了手(shou)機號碼，可通過(guo)手機驗(yan)證碼自助(zhu)修改。

上網(wǎng)終端(duan)合法效驗(yan)：

采用安全無(wu)線網(wǎng)卡(ka)接入(ru)無線網(wǎng)絡(luò)，終端(duan)與AP熱點的雙向(xiang)驗證，提高安(an)全性(xing)。

可以將無(wu)線網(wǎng)(wang)絡(luò)設(shè)(she)置為只有安裝(zhuang)了安全無線(xian)網(wǎng)卡的終端(duan)才能接(jie)入無線網(wǎng)(wang)絡(luò)。

支持(chi)設(shè)置安全無(wu)線網(wǎng)卡(ka)只能(neng)連指定SSID無(wu)線網(wǎng)(wang)絡(luò)，無法連接(jie)非授權(quán)SSID。

網(wǎng)卡與AP數(shù)(shu)據(jù)傳輸時(shi)自動(dong)進行數(shù)(shu)據(jù)加密(mi)，保證(zheng)無線的空(kong)口安全。

無線熱點掃描(miao)及非(fei)法熱(re)點抑制(zhi)：

背景：黑客在(zai)附近搭建一個(ge)一模(mo)一樣或(huo)者類似(shi)的WIFI名稱，誘(you)使用戶連(lian)到虛假釣魚(yu)WIFI上，黑客利用分(fen)析軟件從用戶(hu)上網(wǎng)產(chǎn)(chan)生的數(shù)據(jù)包(bao)中分析提取用(yong)戶隱私(si)信息。

我們通過WIPS無(wu)線入侵防(fang)御系統(tǒng)實時(shi)檢測(ce)周圍無(wu)線信(xin)號，當檢(jian)測出來的信(xin)號BSSID、且AP源MAC地址不(bu)在授權(quán)(quan)列表中(zhong)時，我們(men)向?qū)?yīng)的(de)AP和終端(duan)發(fā)送解除(chu)關(guān)聯(lián)(lian)幀，讓終端(duan)無法(fa)連上釣魚(yu)WIFI。7×24小時不間(jian)斷監(jiān)測網(wǎng)絡(luò)。

上網(wǎng)行為嚴(yan)格控(kong)制：

強大的管理(li)：通過應(yīng)用(yong)識別技術(shù)，可(ke)以根據(jù)(ju)應(yīng)用類型或(huo)者具體(ti)某一種應(yīng)用(yong)進行封(feng)堵，包括視頻(pin)、論壇、游戲、金(jin)融、下載(zai)等2400多種(zhong)網(wǎng)絡(luò)應(yīng)用(yong)。

通過應(yīng)用識別(bie)技術(shù)，可(ke)以根據(jù)應(yīng)用(yong)類型或者具體(ti)某一種(zhong)應(yīng)用進(jin)行封堵(du)，比如上班時間(jian)不允許炒股(gu)，不允許P2P下載，不(bu)允許外發(fā)(fa)敏感文件(jian)等； 支(zhi)持主流移(yi)動平臺(tai)，可識別IM、社交(jiao)、Mail、新聞、炒股等(deng)應(yīng)用。

無線(xian)控制器內(nèi)置(zhi)千萬(wan)級別(bie)的URL分類庫(ku)，能夠(gou)對URL進(jin)行識別(bie)，包含新(xin)聞、購物、金融(rong)、教育等(deng)18個種(zhong)類的URL地址； 準(zhun)確識別(bie)目前主流(liu)網(wǎng)站，識(shi)別率高達(da)99.9%，有效實現(xiàn)網(wǎng)(wang)頁過濾。例如禁(jin)止登(deng)陸非(fei)法網(wǎng)站

通過基于時間(jian)段的訪問控(kong)制策略，實(shi)現(xiàn)不(bu)同的時(shi)間段不(bu)同的訪問權(quán)限(xian)，比如上(shang)班時(shi)間，禁止訪問網(wǎng)(wang)上銀(yin)行、游戲(xi)、論壇貼吧等與(yu)工作無關(guān)的應(yīng)(ying)用，下班時(shi)間則不受限(xian)制。

辦公區(qū)(qu)域內(nèi)(nei)，不同辦(ban)公部門(men)總會有各自專(zhuan)屬的無線網(wǎng)絡(luò)(luo)，并且不希望部(bu)門之外(wai)的成員(yuan)使用(yong)這個(ge)網(wǎng)絡(luò)。無(wu)線網(wǎng)絡(luò)控制(zhi)器可以(yi)根據(jù)用(yong)戶的屬性，限制(zhi)禁止非本(ben)部門的用戶接(jie)入。

典型無線網(wǎng)(wang)絡(luò)攻擊防護：

對典(dian)型的危險攻(gong)擊行為進(jin)行檢測，當(dang)超過設(shè)(she)定的閾(yu)值后自動(dong)將攻擊者加入(ru)到黑名(ming)單中，并凍結(jié)一(yi)定時(shi)間，即時發(fā)現(xiàn)(xian)網(wǎng)絡(luò)攻擊并進(jin)行防(fang)御。

檢測的(de)攻擊包括(kuo)：DDOS防御、ARP掃(sao)描、IP掃描、端口掃(sao)描防御，禁止(zhi)客戶端(duan)私設(shè)IP以及ARP、網(wǎng)(wang)關(guān)欺騙防(fang)御、DHCP請求(qiu)泛洪防御。

無線(xian)射頻定時關(guān)閉(bi)開啟(qi)：

通過射頻關(guān)(guan)閉控(kong)制策略(lve)，可以指(zhi)定某SSID網(wǎng)(wang)絡(luò)，定時自動(dong)關(guān)閉和開啟(qi)無線網(wǎng)絡(luò)的射(she)頻信號(hao)，晚上下班(ban)后自(zi)動關(guān)(guan)閉無線射(she)頻信號(hao)。

一方(fang)面可以節(jié)能(neng)減排(pai)、節(jié)省電(dian)費支出；另一(yi)方面又能防(fang)止非法用戶(hu)利用深夜時(shi)間入侵無線(xian)網(wǎng)絡(luò)，做一(yi)些非法的操(cao)作。

有線(xian)無線一(yi)體化管理：

NAC的有(you)線無線一體化(hua)，支持(chi)對有線用戶(hu)的接入認證(zheng)、訪問控制、流(liu)量管(guan)理、上(shang)網(wǎng)行(xing)為審計(ji)等，

并提供統(tǒng)(tong)一中(zhong)文Web管理界(jie)面，一(yi)站式服務(wù)，極(ji)大的(de)降低網(wǎng)絡(luò)建設(shè)(she)成本。

網(wǎng)絡(luò)分(fen)權(quán)分級管理(li)：

分配不同(tong)的管(guan)理員分別管理(li)各自權(quán)限(xian)區(qū)域的無(wu)線AP，可以精(jing)細到對某AP分組(zu)有管理權(quán)限(xian)，該管理員可(ke)以在該AP分組上(shang)建立無(wu)線網(wǎng)絡(luò)(luo)，能夠激(ji)活、刪除接入點(dian)，能夠?qū)P的配(pei)置進(jin)行編(bian)輯修(xiu)改。

可指定(ding)管理員(yuan)針對每個頁(ye)面的編(bian)輯或(huo)可查(cha)看權(quán)限，控制(zhi)粒度到控(kong)制器上的各個(ge)頁面，對某個(ge)頁面沒有(you)讀權(quán)限則(ze)登錄(lu)時不顯示。

移動APP隨時隨(sui)地運維管(guan)理：

支持跨互(hu)聯(lián)網(wǎng)運維(wei)管理

登陸APP進(jin)行維護管理(li)：不同(tong)管理員，不同(tong)權(quán)限

查看網(wǎng)絡(luò)運(yun)行情況(kuang)：在線用戶、在(zai)線AP數(shù)(shu)量、實(shi)時流量(liang)

無線(xian)網(wǎng)絡(luò)管理維護(hu)：開啟關(guān)閉SSID、終端(duan)綁定審(shen)批、二維(wei)碼上(shang)網(wǎng)審(shen)核

故障(zhang)、審批實時(shi)通知：AP離線(xian)警告、服(fu)務(wù)器離線警(jing)告、網(wǎng)絡(luò)(luo)攻擊告(gao)警

方案優(yōu)(you)勢：

1、最豐富的無線(xian)安全機制(zhi)，提供從安(an)全接入到安(an)全上網(wǎng)等(deng)端到端(duan)的安全策略

2、合理(li)管控工作(zuo)人員上網(wǎng)行(xing)為，提(ti)升工作效率(lv)、防止帶寬浪(lang)費，有(you)線無線雙重(zhong)管控

3、為會議(yi)室，報告廳等人(ren)員密集區(qū)(qu)域接入網(wǎng)絡(luò)(luo)提高保(bao)證，解決(jue)有線網(wǎng)(wang)口不足的問題(ti)；

4、為企業(yè)員工的(de)移動(dong)辦公(gong)提供(gong)支撐，內(nèi)部(bu)員工可通過(guo)無線網(wǎng)(wang)絡(luò)隨時安(an)全接入內(nèi)部(bu)網(wǎng)絡(luò)，實現(xiàn)辦公(gong)；

5、內(nèi)部員(yuan)工賬(zhang)號及個人(ren)信息綁定，便(bian)于安全(quan)管理；

6、內(nèi)部員工(gong)可通過自(zi)己的辦公設(shè)備(bei)在企業(yè)大樓(lou)內(nèi)快速移(yi)動辦(ban)公，網(wǎng)絡(luò)(luo)接入更快(kuai)速，上網(wǎng)行為管(guan)理系統(tǒng)對員(yuan)工上網(wǎng)行(xing)為進行審計(ji)與管(guan)控

7、來訪客戶(hu)接入企(qi)業(yè)網(wǎng)絡(luò)，可(ke)根據(jù)不同需(xu)求，分配不同的(de)上網(wǎng)權(quán)限，保(bao)證了接(jie)入的安全性同(tong)時提升群眾上(shang)網(wǎng)的(de)體驗

8、豐富的認證機(ji)制，滿足(zu)組織對無線(xian)網(wǎng)絡(luò)安(an)全、快速接入

9、投資成本低，通(tong)過部署無線(xian)控制器替換(huan)原有網(wǎng)(wang)絡(luò)的出口路(lu)由、行為管(guan)理以及無線(xian)控制器