?
大型企業(yè)在無(wu)線網(wǎng)絡(luò)建設(shè)(she)期間要充(chong)分考慮訪客(ke)(領(lǐng)導(dǎo)(dao)�、客戶、合作伙伴(ban))接入網(wǎng)(wang)絡(luò)的需(xu)求��。首先(xian)從安全性考慮(lv)���,訪客(ke)網(wǎng)絡(luò)必須要(yao)和辦(ban)公網(wǎng)(wang)絡(luò)分開(kai)�����,訪客網(wǎng)(wang)絡(luò)單獨(dú)提供(gong)給訪客使(shi)用�。從用(yong)戶體(ti)驗(yàn)角度考慮��,訪(fang)客接(jie)入網(wǎng)絡(luò)的(de)驗(yàn)證方式(shi)一定要(yao)做到簡單易(yi)行�,繁瑣的驗(yàn)(yan)證方式會降低(di)訪客對企(qi)業(yè)的整(zheng)體印象。同(tong)時(shí)對于訪客(ke)網(wǎng)絡(luò)����,企業(yè)(ye)還需要建(jian)立完(wan)善的網(wǎng)絡(luò)安(an)全管理機(jī)制(zhi),避免由于(yu)訪客的網(wǎng)絡(luò)不(bu)良訪問給企(qi)業(yè)帶來的法(fa)律風(fēng)險(xiǎn)�����。對于企(qi)業(yè)員工移(yi)動(dòng)辦公(gong)上網(wǎng)(wang)�,更需要做到可(ke)管控,上(shang)網(wǎng)行為做到(dao)可追(zhui)溯���,企業(yè)(ye)有效的帶寬資(zi)源得(de)到合理的分配(pei)和保證(zheng)�����,才能使企業(yè)(ye)的業(yè)務(wù)系統(tǒng)正(zheng)常且(qie)穩(wěn)定高(gao)效地(di)運(yùn)行����,同時(shí)保(bao)證企(qi)業(yè)信(xin)息安全,避免(mian)機(jī)密信息(xi)泄露��。
存在的問題(用(yong)戶需求(qiu))
1���、接入不(bu)安全:缺乏安全(quan)可靠的認(rèn)證(zheng)機(jī)制���,企業(yè)無線(xian)網(wǎng)絡(luò)(luo)接入不(bu)安全
2、上網(wǎng)(wang)權(quán)限混(hun)亂:缺乏(fa)有效(xiao)的控制策略�,員(yuan)工上(shang)網(wǎng)權(quán)限不分(fen)明
3、數(shù)據(jù)(ju)信息安全:缺乏(fa)有效的(de)數(shù)據(jù)加密機(jī)(ji)制�����,企業(yè)數(shù)據(jù)(ju)被黑客竊取篡(cuan)改
4����、無線(xian)信號差(cha):AP性能不佳(jia)���,上網(wǎng)總掉線(xian)�,點(diǎn)位(wei)規(guī)劃不合(he)理,信號盲(mang)區(qū)多
5�����、漫游效果差:不(bu)能實(shí)(shi)現(xiàn)二三(san)層漫游���,移動(dòng)辦(ban)公時(shí)�,業(yè)務(wù)(wu)中斷
解決(jue)方案:
結(jié)合用(yong)戶無線(xian)網(wǎng)絡(luò)需求情(qing)況�,結(jié)(jie)合產(chǎn)品自身技(ji)術(shù)特(te)點(diǎn),為(wei)了滿足(zu)用戶構(gòu)(gou)建一個(gè)(ge)高速(su)���、穩(wěn)定���、安全、可(ke)靠���、易(yi)于管理(li)的無線接入網(wǎng)(wang)絡(luò)的需求(qiu)���,本設(shè)計(jì)(ji)方案按照AP+AC的結(jié)(jie)構(gòu)化無線網(wǎng)(wang)絡(luò)解(jie)決方案(an)進(jìn)行設(shè)(she)計(jì)。具(ju)體設(shè)計(jì)(ji)為在總部設(shè)(she)置總部AC,在(zai)大型分(fen)支機(jī)構(gòu)(gou)設(shè)置分支AC與(yu)分支AP,中型分支(zhi)機(jī)構(gòu)設(shè)計(jì)(ji)二級�,三級(ji)交換機(jī),分(fen)支AP����。小(xiao)微型(xing)分支機(jī)構(gòu)(gou)直接設(shè)置分支(zhi)AP?�?偛緼C可以對(dui)大型分(fen)支機(jī)構(gòu)的(de)AC進(jìn)行管理�,當(dāng)網(wǎng)(wang)點(diǎn)控(kong)制器采(cai)用集中(zhong)管理的模式進(jìn)(jin)入到中心端(duan)控制(zhi)器時(shí),會自動(dòng)下(xia)載中心端(duan)的公共(gong)配置(zhi)��,比如(ru)IP組�����、MAC地址庫�����、時(shí)間(jian)計(jì)劃�、角色授(shou)權(quán)、認(rèn)證頁(ye)面等 �����?���??zong)部AC也可以(yi)直接管理中小(xiao)型分(fen)支機(jī)構(gòu)的(de)分支AP,實(shí)現(xiàn)統(tǒng)(tong)一管理�。
方案設(shè)(she)計(jì):
安全無線整體(ti)解決方案(an):
接入前(qian)&接入(ru)時(shí)進(jìn)(jin)行身份認(rèn)(ren)證、安全(quan)無線(xian)網(wǎng)卡����、賬號綁(bang)定(硬(ying)件碼(ma)+手機(jī)號),非法(fa)熱點(diǎn)檢測及防(fang)御��、網(wǎng)絡(luò)(luo)攻擊防護(hù)�、射頻(pin)定時(shí)關(guān)閉(bi)及安全加固(gu)。
接入后(hou)&上網(wǎng)時(shí)進(jìn)(jin)行訪(fang)問權(quán)(quan)限控(kong)制���。
上網(wǎng)后進(jìn)行上(shang)網(wǎng)行為記錄(lu)�。
上網(wǎng)用(yong)戶身份實(shí)(shi)名認(rèn)證:
無線辦公(gong)網(wǎng)采用802.1X/Portal/WAPI認(rèn)證�,外(wai)置AAA和RADIUS+AD用(yong)于存儲用(yong)戶賬號密碼(ma)。
每個(gè)賬(zhang)號對應(yīng)一個(gè)(ge)員工�,包括姓(xing)名、部門��、性別以(yi)及身(shen)份證���、手(shou)機(jī)號等個(gè)人(ren)信息���,保證每個(gè)(ge)上網(wǎng)的賬(zhang)號都(dou)是可尋(xun)的�,便于安(an)全管理(li)�����。
用戶輸入賬(zhang)號密碼上網(wǎng)(wang)驗(yàn)證時(shí)(shi)均采用加密傳(chuan)輸��,防(fang)止黑客空中攔(lan)截�,竊取賬號(hao)密碼等數(shù)據(jù)。
上網(wǎng)賬號自動(dòng)(dong)綁定終(zhong)端:
自動(dòng)將(jiang)賬號與終端的(de)硬件特征(zheng)碼進(jìn)行綁定(ding)�,防止賬號被(bei)他人使用或(huo)者被盜(dao)用。
每臺(tai)設(shè)備的(de)硬件(jian)特征(zheng)碼是唯(wei)一的���,無法通(tong)過軟件修(xiu)改�����。即(ji)使通過軟件(jian)修改了仍(reng)然可以識別原(yuan)始的(de)����。
每個(gè)賬號最(zui)多可以綁定5臺(tai)終端(duan)�,超過1臺時(shí)需(xu)要管理員審核(he)�����。
上網(wǎng)賬(zhang)號二次綁定(ding)手機(jī)號(hao)碼:
賬號首次(ci)登陸時(shí)需要綁(bang)定手機(jī)號并輸(shu)入短信(xin)驗(yàn)證碼,當(dāng)(dang)用戶賬號在(zai)新終端登陸時(shí)(shi)(換終端/被他用(yong)/被盜(dao))���,不僅需要輸入(ru)密碼�,還(hai)需要輸入(ru)短信驗(yàn)證碼(ma)�����,解決員工賬(zhang)號認(rèn)證的安(an)全問題
綁定手機(jī)號(hao)碼的用戶(hu)�����,可以自助重置(zhi)密碼和修改(gai)密碼(ma)�,無需通過IT管(guan)理員。
用戶密碼管(guan)理及自助修(xiu)改:
無需通過管(guan)理員即(ji)可修改密碼(ma)�����,提高效率(lv)及減輕(qing)管理員工作壓(ya)力����。
通過口袋(dai)助理(li)����、釘釘��、企業(yè)號(hao)等手(shou)機(jī)MOA類APP軟件進(jìn)行(xing)無線密碼修改(gai)�����。
若賬號綁(bang)定了手機(jī)號碼(ma)�,可通過手機(jī)(ji)驗(yàn)證(zheng)碼自(zi)助修改。
上網(wǎng)終端合法(fa)效驗(yàn):
采用安全無(wu)線網(wǎng)卡接入無(wu)線網(wǎng)(wang)絡(luò)�,終(zhong)端與(yu)AP熱點(diǎn)的雙向(xiang)驗(yàn)證,提高(gao)安全性�。
可以將無(wu)線網(wǎng)絡(luò)設(shè)(she)置為(wei)只有安裝(zhuang)了安(an)全無(wu)線網(wǎng)(wang)卡的終端才能(neng)接入無線網(wǎng)(wang)絡(luò)。
支持設(shè)置安(an)全無線網(wǎng)卡(ka)只能(neng)連指定SSID無線(xian)網(wǎng)絡(luò)��,無法連(lian)接非授(shou)權(quán)SSID����。
網(wǎng)卡與(yu)AP數(shù)據(jù)傳輸時(shí)自(zi)動(dòng)進(jìn)行(xing)數(shù)據(jù)(ju)加密,保證無線(xian)的空口安(an)全����。
無線熱點(diǎn)(dian)掃描及非(fei)法熱點(diǎn)(dian)抑制:
背景:黑客(ke)在附(fu)近搭建一(yi)個(gè)一模(mo)一樣(yang)或者類(lei)似的(de)WIFI名稱,誘使(shi)用戶連到虛假(jia)釣魚(yu)WIFI上��,黑客利(li)用分析(xi)軟件(jian)從用戶上網(wǎng)(wang)產(chǎn)生的數(shù)據(jù)包(bao)中分(fen)析提取用戶隱(yin)私信(xin)息。
我們通(tong)過WIPS無線入侵防(fang)御系統(tǒng)實(shí)時(shí)檢(jian)測周圍無線信(xin)號���,當(dāng)檢(jian)測出來(lai)的信(xin)號BSSID����、且AP源(yuan)MAC地址不(bu)在授(shou)權(quán)列(lie)表中(zhong)時(shí)�����,我們向?qū)?dui)應(yīng)的AP和終(zhong)端發(fā)送解除關(guān)(guan)聯(lián)幀���,讓終(zhong)端無法連(lian)上釣魚(yu)WIFI。7×24小時(shí)(shi)不間斷監(jiān)測網(wǎng)(wang)絡(luò)�。
上網(wǎng)(wang)行為嚴(yán)格(ge)控制:
強(qiáng)大的(de)管理:通過應(yīng)(ying)用識別技術(shù)(shu),可以根(gen)據(jù)應(yīng)用類(lei)型或者具(ju)體某一(yi)種應(yīng)用進(jìn)行(xing)封堵���,包括視(shi)頻����、論(lun)壇�、游戲、金融(rong)�����、下載等2400多種網(wǎng)(wang)絡(luò)應(yīng)用。
通過應(yīng)用識(shi)別技術(shù)�,可以根(gen)據(jù)應(yīng)用類(lei)型或者(zhe)具體某(mou)一種應(yīng)用(yong)進(jìn)行封(feng)堵,比如上班時(shí)(shi)間不允(yun)許炒股����,不允許(xu)P2P下載,不允許外(wai)發(fā)敏(min)感文(wen)件等���; 支(zhi)持主流(liu)移動(dòng)(dong)平臺���,可識別IM、社(she)交���、Mail����、新聞��、炒股(gu)等應(yīng)用����。
無線控制(zhi)器內(nèi)(nei)置千萬級別的(de)URL分類庫(ku)���,能夠?qū)RL進(jìn)行(xing)識別,包含新(xin)聞�、購物、金(jin)融�、教育等18個(gè)種(zhong)類的URL地址(zhi); 準(zhǔn)確識別(bie)目前主流網(wǎng)站(zhan)���,識別率高達(dá)99.9%�,有(you)效實(shí)現(xiàn)(xian)網(wǎng)頁過濾��。例如(ru)禁止登(deng)陸非(fei)法網(wǎng)站(zhan)
通過基于時(shí)(shi)間段的(de)訪問控制策(ce)略�����,實(shí)現(xiàn)不(bu)同的時(shí)間(jian)段不(bu)同的訪(fang)問權(quán)限�,比(bi)如上班(ban)時(shí)間���,禁(jin)止訪問網(wǎng)上銀(yin)行�、游(you)戲�����、論壇貼(tie)吧等與工(gong)作無關(guān)(guan)的應(yīng)用,下班時(shí)(shi)間則不受限制(zhi)�。
辦公(gong)區(qū)域內(nèi),不同辦(ban)公部門(men)總會有(you)各自專(zhuan)屬的(de)無線(xian)網(wǎng)絡(luò)�����,并且(qie)不希望(wang)部門(men)之外的成員(yuan)使用這個(gè)(ge)網(wǎng)絡(luò)��。無線(xian)網(wǎng)絡(luò)控制器可(ke)以根據(jù)用戶(hu)的屬性�����,限制(zhi)禁止非(fei)本部(bu)門的用戶接(jie)入�����。
典型無(wu)線網(wǎng)(wang)絡(luò)攻擊防護(hù)(hu):
對典型的危險(xiǎn)(xian)攻擊行(xing)為進(jìn)行檢測�����,當(dāng)(dang)超過設(shè)定的(de)閾值后(hou)自動(dòng)將攻擊者(zhe)加入到黑名單(dan)中���,并凍結(jié)一定(ding)時(shí)間�,即(ji)時(shí)發(fā)(fa)現(xiàn)網(wǎng)(wang)絡(luò)攻擊(ji)并進(jìn)行(xing)防御。
檢測的攻擊包(bao)括:DDOS防御�、ARP掃描(miao)、IP掃描����、端口掃描(miao)防御,禁止客(ke)戶端私設(shè)IP以(yi)及ARP�、網(wǎng)關(guān)欺騙(pian)防御、DHCP請求(qiu)泛洪防御�。
無線射頻(pin)定時(shí)關(guān)(guan)閉開啟:
通過射(she)頻關(guān)閉控制策(ce)略,可以指(zhi)定某SSID網(wǎng)(wang)絡(luò)�����,定時(shí)(shi)自動(dòng)關(guān)閉(bi)和開啟(qi)無線網(wǎng)絡(luò)的射(she)頻信號����,晚(wan)上下班后自動(dòng)(dong)關(guān)閉無線射頻(pin)信號����。
一方(fang)面可以(yi)節(jié)能減排、節(jié)省(sheng)電費(fèi)支出�����;另一(yi)方面又能(neng)防止非法用戶(hu)利用(yong)深夜時(shí)(shi)間入侵(qin)無線網(wǎng)絡(luò),做一(yi)些非法的操(cao)作�����。
有線無線(xian)一體化管理:
NAC的有線無線(xian)一體化�,支持(chi)對有線用(yong)戶的(de)接入認(rèn)證、訪(fang)問控制(zhi)�、流量管(guan)理、上(shang)網(wǎng)行為審(shen)計(jì)等���,
并提供(gong)統(tǒng)一中(zhong)文Web管(guan)理界面����,一站式(shi)服務(wù)����,極(ji)大的降低(di)網(wǎng)絡(luò)建設(shè)成本(ben)。
網(wǎng)絡(luò)(luo)分權(quán)分(fen)級管理:
分配不同(tong)的管(guan)理員分別管理(li)各自權(quán)限區(qū)域(yu)的無線(xian)AP���,可以精(jing)細(xì)到對某AP分(fen)組有管(guan)理權(quán)限�����,該管理(li)員可以在(zai)該AP分組(zu)上建(jian)立無(wu)線網(wǎng)絡(luò)��,能(neng)夠激活(huo)����、刪除接入(ru)點(diǎn),能夠?qū)?dui)AP的配置進(jìn)行編(bian)輯修改�。
可指定管(guan)理員針對每個(gè)(ge)頁面的(de)編輯或可查看(kan)權(quán)限,控制粒(li)度到控制器上(shang)的各個(gè)頁(ye)面���,對某(mou)個(gè)頁面沒有(you)讀權(quán)限則(ze)登錄時(shí)(shi)不顯示����。
移動(dòng)APP隨時(shí)(shi)隨地(di)運(yùn)維管理:
支持(chi)跨互聯(lián)網(wǎng)運(yùn)維(wei)管理
登陸APP進(jìn)行維(wei)護(hù)管理:不同(tong)管理(li)員���,不同權(quán)限
查看網(wǎng)絡(luò)(luo)運(yùn)行情況:在(zai)線用戶�、在(zai)線AP數(shù)量�����、實(shí)時(shí)流(liu)量
無線網(wǎng)(wang)絡(luò)管理維護(hù):開(kai)啟關(guān)閉SSID�、終端(duan)綁定(ding)審批�、二(er)維碼上網(wǎng)審核(he)
故障(zhang)、審批(pi)實(shí)時(shí)通知(zhi):AP離線警告���、服(fu)務(wù)器離線(xian)警告�����、網(wǎng)絡(luò)(luo)攻擊告警
方案優(yōu)勢(shi):
1���、最豐富的無線(xian)安全機(jī)(ji)制�,提供從安(an)全接入到安全(quan)上網(wǎng)等端到端(duan)的安全策略(lve)
2�����、合理管控(kong)工作人員(yuan)上網(wǎng)(wang)行為(wei)��,提升工作(zuo)效率�、防(fang)止帶寬浪費(fèi),有(you)線無線(xian)雙重管(guan)控
3�����、為會議室�����,報(bào)告(gao)廳等人員密集(ji)區(qū)域接(jie)入網(wǎng)(wang)絡(luò)提高保(bao)證�����,解決有(you)線網(wǎng)口(kou)不足的問(wen)題;
4����、為企(qi)業(yè)員工的(de)移動(dòng)辦公提(ti)供支撐,內(nèi)(nei)部員工(gong)可通過無線網(wǎng)(wang)絡(luò)隨時(shí)(shi)安全接入(ru)內(nèi)部網(wǎng)絡(luò)(luo)�����,實(shí)現(xiàn)辦(ban)公�����;
5��、內(nèi)部員工賬號(hao)及個(gè)人(ren)信息(xi)綁定(ding)�,便于安全管(guan)理;
6��、內(nèi)部員工可(ke)通過自己(ji)的辦公設(shè)備在(zai)企業(yè)大(da)樓內(nèi)快速(su)移動(dòng)辦公�,網(wǎng)絡(luò)(luo)接入更(geng)快速,上網(wǎng)(wang)行為管理系(xi)統(tǒng)對員工上(shang)網(wǎng)行為進(jìn)(jin)行審計(jì)與管控(kong)
7�、來訪客戶(hu)接入企業(yè)網(wǎng)絡(luò)(luo),可根(gen)據(jù)不同(tong)需求(qiu)�,分配不同(tong)的上網(wǎng)權(quán)限,保(bao)證了(le)接入的安(an)全性同時(shí)(shi)提升群眾(zhong)上網(wǎng)的體驗(yàn)(yan)
8�����、豐富的認(rèn)證(zheng)機(jī)制�,滿足組(zu)織對(dui)無線(xian)網(wǎng)絡(luò)安(an)全、快速接(jie)入
9���、投資成本低�,通(tong)過部(bu)署無線控制(zhi)器替(ti)換原有網(wǎng)(wang)絡(luò)的出(chu)口路由���、行為(wei)管理以及(ji)無線控(kong)制器
