?
大型企業(yè)(ye)在無(wú)線網(wǎng)(wang)絡(luò)建設(shè)期間(jian)要充分考慮(lv)訪客(ke)(領(lǐng)導(dǎo)�、客(ke)戶、合(he)作伙伴)接入(ru)網(wǎng)絡(luò)的需(xu)求�。首先(xian)從安全性考(kao)慮�,訪(fang)客網(wǎng)絡(luò)必(bi)須要和(he)辦公(gong)網(wǎng)絡(luò)分開(kāi)�,訪(fang)客網(wǎng)絡(luò)(luo)單獨(dú)提(ti)供給(gei)訪客使(shi)用。從用戶(hu)體驗(yàn)角度(du)考慮�,訪客接入(ru)網(wǎng)絡(luò)的驗(yàn)(yan)證方式(shi)一定要(yao)做到簡(jiǎn)單(dan)易行�,繁瑣的(de)驗(yàn)證方式會(huì)(hui)降低訪客對(duì)(dui)企業(yè)的(de)整體印象�。同時(shí)(shi)對(duì)于訪(fang)客網(wǎng)絡(luò),企業(yè)還(hai)需要建(jian)立完善的網(wǎng)(wang)絡(luò)安全管理(li)機(jī)制�,避免由(you)于訪(fang)客的(de)網(wǎng)絡(luò)不良訪(fang)問(wèn)給企(qi)業(yè)帶來(lái)的(de)法律風(fēng)險(xiǎn)(xian)。對(duì)于企業(yè)(ye)員工移動(dòng)(dong)辦公上(shang)網(wǎng)�,更需(xu)要做到(dao)可管控(kong),上網(wǎng)行(xing)為做到可追溯(su)�,企業(yè)有效的帶(dai)寬資源得到合(he)理的(de)分配和保證(zheng),才能使企業(yè)的(de)業(yè)務(wù)(wu)系統(tǒng)正常且(qie)穩(wěn)定高(gao)效地(di)運(yùn)行�,同(tong)時(shí)保證企(qi)業(yè)信息安(an)全,避免機(jī)密信(xin)息泄(xie)露�。
存在的問(wèn)題(ti)(用戶需求(qiu))
1、接入不安全(quan):缺乏安全可靠(kao)的認(rèn)(ren)證機(jī)制�,企業(yè)無(wú)(wu)線網(wǎng)(wang)絡(luò)接入不安全(quan)
2、上網(wǎng)權(quán)限混(hun)亂:缺乏(fa)有效的控(kong)制策略�,員工上(shang)網(wǎng)權(quán)限不(bu)分明
3、數(shù)據(jù)信息安全(quan):缺乏有(you)效的數(shù)(shu)據(jù)加密(mi)機(jī)制�,企(qi)業(yè)數(shù)據(jù)(ju)被黑客(ke)竊取篡改(gai)
4、無(wú)線(xian)信號(hào)差(cha):AP性能不佳�,上網(wǎng)(wang)總掉線(xian),點(diǎn)位(wei)規(guī)劃(hua)不合理(li)�,信號(hào)(hao)盲區(qū)多
5、漫游效果(guo)差:不能實(shí)現(xiàn)(xian)二三(san)層漫游�,移動(dòng)(dong)辦公時(shí),業(yè)務(wù)中(zhong)斷
解決方案:
結(jié)合用(yong)戶無(wú)線網(wǎng)絡(luò)需(xu)求情況(kuang)�,結(jié)合產(chǎn)品自身(shen)技術(shù)特點(diǎn)�,為了(le)滿足用(yong)戶構(gòu)建一(yi)個(gè)高速�、穩(wěn)(wen)定、安(an)全�、可靠(kao)�、易于管(guan)理的(de)無(wú)線接入網(wǎng)(wang)絡(luò)的需求,本設(shè)(she)計(jì)方案按照AP+AC的(de)結(jié)構(gòu)化無(wú)線(xian)網(wǎng)絡(luò)解決方案(an)進(jìn)行設(shè)計(jì)�。具體(ti)設(shè)計(jì)為在(zai)總部設(shè)置(zhi)總部AC,在(zai)大型(xing)分支機(jī)構(gòu)設(shè)(she)置分支AC與分支(zhi)AP�,中型分(fen)支機(jī)構(gòu)(gou)設(shè)計(jì)二(er)級(jí)�,三級(jí)交(jiao)換機(jī),分支(zhi)AP�。小微型分支(zhi)機(jī)構(gòu)直接設(shè)(she)置分支(zhi)AP??偛?bu)AC可以對(duì)大(da)型分支(zhi)機(jī)構(gòu)的(de)AC進(jìn)行管理�,當(dāng)網(wǎng)(wang)點(diǎn)控(kong)制器(qi)采用集中管(guan)理的(de)模式進(jìn)入到(dao)中心端控(kong)制器(qi)時(shí),會(huì)自(zi)動(dòng)下載中心(xin)端的公共配置(zhi)�,比如IP組、MAC地(di)址庫(kù)�、時(shí)間計(jì)(ji)劃、角色授權(quán)(quan)�、認(rèn)證頁(yè)面(mian)等 ??偛緼C也可(ke)以直接管理(li)中小型(xing)分支(zhi)機(jī)構(gòu)的分(fen)支AP,實(shí)現(xiàn)統(tǒng)一管(guan)理�。
方案設(shè)計(jì):
安全(quan)無(wú)線整體解(jie)決方案:
接入(ru)前&接入(ru)時(shí)進(jìn)行身份(fen)認(rèn)證�、安全無(wú)(wu)線網(wǎng)卡�、賬(zhang)號(hào)綁定(硬件碼(ma)+手機(jī)號(hào)),非法熱(re)點(diǎn)檢測(cè)(ce)及防御�、網(wǎng)絡(luò)(luo)攻擊防護(hù)(hu)、射頻定時(shí)關(guān)閉(bi)及安(an)全加固�。
接入后(hou)&上網(wǎng)(wang)時(shí)進(jìn)行訪問(wèn)權(quán)(quan)限控制(zhi)。
上網(wǎng)后進(jìn)行(xing)上網(wǎng)行為記錄(lu)�。
上網(wǎng)用戶(hu)身份實(shí)名認(rèn)證(zheng):
無(wú)線(xian)辦公網(wǎng)(wang)采用802.1X/Portal/WAPI認(rèn)(ren)證,外置(zhi)AAA和RADIUS+AD用于存儲(chǔ)(chu)用戶賬號(hào)密(mi)碼�。
每個(gè)賬號(hào)(hao)對(duì)應(yīng)(ying)一個(gè)員工,包(bao)括姓名�、部門(mén)、性(xing)別以(yi)及身份證�、手機(jī)(ji)號(hào)等個(gè)人(ren)信息,保證(zheng)每個(gè)上網(wǎng)的(de)賬號(hào)(hao)都是可尋的�,便(bian)于安(an)全管理。
用戶輸入賬(zhang)號(hào)密碼(ma)上網(wǎng)驗(yàn)證(zheng)時(shí)均采用加(jia)密傳輸(shu)�,防止黑(hei)客空中攔(lan)截,竊取賬號(hào)密(mi)碼等數(shù)(shu)據(jù)�。
上網(wǎng)賬(zhang)號(hào)自動(dòng)綁定終(zhong)端:
自動(dòng)將(jiang)賬號(hào)與終端的(de)硬件特征碼(ma)進(jìn)行(xing)綁定,防止賬號(hào)(hao)被他人(ren)使用或者被盜(dao)用�。
每臺(tái)設(shè)備的硬(ying)件特征(zheng)碼是唯(wei)一的,無(wú)法(fa)通過(guò)軟件(jian)修改�。即使通(tong)過(guò)軟件修(xiu)改了仍然可以(yi)識(shí)別原始的(de)。
每個(gè)(ge)賬號(hào)最多可(ke)以綁(bang)定5臺(tái)終(zhong)端,超(chao)過(guò)1臺(tái)(tai)時(shí)需要管(guan)理員(yuan)審核�。
上網(wǎng)賬號(hào)二(er)次綁定(ding)手機(jī)號(hào)碼:
賬號(hào)首次登陸(lu)時(shí)需要綁定(ding)手機(jī)號(hào)并輸(shu)入短(duan)信驗(yàn)證碼,當(dāng)用(yong)戶賬號(hào)在新終(zhong)端登陸時(shí)(shi)(換終端(duan)/被他用/被(bei)盜)�,不(bu)僅需(xu)要輸入密碼,還(hai)需要(yao)輸入短信(xin)驗(yàn)證碼�,解決員(yuan)工賬(zhang)號(hào)認(rèn)證的安全(quan)問(wèn)題
綁定手機(jī)號(hào)(hao)碼的(de)用戶(hu),可以(yi)自助重置(zhi)密碼和修改(gai)密碼(ma)�,無(wú)需(xu)通過(guò)IT管理員(yuan)。
用戶密碼管理(li)及自助修改(gai):
無(wú)需通過(guò)管理(li)員即可修改密(mi)碼�,提高效率(lv)及減(jian)輕管(guan)理員工作壓力(li)。
通過(guò)口(kou)袋助(zhu)理�、釘釘、企業(yè)號(hào)(hao)等手機(jī)MOA類APP軟(ruan)件進(jìn)行無(wú)(wu)線密碼修(xiu)改�。
若賬號(hào)綁定了(le)手機(jī)號(hào)(hao)碼,可通過(guò)(guo)手機(jī)驗(yàn)(yan)證碼(ma)自助修改�。
上網(wǎng)(wang)終端合法(fa)效驗(yàn):
采用(yong)安全無(wú)線網(wǎng)卡(ka)接入(ru)無(wú)線(xian)網(wǎng)絡(luò),終端(duan)與AP熱點(diǎn)的(de)雙向驗(yàn)證�,提(ti)高安全性。
可以將無(wú)線網(wǎng)(wang)絡(luò)設(shè)(she)置為(wei)只有安(an)裝了安全無(wú)(wu)線網(wǎng)卡的(de)終端才(cai)能接入無(wú)線(xian)網(wǎng)絡(luò)�。
支持設(shè)置安(an)全無(wú)線網(wǎng)卡(ka)只能(neng)連指定SSID無(wú)線網(wǎng)(wang)絡(luò)�,無(wú)法連接非(fei)授權(quán)SSID。
網(wǎng)卡(ka)與AP數(shù)據(jù)傳輸(shu)時(shí)自(zi)動(dòng)進(jìn)行數(shù)據(jù)(ju)加密�,保證(zheng)無(wú)線(xian)的空口安(an)全。
無(wú)線(xian)熱點(diǎn)掃(sao)描及非(fei)法熱點(diǎn)抑制:
背景:黑(hei)客在附(fu)近搭建一(yi)個(gè)一模(mo)一樣(yang)或者類似(shi)的WIFI名(ming)稱�,誘使用戶(hu)連到虛假(jia)釣魚(yú)WIFI上(shang),黑客利用(yong)分析軟件從(cong)用戶上網(wǎng)(wang)產(chǎn)生的(de)數(shù)據(jù)包中(zhong)分析提取(qu)用戶隱私(si)信息(xi)。
我們(men)通過(guò)WIPS無(wú)(wu)線入侵防(fang)御系統(tǒng)(tong)實(shí)時(shí)(shi)檢測(cè)(ce)周?chē)鸁o(wú)線(xian)信號(hào)�,當(dāng)檢(jian)測(cè)出來(lái)的(de)信號(hào)(hao)BSSID、且AP源MAC地址不(bu)在授(shou)權(quán)列表中時(shí)�,我(wo)們向?qū)?dui)應(yīng)的AP和終(zhong)端發(fā)送解除(chu)關(guān)聯(lián)(lian)幀,讓終端無(wú)(wu)法連上釣魚(yú)WIFI�。7×24小(xiao)時(shí)不間(jian)斷監(jiān)測(cè)網(wǎng)(wang)絡(luò)。
上網(wǎng)行為(wei)嚴(yán)格控制:
強(qiáng)大的管(guan)理:通過(guò)應(yīng)用識(shí)(shi)別技術(shù)(shu)�,可以根據(jù)應(yīng)用(yong)類型或者(zhe)具體某一種(zhong)應(yīng)用進(jìn)行封(feng)堵,包括(kuo)視頻�、論壇、游(you)戲�、金融(rong)、下載等2400多種網(wǎng)(wang)絡(luò)應(yīng)(ying)用�。
通過(guò)應(yīng)用識(shí)別(bie)技術(shù),可(ke)以根據(jù)(ju)應(yīng)用類型或(huo)者具體某一種(zhong)應(yīng)用(yong)進(jìn)行封堵�,比(bi)如上(shang)班時(shí)間不(bu)允許炒股,不允(yun)許P2P下載(zai)�,不允許外(wai)發(fā)敏感文件等(deng); 支持主流(liu)移動(dòng)平臺(tái)�,可識(shí)(shi)別IM、社交(jiao)�、Mail、新聞�、炒股(gu)等應(yīng)(ying)用。
無(wú)線控制(zhi)器內(nèi)置千萬(wàn)級(jí)(ji)別的URL分類(lei)庫(kù)�,能夠(gou)對(duì)URL進(jìn)行識(shí)別�,包(bao)含新聞�、購(gòu)物(wu)、金融�、教育(yu)等18個(gè)(ge)種類的URL地(di)址; 準(zhǔn)確識(shí)(shi)別目前(qian)主流網(wǎng)站�,識(shí)別(bie)率高達(dá)99.9%,有(you)效實(shí)(shi)現(xiàn)網(wǎng)頁(yè)過(guò)濾(lv)�����。例如禁止登陸(lu)非法網(wǎng)站
通過(guò)(guo)基于時(shí)間段(duan)的訪(fang)問(wèn)控制策略�����,實(shí)(shi)現(xiàn)不同(tong)的時(shí)(shi)間段不同(tong)的訪(fang)問(wèn)權(quán)(quan)限�����,比如上班(ban)時(shí)間�����,禁止訪問(wèn)(wen)網(wǎng)上銀行(xing)�����、游戲�����、論壇貼吧(ba)等與工作(zuo)無(wú)關(guān)的應(yīng)用�����,下(xia)班時(shí)(shi)間則不受限(xian)制�����。
辦公區(qū)域(yu)內(nèi)�����,不同辦公部(bu)門(mén)總會(huì)有(you)各自專(zhuan)屬的無(wú)(wu)線網(wǎng)絡(luò)�����,并且(qie)不希望(wang)部門(mén)之外的成(cheng)員使用這個(gè)網(wǎng)(wang)絡(luò)�����。無(wú)線網(wǎng)(wang)絡(luò)控制器可以(yi)根據(jù)用(yong)戶的屬性(xing)�����,限制禁止(zhi)非本部(bu)門(mén)的(de)用戶接入。
典型無(wú)線網(wǎng)絡(luò)(luo)攻擊防(fang)護(hù):
對(duì)典型的(de)危險(xiǎn)攻(gong)擊行為進(jìn)(jin)行檢(jian)測(cè)�����,當(dāng)(dang)超過(guò)設(shè)(she)定的閾值后自(zi)動(dòng)將攻擊者(zhe)加入到黑名單(dan)中�����,并(bing)凍結(jié)一定時(shí)間(jian)�����,即時(shí)發(fā)(fa)現(xiàn)網(wǎng)絡(luò)(luo)攻擊并進(jìn)行防(fang)御�����。
檢測(cè)(ce)的攻擊包括:DDOS防(fang)御�����、ARP掃描�����、IP掃(sao)描、端口掃描(miao)防御�����,禁(jin)止客戶(hu)端私設(shè)IP以及(ji)ARP�����、網(wǎng)關(guān)欺騙(pian)防御�����、DHCP請(qǐng)求泛洪(hong)防御�����。
無(wú)線射頻定(ding)時(shí)關(guān)閉開(kāi)啟:
通過(guò)(guo)射頻關(guān)閉控(kong)制策略�����,可以(yi)指定某SSID網(wǎng)絡(luò)(luo)�����,定時(shí)自動(dòng)(dong)關(guān)閉和(he)開(kāi)啟無(wú)線網(wǎng)絡(luò)(luo)的射(she)頻信號(hào)�����,晚上下(xia)班后自動(dòng)(dong)關(guān)閉(bi)無(wú)線射(she)頻信號(hào)�����。
一方面可以節(jié)(jie)能減排(pai)�����、節(jié)省電費(fèi)支出(chu)�����;另一方(fang)面又(you)能防止非(fei)法用戶利用(yong)深夜時(shí)(shi)間入侵無(wú)(wu)線網(wǎng)絡(luò)(luo)�����,做一些(xie)非法的操(cao)作�����。
有線(xian)無(wú)線(xian)一體化(hua)管理:
NAC的有(you)線無(wú)線一體(ti)化�����,支(zhi)持對(duì)(dui)有線(xian)用戶的接(jie)入認(rèn)證、訪問(wèn)(wen)控制�����、流(liu)量管理�����、上網(wǎng)行(xing)為審計(jì)等�����,
并提供統(tǒng)一中(zhong)文Web管(guan)理界面�����,一站式(shi)服務(wù)�����,極大的降(jiang)低網(wǎng)絡(luò)建設(shè)(she)成本�����。
網(wǎng)絡(luò)分權(quán)分(fen)級(jí)管理(li):
分配不同的(de)管理員分別管(guan)理各自權(quán)限(xian)區(qū)域(yu)的無(wú)線(xian)AP�����,可以精細(xì)到對(duì)(dui)某AP分組(zu)有管理權(quán)限�����,該(gai)管理員可以(yi)在該AP分(fen)組上(shang)建立無(wú)線網(wǎng)(wang)絡(luò)�����,能夠激活(huo)�����、刪除接(jie)入點(diǎn)�����,能夠?qū)?dui)AP的配置(zhi)進(jìn)行編輯修(xiu)改�����。
可指定(ding)管理員針對(duì)每(mei)個(gè)頁(yè)面的編(bian)輯或可(ke)查看權(quán)限�����,控制(zhi)粒度(du)到控(kong)制器上的(de)各個(gè)頁(yè)面,對(duì)(dui)某個(gè)頁(yè)(ye)面沒(méi)有讀(du)權(quán)限則登錄(lu)時(shí)不顯示(shi)�����。
移動(dòng)(dong)APP隨時(shí)隨地運(yùn)(yun)維管(guan)理:
支持(chi)跨互聯(lián)網(wǎng)運(yùn)維(wei)管理(li)
登陸APP進(jìn)行維(wei)護(hù)管理:不同(tong)管理(li)員�����,不同權(quán)限
查看網(wǎng)(wang)絡(luò)運(yùn)行(xing)情況:在線(xian)用戶�����、在(zai)線AP數(shù)量(liang)�����、實(shí)時(shí)流量(liang)
無(wú)線網(wǎng)絡(luò)管理(li)維護(hù)(hu):開(kāi)啟關(guān)閉SSID�����、終端(duan)綁定審批(pi)�����、二維碼(ma)上網(wǎng)(wang)審核
故障�����、審批實(shí)時(shí)(shi)通知:AP離(li)線警告�����、服務(wù)器(qi)離線(xian)警告�����、網(wǎng)(wang)絡(luò)攻(gong)擊告警
方案優(yōu)勢(shì):
1�����、最豐富(fu)的無(wú)線安全機(jī)(ji)制�����,提供從安(an)全接入到安(an)全上網(wǎng)等端(duan)到端的(de)安全(quan)策略(lve)
2�����、合理管控工作(zuo)人員上(shang)網(wǎng)行為�����,提(ti)升工作效(xiao)率、防(fang)止帶寬(kuan)浪費(fèi)(fei)�����,有線無(wú)線(xian)雙重管(guan)控
3�����、為會(huì)議室(shi)�����,報(bào)告廳(ting)等人(ren)員密集區(qū)域接(jie)入網(wǎng)絡(luò)提高保(bao)證�����,解決有線(xian)網(wǎng)口不(bu)足的問(wèn)(wen)題�����;
4�����、為企業(yè)員(yuan)工的移動(dòng)辦(ban)公提供支撐�����,內(nèi)(nei)部員工可通過(guò)(guo)無(wú)線網(wǎng)絡(luò)(luo)隨時(shí)安全接(jie)入內(nèi)部網(wǎng)絡(luò)(luo)�����,實(shí)現(xiàn)辦(ban)公�����;
5�����、內(nèi)部員工賬(zhang)號(hào)及(ji)個(gè)人信息綁(bang)定�����,便于安全(quan)管理�����;
6�����、內(nèi)部(bu)員工可通過(guò)自(zi)己的辦公設(shè)備(bei)在企(qi)業(yè)大樓內(nèi)快(kuai)速移動(dòng)(dong)辦公,網(wǎng)絡(luò)(luo)接入更(geng)快速�����,上(shang)網(wǎng)行為(wei)管理系(xi)統(tǒng)對(duì)員(yuan)工上(shang)網(wǎng)行為進(jìn)(jin)行審計(jì)與管控(kong)
7�����、來(lái)訪客戶接(jie)入企業(yè)(ye)網(wǎng)絡(luò)�����,可根據(jù)(ju)不同(tong)需求�����,分配不同(tong)的上(shang)網(wǎng)權(quán)(quan)限�����,保證了接入(ru)的安全性同時(shí)(shi)提升群(qun)眾上網(wǎng)的體(ti)驗(yàn)
8�����、豐富的(de)認(rèn)證(zheng)機(jī)制�����,滿(man)足組織對(duì)(dui)無(wú)線網(wǎng)絡(luò)安(an)全�����、快速接入(ru)
9�����、投資成本(ben)低�����,通過(guò)(guo)部署無(wú)線控(kong)制器替換原有(you)網(wǎng)絡(luò)的出口(kou)路由�����、行為管(guan)理以及無(wú)(wu)線控(kong)制器
