?
大型企業(yè)在無(wu)線網(wǎng)絡建(jian)設期間要(yao)充分(fen)考慮(lv)訪客(領(lǐng)導�、客戶(hu)、合作(zuo)伙伴)接入(ru)網(wǎng)絡的需(xu)求。首先從安(an)全性(xing)考慮���,訪客網(wǎng)(wang)絡必(bi)須要和(he)辦公(gong)網(wǎng)絡分(fen)開���,訪客網(wǎng)絡單(dan)獨提供給訪客(ke)使用����。從用戶體(ti)驗角度考慮���,訪(fang)客接入網(wǎng)絡(luo)的驗證(zheng)方式一定(ding)要做到簡單易(yi)行�,繁瑣的驗證(zheng)方式(shi)會降低訪(fang)客對企(qi)業(yè)的整體印象(xiang)����。同時對于訪(fang)客網(wǎng)絡,企(qi)業(yè)還(hai)需要建立完(wan)善的網(wǎng)絡安(an)全管理機制����,避(bi)免由于訪客(ke)的網(wǎng)絡不(bu)良訪(fang)問給企(qi)業(yè)帶來的法律(lv)風險。對于企(qi)業(yè)員工移動(dong)辦公上(shang)網(wǎng)�,更需要(yao)做到(dao)可管控,上網(wǎng)行(xing)為做到可追(zhui)溯����,企業(yè)有效的(de)帶寬資源得到(dao)合理的分配和(he)保證,才(cai)能使(shi)企業(yè)的(de)業(yè)務系統(tǒng)正常(chang)且穩(wěn)定高(gao)效地運(yun)行�,同時保證企(qi)業(yè)信息(xi)安全,避免機(ji)密信息(xi)泄露�。
存在的問題(ti)(用戶需求(qiu))
1、接入(ru)不安全(quan):缺乏安全可靠(kao)的認證機(ji)制�,企(qi)業(yè)無(wu)線網(wǎng)絡接入(ru)不安(an)全
2、上網(wǎng)權(quán)限混亂(luan):缺乏有效的控(kong)制策略���,員(yuan)工上網(wǎng)權(quán)限不(bu)分明
3���、數(shù)據(jù)信息安(an)全:缺乏有效的(de)數(shù)據(jù)加密機(ji)制,企業(yè)數(shù)據(jù)被(bei)黑客竊取篡(cuan)改
4���、無線(xian)信號差:AP性能不(bu)佳���,上(shang)網(wǎng)總掉(diao)線����,點(dian)位規(guī)(gui)劃不合理����,信(xin)號盲(mang)區(qū)多
5、漫游效果差(cha):不能實(shi)現(xiàn)二(er)三層漫游����,移(yi)動辦公(gong)時,業(yè)務中(zhong)斷
解決方案(an):
結(jié)合用戶(hu)無線網(wǎng)絡(luo)需求情況�,結(jié)合(he)產(chǎn)品自身技(ji)術(shù)特點,為了(le)滿足用(yong)戶構(gòu)建一個(ge)高速����、穩(wěn)定、安全(quan)�、可靠、易(yi)于管理(li)的無線接(jie)入網(wǎng)絡的需求(qiu)�,本設計方案(an)按照AP+AC的(de)結(jié)構(gòu)化無線網(wǎng)(wang)絡解決方案(an)進行設計。具體(ti)設計為(wei)在總部設置總(zong)部AC,在大型(xing)分支機(ji)構(gòu)設置分(fen)支AC與分支AP����,中型(xing)分支機構(gòu)設計(ji)二級����,三級(ji)交換機�,分(fen)支AP����。小(xiao)微型(xing)分支機構(gòu)(gou)直接設(she)置分(fen)支AP?���?偛?bu)AC可以對(dui)大型分(fen)支機構(gòu)(gou)的AC進(jin)行管理(li),當網(wǎng)點控制(zhi)器采用集中(zhong)管理的模(mo)式進入到中心(xin)端控制器(qi)時���,會(hui)自動下載中心(xin)端的公共(gong)配置���,比(bi)如IP組(zu)、MAC地址庫�、時(shi)間計劃、角色(se)授權(quán)(quan)�、認證(zheng)頁面等 ???zong)部AC也可(ke)以直接管(guan)理中小型(xing)分支機(ji)構(gòu)的分支AP,實現(xiàn)(xian)統(tǒng)一管(guan)理�。
方案(an)設計:
安全無線(xian)整體(ti)解決(jue)方案(an):
接入前&接入(ru)時進(jin)行身份認證(zheng)���、安全(quan)無線網(wǎng)卡(ka)、賬號綁定(ding)(硬件碼+手機(ji)號)�,非(fei)法熱點檢測(ce)及防御、網(wǎng)絡攻(gong)擊防護���、射頻(pin)定時關(guān)閉及安(an)全加(jia)固����。
接入后&上(shang)網(wǎng)時進行訪(fang)問權(quán)(quan)限控制����。
上網(wǎng)后進行上(shang)網(wǎng)行為記錄(lu)。
上網(wǎng)用戶身份(fen)實名認證:
無線辦公網(wǎng)(wang)采用802.1X/Portal/WAPI認證��,外(wai)置AAA和(he)RADIUS+AD用于存(cun)儲用(yong)戶賬號密(mi)碼��。
每個賬號對應(ying)一個員工���,包括(kuo)姓名���、部(bu)門、性別以(yi)及身份(fen)證���、手機號等個(ge)人信息(xi)��,保證每(mei)個上網(wǎng)的(de)賬號都(dou)是可(ke)尋的(de)���,便于安全管理(li)。
用戶輸入賬號(hao)密碼上網(wǎng)驗證(zheng)時均采用加(jia)密傳(chuan)輸���,防止黑(hei)客空中攔(lan)截���,竊(qie)取賬號密(mi)碼等數(shù)據(jù)(ju)。
上網(wǎng)賬(zhang)號自動(dong)綁定終端:
自動將賬(zhang)號與終端的硬(ying)件特征碼進(jin)行綁定�����,防止賬(zhang)號被(bei)他人使(shi)用或者被盜(dao)用�����。
每臺設(she)備的(de)硬件特征碼(ma)是唯一(yi)的���,無(wu)法通過軟件修(xiu)改�����。即(ji)使通過軟件(jian)修改了仍然可(ke)以識(shi)別原始的�����。
每個賬號最(zui)多可以綁(bang)定5臺(tai)終端��,超過(guo)1臺時需要管理(li)員審核���。
上網(wǎng)賬(zhang)號二(er)次綁定手機號(hao)碼:
賬號首(shou)次登陸時需(xu)要綁定手(shou)機號并輸(shu)入短信驗(yan)證碼��,當用戶(hu)賬號在新終端(duan)登陸時(換終(zhong)端/被他用/被(bei)盜)�����,不(bu)僅需要(yao)輸入密碼(ma)�����,還需要(yao)輸入短信驗證(zheng)碼��,解決員工(gong)賬號認證的(de)安全問(wen)題
綁定手機號(hao)碼的用戶���,可以(yi)自助重(zhong)置密碼和修改(gai)密碼,無(wu)需通過IT管理(li)員��。
用戶密碼(ma)管理及自(zi)助修改(gai):
無需通(tong)過管理員即可(ke)修改密碼,提高(gao)效率及減輕管(guan)理員工作壓力(li)�����。
通過口袋(dai)助理(li)���、釘釘(ding)��、企業(yè)號等(deng)手機MOA類APP軟件(jian)進行無線密(mi)碼修(xiu)改。
若賬號綁定了(le)手機(ji)號碼���,可(ke)通過手機驗證(zheng)碼自助修改���。
上網(wǎng)終端合法(fa)效驗:
采用(yong)安全無線網(wǎng)卡(ka)接入(ru)無線網(wǎng)絡,終(zhong)端與AP熱(re)點的(de)雙向驗(yan)證���,提高(gao)安全性(xing)��。
可以將無線網(wǎng)(wang)絡設(she)置為只有安(an)裝了(le)安全無線網(wǎng)卡(ka)的終端才能接(jie)入無線網(wǎng)絡(luo)��。
支持設置安(an)全無線網(wǎng)卡(ka)只能連指(zhi)定SSID無線網(wǎng)(wang)絡���,無法連接非(fei)授權(quán)SSID�����。
網(wǎng)卡與AP數(shù)據(jù)傳(chuan)輸時自動(dong)進行數(shù)據(jù)(ju)加密(mi)�����,保證(zheng)無線的空口安(an)全��。
無線熱(re)點掃描及非法(fa)熱點(dian)抑制:
背景:黑客在附(fu)近搭(da)建一個一模(mo)一樣或者類(lei)似的WIFI名稱���,誘(you)使用戶(hu)連到虛假釣魚(yu)WIFI上,黑客(ke)利用分析(xi)軟件從用(yong)戶上網(wǎng)產(chǎn)(chan)生的(de)數(shù)據(jù)包中分(fen)析提取(qu)用戶(hu)隱私信息��。
我們通(tong)過WIPS無線入侵(qin)防御系統(tǒng)實(shi)時檢(jian)測周圍無線信(xin)號�����,當檢測出來(lai)的信號BSSID���、且(qie)AP源MAC地址不在(zai)授權(quán)(quan)列表中時�����,我們(men)向?qū)?de)AP和終端(duan)發(fā)送解除關(guān)(guan)聯(lián)幀��,讓(rang)終端(duan)無法連上釣魚(yu)WIFI��。7×24小時不間斷監(jiān)(jian)測網(wǎng)絡(luo)���。
上網(wǎng)行(xing)為嚴格(ge)控制:
強大的管理:通(tong)過應用識別(bie)技術(shù)(shu)���,可以根(gen)據(jù)應用類(lei)型或者(zhe)具體某一種應(ying)用進行封(feng)堵,包括(kuo)視頻���、論壇���、游戲(xi)���、金融�����、下載等2400多(duo)種網(wǎng)絡應(ying)用��。
通過應用(yong)識別技術(shù)��,可(ke)以根據(jù)應用(yong)類型或者具體(ti)某一種應(ying)用進行(xing)封堵�����,比如(ru)上班時間(jian)不允許炒股��,不(bu)允許P2P下載(zai)���,不允許外發(fā)敏(min)感文件等���; 支(zhi)持主流移動(dong)平臺,可(ke)識別IM��、社交�����、Mail���、新(xin)聞���、炒(chao)股等應用。
無線控制器(qi)內(nèi)置千(qian)萬級(ji)別的URL分(fen)類庫(ku)��,能夠?qū)RL進行(xing)識別,包含新聞(wen)��、購物�����、金(jin)融���、教育等18個種(zhong)類的(de)URL地址�����; 準確(que)識別目前主流(liu)網(wǎng)站��,識別率(lv)高達99.9%�����,有效實(shi)現(xiàn)網(wǎng)頁過濾。例(li)如禁(jin)止登陸非(fei)法網(wǎng)站
通過基(ji)于時間(jian)段的訪問控制(zhi)策略��,實現(xiàn)不(bu)同的時間段(duan)不同的訪問(wen)權(quán)限�����,比(bi)如上班時間,禁(jin)止訪(fang)問網(wǎng)上(shang)銀行�����、游戲(xi)��、論壇貼吧等(deng)與工作無關(guān)(guan)的應用�����,下(xia)班時間則不受(shou)限制(zhi)�����。
辦公區(qū)(qu)域內(nèi)���,不同辦(ban)公部(bu)門總會有各自(zi)專屬的無線網(wǎng)(wang)絡�����,并且(qie)不希望部門之(zhi)外的成員使(shi)用這個網(wǎng)(wang)絡�����。無線網(wǎng)絡控(kong)制器可(ke)以根據(jù)用戶(hu)的屬(shu)性�����,限制禁止非(fei)本部門的用戶(hu)接入���。
典型無(wu)線網(wǎng)絡攻擊防(fang)護:
對典型的危險(xian)攻擊行為(wei)進行檢(jian)測��,當超過設定(ding)的閾值(zhi)后自動將攻(gong)擊者(zhe)加入(ru)到黑名單中���,并(bing)凍結(jié)一(yi)定時間,即(ji)時發(fā)(fa)現(xiàn)網(wǎng)絡(luo)攻擊(ji)并進行防(fang)御��。
檢測的(de)攻擊包括:DDOS防(fang)御���、ARP掃描���、IP掃(sao)描、端口(kou)掃描防御(yu)�����,禁止客戶(hu)端私設IP以(yi)及ARP�����、網(wǎng)關(guān)(guan)欺騙防(fang)御���、DHCP請求泛洪防(fang)御�����。
無線射(she)頻定(ding)時關(guān)閉開啟:
通過射頻關(guān)閉(bi)控制(zhi)策略���,可以指定(ding)某SSID網(wǎng)(wang)絡,定時(shi)自動關(guān)閉(bi)和開啟(qi)無線網(wǎng)絡的射(she)頻信號��,晚(wan)上下(xia)班后(hou)自動關(guān)閉無(wu)線射頻(pin)信號��。
一方面可(ke)以節(jié)能減排���、節(jié)(jie)省電費(fei)支出��;另(ling)一方面又能(neng)防止非法用戶(hu)利用深夜時間(jian)入侵無線網(wǎng)絡(luo)��,做一些非法(fa)的操作�����。
有線無(wu)線一體化(hua)管理:
NAC的有(you)線無線(xian)一體(ti)化���,支持對(dui)有線用戶的(de)接入認(ren)證��、訪問控(kong)制��、流量管理(li)�����、上網(wǎng)行為(wei)審計等��,
并提供(gong)統(tǒng)一中文(wen)Web管理(li)界面�����,一站式服(fu)務���,極(ji)大的降低(di)網(wǎng)絡建設成本(ben)。
網(wǎng)絡分權(quán)(quan)分級(ji)管理(li):
分配不同(tong)的管理員分別(bie)管理(li)各自權(quán)限區(qū)(qu)域的無線(xian)AP��,可以精細到對(dui)某AP分組有(you)管理權(quán)(quan)限���,該管理員可(ke)以在(zai)該AP分組上建立(li)無線網(wǎng)絡���,能夠(gou)激活���、刪(shan)除接(jie)入點��,能夠?qū)P的(de)配置進行(xing)編輯修(xiu)改�����。
可指定管(guan)理員針(zhen)對每個(ge)頁面的(de)編輯或可查看(kan)權(quán)限�����,控制(zhi)粒度到(dao)控制器上的(de)各個(ge)頁面���,對某(mou)個頁面沒有讀(du)權(quán)限則登錄時(shi)不顯示��。
移動APP隨時隨(sui)地運維管理:
支持(chi)跨互聯(lián)網(wǎng)(wang)運維(wei)管理
登陸APP進行維(wei)護管理:不(bu)同管理(li)員��,不同權(quán)限(xian)
查看網(wǎng)絡運(yun)行情況:在(zai)線用戶�����、在線(xian)AP數(shù)量�����、實時流量(liang)
無線網(wǎng)絡(luo)管理維(wei)護:開(kai)啟關(guān)閉SSID�����、終端綁(bang)定審(shen)批�����、二維碼上網(wǎng)(wang)審核(he)
故障�����、審批實時(shi)通知:AP離線(xian)警告���、服務器(qi)離線警告(gao)�����、網(wǎng)絡攻(gong)擊告警
方案優(yōu)(you)勢:
1��、最豐富的(de)無線安全機制(zhi)���,提供從安(an)全接(jie)入到安全上網(wǎng)(wang)等端到端的(de)安全(quan)策略
2、合理(li)管控工作人(ren)員上網(wǎng)行為(wei),提升工作效率(lv)�����、防止帶寬浪(lang)費���,有(you)線無線雙重(zhong)管控
3、為會議室(shi)���,報告廳(ting)等人員密集區(qū)(qu)域接入(ru)網(wǎng)絡提高保證(zheng)�����,解決有線(xian)網(wǎng)口不足的(de)問題(ti)�����;
4�����、為企業(yè)員工(gong)的移動辦公(gong)提供支撐�����,內(nèi)部(bu)員工可(ke)通過(guo)無線網(wǎng)(wang)絡隨(sui)時安全接(jie)入內(nèi)部(bu)網(wǎng)絡(luo)��,實現(xiàn)辦公��;
5��、內(nèi)部(bu)員工賬(zhang)號及(ji)個人信息綁(bang)定��,便于安全管(guan)理�����;
6��、內(nèi)部員工可通(tong)過自己(ji)的辦公設(she)備在企業(yè)大(da)樓內(nèi)快速移動(dong)辦公��,網(wǎng)絡(luo)接入更快速(su)���,上網(wǎng)行(xing)為管理系統(tǒng)對(dui)員工上網(wǎng)(wang)行為進行(xing)審計與管(guan)控
7���、來訪客戶(hu)接入企業(yè)(ye)網(wǎng)絡,可根據(jù)(ju)不同(tong)需求��,分(fen)配不(bu)同的上(shang)網(wǎng)權(quán)限���,保(bao)證了接入(ru)的安全性(xing)同時提(ti)升群眾上網(wǎng)(wang)的體驗(yan)
8��、豐富的(de)認證機制(zhi)�����,滿足組織對無(wu)線網(wǎng)(wang)絡安全���、快速(su)接入(ru)
9���、投資成本低(di)��,通過部署(shu)無線控制(zhi)器替換原有(you)網(wǎng)絡的出(chu)口路由��、行(xing)為管(guan)理以及無(wu)線控(kong)制器
