?
大型(xing)企業(yè)在(zai)無線網(wǎng)絡建(jian)設期間要(yao)充分考(kao)慮訪客(領(ling)導���、客(ke)戶���、合作伙伴(ban))接入網(wǎng)絡的需(xu)求。首先(xian)從安全性(xing)考慮(lv)���,訪客網(wǎng)絡必(bi)須要(yao)和辦公網(wǎng)(wang)絡分開(kai)���,訪客網(wǎng)絡單獨(du)提供給(gei)訪客使用(yong)。從用戶(hu)體驗角度(du)考慮���,訪(fang)客接入(ru)網(wǎng)絡的(de)驗證方式一定(ding)要做到簡單易(yi)行���,繁瑣的驗(yan)證方式會(hui)降低訪客對(dui)企業(yè)的整體印(yin)象���。同時對于(yu)訪客網(wǎng)絡,企(qi)業(yè)還(hai)需要建立完善(shan)的網(wǎng)絡(luo)安全管理機制(zhi)���,避免由于訪(fang)客的網(wǎng)絡不良(liang)訪問(wen)給企業(yè)帶來(lai)的法律風(feng)險���。對(dui)于企業(yè)(ye)員工移動(dong)辦公上網(wǎng),更(geng)需要做到可管(guan)控���,上網(wǎng)行為(wei)做到可追(zhui)溯,企業(yè)有效(xiao)的帶寬(kuan)資源得到合理(li)的分(fen)配和保證(zheng)���,才能使企業(yè)的(de)業(yè)務系統(tǒng)(tong)正常(chang)且穩(wěn)定高效(xiao)地運(yun)行���,同(tong)時保證(zheng)企業(yè)信息安(an)全,避免機(ji)密信(xin)息泄露���。
存在的問題(ti)(用戶需求)
1���、接入不安(an)全:缺乏安(an)全可靠的認證(zheng)機制���,企(qi)業(yè)無線網(wǎng)(wang)絡接入(ru)不安全
2、上網(wǎng)權限(xian)混亂(luan):缺乏有效的(de)控制策略���,員工(gong)上網(wǎng)權限不分(fen)明
3���、數(shù)據(jù)信息(xi)安全:缺(que)乏有效的數(shù)據(jù)(ju)加密機制(zhi),企業(yè)數(shù)據(jù)被(bei)黑客竊取(qu)篡改
4���、無線信(xin)號差:AP性能不(bu)佳���,上(shang)網(wǎng)總掉線,點位(wei)規(guī)劃不合理(li)���,信號盲區(qū)多(duo)
5���、漫游(you)效果差:不能(neng)實現(xiàn)二三層漫(man)游,移動辦公時(shi)���,業(yè)務中斷(duan)
解決(jue)方案(an):
結合(he)用戶(hu)無線網(wǎng)(wang)絡需(xu)求情況���,結合產(chǎn)(chan)品自身技術(shu)特點���,為(wei)了滿(man)足用戶構建(jian)一個高(gao)速、穩(wěn)定���、安(an)全���、可靠、易于管(guan)理的(de)無線接入網(wǎng)絡(luo)的需求���,本設計(ji)方案(an)按照(zhao)AP+AC的結構化無(wu)線網(wǎng)絡解(jie)決方案進行(xing)設計���。具(ju)體設(she)計為在總部(bu)設置總(zong)部AC,在(zai)大型分支(zhi)機構設置分(fen)支AC與分(fen)支AP,中型分(fen)支機構(gou)設計二級(ji)���,三級交(jiao)換機,分支(zhi)AP���。小微型分支(zhi)機構直(zhi)接設(she)置分(fen)支AP���?��?偛緼C可以(yi)對大型(xing)分支機構(gou)的AC進行管理(li),當網(wǎng)(wang)點控制器采用(yong)集中(zhong)管理的模式(shi)進入到中心端(duan)控制器(qi)時���,會自動下(xia)載中心(xin)端的公(gong)共配置(zhi)���,比如IP組(zu)、MAC地址(zhi)庫���、時間(jian)計劃���、角(jiao)色授權、認證頁(ye)面等(deng) ���?��?偛緼C也可以(yi)直接管(guan)理中小型分支(zhi)機構的分支(zhi)AP,實現(xiàn)(xian)統(tǒng)一(yi)管理���。
方案設計:
安全無(wu)線整體解(jie)決方案:
接入前&接入時(shi)進行身份認(ren)證���、安全(quan)無線網(wǎng)(wang)卡���、賬(zhang)號綁定(ding)(硬件碼+手(shou)機號),非法(fa)熱點檢測(ce)及防御���、網(wǎng)(wang)絡攻擊防護���、射(she)頻定時關閉(bi)及安(an)全加固。
接入后&上(shang)網(wǎng)時進(jin)行訪問權限(xian)控制���。
上網(wǎng)后進行(xing)上網(wǎng)行為(wei)記錄���。
上網(wǎng)用戶身份(fen)實名認證:
無線辦(ban)公網(wǎng)采用802.1X/Portal/WAPI認證(zheng),外置AAA和(he)RADIUS+AD用于存儲(chu)用戶(hu)賬號(hao)密碼(ma)���。
每個(ge)賬號對(dui)應一個員(yuan)工���,包(bao)括姓名(ming)、部門���、性別以及(ji)身份證、手機號(hao)等個人(ren)信息���,保(bao)證每個上(shang)網(wǎng)的賬(zhang)號都是(shi)可尋(xun)的���,便于安全管(guan)理���。
用戶輸入賬號(hao)密碼(ma)上網(wǎng)驗證時均(jun)采用加(jia)密傳輸,防止(zhi)黑客空中攔(lan)截���,竊取賬(zhang)號密碼(ma)等數(shù)據(jù)���。
上網(wǎng)(wang)賬號自動綁(bang)定終端(duan):
自動將賬號(hao)與終端(duan)的硬件(jian)特征(zheng)碼進行綁(bang)定,防(fang)止賬號被他人(ren)使用(yong)或者(zhe)被盜(dao)用���。
每臺設備的(de)硬件特征碼(ma)是唯一的���,無法(fa)通過軟件修改(gai)。即使通(tong)過軟件(jian)修改了仍(reng)然可以識別原(yuan)始的���。
每個賬號(hao)最多可以綁(bang)定5臺終端(duan)���,超過1臺(tai)時需要(yao)管理(li)員審核。
上網(wǎng)賬號(hao)二次綁定(ding)手機號(hao)碼:
賬號首次(ci)登陸(lu)時需要綁(bang)定手機號(hao)并輸入短(duan)信驗(yan)證碼,當用戶賬(zhang)號在新終端(duan)登陸時(換(huan)終端/被他用/被(bei)盜)���,不(bu)僅需要輸入密(mi)碼���,還(hai)需要(yao)輸入短信驗(yan)證碼,解決員工(gong)賬號(hao)認證的安全問(wen)題
綁定手機號(hao)碼的用戶���,可以(yi)自助重置(zhi)密碼和修改密(mi)碼���,無需通過(guo)IT管理員。
用戶密碼管(guan)理及(ji)自助修改(gai):
無需(xu)通過管理員(yuan)即可修改密(mi)碼���,提高效率及(ji)減輕管理(li)員工作(zuo)壓力���。
通過口袋助(zhu)理、釘釘(ding)���、企業(yè)號等手(shou)機MOA類APP軟(ruan)件進行無線(xian)密碼修改(gai)���。
若賬號綁定(ding)了手機號(hao)碼,可通過(guo)手機驗(yan)證碼自助修改(gai)���。
上網(wǎng)終端合(he)法效(xiao)驗:
采用(yong)安全無線(xian)網(wǎng)卡(ka)接入無線(xian)網(wǎng)絡(luo)���,終端與AP熱點的(de)雙向驗證(zheng),提高安全性(xing)���。
可以(yi)將無線網(wǎng)絡(luo)設置為只有安(an)裝了(le)安全(quan)無線網(wǎng)卡的終(zhong)端才(cai)能接(jie)入無線網(wǎng)(wang)絡���。
支持設置(zhi)安全無線網(wǎng)卡(ka)只能(neng)連指定(ding)SSID無線網(wǎng)絡,無法(fa)連接(jie)非授權(quan)SSID���。
網(wǎng)卡與AP數(shù)據(jù)(ju)傳輸時自(zi)動進行數(shù)(shu)據(jù)加密(mi)���,保證無(wu)線的空(kong)口安全(quan)。
無線熱點掃(sao)描及非法熱點(dian)抑制:
背景:黑(hei)客在附近搭(da)建一個一模一(yi)樣或者類似的(de)WIFI名稱���,誘(you)使用戶(hu)連到(dao)虛假釣魚WIFI上���,黑(hei)客利用分析(xi)軟件從(cong)用戶上網(wǎng)(wang)產(chǎn)生的數(shù)據(jù)包(bao)中分析提取(qu)用戶隱私(si)信息。
我們通過WIPS無(wu)線入侵(qin)防御系統(tǒng)(tong)實時檢測周(zhou)圍無線(xian)信號���,當(dang)檢測出來的信(xin)號BSSID���、且AP源(yuan)MAC地址(zhi)不在授權列(lie)表中時���,我們(men)向?qū)?de)AP和終(zhong)端發(fā)送解除關(guan)聯(lián)幀,讓終(zhong)端無法連(lian)上釣魚WIFI���。7×24小(xiao)時不間斷(duan)監(jiān)測(ce)網(wǎng)絡���。
上網(wǎng)行(xing)為嚴格控制(zhi):
強大的管(guan)理:通過(guo)應用識別技術(shu),可以(yi)根據(jù)應(ying)用類型或者(zhe)具體某一(yi)種應用進(jin)行封堵���,包括視(shi)頻���、論(lun)壇、游戲���、金(jin)融���、下載等2400多種(zhong)網(wǎng)絡應用(yong)。
通過應用識(shi)別技術���,可以根(gen)據(jù)應用類(lei)型或者具體某(mou)一種應用進(jin)行封堵(du)���,比如(ru)上班時間不允(yun)許炒(chao)股���,不(bu)允許P2P下(xia)載,不(bu)允許外發(fā)敏感(gan)文件等���; 支(zhi)持主流移動(dong)平臺,可(ke)識別(bie)IM���、社交���、Mail、新(xin)聞���、炒股等(deng)應用���。
無線控(kong)制器內(nèi)(nei)置千萬級(ji)別的URL分(fen)類庫(ku),能夠?qū)RL進行識(shi)別���,包含新聞���、購(gou)物、金(jin)融���、教育等18個種(zhong)類的URL地(di)址���; 準確識別(bie)目前主流網(wǎng)站(zhan)���,識別率(lv)高達99.9%,有效實(shi)現(xiàn)網(wǎng)頁過濾���。例(li)如禁止(zhi)登陸非法網(wǎng)站(zhan)
通過(guo)基于時間段的(de)訪問(wen)控制(zhi)策略,實現(xiàn)不(bu)同的時間(jian)段不同的訪問(wen)權限���,比如上(shang)班時間���,禁止(zhi)訪問(wen)網(wǎng)上銀行���、游(you)戲���、論壇貼吧(ba)等與工作(zuo)無關的(de)應用���,下(xia)班時間(jian)則不(bu)受限制(zhi)���。
辦公區(qū)域內(nèi)(nei),不同辦公部(bu)門總會(hui)有各自(zi)專屬的無(wu)線網(wǎng)絡���,并且不(bu)希望部(bu)門之外的成員(yuan)使用這個網(wǎng)絡(luo)���。無線網(wǎng)(wang)絡控(kong)制器(qi)可以根(gen)據(jù)用戶的屬(shu)性���,限制禁止(zhi)非本(ben)部門(men)的用(yong)戶接入(ru)���。
典型無線網(wǎng)絡(luo)攻擊(ji)防護:
對典型(xing)的危險攻擊行(xing)為進行檢測���,當(dang)超過設定的閾(yu)值后自動將攻(gong)擊者加入到黑(hei)名單中,并凍結(jie)一定時間(jian)���,即時發(fā)(fa)現(xiàn)網(wǎng)(wang)絡攻擊并進(jin)行防御。
檢測(ce)的攻擊包括(kuo):DDOS防御���、ARP掃描���、IP掃描(miao)、端口掃描(miao)防御���,禁止(zhi)客戶端(duan)私設IP以(yi)及ARP���、網(wǎng)關欺騙防(fang)御、DHCP請(qing)求泛洪防御���。
無線(xian)射頻定時關閉(bi)開啟:
通過射頻(pin)關閉控制策(ce)略���,可(ke)以指定某SSID網(wǎng)(wang)絡,定時(shi)自動(dong)關閉和開(kai)啟無線網(wǎng)(wang)絡的射頻信號(hao)���,晚上下班后(hou)自動關(guan)閉無線射(she)頻信號���。
一方面(mian)可以節(jié)能減(jian)排���、節(jié)省電(dian)費支出���;另一方(fang)面又能防止(zhi)非法用戶利用(yong)深夜時間入侵(qin)無線網(wǎng)絡,做一(yi)些非法的(de)操作���。
有線無線一體(ti)化管理(li):
NAC的有線(xian)無線一體(ti)化,支持對有(you)線用戶的接(jie)入認證(zheng)���、訪問控制(zhi)、流量管理(li)���、上網(wǎng)行為審計(ji)等,
并提供(gong)統(tǒng)一(yi)中文(wen)Web管理界(jie)面���,一站(zhan)式服務���,極大(da)的降低網(wǎng)絡(luo)建設成本���。
網(wǎng)絡分(fen)權分(fen)級管(guan)理:
分配不同(tong)的管理(li)員分(fen)別管理(li)各自權限(xian)區(qū)域(yu)的無線AP���,可以精(jing)細到對某AP分(fen)組有管理權(quan)限���,該管理員可(ke)以在該(gai)AP分組上建立(li)無線網(wǎng)絡,能夠(gou)激活���、刪除接(jie)入點,能夠?qū)P的(de)配置進(jin)行編輯修改(gai)。
可指(zhi)定管理員針對(dui)每個(ge)頁面的編輯(ji)或可查看權(quan)限,控(kong)制粒度到控制(zhi)器上的各個頁(ye)面���,對某個頁面(mian)沒有讀權限則(ze)登錄(lu)時不顯(xian)示���。
移動APP隨(sui)時隨(sui)地運維(wei)管理:
支持跨互(hu)聯(lián)網(wǎng)運維(wei)管理
登陸APP進行(xing)維護(hu)管理:不(bu)同管理員(yuan),不同權(quan)限
查看網(wǎng)絡運行(xing)情況:在線用(yong)戶���、在線(xian)AP數(shù)量、實時(shi)流量
無線網(wǎng)絡管(guan)理維護:開啟(qi)關閉SSID���、終端(duan)綁定審批(pi)、二維(wei)碼上網(wǎng)(wang)審核
故障(zhang)���、審批實時(shi)通知:AP離線(xian)警告���、服務器(qi)離線警告、網(wǎng)絡(luo)攻擊告(gao)警
方案優(yōu)勢:
1���、最豐富的無線(xian)安全機制,提供(gong)從安全接入到(dao)安全(quan)上網(wǎng)等端到(dao)端的安(an)全策略
2���、合理管控工作(zuo)人員上網(wǎng)行(xing)為���,提升(sheng)工作效(xiao)率���、防止(zhi)帶寬浪費(fei),有線(xian)無線雙重管(guan)控
3���、為會(hui)議室,報(bao)告廳(ting)等人員密(mi)集區(qū)域接入網(wǎng)(wang)絡提高保證���,解(jie)決有線(xian)網(wǎng)口不(bu)足的問(wen)題���;
4、為企業(yè)員(yuan)工的移動(dong)辦公(gong)提供支(zhi)撐���,內(nèi)部(bu)員工可通過(guo)無線網(wǎng)絡隨時(shi)安全接入(ru)內(nèi)部網(wǎng)絡(luo)���,實現(xiàn)(xian)辦公���;
5���、內(nèi)部員工賬號(hao)及個人信(xin)息綁定���,便(bian)于安(an)全管(guan)理;
6���、內(nèi)部員工(gong)可通過自(zi)己的辦公(gong)設備(bei)在企業(yè)大樓內(nèi)(nei)快速移動辦(ban)公,網(wǎng)(wang)絡接入更(geng)快速���,上網(wǎng)(wang)行為管理(li)系統(tǒng)對員工(gong)上網(wǎng)行為(wei)進行審計與管(guan)控
7、來訪客戶接入(ru)企業(yè)網(wǎng)絡���,可根(gen)據(jù)不(bu)同需求���,分配不(bu)同的(de)上網(wǎng)權限,保(bao)證了接入的(de)安全性(xing)同時(shi)提升群眾上網(wǎng)(wang)的體驗
8���、豐富(fu)的認證(zheng)機制(zhi),滿足(zu)組織對(dui)無線網(wǎng)絡安(an)全���、快速(su)接入
9、投資成(cheng)本低���,通過部署(shu)無線控制器替(ti)換原有(you)網(wǎng)絡的出(chu)口路由(you)���、行為管(guan)理以及無線(xian)控制器
