?
大型企業(yè)(ye)在無線(xian)網(wǎng)絡(luò)建設(shè)期(qi)間要充分(fen)考慮訪客(領(lǐng)導(dǎo)(dao)����、客戶、合作(zuo)伙伴(ban))接入(ru)網(wǎng)絡(luò)的(de)需求�。首先從(cong)安全性考慮(lv)����,訪客(ke)網(wǎng)絡(luò)必(bi)須要和辦公(gong)網(wǎng)絡(luò)分(fen)開,訪(fang)客網(wǎng)絡(luò)單獨(du)提供給(gei)訪客使用�。從用(yong)戶體驗角度(du)考慮,訪(fang)客接入網(wǎng)(wang)絡(luò)的驗(yan)證方(fang)式一(yi)定要做到簡單(dan)易行��,繁瑣(suo)的驗證方式會(hui)降低訪客對企(qi)業(yè)的整體印(yin)象��。同時對于(yu)訪客網(wǎng)(wang)絡(luò)��,企業(yè)還(hai)需要建立完(wan)善的網(wǎng)絡(luò)(luo)安全管理機制(zhi)��,避免(mian)由于(yu)訪客的網(wǎng)(wang)絡(luò)不良訪問(wen)給企(qi)業(yè)帶(dai)來的法律風險(xian)����。對于企業(yè)員(yuan)工移(yi)動辦(ban)公上網(wǎng)(wang)����,更需要做到可(ke)管控�,上網(wǎng)行為(wei)做到可追(zhui)溯,企業(yè)有(you)效的帶寬資(zi)源得(de)到合理的(de)分配和保證(zheng)��,才能使企(qi)業(yè)的業(yè)務(wù)(wu)系統(tǒng)正(zheng)常且穩(wěn)(wen)定高效地運行(xing)�,同時(shi)保證企業(yè)信(xin)息安全(quan),避免(mian)機密信息泄露(lu)�。
存在的(de)問題(用戶(hu)需求)
1、接入不(bu)安全(quan):缺乏安全可(ke)靠的認(ren)證機(ji)制����,企(qi)業(yè)無線(xian)網(wǎng)絡(luò)接(jie)入不安全(quan)
2、上網(wǎng)權(quán)(quan)限混亂:缺乏(fa)有效的(de)控制策略�,員(yuan)工上網(wǎng)權(quán)(quan)限不分明
3、數(shù)據(jù)信息安(an)全:缺(que)乏有效的數(shù)(shu)據(jù)加密機(ji)制��,企業(yè)數(shù)據(jù)被(bei)黑客竊取篡(cuan)改
4��、無線信(xin)號差:AP性能不佳(jia)�,上網(wǎng)總掉(diao)線,點位規(guī)(gui)劃不合理(li)�,信號(hao)盲區(qū)多
5����、漫游效果(guo)差:不能實現(xiàn)(xian)二三層漫游(you)����,移動(dong)辦公時,業(yè)(ye)務(wù)中斷
解決方案:
結(jié)合用(yong)戶無線網(wǎng)(wang)絡(luò)需求情況�,結(jié)(jie)合產(chǎn)品自身(shen)技術(shù)特點,為(wei)了滿足用戶構(gòu)(gou)建一(yi)個高速�、穩(wěn)定、安(an)全����、可靠��、易于(yu)管理的無線(xian)接入(ru)網(wǎng)絡(luò)的需(xu)求�,本設(shè)(she)計方案(an)按照AP+AC的(de)結(jié)構(gòu)(gou)化無線網(wǎng)絡(luò)解(jie)決方案進(jin)行設(shè)計。具體設(shè)(she)計為在(zai)總部設(shè)置(zhi)總部(bu)AC,在大型分(fen)支機(ji)構(gòu)設(shè)置分支(zhi)AC與分支(zhi)AP�,中型分(fen)支機構(gòu)(gou)設(shè)計二級,三級(ji)交換機��,分支(zhi)AP�。小微(wei)型分支機構(gòu)直(zhi)接設(shè)置(zhi)分支(zhi)AP??偛緼C可(ke)以對大型(xing)分支(zhi)機構(gòu)的AC進行(xing)管理��,當網(wǎng)(wang)點控制器采用(yong)集中管理的(de)模式進入(ru)到中心端控制(zhi)器時����,會自動(dong)下載中(zhong)心端的公(gong)共配置����,比(bi)如IP組(zu)、MAC地址庫�、時間計(ji)劃、角色授(shou)權(quán)�、認(ren)證頁面(mian)等 ?�??zong)部AC也可以直接(jie)管理(li)中小型分支機(ji)構(gòu)的分支(zhi)AP�,實現(xiàn)統(tǒng)一(yi)管理。
方案設(shè)(she)計:
安全無線整(zheng)體解決方案:
接入前(qian)&接入時進(jin)行身份認證����、安(an)全無(wu)線網(wǎng)卡(ka)、賬號(hao)綁定(硬件(jian)碼+手機號)����,非法(fa)熱點檢測(ce)及防御、網(wǎng)(wang)絡(luò)攻擊防護��、射(she)頻定時關(guān)閉及(ji)安全(quan)加固。
接入后&上網(wǎng)(wang)時進行(xing)訪問權(quán)(quan)限控制�。
上網(wǎng)(wang)后進(jin)行上(shang)網(wǎng)行為記錄(lu)。
上網(wǎng)用(yong)戶身份(fen)實名認證:
無線辦公網(wǎng)(wang)采用(yong)802.1X/Portal/WAPI認證��,外置(zhi)AAA和RADIUS+AD用于存(cun)儲用戶賬(zhang)號密碼�。
每個(ge)賬號(hao)對應(yīng)一個員工(gong),包括姓名��、部(bu)門��、性別以及身(shen)份證�、手機號(hao)等個人信息,保(bao)證每(mei)個上網(wǎng)的(de)賬號都(dou)是可(ke)尋的��,便于安(an)全管理�。
用戶(hu)輸入(ru)賬號密碼上(shang)網(wǎng)驗證時(shi)均采(cai)用加密傳(chuan)輸,防止(zhi)黑客空中攔(lan)截�,竊取(qu)賬號密碼(ma)等數(shù)據(jù)(ju)��。
上網(wǎng)(wang)賬號(hao)自動(dong)綁定終端(duan):
自動將賬號與(yu)終端的硬件(jian)特征碼(ma)進行綁定(ding)�,防止(zhi)賬號被他人(ren)使用或者被盜(dao)用。
每臺設(shè)(she)備的硬件特征(zheng)碼是唯一的(de)��,無法通過(guo)軟件(jian)修改�。即使(shi)通過(guo)軟件修改了(le)仍然可以識別(bie)原始的(de)��。
每個賬號(hao)最多(duo)可以綁定5臺(tai)終端��,超過1臺(tai)時需要(yao)管理員(yuan)審核����。
上網(wǎng)賬號二次(ci)綁定(ding)手機號碼:
賬號首次(ci)登陸時(shi)需要綁(bang)定手機(ji)號并輸入(ru)短信(xin)驗證碼(ma)����,當用戶賬號(hao)在新終端登(deng)陸時(換終端/被(bei)他用/被盜(dao)),不僅需(xu)要輸入(ru)密碼����,還需(xu)要輸入短信驗(yan)證碼,解(jie)決員工賬(zhang)號認證的(de)安全問題(ti)
綁定手(shou)機號碼(ma)的用戶��,可(ke)以自(zi)助重置密碼(ma)和修改(gai)密碼��,無需通(tong)過IT管(guan)理員�。
用戶(hu)密碼管理(li)及自(zi)助修改(gai):
無需通過管理(li)員即可修(xiu)改密碼,提(ti)高效率及減(jian)輕管理員工(gong)作壓力��。
通過口(kou)袋助理(li)�、釘釘、企業(yè)號等(deng)手機MOA類APP軟件進(jin)行無(wu)線密碼修改����。
若賬號(hao)綁定了手機(ji)號碼����,可通過(guo)手機驗證碼(ma)自助修改�。
上網(wǎng)終端合法(fa)效驗(yan):
采用安全(quan)無線網(wǎng)卡接(jie)入無線網(wǎng)絡(luò),終(zhong)端與(yu)AP熱點的雙(shuang)向驗證��,提高安(an)全性�。
可以將無(wu)線網(wǎng)絡(luò)設(shè)(she)置為只有安(an)裝了(le)安全無線網(wǎng)(wang)卡的(de)終端才能接入(ru)無線(xian)網(wǎng)絡(luò)。
支持設(shè)置安全(quan)無線(xian)網(wǎng)卡只能連指(zhi)定SSID無線網(wǎng)絡(luò)����,無(wu)法連接非授(shou)權(quán)SSID。
網(wǎng)卡(ka)與AP數(shù)據(jù)(ju)傳輸時自動(dong)進行數(shù)據(jù)加密(mi)��,保證(zheng)無線的空口(kou)安全(quan)����。
無線熱點(dian)掃描及(ji)非法(fa)熱點抑制(zhi):
背景:黑客在(zai)附近搭(da)建一(yi)個一模一(yi)樣或者類(lei)似的(de)WIFI名稱,誘使用(yong)戶連到虛假(jia)釣魚WIFI上��,黑(hei)客利用分析軟(ruan)件從用(yong)戶上網(wǎng)產(chǎn)生的(de)數(shù)據(jù)包(bao)中分析提取(qu)用戶隱私信(xin)息�。
我們(men)通過(guo)WIPS無線入(ru)侵防御系(xi)統(tǒng)實時檢測(ce)周圍(wei)無線信號(hao)����,當檢(jian)測出來的信(xin)號BSSID�、且(qie)AP源MAC地址不在(zai)授權(quán)(quan)列表中時(shi)��,我們向?qū)?yīng)的(de)AP和終端(duan)發(fā)送解(jie)除關(guān)(guan)聯(lián)幀����,讓(rang)終端無法連上(shang)釣魚WIFI。7×24小時(shi)不間斷(duan)監(jiān)測網(wǎng)絡(luò)��。
上網(wǎng)行為(wei)嚴格控制(zhi):
強大的管理:通(tong)過應(yīng)用識別(bie)技術(shù)(shu)�,可以根(gen)據(jù)應(yīng)用(yong)類型或者具體(ti)某一種應(yīng)(ying)用進(jin)行封堵,包括視(shi)頻�、論壇、游戲(xi)��、金融�、下載等(deng)2400多種網(wǎng)絡(luò)應(yīng)用(yong)。
通過應(yīng)用(yong)識別技術(shù)����,可(ke)以根據(jù)應(yīng)用(yong)類型或(huo)者具體某一(yi)種應(yīng)(ying)用進行封堵(du),比如上班時間(jian)不允許(xu)炒股(gu)����,不允許P2P下載(zai)��,不允(yun)許外發(fā)敏感(gan)文件等�; 支持(chi)主流移動平臺(tai)�,可識(shi)別IM、社交(jiao)�、Mail、新聞(wen)�、炒股等(deng)應(yīng)用(yong)。
無線控制(zhi)器內(nèi)(nei)置千萬級別(bie)的URL分類庫�,能夠(gou)對URL進行(xing)識別,包(bao)含新聞(wen)�、購物、金融�、教育(yu)等18個種類的URL地(di)址; 準確識別(bie)目前主流(liu)網(wǎng)站��,識(shi)別率高達99.9%��,有(you)效實(shi)現(xiàn)網(wǎng)頁過(guo)濾��。例(li)如禁止登(deng)陸非(fei)法網(wǎng)(wang)站
通過基于時(shi)間段的訪問(wen)控制策略��,實(shi)現(xiàn)不同(tong)的時間(jian)段不同(tong)的訪問權(quán)限����,比(bi)如上班時間��,禁(jin)止訪問網(wǎng)(wang)上銀行、游戲(xi)�、論壇貼(tie)吧等與工(gong)作無(wu)關(guān)的應(yīng)(ying)用,下班(ban)時間(jian)則不受(shou)限制��。
辦公(gong)區(qū)域內(nèi)��,不(bu)同辦公部門(men)總會(hui)有各(ge)自專屬的無(wu)線網(wǎng)絡(luò)����,并(bing)且不希望部門(men)之外(wai)的成員使(shi)用這個網(wǎng)絡(luò)(luo)。無線網(wǎng)絡(luò)控(kong)制器可以(yi)根據(jù)用(yong)戶的屬(shu)性����,限制(zhi)禁止非(fei)本部門的用(yong)戶接入。
典型(xing)無線網(wǎng)絡(luò)攻(gong)擊防護:
對典型的危(wei)險攻(gong)擊行(xing)為進行(xing)檢測����,當超(chao)過設(shè)(she)定的閾值后(hou)自動將(jiang)攻擊者加入(ru)到黑(hei)名單中,并凍結(jié)(jie)一定(ding)時間��,即時發(fā)(fa)現(xiàn)網(wǎng)(wang)絡(luò)攻擊并(bing)進行(xing)防御����。
檢測的攻擊包(bao)括:DDOS防(fang)御����、ARP掃描��、IP掃描����、端(duan)口掃(sao)描防御,禁止(zhi)客戶端(duan)私設(shè)IP以(yi)及ARP、網(wǎng)關(guān)(guan)欺騙防御、DHCP請求(qiu)泛洪防御�。
無線射頻(pin)定時關(guān)(guan)閉開啟(qi):
通過射頻關(guān)閉(bi)控制策略,可以(yi)指定某SSID網(wǎng)(wang)絡(luò),定時自(zi)動關(guān)閉和(he)開啟無線網(wǎng)絡(luò)(luo)的射頻信號(hao),晚上下班后自(zi)動關(guān)(guan)閉無線射(she)頻信(xin)號。
一方面可(ke)以節(jié)能減(jian)排��、節(jié)(jie)省電費支出����;另(ling)一方(fang)面又能(neng)防止非法用戶(hu)利用(yong)深夜時間入侵(qin)無線網(wǎng)絡(luò)(luo)����,做一些(xie)非法的操作(zuo)。
有線無線一體(ti)化管理:
NAC的有線無線一(yi)體化����,支持對(dui)有線用戶的(de)接入認證(zheng)��、訪問控制����、流(liu)量管理��、上(shang)網(wǎng)行為審(shen)計等�,
并提(ti)供統(tǒng)一中文(wen)Web管理界面����,一(yi)站式服務(wù)(wu),極大的(de)降低網(wǎng)絡(luò)建設(shè)(she)成本����。
網(wǎng)絡(luò)分(fen)權(quán)分級(ji)管理:
分配不同的(de)管理員分別管(guan)理各自權(quán)限(xian)區(qū)域的無(wu)線AP,可以精細(xi)到對某(mou)AP分組有管(guan)理權(quán)限��,該管理(li)員可以在該(gai)AP分組(zu)上建立(li)無線網(wǎng)絡(luò)����,能(neng)夠激活、刪(shan)除接(jie)入點�,能夠?qū)P的(de)配置(zhi)進行編輯修(xiu)改�。
可指定管理員(yuan)針對每個頁面(mian)的編輯或可(ke)查看權(quán)限��,控(kong)制粒(li)度到(dao)控制器上的(de)各個頁(ye)面����,對某個頁(ye)面沒有(you)讀權(quán)限則登錄(lu)時不顯示。
移動APP隨時(shi)隨地運維(wei)管理:
支持跨互聯(lián)(lian)網(wǎng)運維(wei)管理
登陸APP進行(xing)維護管理(li):不同管理員��,不(bu)同權(quán)限
查看(kan)網(wǎng)絡(luò)運行(xing)情況(kuang):在線用戶��、在(zai)線AP數(shù)(shu)量����、實時流量(liang)
無線網(wǎng)絡(luò)管(guan)理維護(hu):開啟關(guān)閉SSID、終端(duan)綁定審(shen)批��、二(er)維碼上網(wǎng)審(shen)核
故障����、審批實(shi)時通知:AP離線警(jing)告、服務(wù)器離(li)線警告����、網(wǎng)絡(luò)攻(gong)擊告警
方案優(yōu)勢(shi):
1、最豐富的無線(xian)安全機(ji)制�,提(ti)供從安全接入(ru)到安全上網(wǎng)等(deng)端到端(duan)的安全(quan)策略
2�、合理管控工作(zuo)人員上網(wǎng)行為(wei)�,提升(sheng)工作效率(lv)、防止帶寬(kuan)浪費��,有(you)線無線雙重管(guan)控
3�、為會議(yi)室,報(bao)告廳等人員(yuan)密集區(qū)域接入(ru)網(wǎng)絡(luò)(luo)提高保(bao)證��,解(jie)決有線網(wǎng)(wang)口不足的問題(ti)����;
4��、為企業(yè)員工的(de)移動辦公(gong)提供支撐�,內(nèi)(nei)部員工可通(tong)過無線網(wǎng)絡(luò)(luo)隨時安全接入(ru)內(nèi)部網(wǎng)(wang)絡(luò),實現(xiàn)辦公�;
5、內(nèi)部員工賬(zhang)號及個人(ren)信息綁定(ding)����,便于安(an)全管理;
6�、內(nèi)部員工可(ke)通過自己的辦(ban)公設(shè)(she)備在企業(yè)大(da)樓內(nèi)(nei)快速移(yi)動辦公(gong),網(wǎng)絡(luò)(luo)接入(ru)更快(kuai)速�,上(shang)網(wǎng)行為管理(li)系統(tǒng)對員工上(shang)網(wǎng)行為(wei)進行審計與(yu)管控
7��、來訪客戶接(jie)入企業(yè)網(wǎng)絡(luò)(luo)��,可根據(jù)不同需(xu)求�,分(fen)配不同的上網(wǎng)(wang)權(quán)限�,保證了接(jie)入的安(an)全性同時提(ti)升群眾上網(wǎng)(wang)的體驗(yan)
8、豐富(fu)的認證機制��,滿(man)足組織對(dui)無線網(wǎng)絡(luò)安(an)全����、快速接(jie)入
9、投資成(cheng)本低����,通過部署(shu)無線控制(zhi)器替換原有網(wǎng)(wang)絡(luò)的出口(kou)路由、行為管(guan)理以及無線(xian)控制器
