大型企業(yè)在(zai)無線網(wǎng)(wang)絡(luò)建設(shè)期間(jian)要充(chong)分考慮訪(fang)客（領(lǐng)導(dǎo)、客戶、合(he)作伙伴(ban)）接入(ru)網(wǎng)絡(luò)的需(xu)求。首先從安(an)全性(xing)考慮，訪客網(wǎng)絡(luò)(luo)必須要和(he)辦公網(wǎng)絡(luò)分開(kai)，訪客(ke)網(wǎng)絡(luò)單獨(dú)(du)提供給訪客使(shi)用。從用(yong)戶體(ti)驗角度考(kao)慮，訪客接(jie)入網(wǎng)絡(luò)的(de)驗證(zheng)方式一(yi)定要(yao)做到簡(jian)單易行(xing)，繁瑣的驗(yan)證方式會(hui)降低(di)訪客對(dui)企業(yè)的整體(ti)印象。同時對(dui)于訪客網(wǎng)絡(luò)(luo)，企業(yè)還(hai)需要建立(li)完善(shan)的網(wǎng)絡(luò)安全(quan)管理機(jī)制，避免(mian)由于訪客(ke)的網(wǎng)(wang)絡(luò)不良訪問(wen)給企業(yè)帶來的(de)法律(lv)風(fēng)險(xian)。對于企業(yè)員工(gong)移動(dong)辦公上(shang)網(wǎng)，更需要做(zuo)到可管控，上網(wǎng)(wang)行為做(zuo)到可追溯，企(qi)業(yè)有效的帶(dai)寬資(zi)源得(de)到合理的分配(pei)和保證，才(cai)能使(shi)企業(yè)的業(yè)務(wù)系(xi)統(tǒng)正常且(qie)穩(wěn)定(ding)高效地運(yùn)行，同(tong)時保(bao)證企業(yè)信息(xi)安全，避免機(jī)密(mi)信息(xi)泄露。

存在的問題(ti)（用戶需求）

1、接入不安全：缺(que)乏安全可靠(kao)的認(rèn)證機(jī)制(zhi)，企業(yè)(ye)無線網(wǎng)絡(luò)接入(ru)不安全(quan)

2、上網(wǎng)權(quán)限混(hun)亂：缺乏有(you)效的控制策(ce)略，員工上網(wǎng)(wang)權(quán)限不分明(ming)

3、數(shù)據(jù)信息安全(quan)：缺乏有效的數(shù)(shu)據(jù)加密機(jī)(ji)制，企業(yè)(ye)數(shù)據(jù)被(bei)黑客竊取(qu)篡改

4、無線信號(hao)差：AP性能不佳，上(shang)網(wǎng)總掉線，點(dian)位規(guī)劃不合(he)理，信號盲區(qū)多(duo)

5、漫游效(xiao)果差：不(bu)能實現(xiàn)二三層(ceng)漫游，移(yi)動辦(ban)公時，業(yè)務(wù)中斷(duan)

解決(jue)方案：

結(jié)合(he)用戶無線網(wǎng)絡(luò)(luo)需求情(qing)況，結(jié)(jie)合產(chǎn)品自身技(ji)術(shù)特(te)點，為了(le)滿足用戶構(gòu)(gou)建一個(ge)高速、穩(wěn)定、安全(quan)、可靠、易(yi)于管理的無(wu)線接入網(wǎng)絡(luò)(luo)的需(xu)求，本設(shè)(she)計方(fang)案按照AP+AC的結(jié)(jie)構(gòu)化無線網(wǎng)絡(luò)(luo)解決(jue)方案進(jìn)行設(shè)(she)計。具體設(shè)計(ji)為在(zai)總部設(shè)置總部(bu)AC,在大型分支(zhi)機(jī)構(gòu)設(shè)置分支(zhi)AC與分支AP，中型分(fen)支機(jī)構(gòu)設(shè)計(ji)二級，三(san)級交換(huan)機(jī)，分支(zhi)AP。小微(wei)型分支機(jī)構(gòu)直(zhi)接設(shè)置分(fen)支AP。總部AC可以(yi)對大型(xing)分支(zhi)機(jī)構(gòu)的AC進(jìn)行(xing)管理(li)，當(dāng)網(wǎng)點控制(zhi)器采用集中(zhong)管理(li)的模式(shi)進(jìn)入(ru)到中心端控制(zhi)器時，會自(zi)動下載中(zhong)心端的公共(gong)配置，比(bi)如IP組、MAC地址庫(ku)、時間計劃(hua)、角色(se)授權(quán)、認(rèn)證頁(ye)面等(deng) ?？偛緼C也可以直(zhi)接管理中小型(xing)分支機(jī)構(gòu)(gou)的分支AP，實現(xiàn)(xian)統(tǒng)一管理(li)。

方案設(shè)計(ji)：

安全(quan)無線整體解決(jue)方案(an)：

接入(ru)前&接入時進(jìn)行(xing)身份認(rèn)證(zheng)、安全無(wu)線網(wǎng)卡、賬號(hao)綁定（硬件碼(ma)+手機(jī)號），非(fei)法熱點檢(jian)測及防御(yu)、網(wǎng)絡(luò)攻擊防(fang)護(hù)、射(she)頻定時關(guān)閉及(ji)安全(quan)加固。

接入后&上(shang)網(wǎng)時(shi)進(jìn)行(xing)訪問權(quán)限控(kong)制。

上網(wǎng)(wang)后進(jìn)行(xing)上網(wǎng)行(xing)為記錄。

上網(wǎng)用戶身份(fen)實名認(rèn)證(zheng)：

無線(xian)辦公網(wǎng)采用802.1X/Portal/WAPI認(rèn)(ren)證，外置AAA和(he)RADIUS+AD用于存(cun)儲用戶賬(zhang)號密碼。

每個賬(zhang)號對應(yīng)一個(ge)員工，包(bao)括姓名、部門(men)、性別以(yi)及身份證、手(shou)機(jī)號(hao)等個人(ren)信息，保證每(mei)個上網(wǎng)的賬號(hao)都是可尋的(de)，便于安(an)全管理。

用戶輸(shu)入賬(zhang)號密碼上網(wǎng)(wang)驗證時(shi)均采用加密(mi)傳輸，防止(zhi)黑客空中攔(lan)截，竊取賬號(hao)密碼等(deng)數(shù)據(jù)。

上網(wǎng)賬號(hao)自動綁(bang)定終端：

自動(dong)將賬號與終端(duan)的硬件特征(zheng)碼進(jìn)(jin)行綁(bang)定，防止賬(zhang)號被他(ta)人使用或者被(bei)盜用。

每臺設(shè)備的(de)硬件(jian)特征碼是唯一(yi)的，無法通過軟(ruan)件修改。即(ji)使通過軟件修(xiu)改了仍然(ran)可以識別原始(shi)的。

每個(ge)賬號最多可(ke)以綁定5臺終(zhong)端，超過1臺(tai)時需(xu)要管(guan)理員(yuan)審核。

上網(wǎng)賬號二次(ci)綁定手機(jī)(ji)號碼：

賬號首次(ci)登陸時需(xu)要綁定手(shou)機(jī)號(hao)并輸(shu)入短信驗(yan)證碼，當(dāng)用戶(hu)賬號在新終(zhong)端登陸時(shi)（換終端/被他(ta)用/被盜），不(bu)僅需要輸入(ru)密碼，還需要(yao)輸入短信(xin)驗證碼，解(jie)決員(yuan)工賬號(hao)認(rèn)證的(de)安全(quan)問題

綁定手(shou)機(jī)號碼的用(yong)戶，可以自助(zhu)重置(zhi)密碼和修改密(mi)碼，無需通過IT管(guan)理員(yuan)。

用戶密碼管理(li)及自助(zhu)修改：

無需通過管(guan)理員即可修(xiu)改密碼(ma)，提高效率及(ji)減輕管理員工(gong)作壓力。

通過口袋助理(li)、釘釘、企業(yè)(ye)號等手機(jī)(ji)MOA類APP軟件進(jìn)行無(wu)線密碼修改。

若賬號綁(bang)定了手機(jī)號(hao)碼，可通過(guo)手機(jī)(ji)驗證碼(ma)自助修改(gai)。

上網(wǎng)終(zhong)端合法效驗：

采用安(an)全無線(xian)網(wǎng)卡接入無(wu)線網(wǎng)(wang)絡(luò)，終端(duan)與AP熱點的(de)雙向(xiang)驗證，提高安(an)全性(xing)。

可以將無線(xian)網(wǎng)絡(luò)(luo)設(shè)置為只有安(an)裝了安全無線(xian)網(wǎng)卡的(de)終端才能接入(ru)無線(xian)網(wǎng)絡(luò)(luo)。

支持設(shè)置安(an)全無(wu)線網(wǎng)卡只能連(lian)指定SSID無(wu)線網(wǎng)絡(luò)(luo)，無法連(lian)接非授權(quán)(quan)SSID。

網(wǎng)卡與(yu)AP數(shù)據(jù)傳輸時(shi)自動進(jìn)(jin)行數(shù)據(jù)加密，保(bao)證無線的(de)空口安全。

無線(xian)熱點(dian)掃描及非法熱(re)點抑制(zhi)：

背景：黑客(ke)在附近搭建一(yi)個一模(mo)一樣或者類似(shi)的WIFI名稱(cheng)，誘使用戶連到(dao)虛假釣(diao)魚WIFI上(shang)，黑客(ke)利用分析軟件(jian)從用(yong)戶上(shang)網(wǎng)產(chǎn)(chan)生的數(shù)據(jù)(ju)包中分(fen)析提取(qu)用戶隱(yin)私信息。

我們通過WIPS無線(xian)入侵防御系統(tǒng)(tong)實時檢測(ce)周圍無線(xian)信號，當(dāng)檢測出(chu)來的信號(hao)BSSID、且AP源MAC地址(zhi)不在授(shou)權(quán)列表中時(shi)，我們向(xiang)對應(yīng)的(de)AP和終端發(fā)(fa)送解除關(guān)(guan)聯(lián)幀(zhen)，讓終端無法(fa)連上(shang)釣魚WIFI。7×24小時不間(jian)斷監(jiān)(jian)測網(wǎng)絡(luò)。

上網(wǎng)(wang)行為嚴(yán)(yan)格控制(zhi)：

強(qiáng)大(da)的管理：通過應(yīng)(ying)用識(shi)別技術(shù)，可以根(gen)據(jù)應(yīng)用類型(xing)或者具體(ti)某一種應(yīng)(ying)用進(jìn)行封堵，包(bao)括視頻、論(lun)壇、游戲、金融(rong)、下載(zai)等2400多種網(wǎng)(wang)絡(luò)應(yīng)用(yong)。

通過應(yīng)(ying)用識別技(ji)術(shù)，可以根據(jù)(ju)應(yīng)用類型或者(zhe)具體某一種應(yīng)(ying)用進(jìn)行(xing)封堵，比如(ru)上班時間(jian)不允許炒股(gu)，不允許(xu)P2P下載(zai)，不允(yun)許外發(fā)(fa)敏感文件等； 支(zhi)持主流(liu)移動平臺(tai)，可識別(bie)IM、社交、Mail、新聞(wen)、炒股等應(yīng)(ying)用。

無線控制器內(nèi)(nei)置千萬級別(bie)的URL分(fen)類庫(ku)，能夠?qū)RL進(jìn)行(xing)識別，包含(han)新聞、購(gou)物、金融、教育(yu)等18個種類的URL地(di)址； 準(zhǔn)確識別目(mu)前主流網(wǎng)站(zhan)，識別率高達(dá)99.9%，有(you)效實現(xiàn)(xian)網(wǎng)頁過濾(lv)。例如禁止(zhi)登陸(lu)非法網(wǎng)站(zhan)

通過(guo)基于時間段(duan)的訪(fang)問控制策略，實(shi)現(xiàn)不(bu)同的時間(jian)段不同(tong)的訪(fang)問權(quán)限(xian)，比如上班(ban)時間(jian)，禁止(zhi)訪問網(wǎng)(wang)上銀(yin)行、游戲、論壇(tan)貼吧等與工作(zuo)無關(guān)的(de)應(yīng)用(yong)，下班時間則(ze)不受(shou)限制。

辦公(gong)區(qū)域內(nèi)，不(bu)同辦公部門總(zong)會有各自專(zhuan)屬的(de)無線(xian)網(wǎng)絡(luò)，并且不希(xi)望部門之(zhi)外的成員(yuan)使用這(zhe)個網(wǎng)絡(luò)。無線網(wǎng)(wang)絡(luò)控(kong)制器可(ke)以根據(jù)(ju)用戶的屬性，限(xian)制禁止非(fei)本部門的用(yong)戶接入。

典型無線網(wǎng)絡(luò)(luo)攻擊防護(hù)(hu)：

對典型的危險(xian)攻擊行為進(jìn)行(xing)檢測，當(dāng)超過(guo)設(shè)定的閾值后(hou)自動將攻擊(ji)者加入到(dao)黑名(ming)單中，并凍(dong)結(jié)一定時(shi)間，即(ji)時發(fā)現(xiàn)網(wǎng)絡(luò)攻(gong)擊并進(jìn)行(xing)防御。

檢測的攻(gong)擊包括：DDOS防(fang)御、ARP掃(sao)描、IP掃描、端口(kou)掃描防御，禁(jin)止客戶端(duan)私設(shè)IP以及ARP、網(wǎng)關(guān)(guan)欺騙(pian)防御、DHCP請求泛洪(hong)防御。

無線射頻定(ding)時關(guān)(guan)閉開啟：

通過射頻關(guān)(guan)閉控制策略，可(ke)以指(zhi)定某SSID網(wǎng)絡(luò)，定時(shi)自動關(guān)閉(bi)和開啟無線(xian)網(wǎng)絡(luò)的射(she)頻信號，晚上下(xia)班后(hou)自動關(guān)(guan)閉無線射頻(pin)信號。

一方面可以節(jié)(jie)能減(jian)排、節(jié)(jie)省電費(fèi)支出(chu)；另一方面又(you)能防止非法用(yong)戶利用深(shen)夜時間入侵(qin)無線(xian)網(wǎng)絡(luò)，做一些(xie)非法的操作。

有線(xian)無線一體化(hua)管理：

NAC的有線無線一(yi)體化，支持對(dui)有線用戶(hu)的接入(ru)認(rèn)證、訪問控(kong)制、流量管(guan)理、上(shang)網(wǎng)行為審計(ji)等，

并提供統(tǒng)(tong)一中文Web管理界(jie)面，一站(zhan)式服務(wù)(wu)，極大的降(jiang)低網(wǎng)絡(luò)(luo)建設(shè)成本(ben)。

網(wǎng)絡(luò)分權(quán)分(fen)級管理：

分配不同(tong)的管(guan)理員分別管理(li)各自權(quán)限(xian)區(qū)域的無線(xian)AP，可以精(jing)細(xì)到對某AP分(fen)組有管(guan)理權(quán)限，該管(guan)理員可以在(zai)該AP分組上建立(li)無線網(wǎng)(wang)絡(luò)，能(neng)夠激活(huo)、刪除接入點，能(neng)夠?qū)P的配(pei)置進(jìn)行編輯(ji)修改。

可指定管理(li)員針對每個頁(ye)面的編(bian)輯或可(ke)查看(kan)權(quán)限，控制粒度(du)到控制器上的(de)各個頁面，對(dui)某個頁面(mian)沒有讀權(quán)限(xian)則登錄(lu)時不顯示(shi)。

移動APP隨時(shi)隨地運(yùn)(yun)維管理：

支持跨互(hu)聯(lián)網(wǎng)運(yùn)維管理(li)

登陸APP進(jìn)行(xing)維護(hù)管(guan)理：不同管理員(yuan)，不同(tong)權(quán)限

查看網(wǎng)絡(luò)(luo)運(yùn)行情況：在線(xian)用戶、在(zai)線AP數(shù)量(liang)、實時流量

無線網(wǎng)絡(luò)管理(li)維護(hù)：開啟關(guān)閉(bi)SSID、終端綁(bang)定審批、二維碼(ma)上網(wǎng)(wang)審核

故障、審批實時(shi)通知(zhi)：AP離線警告、服務(wù)(wu)器離(li)線警(jing)告、網(wǎng)絡(luò)(luo)攻擊告警

方案優(yōu)勢(shi)：

1、最豐富的無線(xian)安全機(jī)制，提(ti)供從安全接(jie)入到(dao)安全(quan)上網(wǎng)等端到端(duan)的安全策略

2、合理管控(kong)工作(zuo)人員上(shang)網(wǎng)行為(wei)，提升工作效率(lv)、防止帶寬浪(lang)費(fèi)，有(you)線無(wu)線雙(shuang)重管(guan)控

3、為會議(yi)室，報告廳等人(ren)員密集區(qū)(qu)域接入(ru)網(wǎng)絡(luò)提高保(bao)證，解(jie)決有(you)線網(wǎng)口(kou)不足的問題；

4、為企業(yè)員工(gong)的移動辦公提(ti)供支(zhi)撐，內(nèi)部(bu)員工可(ke)通過無線網(wǎng)絡(luò)(luo)隨時(shi)安全接入內(nèi)部(bu)網(wǎng)絡(luò)，實現(xiàn)(xian)辦公；

5、內(nèi)部員(yuan)工賬(zhang)號及個人信(xin)息綁(bang)定，便于(yu)安全管理；

6、內(nèi)部員工(gong)可通過自(zi)己的(de)辦公設(shè)備(bei)在企業(yè)大樓內(nèi)(nei)快速(su)移動辦公(gong)，網(wǎng)絡(luò)接(jie)入更快速(su)，上網(wǎng)(wang)行為(wei)管理系(xi)統(tǒng)對員(yuan)工上(shang)網(wǎng)行為(wei)進(jìn)行(xing)審計與管(guan)控

7、來訪客(ke)戶接(jie)入企業(yè)網(wǎng)絡(luò)，可(ke)根據(jù)不同需(xu)求，分配不(bu)同的上網(wǎng)權(quán)限(xian)，保證了(le)接入(ru)的安全(quan)性同時提(ti)升群眾上網(wǎng)的(de)體驗(yan)

8、豐富的認(rèn)證(zheng)機(jī)制(zhi)，滿足組織對(dui)無線網(wǎng)絡(luò)安(an)全、快速(su)接入

9、投資成本(ben)低，通過部(bu)署無(wu)線控制器替(ti)換原有網(wǎng)絡(luò)的(de)出口(kou)路由、行為管(guan)理以及無線(xian)控制器(qi)