?
大型(xing)企業(yè)在無(wu)線網(wǎng)絡(luò)建(jian)設(shè)期間要充(chong)分考慮訪客(領(lǐng)(ling)導(dǎo)、客戶��、合(he)作伙伴(ban))接入(ru)網(wǎng)絡(luò)的需求(qiu)��。首先從安全(quan)性考慮��,訪(fang)客網(wǎng)絡(luò)(luo)必須要和辦(ban)公網(wǎng)絡(luò)分開,訪(fang)客網(wǎng)絡(luò)(luo)單獨(dú)提供(gong)給訪客使用(yong)��。從用戶體驗(yàn)角(jiao)度考慮��,訪客接(jie)入網(wǎng)(wang)絡(luò)的驗(yàn)證方(fang)式一定要做到(dao)簡(jiǎn)單易行��,繁瑣(suo)的驗(yàn)證方式(shi)會(huì)降低訪(fang)客對(duì)企業(yè)的(de)整體印象(xiang)��。同時(shí)對(duì)于(yu)訪客網(wǎng)絡(luò)(luo)��,企業(yè)還需要(yao)建立完善的網(wǎng)(wang)絡(luò)安全管理機(jī)(ji)制��,避免(mian)由于訪客的網(wǎng)(wang)絡(luò)不良訪問給(gei)企業(yè)帶(dai)來的法律風(fēng)(feng)險(xiǎn)��。對(duì)(dui)于企業(yè)員(yuan)工移動(dòng)辦公(gong)上網(wǎng)��,更需要做(zuo)到可管控��,上(shang)網(wǎng)行(xing)為做(zuo)到可追溯��,企(qi)業(yè)有效的帶寬(kuan)資源得(de)到合理的分(fen)配和(he)保證,才能(neng)使企(qi)業(yè)的業(yè)務(wù)系(xi)統(tǒng)正常且(qie)穩(wěn)定高效地運(yùn)(yun)行��,同時(shí)(shi)保證企(qi)業(yè)信息安全��,避(bi)免機(jī)密信息泄(xie)露��。
存在的問(wen)題(用(yong)戶需求)
1��、接入不安(an)全:缺乏(fa)安全可靠的認(rèn)(ren)證機(jī)制��,企業(yè)(ye)無線(xian)網(wǎng)絡(luò)接入(ru)不安(an)全
2��、上網(wǎng)權(quán)限混亂(luan):缺乏有效(xiao)的控制策略(lve)��,員工(gong)上網(wǎng)(wang)權(quán)限不分明(ming)
3��、數(shù)據(jù)信息(xi)安全:缺乏有(you)效的數(shù)據(jù)加(jia)密機(jī)(ji)制��,企(qi)業(yè)數(shù)據(jù)被黑(hei)客竊取篡改(gai)
4��、無線信號(hào)(hao)差:AP性能(neng)不佳��,上網(wǎng)總(zong)掉線��,點(diǎn)位(wei)規(guī)劃(hua)不合理(li),信號(hào)盲(mang)區(qū)多
5��、漫游效果(guo)差:不能(neng)實(shí)現(xiàn)(xian)二三(san)層漫(man)游��,移動(dòng)辦公(gong)時(shí)��,業(yè)務(wù)(wu)中斷
解決(jue)方案:
結(jié)合用戶無線(xian)網(wǎng)絡(luò)需(xu)求情(qing)況��,結(jié)(jie)合產(chǎn)品自身技(ji)術(shù)特點(diǎn)��,為(wei)了滿足用(yong)戶構(gòu)建(jian)一個(gè)(ge)高速(su)��、穩(wěn)定(ding)��、安全��、可靠(kao)��、易于管理(li)的無線(xian)接入網(wǎng)(wang)絡(luò)的(de)需求(qiu)��,本設(shè)計(jì)方(fang)案按照AP+AC的(de)結(jié)構(gòu)(gou)化無線網(wǎng)絡(luò)解(jie)決方案進(jìn)(jin)行設(shè)計(jì)(ji)��。具體(ti)設(shè)計(jì)為(wei)在總部設(shè)置總(zong)部AC,在大型分支(zhi)機(jī)構(gòu)設(shè)置分(fen)支AC與(yu)分支(zhi)AP��,中型分支(zhi)機(jī)構(gòu)(gou)設(shè)計(jì)(ji)二級(jí)��,三級(jí)交換(huan)機(jī)��,分支AP��。小(xiao)微型(xing)分支機(jī)構(gòu)直接(jie)設(shè)置分支AP��?�??zong)部AC可以對(duì)(dui)大型分支(zhi)機(jī)構(gòu)的AC進(jìn)行管(guan)理��,當(dāng)網(wǎng)點(diǎn)(dian)控制(zhi)器采用(yong)集中管(guan)理的模(mo)式進(jìn)入到中(zhong)心端控(kong)制器時(shí)��,會(huì)(hui)自動(dòng)下載(zai)中心端的公共(gong)配置��,比如IP組(zu)��、MAC地址庫(ku)��、時(shí)間計(jì)(ji)劃��、角色(se)授權(quán)��、認(rèn)證頁面(mian)等 ��?�?偛緼C也可(ke)以直接管(guan)理中(zhong)小型(xing)分支(zhi)機(jī)構(gòu)的(de)分支(zhi)AP,實(shí)現(xiàn)統(tǒng)一(yi)管理(li)��。
方案(an)設(shè)計(jì):
安全無線整(zheng)體解決方案:
接入前&接入(ru)時(shí)進(jìn)行身(shen)份認(rèn)證��、安全無(wu)線網(wǎng)卡��、賬(zhang)號(hào)綁定(硬件(jian)碼+手機(jī)號(hào)(hao))��,非法(fa)熱點(diǎn)(dian)檢測(cè)及防(fang)御��、網(wǎng)絡(luò)(luo)攻擊防護(hù)��、射頻(pin)定時(shí)關(guān)閉(bi)及安全加固��。
接入后(hou)&上網(wǎng)時(shí)進(jìn)(jin)行訪問權(quán)(quan)限控制(zhi)��。
上網(wǎng)后進(jìn)行上(shang)網(wǎng)行(xing)為記(ji)錄��。
上網(wǎng)用戶身份(fen)實(shí)名(ming)認(rèn)證:
無線辦公(gong)網(wǎng)采(cai)用802.1X/Portal/WAPI認(rèn)證��,外置(zhi)AAA和RADIUS+AD用于(yu)存儲(chǔ)用戶(hu)賬號(hào)(hao)密碼(ma)��。
每個(gè)賬號(hào)對(duì)(dui)應(yīng)一(yi)個(gè)員工��,包括姓(xing)名��、部門��、性(xing)別以及身份(fen)證��、手機(jī)號(hào)等個(gè)(ge)人信息��,保(bao)證每個(gè)(ge)上網(wǎng)(wang)的賬號(hào)(hao)都是(shi)可尋的��,便(bian)于安全管理(li)��。
用戶輸(shu)入賬號(hào)密碼(ma)上網(wǎng)驗(yàn)證時(shí)(shi)均采用加密傳(chuan)輸��,防止(zhi)黑客空中(zhong)攔截��,竊(qie)取賬號(hào)密碼(ma)等數(shù)據(jù)��。
上網(wǎng)(wang)賬號(hào)(hao)自動(dòng)綁定終(zhong)端:
自動(dòng)將賬(zhang)號(hào)與終端的(de)硬件特征(zheng)碼進(jìn)行綁定(ding)��,防止賬號(hào)被他(ta)人使用或者(zhe)被盜用(yong)��。
每臺(tái)設(shè)(she)備的硬件特(te)征碼是(shi)唯一的(de)��,無法通(tong)過軟(ruan)件修(xiu)改��。即使(shi)通過軟件(jian)修改了仍然可(ke)以識(shí)別(bie)原始的��。
每個(gè)賬號(hào)最(zui)多可以綁定5臺(tái)(tai)終端,超(chao)過1臺(tái)時(shí)需(xu)要管理員審(shen)核��。
上網(wǎng)賬號(hào)二次(ci)綁定手機(jī)號(hào)碼(ma):
賬號(hào)首(shou)次登陸時(shí)需(xu)要綁定手機(jī)(ji)號(hào)并輸入短(duan)信驗(yàn)(yan)證碼��,當(dāng)用戶賬(zhang)號(hào)在新終端登(deng)陸時(shí)(換終端/被(bei)他用/被盜)��,不(bu)僅需(xu)要輸入密碼(ma)��,還需要輸入(ru)短信驗(yàn)(yan)證碼��,解決員工(gong)賬號(hào)認(rèn)證的安(an)全問題
綁定(ding)手機(jī)號(hào)(hao)碼的(de)用戶��,可以自助(zhu)重置(zhi)密碼和修改(gai)密碼��,無需通(tong)過IT管理員��。
用戶密碼管理(li)及自(zi)助修改:
無需通過管理(li)員即可(ke)修改密碼��,提(ti)高效率及(ji)減輕管理員(yuan)工作壓力(li)��。
通過口袋(dai)助理(li)��、釘釘��、企業(yè)號(hào)等(deng)手機(jī)MOA類APP軟件(jian)進(jìn)行(xing)無線密碼(ma)修改��。
若賬號(hào)綁(bang)定了手機(jī)號(hào)(hao)碼��,可通過手(shou)機(jī)驗(yàn)證碼自助(zhu)修改(gai)��。
上網(wǎng)終端合(he)法效驗(yàn):
采用安(an)全無線(xian)網(wǎng)卡接(jie)入無線網(wǎng)絡(luò)(luo)��,終端與AP熱(re)點(diǎn)的(de)雙向驗(yàn)證(zheng)��,提高安全性��。
可以將無線(xian)網(wǎng)絡(luò)(luo)設(shè)置為只有(you)安裝了(le)安全無線網(wǎng)卡(ka)的終(zhong)端才能接入(ru)無線(xian)網(wǎng)絡(luò)��。
支持(chi)設(shè)置安全無(wu)線網(wǎng)(wang)卡只(zhi)能連(lian)指定SSID無線網(wǎng)絡(luò)(luo)��,無法連接(jie)非授權(quán)SSID��。
網(wǎng)卡(ka)與AP數(shù)據(jù)傳(chuan)輸時(shí)自(zi)動(dòng)進(jìn)行數(shù)據(jù)加(jia)密��,保證無線(xian)的空口(kou)安全��。
無線熱點(diǎn)掃(sao)描及非(fei)法熱(re)點(diǎn)抑制:
背景:黑(hei)客在附近搭建(jian)一個(gè)(ge)一模一樣或(huo)者類(lei)似的WIFI名稱��,誘使(shi)用戶連到虛(xu)假釣魚WIFI上��,黑客(ke)利用分(fen)析軟(ruan)件從用戶上(shang)網(wǎng)產(chǎn)生(sheng)的數(shù)據(jù)包(bao)中分析提取用(yong)戶隱私信(xin)息��。
我們通過WIPS無(wu)線入(ru)侵防御系(xi)統(tǒng)實(shí)時(shí)檢測(cè)(ce)周圍(wei)無線(xian)信號(hào),當(dāng)(dang)檢測(cè)出來的信(xin)號(hào)BSSID��、且AP源MAC地址不(bu)在授權(quán)列(lie)表中時(shí)��,我(wo)們向?qū)?yīng)的AP和(he)終端(duan)發(fā)送(song)解除關(guān)聯(lián)幀��,讓(rang)終端(duan)無法連上釣(diao)魚WIFI��。7×24小時(shí)(shi)不間斷監(jiān)測(cè)網(wǎng)(wang)絡(luò)��。
上網(wǎng)行為嚴(yán)格(ge)控制:
強(qiáng)大(da)的管(guan)理:通過應(yīng)(ying)用識(shí)別技術(shù)(shu)��,可以根據(jù)(ju)應(yīng)用類型或(huo)者具體某一種(zhong)應(yīng)用進(jìn)行封(feng)堵��,包括視頻(pin)��、論壇��、游戲��、金(jin)融��、下載等2400多(duo)種網(wǎng)絡(luò)(luo)應(yīng)用(yong)��。
通過應(yīng)用識(shí)別(bie)技術(shù)��,可以根據(jù)(ju)應(yīng)用類型或(huo)者具(ju)體某一種應(yīng)(ying)用進(jìn)行封(feng)堵��,比如(ru)上班時(shí)間(jian)不允(yun)許炒股��,不允(yun)許P2P下載��,不允(yun)許外發(fā)(fa)敏感文件等��; 支(zhi)持主流移(yi)動(dòng)平臺(tái)��,可(ke)識(shí)別IM��、社交��、Mail��、新(xin)聞��、炒股等(deng)應(yīng)用��。
無線(xian)控制器(qi)內(nèi)置千萬級(jí)別(bie)的URL分(fen)類庫(ku)��,能夠(gou)對(duì)URL進(jìn)行識(shí)別��,包(bao)含新聞(wen)、購物��、金融��、教育(yu)等18個(gè)種(zhong)類的URL地址��; 準(zhǔn)(zhun)確識(shí)別目前主(zhu)流網(wǎng)站��,識(shí)別率(lv)高達(dá)99.9%��,有效實(shí)現(xiàn)(xian)網(wǎng)頁過濾(lv)��。例如禁止登陸(lu)非法網(wǎng)站
通過基(ji)于時(shí)間段的訪(fang)問控制策(ce)略��,實(shí)現(xiàn)不同(tong)的時(shí)間段(duan)不同的訪問權(quán)(quan)限��,比如上班時(shí)(shi)間��,禁止訪問(wen)網(wǎng)上(shang)銀行��、游戲(xi)��、論壇貼吧(ba)等與工作(zuo)無關(guān)的應(yīng)用(yong)��,下班時(shí)間(jian)則不(bu)受限制(zhi)��。
辦公區(qū)域內(nèi)(nei)��,不同辦公部(bu)門總會(huì)有各自(zi)專屬的(de)無線網(wǎng)絡(luò)��,并(bing)且不希(xi)望部門之外的(de)成員使用(yong)這個(gè)網(wǎng)絡(luò)(luo)��。無線網(wǎng)絡(luò)控制(zhi)器可以(yi)根據(jù)用(yong)戶的屬(shu)性��,限制(zhi)禁止(zhi)非本(ben)部門的用戶(hu)接入(ru)��。
典型(xing)無線網(wǎng)絡(luò)攻擊(ji)防護(hù):
對(duì)典型(xing)的危險(xiǎn)攻(gong)擊行(xing)為進(jìn)行檢測(cè)��,當(dāng)(dang)超過設(shè)定的(de)閾值后自(zi)動(dòng)將(jiang)攻擊者加(jia)入到黑名單(dan)中��,并(bing)凍結(jié)(jie)一定時(shí)間��,即時(shí)(shi)發(fā)現(xiàn)網(wǎng)絡(luò)(luo)攻擊并進(jìn)(jin)行防(fang)御��。
檢測(cè)的攻擊包(bao)括:DDOS防(fang)御��、ARP掃描��、IP掃描(miao)��、端口掃描(miao)防御��,禁止客(ke)戶端(duan)私設(shè)IP以及ARP、網(wǎng)(wang)關(guān)欺騙防御��、DHCP請(qǐng)(qing)求泛洪防御(yu)��。
無線(xian)射頻定時(shí)(shi)關(guān)閉開啟(qi):
通過射頻(pin)關(guān)閉控制(zhi)策略��,可以指定(ding)某SSID網(wǎng)絡(luò)��,定(ding)時(shí)自動(dòng)關(guān)(guan)閉和(he)開啟無(wu)線網(wǎng)絡(luò)的(de)射頻信號(hào)(hao)��,晚上下班后(hou)自動(dòng)(dong)關(guān)閉無線(xian)射頻信號(hào)��。
一方面可以節(jié)(jie)能減排��、節(jié)(jie)省電(dian)費(fèi)支出(chu)��;另一方面又能(neng)防止(zhi)非法用(yong)戶利用深夜(ye)時(shí)間入侵無線(xian)網(wǎng)絡(luò)��,做一些非(fei)法的操作��。
有線無線一體(ti)化管(guan)理:
NAC的有線無線(xian)一體(ti)化��,支持對(duì)有線(xian)用戶的(de)接入認(rèn)證��、訪問(wen)控制��、流量管(guan)理、上網(wǎng)行(xing)為審計(jì)(ji)等��,
并提供統(tǒng)(tong)一中文Web管理(li)界面��,一站式服(fu)務(wù)��,極大(da)的降低(di)網(wǎng)絡(luò)建設(shè)成(cheng)本��。
網(wǎng)絡(luò)分權(quán)分級(jí)(ji)管理:
分配不(bu)同的(de)管理員分(fen)別管(guan)理各自(zi)權(quán)限區(qū)域(yu)的無(wu)線AP��,可以(yi)精細(xì)到對(duì)某(mou)AP分組有管理(li)權(quán)限��,該(gai)管理員(yuan)可以(yi)在該AP分組(zu)上建立(li)無線網(wǎng)絡(luò)��,能(neng)夠激(ji)活��、刪除接(jie)入點(diǎn)(dian)��,能夠?qū)?dui)AP的配置進(jìn)行編(bian)輯修改��。
可指定(ding)管理員(yuan)針對(duì)每(mei)個(gè)頁(ye)面的編輯(ji)或可查看權(quán)限(xian)��,控制粒度到(dao)控制器上的各(ge)個(gè)頁面��,對(duì)某(mou)個(gè)頁面沒(mei)有讀權(quán)限則登(deng)錄時(shí)不顯示(shi)��。
移動(dòng)APP隨(sui)時(shí)隨地運(yùn)維(wei)管理:
支持跨互(hu)聯(lián)網(wǎng)運(yùn)維管理(li)
登陸APP進(jìn)(jin)行維護(hù)管(guan)理:不同管理員(yuan)��,不同權(quán)限(xian)
查看網(wǎng)(wang)絡(luò)運(yùn)(yun)行情況(kuang):在線用戶��、在線(xian)AP數(shù)量��、實(shí)(shi)時(shí)流(liu)量
無線網(wǎng)(wang)絡(luò)管理維護(hù)(hu):開啟關(guān)閉SSID��、終端(duan)綁定(ding)審批��、二(er)維碼(ma)上網(wǎng)審核
故障(zhang)��、審批(pi)實(shí)時(shí)通知:AP離線(xian)警告(gao)��、服務(wù)器(qi)離線(xian)警告(gao)��、網(wǎng)絡(luò)攻擊告(gao)警
方案優(yōu)勢(shì)(shi):
1��、最豐富的(de)無線安全(quan)機(jī)制��,提供從(cong)安全接入到(dao)安全上網(wǎng)(wang)等端到端的(de)安全策略
2��、合理管控工(gong)作人員上網(wǎng)行(xing)為��,提升工(gong)作效(xiao)率��、防止帶寬(kuan)浪費(fèi)��,有線(xian)無線雙重管(guan)控
3��、為會(huì)議(yi)室��,報(bào)告廳(ting)等人員密集區(qū)(qu)域接(jie)入網(wǎng)絡(luò)提高(gao)保證��,解(jie)決有線(xian)網(wǎng)口不足的問(wen)題��;
4、為企業(yè)員工的(de)移動(dòng)辦公(gong)提供支撐(cheng)��,內(nèi)部員工可(ke)通過無線網(wǎng)(wang)絡(luò)隨時(shí)(shi)安全(quan)接入內(nèi)部網(wǎng)(wang)絡(luò)��,實(shí)現(xiàn)辦(ban)公��;
5��、內(nèi)部員工賬號(hào)(hao)及個(gè)人信息綁(bang)定,便于安全管(guan)理��;
6��、內(nèi)部員工可通(tong)過自己的辦(ban)公設(shè)備在(zai)企業(yè)大樓(lou)內(nèi)快速移(yi)動(dòng)辦公��,網(wǎng)絡(luò)(luo)接入更快速��,上(shang)網(wǎng)行為管(guan)理系統(tǒng)對(duì)(dui)員工上網(wǎng)(wang)行為進(jìn)(jin)行審計(jì)與管控(kong)
7��、來訪客戶接入(ru)企業(yè)網(wǎng)(wang)絡(luò),可根據(jù)不同(tong)需求��,分配不(bu)同的上網(wǎng)權(quán)(quan)限��,保證了接(jie)入的安全(quan)性同時(shí)提(ti)升群眾(zhong)上網(wǎng)的體(ti)驗(yàn)
8��、豐富(fu)的認(rèn)證機(jī)制��,滿(man)足組織對(duì)無(wu)線網(wǎng)絡(luò)(luo)安全��、快(kuai)速接入
9��、投資成本(ben)低��,通過部署(shu)無線(xian)控制器替換(huan)原有網(wǎng)絡(luò)的出(chu)口路由��、行為(wei)管理(li)以及(ji)無線控制(zhi)器
