?
大型企業(yè)在(zai)無線網(wǎng)(wang)絡建設(she)期間要充(chong)分考(kao)慮訪客(ke)(領導(dao)��、客戶��、合作伙(huo)伴)接(jie)入網(wǎng)絡(luo)的需求(qiu)。首先從安全(quan)性考慮�,訪客(ke)網(wǎng)絡必須要和(he)辦公(gong)網(wǎng)絡分開,訪(fang)客網(wǎng)(wang)絡單獨(du)提供給訪客(ke)使用���。從(cong)用戶體(ti)驗角度考(kao)慮���,訪客接入網(wǎng)(wang)絡的驗證(zheng)方式一定要做(zuo)到簡單易行(xing),繁瑣的驗證(zheng)方式會(hui)降低訪(fang)客對(dui)企業(yè)的整(zheng)體印象(xiang)�����。同時對于訪客(ke)網(wǎng)絡(luo),企業(yè)還需要建(jian)立完善(shan)的網(wǎng)絡安(an)全管理機制��,避(bi)免由于(yu)訪客的網(wǎng)絡(luo)不良訪問(wen)給企業(yè)帶(dai)來的法律風(feng)險��。對于企業(yè)(ye)員工移動(dong)辦公(gong)上網(wǎng)����,更需要(yao)做到可管(guan)控�����,上網(wǎng)行為(wei)做到可追(zhui)溯���,企業(yè)有(you)效的帶寬資(zi)源得(de)到合理的(de)分配和保(bao)證�,才能(neng)使企業(yè)的(de)業(yè)務系統(tǒng)正(zheng)常且穩(wěn)定高(gao)效地運行�����,同時(shi)保證企業(yè)信(xin)息安全�,避免機(ji)密信息(xi)泄露(lu)。
存在的問題(ti)(用戶需(xu)求)
1���、接入不(bu)安全:缺乏安全(quan)可靠的認證機(ji)制����,企業(yè)無線網(wǎng)(wang)絡接(jie)入不安全(quan)
2、上網(wǎng)權限混(hun)亂:缺乏有效的(de)控制策略�����,員(yuan)工上網(wǎng)權限(xian)不分明(ming)
3��、數(shù)據(jù)(ju)信息安全:缺乏(fa)有效的數(shù)(shu)據(jù)加密機(ji)制��,企業(yè)數(shù)據(jù)(ju)被黑(hei)客竊取(qu)篡改
4����、無線信(xin)號差:AP性(xing)能不佳,上(shang)網(wǎng)總掉線��,點位(wei)規(guī)劃不合(he)理���,信(xin)號盲區(qū)多
5�、漫游效果(guo)差:不能實現(xiàn)(xian)二三層漫(man)游����,移動辦(ban)公時(shi)���,業(yè)務中(zhong)斷
解決(jue)方案:
結(jié)合(he)用戶無(wu)線網(wǎng)絡需求(qiu)情況,結(jié)合(he)產(chǎn)品自身技術(shu)特點�����,為了滿(man)足用戶構建一(yi)個高(gao)速�����、穩(wěn)定�、安全����、可(ke)靠、易于管(guan)理的無(wu)線接(jie)入網(wǎng)絡的(de)需求�����,本設計(ji)方案按(an)照AP+AC的結(jié)構(gou)化無(wu)線網(wǎng)(wang)絡解決方(fang)案進行設(she)計���。具體設計為(wei)在總部(bu)設置總(zong)部AC,在大型(xing)分支(zhi)機構設(she)置分支(zhi)AC與分(fen)支AP��,中(zhong)型分支機構(gou)設計二級(ji)�����,三級(ji)交換機(ji)�����,分支(zhi)AP�����。小微型(xing)分支機構直(zhi)接設置分支AP��?����??zong)部AC可以對大(da)型分(fen)支機構的AC進(jin)行管理�,當網(wǎng)點(dian)控制器采用集(ji)中管理的模(mo)式進入到(dao)中心端控制器(qi)時,會自動(dong)下載中心(xin)端的公共配(pei)置���,比如(ru)IP組�����、MAC地址庫�����、時間(jian)計劃����、角色授權(quan)、認證(zheng)頁面等 ����。總部(bu)AC也可以(yi)直接(jie)管理(li)中小型分支機(ji)構的分支(zhi)AP����,實現(xiàn)(xian)統(tǒng)一(yi)管理����。
方案設(she)計:
安全無線整體(ti)解決方案(an):
接入前(qian)&接入時(shi)進行身份認(ren)證、安全(quan)無線網(wǎng)(wang)卡����、賬號綁(bang)定(硬件碼+手(shou)機號),非(fei)法熱點檢測及(ji)防御���、網(wǎng)絡攻擊(ji)防護(hu)����、射頻(pin)定時關(guan)閉及安(an)全加固。
接入后&上網(wǎng)時(shi)進行訪(fang)問權限控(kong)制����。
上網(wǎng)后進(jin)行上網(wǎng)(wang)行為記(ji)錄。
上網(wǎng)用戶身份(fen)實名認證:
無線辦公(gong)網(wǎng)采用802.1X/Portal/WAPI認證��,外(wai)置AAA和RADIUS+AD用(yong)于存儲用戶(hu)賬號密碼(ma)���。
每個賬(zhang)號對應(ying)一個員工���,包括(kuo)姓名、部門�、性(xing)別以及(ji)身份證、手機(ji)號等個人信(xin)息�����,保證每個上(shang)網(wǎng)的賬號都(dou)是可尋的��,便(bian)于安全管(guan)理�����。
用戶輸入賬號(hao)密碼(ma)上網(wǎng)驗證(zheng)時均采用加(jia)密傳(chuan)輸,防止黑客空(kong)中攔截(jie)��,竊取賬號(hao)密碼(ma)等數(shù)據(jù)(ju)����。
上網(wǎng)賬號自動(dong)綁定終端:
自動將賬號(hao)與終端的硬(ying)件特征(zheng)碼進(jin)行綁定,防止賬(zhang)號被他人(ren)使用或者被(bei)盜用��。
每臺(tai)設備的(de)硬件特征碼是(shi)唯一的�����,無法通(tong)過軟件修改����。即(ji)使通過軟(ruan)件修改了仍然(ran)可以識(shi)別原始(shi)的。
每個賬號最(zui)多可以綁(bang)定5臺終(zhong)端�����,超過1臺時需(xu)要管理(li)員審核����。
上網(wǎng)賬號二次(ci)綁定手機號(hao)碼:
賬號(hao)首次(ci)登陸時需要(yao)綁定手機號(hao)并輸入短信驗(yan)證碼,當用(yong)戶賬號(hao)在新終端登(deng)陸時(換終端(duan)/被他用/被盜)����,不(bu)僅需(xu)要輸入密碼(ma),還需要輸(shu)入短信驗證碼(ma)��,解決(jue)員工(gong)賬號認(ren)證的(de)安全問題(ti)
綁定手機(ji)號碼(ma)的用(yong)戶�����,可以自助重(zhong)置密碼和修(xiu)改密(mi)碼�,無(wu)需通過IT管(guan)理員。
用戶密碼(ma)管理及自助修(xiu)改:
無需通(tong)過管(guan)理員即可修(xiu)改密碼����,提高效(xiao)率及減輕管(guan)理員工作壓(ya)力。
通過口袋助(zhu)理����、釘釘、企業(yè)號(hao)等手(shou)機MOA類(lei)APP軟件進(jin)行無線密碼(ma)修改�����。
若賬號(hao)綁定了(le)手機號碼��,可(ke)通過手(shou)機驗(yan)證碼自(zi)助修改(gai)。
上網(wǎng)終端(duan)合法(fa)效驗:
采用安全無(wu)線網(wǎng)卡接入(ru)無線網(wǎng)(wang)絡���,終端與(yu)AP熱點的雙(shuang)向驗證����,提高安(an)全性����。
可以將無線(xian)網(wǎng)絡設置為只(zhi)有安裝(zhuang)了安全無線網(wǎng)(wang)卡的終(zhong)端才(cai)能接(jie)入無線網(wǎng)絡(luo)。
支持設置安全(quan)無線(xian)網(wǎng)卡只能連指(zhi)定SSID無(wu)線網(wǎng)絡��,無法連(lian)接非授權SSID�。
網(wǎng)卡與AP數(shù)(shu)據(jù)傳輸(shu)時自動進(jin)行數(shù)據(jù)(ju)加密(mi),保證無線的(de)空口安全(quan)�。
無線(xian)熱點掃(sao)描及非法熱點(dian)抑制(zhi):
背景:黑客在(zai)附近搭建一(yi)個一模一樣或(huo)者類似(shi)的WIFI名稱,誘使(shi)用戶連(lian)到虛假釣(diao)魚WIFI上��,黑客利用(yong)分析(xi)軟件(jian)從用(yong)戶上(shang)網(wǎng)產(chǎn)生的(de)數(shù)據(jù)包中分析(xi)提取用(yong)戶隱私信(xin)息��。
我們通過WIPS無線(xian)入侵防御系統(tǒng)(tong)實時檢測(ce)周圍(wei)無線信(xin)號�,當(dang)檢測出來(lai)的信(xin)號BSSID、且AP源MAC地(di)址不(bu)在授權(quan)列表中時���,我們(men)向?qū)?de)AP和終端發(fā)送解(jie)除關聯(lián)(lian)幀����,讓終(zhong)端無法(fa)連上釣魚WIFI�。7×24小時(shi)不間斷監(jiān)測網(wǎng)(wang)絡。
上網(wǎng)行為(wei)嚴格控制(zhi):
強大的管理:通(tong)過應(ying)用識別技術(shu)���,可以根據(jù)應用(yong)類型(xing)或者具體某一(yi)種應用進行封(feng)堵����,包(bao)括視(shi)頻�、論壇、游(you)戲����、金(jin)融、下載(zai)等2400多種(zhong)網(wǎng)絡應(ying)用��。
通過應用識別(bie)技術(shu)�,可以根(gen)據(jù)應用類型或(huo)者具體(ti)某一種應(ying)用進行封堵,比(bi)如上班時間(jian)不允許炒股���,不(bu)允許P2P下(xia)載����,不允許外發(fā)(fa)敏感(gan)文件等; 支(zhi)持主流(liu)移動平(ping)臺��,可識別IM����、社交(jiao)、Mail�、新聞、炒(chao)股等應用(yong)���。
無線控制(zhi)器內(nèi)置千萬級(ji)別的URL分類庫�����,能(neng)夠?qū)?dui)URL進行識別��,包含(han)新聞(wen)���、購物(wu)、金融��、教(jiao)育等18個種類的(de)URL地址����; 準(zhun)確識別(bie)目前(qian)主流網(wǎng)站��,識(shi)別率高達(da)99.9%,有效實現(xiàn)網(wǎng)頁(ye)過濾�。例如禁(jin)止登陸非法網(wǎng)(wang)站
通過基于時(shi)間段(duan)的訪問控(kong)制策略,實現(xiàn)(xian)不同的(de)時間段不同(tong)的訪問權限����,比(bi)如上(shang)班時間,禁(jin)止訪問網(wǎng)(wang)上銀行�����、游戲����、論(lun)壇貼吧等與工(gong)作無(wu)關的應用,下(xia)班時間則不(bu)受限制���。
辦公(gong)區(qū)域內(nèi)����,不同(tong)辦公(gong)部門總會有各(ge)自專屬(shu)的無線網(wǎng)絡(luo)�����,并且不希(xi)望部門之(zhi)外的成(cheng)員使用(yong)這個(ge)網(wǎng)絡(luo)。無線網(wǎng)絡(luo)控制器可以(yi)根據(jù)用戶(hu)的屬性���,限(xian)制禁止非本(ben)部門的用(yong)戶接入��。
典型無線網(wǎng)(wang)絡攻(gong)擊防(fang)護:
對典(dian)型的危險(xian)攻擊(ji)行為進行檢測(ce)���,當超過設定(ding)的閾值后自(zi)動將攻擊者(zhe)加入到黑名單(dan)中,并凍結(jié)一(yi)定時(shi)間�����,即時發(fā)現(xiàn)網(wǎng)(wang)絡攻擊并進行(xing)防御(yu)�。
檢測(ce)的攻(gong)擊包括:DDOS防御(yu)、ARP掃描��、IP掃描���、端口(kou)掃描防御(yu)�,禁止(zhi)客戶端私(si)設IP以及ARP�����、網(wǎng)(wang)關欺騙防御(yu)、DHCP請求泛洪防御(yu)����。
無線射(she)頻定時關閉(bi)開啟:
通過(guo)射頻關(guan)閉控制策(ce)略,可(ke)以指定某(mou)SSID網(wǎng)絡��,定時自動(dong)關閉和(he)開啟(qi)無線(xian)網(wǎng)絡的射(she)頻信(xin)號���,晚(wan)上下班后自(zi)動關閉無線(xian)射頻信(xin)號。
一方面可(ke)以節(jié)能減排��、節(jié)(jie)省電(dian)費支出��;另一方(fang)面又能(neng)防止非法用戶(hu)利用深夜(ye)時間入(ru)侵無線(xian)網(wǎng)絡����,做一些(xie)非法(fa)的操作。
有線無(wu)線一體(ti)化管理:
NAC的有線(xian)無線(xian)一體化�,支(zhi)持對有線用(yong)戶的接入認(ren)證、訪問(wen)控制��、流量管理(li)���、上網(wǎng)行為審計(ji)等�,
并提供(gong)統(tǒng)一中文(wen)Web管理界面,一(yi)站式(shi)服務��,極大(da)的降(jiang)低網(wǎng)絡建設(she)成本����。
網(wǎng)絡(luo)分權(quan)分級管理(li):
分配不(bu)同的管理員分(fen)別管(guan)理各自權限(xian)區(qū)域的無線(xian)AP,可以精細到對(dui)某AP分組有管理(li)權限�,該管理(li)員可以在該AP分(fen)組上建立無(wu)線網(wǎng)絡(luo),能夠激(ji)活����、刪(shan)除接入點,能夠(gou)對AP的配(pei)置進行(xing)編輯修改��。
可指定管理(li)員針(zhen)對每個頁面(mian)的編輯或可查(cha)看權限��,控制(zhi)粒度到控制(zhi)器上的各個(ge)頁面���,對某(mou)個頁面沒有(you)讀權限則登錄(lu)時不顯示(shi)��。
移動APP隨時(shi)隨地運維管理(li):
支持跨互聯(lián)網(wǎng)(wang)運維管理(li)
登陸APP進行維護(hu)管理:不(bu)同管(guan)理員����,不同(tong)權限(xian)
查看網(wǎng)絡(luo)運行(xing)情況(kuang):在線(xian)用戶���、在線AP數(shù)量(liang)��、實時流(liu)量
無線網(wǎng)絡管(guan)理維護:開啟關(guan)閉SSID����、終端(duan)綁定(ding)審批、二維碼(ma)上網(wǎng)審核
故障�、審批(pi)實時通(tong)知:AP離線警(jing)告、服務(wu)器離(li)線警告(gao)�����、網(wǎng)絡攻(gong)擊告(gao)警
方案優(yōu)勢(shi):
1�����、最豐富的無(wu)線安全機制(zhi)��,提供從安全接(jie)入到安全(quan)上網(wǎng)等端到(dao)端的安全(quan)策略
2�、合理管(guan)控工作人員(yuan)上網(wǎng)行為(wei)��,提升(sheng)工作(zuo)效率��、防(fang)止帶寬浪(lang)費��,有線(xian)無線(xian)雙重管(guan)控
3、為會(hui)議室��,報告(gao)廳等人員密集(ji)區(qū)域接入網(wǎng)絡(luo)提高保證��,解決(jue)有線網(wǎng)(wang)口不(bu)足的問題(ti)����;
4、為企業(yè)員工(gong)的移動辦公提(ti)供支撐(cheng)��,內(nèi)部員(yuan)工可通過(guo)無線網(wǎng)絡隨(sui)時安全接入內(nèi)(nei)部網(wǎng)絡��,實現(xiàn)(xian)辦公�;
5、內(nèi)部(bu)員工賬(zhang)號及(ji)個人信息(xi)綁定�,便于(yu)安全管理;
6����、內(nèi)部(bu)員工可(ke)通過(guo)自己的辦公(gong)設備在企業(yè)(ye)大樓內(nèi)快(kuai)速移動辦(ban)公,網(wǎng)(wang)絡接入更(geng)快速(su)�,上網(wǎng)行(xing)為管理(li)系統(tǒng)(tong)對員工(gong)上網(wǎng)行為(wei)進行審計與管(guan)控
7、來訪客(ke)戶接入企業(yè)(ye)網(wǎng)絡(luo)�,可根據(jù)不同需(xu)求,分配不同的(de)上網(wǎng)權(quan)限����,保證了接(jie)入的安全性同(tong)時提升群眾(zhong)上網(wǎng)的體驗(yan)
8����、豐富(fu)的認證機(ji)制��,滿足組織(zhi)對無線網(wǎng)(wang)絡安全(quan)���、快速接入(ru)
9����、投資成本低�����,通(tong)過部署無線(xian)控制器(qi)替換原有網(wǎng)絡(luo)的出口路(lu)由�����、行為管(guan)理以及無線(xian)控制器(qi)
