?
大型企(qi)業(yè)在無線網(wǎng)絡(luò)(luo)建設(shè)期間要充(chong)分考(kao)慮訪客(領(lǐng)導(dǎo)��、客(ke)戶��、合作(zuo)伙伴)接入(ru)網(wǎng)絡(luò)的需(xu)求��。首先從(cong)安全性考慮(lv),訪客網(wǎng)(wang)絡(luò)必須要(yao)和辦公網(wǎng)絡(luò)(luo)分開��,訪(fang)客網(wǎng)(wang)絡(luò)單獨(dú)提供(gong)給訪客使用(yong)��。從用戶體驗(yàn)(yan)角度考慮��,訪(fang)客接(jie)入網(wǎng)絡(luò)(luo)的驗(yàn)(yan)證方式(shi)一定要做到(dao)簡(jiǎn)單易行(xing)��,繁瑣的(de)驗(yàn)證方式(shi)會(huì)降低訪(fang)客對(duì)企(qi)業(yè)的(de)整體印象��。同時(shí)(shi)對(duì)于訪客網(wǎng)絡(luò)(luo)��,企業(yè)(ye)還需要建立完(wan)善的網(wǎng)絡(luò)安(an)全管理(li)機(jī)制(zhi)��,避免由(you)于訪客的網(wǎng)絡(luò)(luo)不良訪問給(gei)企業(yè)帶來的法(fa)律風(fēng)險(xiǎn)(xian)��。對(duì)于企(qi)業(yè)員工移動(dòng)辦(ban)公上網(wǎng),更需要(yao)做到可管控(kong)��,上網(wǎng)行為做(zuo)到可追溯��,企(qi)業(yè)有效的(de)帶寬資源得(de)到合(he)理的(de)分配和保(bao)證��,才能使企業(yè)(ye)的業(yè)務(wù)系統(tǒng)(tong)正常(chang)且穩(wěn)定高效(xiao)地運(yùn)行��,同時(shí)保(bao)證企業(yè)信息(xi)安全��,避免機(jī)(ji)密信息泄露(lu)��。
存在的問題(ti)(用戶需求)
1��、接入(ru)不安全:缺乏(fa)安全可靠(kao)的認(rèn)(ren)證機(jī)(ji)制��,企業(yè)無(wu)線網(wǎng)絡(luò)接入(ru)不安全
2��、上網(wǎng)(wang)權(quán)限混亂:缺(que)乏有效的控制(zhi)策略��,員(yuan)工上網(wǎng)(wang)權(quán)限不分明
3��、數(shù)據(jù)信(xin)息安全:缺乏有(you)效的數(shù)據(jù)加密(mi)機(jī)制��,企業(yè)數(shù)據(jù)(ju)被黑(hei)客竊(qie)取篡(cuan)改
4��、無線信號(hào)差:AP性(xing)能不佳��,上網(wǎng)總(zong)掉線��,點(diǎn)位規(guī)(gui)劃不合理(li)��,信號(hào)盲區(qū)多
5��、漫游(you)效果差:不(bu)能實(shí)(shi)現(xiàn)二三層(ceng)漫游��,移動(dòng)辦公(gong)時(shí)��,業(yè)(ye)務(wù)中斷
解決方案:
結(jié)合用戶無(wu)線網(wǎng)絡(luò)(luo)需求(qiu)情況��,結(jié)合(he)產(chǎn)品(pin)自身技術(shù)特點(diǎn)(dian)��,為了滿足(zu)用戶構(gòu)建(jian)一個(gè)高(gao)速��、穩(wěn)定(ding)��、安全��、可靠��、易(yi)于管理的無(wu)線接入網(wǎng)絡(luò)(luo)的需求��,本設(shè)計(jì)(ji)方案按照AP+AC的結(jié)(jie)構(gòu)化(hua)無線(xian)網(wǎng)絡(luò)解決(jue)方案進(jìn)行設(shè)計(jì)(ji)。具體設(shè)計(jì)(ji)為在總(zong)部設(shè)置總部(bu)AC,在大型(xing)分支機(jī)構(gòu)設(shè)(she)置分支AC與分支(zhi)AP��,中型分支機(jī)構(gòu)(gou)設(shè)計(jì)二級(jí)(ji)��,三級(jí)(ji)交換機(jī)��,分支AP��。小(xiao)微型(xing)分支機(jī)(ji)構(gòu)直接設(shè)(she)置分支AP��?�??zong)部AC可以(yi)對(duì)大型分支(zhi)機(jī)構(gòu)(gou)的AC進(jìn)行(xing)管理��,當(dāng)(dang)網(wǎng)點(diǎn)(dian)控制器(qi)采用集(ji)中管理的模(mo)式進(jìn)入到(dao)中心端(duan)控制(zhi)器時(shí)��,會(huì)自(zi)動(dòng)下(xia)載中心端的公(gong)共配(pei)置��,比如IP組(zu)��、MAC地址庫(kù)(ku)��、時(shí)間計(jì)劃(hua)��、角色授權(quán)��、認(rèn)證(zheng)頁面等 ��?�?偛?bu)AC也可以直接(jie)管理中小型分(fen)支機(jī)構(gòu)(gou)的分支(zhi)AP��,實(shí)現(xiàn)統(tǒng)一管理(li)��。
方案設(shè)計(jì)(ji):
安全無線(xian)整體解決(jue)方案:
接入前&接入時(shí)(shi)進(jìn)行身份(fen)認(rèn)證��、安全無線(xian)網(wǎng)卡��、賬號(hào)(hao)綁定(ding)(硬件碼+手(shou)機(jī)號(hào)(hao))��,非法熱點(diǎn)檢(jian)測(cè)及防御(yu)��、網(wǎng)絡(luò)(luo)攻擊防(fang)護(hù)��、射頻定(ding)時(shí)關(guān)閉及安(an)全加(jia)固��。
接入后(hou)&上網(wǎng)時(shí)(shi)進(jìn)行訪問(wen)權(quán)限控制��。
上網(wǎng)后進(jìn)行(xing)上網(wǎng)行(xing)為記錄��。
上網(wǎng)(wang)用戶身份實(shí)名(ming)認(rèn)證:
無線辦公(gong)網(wǎng)采(cai)用802.1X/Portal/WAPI認(rèn)證��,外(wai)置AAA和RADIUS+AD用于(yu)存儲(chǔ)用(yong)戶賬號(hào)密碼(ma)。
每個(gè)(ge)賬號(hào)對(duì)應(yīng)一(yi)個(gè)員(yuan)工��,包括姓名��、部(bu)門��、性(xing)別以及身(shen)份證��、手(shou)機(jī)號(hào)等個(gè)人(ren)信息��,保(bao)證每(mei)個(gè)上網(wǎng)的(de)賬號(hào)都是可(ke)尋的(de)��,便于安全(quan)管理��。
用戶輸入賬(zhang)號(hào)密(mi)碼上(shang)網(wǎng)驗(yàn)(yan)證時(shí)(shi)均采用加密傳(chuan)輸��,防止黑客空(kong)中攔截��,竊(qie)取賬號(hào)(hao)密碼等數(shù)(shu)據(jù)��。
上網(wǎng)賬號(hào)自動(dòng)(dong)綁定終(zhong)端:
自動(dòng)將賬號(hào)與(yu)終端的硬件(jian)特征碼進(jìn)行綁(bang)定��,防止賬號(hào)被(bei)他人使(shi)用或者被(bei)盜用��。
每臺(tái)設(shè)(she)備的(de)硬件特征碼(ma)是唯一的��,無(wu)法通過軟件修(xiu)改��。即使(shi)通過軟件(jian)修改了仍然(ran)可以識(shí)別(bie)原始的��。
每個(gè)賬號(hào)最多(duo)可以(yi)綁定5臺(tái)終端(duan)��,超過1臺(tái)時(shí)(shi)需要管(guan)理員審核��。
上網(wǎng)賬號(hào)(hao)二次綁定手機(jī)(ji)號(hào)碼:
賬號(hào)(hao)首次登陸時(shí)需(xu)要綁定手機(jī)(ji)號(hào)并輸(shu)入短信驗(yàn)證(zheng)碼��,當(dāng)用(yong)戶賬號(hào)在新終(zhong)端登陸時(shí)(換終(zhong)端/被他(ta)用/被盜)��,不(bu)僅需要輸入密(mi)碼��,還需(xu)要輸(shu)入短(duan)信驗(yàn)證碼��,解(jie)決員工賬號(hào)(hao)認(rèn)證的安(an)全問題
綁定手機(jī)號(hào)(hao)碼的用戶(hu)��,可以自助重(zhong)置密(mi)碼和(he)修改密碼��,無(wu)需通過IT管理(li)員��。
用戶密(mi)碼管理(li)及自助修改(gai):
無需通過管理(li)員即可修(xiu)改密碼��,提高(gao)效率(lv)及減輕管理(li)員工作壓力(li)��。
通過(guo)口袋助(zhu)理、釘釘��、企業(yè)(ye)號(hào)等手機(jī)MOA類APP軟(ruan)件進(jìn)行(xing)無線(xian)密碼修改��。
若賬(zhang)號(hào)綁定(ding)了手機(jī)(ji)號(hào)碼��,可(ke)通過手機(jī)驗(yàn)(yan)證碼自助修(xiu)改��。
上網(wǎng)終端合法(fa)效驗(yàn):
采用安全(quan)無線網(wǎng)卡接入(ru)無線網(wǎng)絡(luò)(luo)��,終端與AP熱(re)點(diǎn)的雙向(xiang)驗(yàn)證��,提(ti)高安全(quan)性��。
可以將無線網(wǎng)(wang)絡(luò)設(shè)(she)置為只有安(an)裝了安全無(wu)線網(wǎng)卡的終(zhong)端才能接入(ru)無線(xian)網(wǎng)絡(luò)��。
支持設(shè)置安(an)全無線網(wǎng)(wang)卡只能連(lian)指定SSID無線(xian)網(wǎng)絡(luò)��,無法連(lian)接非授權(quán)SSID��。
網(wǎng)卡與AP數(shù)據(jù)傳(chuan)輸時(shí)(shi)自動(dòng)進(jìn)(jin)行數(shù)(shu)據(jù)加密��,保(bao)證無線的(de)空口(kou)安全��。
無線熱(re)點(diǎn)掃(sao)描及非(fei)法熱點(diǎn)(dian)抑制:
背景:黑(hei)客在附近(jin)搭建一個(gè)(ge)一模一樣或者(zhe)類似的WIFI名稱,誘(you)使用戶(hu)連到(dao)虛假(jia)釣魚(yu)WIFI上��,黑(hei)客利用(yong)分析軟件從(cong)用戶上網(wǎng)(wang)產(chǎn)生的數(shù)據(jù)(ju)包中分析(xi)提取用戶隱私(si)信息��。
我們通過WIPS無(wu)線入侵防(fang)御系(xi)統(tǒng)實(shí)時(shí)檢測(cè)(ce)周圍無(wu)線信號(hào)��,當(dāng)(dang)檢測(cè)(ce)出來(lai)的信(xin)號(hào)BSSID��、且AP源MAC地(di)址不在(zai)授權(quán)列表(biao)中時(shí)��,我們(men)向?qū)?yīng)的AP和終(zhong)端發(fā)送解(jie)除關(guān)(guan)聯(lián)幀��,讓終端(duan)無法連上(shang)釣魚WIFI��。7×24小(xiao)時(shí)不間斷監(jiān)(jian)測(cè)網(wǎng)絡(luò)��。
上網(wǎng)行為嚴(yán)(yan)格控(kong)制:
強(qiáng)大的管理(li):通過(guo)應(yīng)用識(shí)別技術(shù)(shu)��,可以根據(jù)應(yīng)用(yong)類型或(huo)者具體某一(yi)種應(yīng)用進(jìn)行(xing)封堵��,包括(kuo)視頻��、論壇��、游(you)戲��、金融��、下(xia)載等2400多種網(wǎng)絡(luò)(luo)應(yīng)用��。
通過應(yīng)(ying)用識(shí)別技(ji)術(shù)��,可以(yi)根據(jù)應(yīng)用類型(xing)或者(zhe)具體某一種應(yīng)(ying)用進(jìn)行封堵(du)��,比如上班(ban)時(shí)間不(bu)允許炒(chao)股��,不允許P2P下載(zai)��,不允許外發(fā)(fa)敏感文(wen)件等��; 支持主流(liu)移動(dòng)平臺(tái)��,可識(shí)(shi)別IM��、社交(jiao)��、Mail��、新聞��、炒股等應(yīng)(ying)用��。
無線控(kong)制器(qi)內(nèi)置千萬(wan)級(jí)別(bie)的URL分(fen)類庫(kù),能夠?qū)?dui)URL進(jìn)行識(shí)(shi)別��,包(bao)含新聞��、購(gòu)物(wu)��、金融��、教(jiao)育等(deng)18個(gè)種類(lei)的URL地址(zhi)��; 準(zhǔn)確識(shí)別目前(qian)主流網(wǎng)站(zhan)��,識(shí)別率高達(dá)99.9%��,有(you)效實(shí)現(xiàn)網(wǎng)頁過(guo)濾��。例(li)如禁(jin)止登陸非法網(wǎng)(wang)站
通過基于時(shí)間(jian)段的(de)訪問控制策略(lve)��,實(shí)現(xiàn)不同(tong)的時(shí)間(jian)段不(bu)同的訪問權(quán)限(xian)��,比如上班時(shí)(shi)間��,禁止訪(fang)問網(wǎng)上銀(yin)行��、游戲(xi)��、論壇貼吧(ba)等與工作(zuo)無關(guān)的應(yīng)用(yong)��,下班時(shí)間(jian)則不(bu)受限制(zhi)��。
辦公區(qū)域內(nèi)(nei)��,不同辦公部(bu)門總會(huì)有各自(zi)專屬的無(wu)線網(wǎng)(wang)絡(luò)��,并且不(bu)希望部門之外(wai)的成員使用這(zhe)個(gè)網(wǎng)絡(luò)(luo)��。無線(xian)網(wǎng)絡(luò)控制器可(ke)以根據(jù)(ju)用戶的屬性(xing)��,限制禁止(zhi)非本部(bu)門的用戶接入(ru)��。
典型無線網(wǎng)絡(luò)(luo)攻擊防護(hù):
對(duì)典型的(de)危險(xiǎn)攻擊行(xing)為進(jìn)行檢(jian)測(cè)��,當(dāng)(dang)超過設(shè)定的閾(yu)值后自動(dòng)(dong)將攻擊者(zhe)加入(ru)到黑名單(dan)中��,并凍(dong)結(jié)一(yi)定時(shí)(shi)間��,即時(shí)(shi)發(fā)現(xiàn)網(wǎng)絡(luò)(luo)攻擊并(bing)進(jìn)行防御(yu)��。
檢測(cè)的(de)攻擊包括:DDOS防御(yu)��、ARP掃描��、IP掃描(miao)、端口掃描防(fang)御��,禁(jin)止客戶端(duan)私設(shè)IP以及ARP��、網(wǎng)關(guān)(guan)欺騙防御(yu)��、DHCP請(qǐng)求(qiu)泛洪(hong)防御��。
無線射頻定時(shí)(shi)關(guān)閉開啟(qi):
通過(guo)射頻關(guān)閉(bi)控制策(ce)略��,可以(yi)指定某SSID網(wǎng)絡(luò)��,定(ding)時(shí)自動(dòng)關(guān)閉(bi)和開啟無(wu)線網(wǎng)絡(luò)的(de)射頻(pin)信號(hào)(hao)��,晚上下(xia)班后自動(dòng)關(guān)(guan)閉無線射(she)頻信(xin)號(hào)��。
一方面(mian)可以(yi)節(jié)能減排(pai)��、節(jié)省(sheng)電費(fèi)支出(chu)��;另一方面又能(neng)防止非法(fa)用戶(hu)利用深夜(ye)時(shí)間入侵(qin)無線網(wǎng)絡(luò)��,做一(yi)些非(fei)法的操作��。
有線無線一(yi)體化管理:
NAC的有線無線一(yi)體化��,支(zhi)持對(duì)有線用戶(hu)的接入認(rèn)(ren)證��、訪問控(kong)制��、流量管理(li)��、上網(wǎng)行為審計(jì)(ji)等��,
并提(ti)供統(tǒng)一中(zhong)文Web管(guan)理界面(mian)��,一站式服務(wù)(wu)��,極大的降(jiang)低網(wǎng)絡(luò)(luo)建設(shè)成本(ben)��。
網(wǎng)絡(luò)分權(quán)分(fen)級(jí)管理:
分配(pei)不同的管(guan)理員分別管理(li)各自權(quán)限(xian)區(qū)域的無(wu)線AP��,可以精(jing)細(xì)到對(duì)某AP分(fen)組有(you)管理權(quán)限��,該(gai)管理員可以在(zai)該AP分組上建立(li)無線網(wǎng)(wang)絡(luò)��,能夠(gou)激活��、刪除接(jie)入點(diǎn)��,能夠(gou)對(duì)AP的配置進(jìn)(jin)行編輯修改(gai)��。
可指定管理(li)員針對(duì)每個(gè)(ge)頁面的編輯或(huo)可查看(kan)權(quán)限(xian),控制(zhi)粒度(du)到控制器(qi)上的各個(gè)頁面(mian)��,對(duì)某個(gè)頁(ye)面沒(mei)有讀(du)權(quán)限則(ze)登錄時(shí)(shi)不顯示(shi)��。
移動(dòng)APP隨時(shí)隨(sui)地運(yùn)(yun)維管(guan)理:
支持跨互聯(lián)(lian)網(wǎng)運(yùn)維(wei)管理
登陸(lu)APP進(jìn)行維護(hù)(hu)管理:不同(tong)管理員��,不同(tong)權(quán)限
查看(kan)網(wǎng)絡(luò)運(yùn)行情(qing)況:在線用(yong)戶��、在線(xian)AP數(shù)量��、實(shí)時(shí)(shi)流量
無線(xian)網(wǎng)絡(luò)(luo)管理維護(hù):開啟(qi)關(guān)閉(bi)SSID��、終端綁定審批(pi)��、二維碼上網(wǎng)(wang)審核
故障��、審(shen)批實(shí)時(shí)通知:AP離(li)線警(jing)告��、服務(wù)器(qi)離線警告��、網(wǎng)(wang)絡(luò)攻擊告(gao)警
方案優(yōu)勢(shì)(shi):
1��、最豐富的無(wu)線安全(quan)機(jī)制��,提供(gong)從安全(quan)接入到安(an)全上(shang)網(wǎng)等端到端(duan)的安全策略(lve)
2��、合理管控(kong)工作人員上(shang)網(wǎng)行為(wei)��,提升工作效率(lv)��、防止帶寬浪(lang)費(fèi)��,有線無線雙(shuang)重管控
3��、為會(huì)議室��,報(bào)(bao)告廳(ting)等人員(yuan)密集區(qū)域接(jie)入網(wǎng)絡(luò)提高(gao)保證��,解決(jue)有線網(wǎng)口不足(zu)的問題��;
4��、為企業(yè)員工(gong)的移動(dòng)辦(ban)公提(ti)供支(zhi)撐��,內(nèi)部員工(gong)可通(tong)過無線網(wǎng)絡(luò)(luo)隨時(shí)(shi)安全接(jie)入內(nèi)部網(wǎng)絡(luò)(luo)��,實(shí)現(xiàn)辦(ban)公��;
5��、內(nèi)部員工賬(zhang)號(hào)及個(gè)人(ren)信息綁定��,便(bian)于安(an)全管理;
6��、內(nèi)部員工可(ke)通過自己(ji)的辦公設(shè)備(bei)在企業(yè)大(da)樓內(nèi)快(kuai)速移動(dòng)辦公(gong)��,網(wǎng)絡(luò)(luo)接入(ru)更快速��,上網(wǎng)(wang)行為(wei)管理系統(tǒng)對(duì)員(yuan)工上(shang)網(wǎng)行為(wei)進(jìn)行審計(jì)(ji)與管控(kong)
7��、來訪客戶接(jie)入企業(yè)網(wǎng)(wang)絡(luò)��,可根據(jù)不(bu)同需求��,分配不(bu)同的上網(wǎng)權(quán)限(xian)��,保證(zheng)了接(jie)入的安(an)全性同時(shí)提(ti)升群眾上(shang)網(wǎng)的體驗(yàn)(yan)
8��、豐富的認(rèn)證機(jī)(ji)制��,滿足(zu)組織(zhi)對(duì)無(wu)線網(wǎng)絡(luò)安全��、快(kuai)速接(jie)入
9��、投資(zi)成本低��,通過部(bu)署無線控制(zhi)器替換原有(you)網(wǎng)絡(luò)(luo)的出口路由��、行(xing)為管(guan)理以及無線(xian)控制器
