?
大型企業(yè)在(zai)無線(xian)網(wǎng)絡(luò)建設(shè)期(qi)間要(yao)充分考(kao)慮訪(fang)客(領(lǐng)導(dǎo)���、客戶(hu)���、合作(zuo)伙伴)接(jie)入網(wǎng)絡(luò)的需(xu)求���。首(shou)先從安全性考(kao)慮,訪客網(wǎng)絡(luò)必(bi)須要和辦(ban)公網(wǎng)絡(luò)分開(kai)���,訪客網(wǎng)絡(luò)(luo)單獨(dú)提供(gong)給訪客使(shi)用���。從用戶(hu)體驗(yàn)角度(du)考慮(lv)���,訪客接(jie)入網(wǎng)(wang)絡(luò)的驗(yàn)證(zheng)方式一定(ding)要做到簡(jian)單易行,繁瑣(suo)的驗(yàn)證方式會(hui)降低訪客對(dui)企業(yè)的(de)整體(ti)印象���。同時對(dui)于訪客(ke)網(wǎng)絡(luò)���,企業(yè)還(hai)需要(yao)建立完善的網(wǎng)(wang)絡(luò)安全管理(li)機(jī)制,避免(mian)由于訪客的(de)網(wǎng)絡(luò)不(bu)良訪問給企(qi)業(yè)帶(dai)來的法律風(fēng)(feng)險(xiǎn)���。對(dui)于企業(yè)(ye)員工移動辦公(gong)上網(wǎng)���,更需(xu)要做(zuo)到可管控,上(shang)網(wǎng)行為(wei)做到(dao)可追溯(su)���,企業(yè)有效的(de)帶寬資源(yuan)得到(dao)合理的分配和(he)保證���,才能使(shi)企業(yè)(ye)的業(yè)務(wù)(wu)系統(tǒng)正常且(qie)穩(wěn)定高(gao)效地運(yùn)(yun)行,同時(shi)保證企(qi)業(yè)信(xin)息安(an)全���,避免機(jī)密(mi)信息泄露���。
存在(zai)的問題(用戶(hu)需求)
1���、接入(ru)不安全:缺(que)乏安(an)全可靠的認(rèn)(ren)證機(jī)制(zhi),企業(yè)無線網(wǎng)(wang)絡(luò)接入不安(an)全
2���、上網(wǎng)權(quán)(quan)限混亂:缺(que)乏有效的控(kong)制策略(lve)���,員工(gong)上網(wǎng)權(quán)限(xian)不分明
3、數(shù)據(jù)信息(xi)安全:缺乏有(you)效的數(shù)據(jù)加(jia)密機(jī)制���,企業(yè)數(shù)(shu)據(jù)被黑客(ke)竊取篡(cuan)改
4���、無線信號差(cha):AP性能不佳,上(shang)網(wǎng)總(zong)掉線���,點(diǎn)位規(guī)劃(hua)不合理,信號盲(mang)區(qū)多
5���、漫游效果(guo)差:不(bu)能實(shí)現(xiàn)(xian)二三(san)層漫游(you)���,移動辦公(gong)時���,業(yè)(ye)務(wù)中斷
解決方案:
結(jié)合用戶無(wu)線網(wǎng)絡(luò)需(xu)求情況,結(jié)合產(chǎn)(chan)品自身(shen)技術(shù)特點(diǎn)(dian)���,為了滿足用戶(hu)構(gòu)建一個高速(su)���、穩(wěn)定、安(an)全���、可靠���、易于管(guan)理的無線接入(ru)網(wǎng)絡(luò)的需求,本(ben)設(shè)計(jì)方案按(an)照AP+AC的結(jié)(jie)構(gòu)化無(wu)線網(wǎng)絡(luò)解決方(fang)案進(jìn)(jin)行設(shè)計(jì)(ji)���。具體設(shè)計(jì)為在(zai)總部設(shè)置(zhi)總部AC,在(zai)大型分支機(jī)(ji)構(gòu)設(shè)置分支(zhi)AC與分支AP���,中型(xing)分支機(jī)(ji)構(gòu)設(shè)計(jì)二(er)級,三級交換(huan)機(jī)���,分支(zhi)AP���。小微型分支(zhi)機(jī)構(gòu)直接設(shè)置(zhi)分支(zhi)AP���。總部AC可以對大(da)型分支機(jī)構(gòu)(gou)的AC進(jìn)行(xing)管理���,當(dāng)(dang)網(wǎng)點(diǎn)控(kong)制器采(cai)用集中管理(li)的模(mo)式進(jìn)入到中(zhong)心端控制(zhi)器時���,會自動下(xia)載中心端(duan)的公共配置,比(bi)如IP組(zu)���、MAC地址庫���、時間(jian)計(jì)劃、角(jiao)色授(shou)權(quán)���、認(rèn)(ren)證頁面等 ���。總部(bu)AC也可(ke)以直接管理中(zhong)小型分支機(jī)構(gòu)(gou)的分(fen)支AP���,實(shí)(shi)現(xiàn)統(tǒng)(tong)一管理。
方案設(shè)計(jì):
安全無線整體(ti)解決方(fang)案:
接入前&接入(ru)時進(jìn)行身份認(rèn)(ren)證、安全無(wu)線網(wǎng)卡(ka)���、賬號(hao)綁定(硬件碼(ma)+手機(jī)號(hao))���,非法熱點(diǎn)(dian)檢測及防御、網(wǎng)(wang)絡(luò)攻擊防護(hù)(hu)���、射頻定時(shi)關(guān)閉(bi)及安全加固���。
接入后&上網(wǎng)時(shi)進(jìn)行訪問(wen)權(quán)限控制。
上網(wǎng)(wang)后進(jìn)行上網(wǎng)(wang)行為(wei)記錄���。
上網(wǎng)用(yong)戶身(shen)份實(shí)名(ming)認(rèn)證:
無線辦公網(wǎng)采(cai)用802.1X/Portal/WAPI認(rèn)證(zheng)���,外置AAA和RADIUS+AD用(yong)于存儲用戶(hu)賬號密碼。
每個賬號對應(yīng)(ying)一個員工���,包(bao)括姓名(ming)���、部門、性(xing)別以及身份(fen)證���、手機(jī)(ji)號等個人(ren)信息���,保證每(mei)個上網(wǎng)的(de)賬號都是(shi)可尋的���,便(bian)于安全管理。
用戶(hu)輸入(ru)賬號密碼上(shang)網(wǎng)驗(yàn)(yan)證時(shi)均采用加(jia)密傳輸���,防止(zhi)黑客空中攔截(jie)���,竊取賬號(hao)密碼等(deng)數(shù)據(jù)。
上網(wǎng)賬號自動(dong)綁定終端(duan):
自動(dong)將賬號(hao)與終端的硬(ying)件特征碼進(jìn)行(xing)綁定���,防止賬(zhang)號被他人(ren)使用或者(zhe)被盜用���。
每臺(tai)設(shè)備的(de)硬件特征碼是(shi)唯一的,無(wu)法通過軟件(jian)修改(gai)���。即使通過軟(ruan)件修改了(le)仍然(ran)可以識別原始(shi)的���。
每個賬號最(zui)多可以(yi)綁定5臺(tai)終端,超過1臺時(shi)需要管(guan)理員審(shen)核���。
上網(wǎng)(wang)賬號二次(ci)綁定手機(jī)號(hao)碼:
賬號首次登陸(lu)時需要(yao)綁定手(shou)機(jī)號并輸入短(duan)信驗(yàn)(yan)證碼���,當(dāng)用戶賬(zhang)號在新終端(duan)登陸時(換終端(duan)/被他用/被盜),不(bu)僅需要(yao)輸入密(mi)碼���,還(hai)需要輸入短信(xin)驗(yàn)證碼(ma)���,解決員(yuan)工賬號認(rèn)證的(de)安全問題
綁定手機(jī)(ji)號碼的(de)用戶,可以自助(zhu)重置密碼(ma)和修(xiu)改密碼���,無需(xu)通過(guo)IT管理員���。
用戶密碼(ma)管理(li)及自助修(xiu)改:
無需通過(guo)管理員即可(ke)修改密碼(ma),提高效率及減(jian)輕管理(li)員工作壓力���。
通過口袋助理(li)���、釘釘、企業(yè)號(hao)等手(shou)機(jī)MOA類APP軟(ruan)件進(jìn)行無線密(mi)碼修改���。
若賬號綁定(ding)了手機(jī)號(hao)碼���,可通過手機(jī)(ji)驗(yàn)證碼自助修(xiu)改���。
上網(wǎng)終端合法(fa)效驗(yàn):
采用安全(quan)無線網(wǎng)(wang)卡接入無(wu)線網(wǎng)絡(luò)(luo),終端與(yu)AP熱點(diǎn)的雙向驗(yàn)(yan)證���,提(ti)高安全性���。
可以將無線(xian)網(wǎng)絡(luò)設(shè)置為只(zhi)有安裝了安全(quan)無線網(wǎng)(wang)卡的終(zhong)端才能接(jie)入無線(xian)網(wǎng)絡(luò)。
支持設(shè)置安(an)全無線網(wǎng)(wang)卡只能連指(zhi)定SSID無(wu)線網(wǎng)絡(luò)(luo)���,無法(fa)連接(jie)非授權(quán)SSID���。
網(wǎng)卡(ka)與AP數(shù)(shu)據(jù)傳輸(shu)時自動(dong)進(jìn)行數(shù)(shu)據(jù)加(jia)密,保證無線的(de)空口安全(quan)���。
無線熱點(diǎn)掃(sao)描及(ji)非法熱點(diǎn)抑(yi)制:
背景:黑客在(zai)附近(jin)搭建一個一(yi)模一樣或(huo)者類似的WIFI名(ming)稱���,誘使用(yong)戶連到虛(xu)假釣魚(yu)WIFI上,黑客利用分(fen)析軟件從(cong)用戶上網(wǎng)產(chǎn)(chan)生的數(shù)據(jù)包中(zhong)分析提取用(yong)戶隱(yin)私信息(xi)���。
我們通(tong)過WIPS無線入侵防(fang)御系統(tǒng)實(shí)時(shi)檢測周圍無(wu)線信(xin)號���,當(dāng)檢(jian)測出來的信(xin)號BSSID���、且(qie)AP源MAC地址不在授(shou)權(quán)列表中時(shi),我們向?qū)?yīng)的(de)AP和終端發(fā)(fa)送解(jie)除關(guān)聯(lián)幀���,讓終(zhong)端無(wu)法連上(shang)釣魚WIFI。7×24小時(shi)不間(jian)斷監(jiān)測網(wǎng)(wang)絡(luò)���。
上網(wǎng)行為(wei)嚴(yán)格控制:
強(qiáng)大(da)的管理:通過(guo)應(yīng)用識別技術(shù)(shu)���,可以根據(jù)應(yīng)用(yong)類型或者具體(ti)某一種(zhong)應(yīng)用進(jìn)行(xing)封堵,包括視頻(pin)���、論壇���、游戲(xi)、金融���、下(xia)載等2400多種(zhong)網(wǎng)絡(luò)(luo)應(yīng)用���。
通過應(yīng)用識(shi)別技術(shù)(shu)���,可以根據(jù)(ju)應(yīng)用類(lei)型或者具體某(mou)一種應(yīng)用進(jìn)行(xing)封堵(du),比如上(shang)班時間不允(yun)許炒股���,不(bu)允許P2P下載���,不允(yun)許外發(fā)(fa)敏感文(wen)件等; 支持主(zhu)流移動平臺���,可(ke)識別(bie)IM���、社交、Mail���、新聞���、炒(chao)股等應(yīng)(ying)用。
無線控制器內(nèi)(nei)置千(qian)萬級別(bie)的URL分類(lei)庫���,能夠?qū)RL進(jìn)行(xing)識別���,包含(han)新聞���、購(gou)物、金融���、教育(yu)等18個種(zhong)類的URL地(di)址���; 準(zhǔn)(zhun)確識別目前主(zhu)流網(wǎng)(wang)站,識別率(lv)高達(dá)99.9%���,有效實(shí)現(xiàn)(xian)網(wǎng)頁(ye)過濾。例(li)如禁止(zhi)登陸(lu)非法網(wǎng)站
通過基于時(shi)間段的(de)訪問控(kong)制策略(lve)���,實(shí)現(xiàn)(xian)不同的時間段(duan)不同(tong)的訪問權(quán)限���,比(bi)如上班(ban)時間,禁(jin)止訪問網(wǎng)上(shang)銀行���、游(you)戲���、論壇(tan)貼吧等與工(gong)作無(wu)關(guān)的應(yīng)用(yong),下班時(shi)間則不受(shou)限制(zhi)。
辦公(gong)區(qū)域(yu)內(nèi)���,不同辦公部(bu)門總會(hui)有各自(zi)專屬的(de)無線(xian)網(wǎng)絡(luò)���,并且(qie)不希望部門之(zhi)外的成員使用(yong)這個網(wǎng)絡(luò)。無線(xian)網(wǎng)絡(luò)控制器可(ke)以根據(jù)用戶的(de)屬性���,限(xian)制禁止非(fei)本部門的用戶(hu)接入���。
典型無線網(wǎng)(wang)絡(luò)攻(gong)擊防護(hù)(hu):
對典型(xing)的危險(xiǎn)攻擊行(xing)為進(jìn)行(xing)檢測,當(dāng)超(chao)過設(shè)定(ding)的閾值后自(zi)動將(jiang)攻擊者加入到(dao)黑名單中���,并(bing)凍結(jié)一定(ding)時間���,即(ji)時發(fā)現(xiàn)(xian)網(wǎng)絡(luò)(luo)攻擊并(bing)進(jìn)行防御。
檢測(ce)的攻擊包括:DDOS防(fang)御���、ARP掃描(miao)���、IP掃描、端口掃(sao)描防(fang)御���,禁止客戶端(duan)私設(shè)(she)IP以及ARP���、網(wǎng)關(guān)(guan)欺騙防御���、DHCP請(qing)求泛洪(hong)防御。
無線射頻定(ding)時關(guān)閉開啟(qi):
通過射頻(pin)關(guān)閉控(kong)制策略���,可以(yi)指定某SSID網(wǎng)絡(luò)���,定(ding)時自動關(guān)(guan)閉和開(kai)啟無線網(wǎng)絡(luò)(luo)的射頻(pin)信號(hao),晚上下(xia)班后自動關(guān)閉(bi)無線射頻信(xin)號���。
一方面可(ke)以節(jié)能(neng)減排���、節(jié)省(sheng)電費(fèi)支出���;另一(yi)方面又能防止(zhi)非法用戶利用(yong)深夜(ye)時間入侵無(wu)線網(wǎng)(wang)絡(luò)���,做一些(xie)非法(fa)的操作。
有線(xian)無線一體化(hua)管理:
NAC的有線無線(xian)一體(ti)化���,支持對有(you)線用戶的接入(ru)認(rèn)證���、訪(fang)問控制���、流量管(guan)理、上網(wǎng)行為審(shen)計(jì)等���,
并提供統(tǒng)(tong)一中文Web管理界(jie)面���,一(yi)站式服(fu)務(wù),極大(da)的降低網(wǎng)絡(luò)建(jian)設(shè)成本���。
網(wǎng)絡(luò)分權(quán)(quan)分級管理:
分配(pei)不同的管理(li)員分別管理各(ge)自權(quán)限區(qū)域(yu)的無線(xian)AP���,可以精細(xì)到(dao)對某AP分組有(you)管理權(quán)限,該(gai)管理員(yuan)可以在該AP分(fen)組上(shang)建立無線(xian)網(wǎng)絡(luò)���,能夠激活(huo)���、刪除接入(ru)點(diǎn),能夠(gou)對AP的配置進(jìn)(jin)行編輯(ji)修改(gai)���。
可指定管(guan)理員針(zhen)對每個頁面的(de)編輯或可查看(kan)權(quán)限���,控(kong)制粒度到控制(zhi)器上的(de)各個頁面(mian)���,對某個(ge)頁面沒(mei)有讀(du)權(quán)限則(ze)登錄時不(bu)顯示。
移動(dong)APP隨時隨地運(yùn)(yun)維管理:
支持跨互聯(lián)網(wǎng)(wang)運(yùn)維管理
登陸(lu)APP進(jìn)行維護(hù)管(guan)理:不同(tong)管理員���,不同(tong)權(quán)限
查看網(wǎng)絡(luò)(luo)運(yùn)行(xing)情況:在(zai)線用戶���、在線(xian)AP數(shù)量(liang)、實(shí)時流量
無線網(wǎng)(wang)絡(luò)管理維護(hù):開(kai)啟關(guān)閉(bi)SSID���、終端(duan)綁定審批���、二維(wei)碼上網(wǎng)審核
故障、審批實(shí)時(shi)通知(zhi):AP離線警告���、服務(wù)(wu)器離線警告、網(wǎng)(wang)絡(luò)攻(gong)擊告警(jing)
方案優(yōu)勢(shi):
1���、最豐富的無線(xian)安全機(jī)(ji)制���,提供從安全(quan)接入到安(an)全上網(wǎng)等端到(dao)端的安全策略(lve)
2���、合理管控工(gong)作人員上網(wǎng)(wang)行為(wei),提升工作(zuo)效率���、防止(zhi)帶寬(kuan)浪費(fèi)���,有線無(wu)線雙重管(guan)控
3、為會(hui)議室���,報(bào)告(gao)廳等人(ren)員密集區(qū)域接(jie)入網(wǎng)絡(luò)提(ti)高保證���,解決有(you)線網(wǎng)口(kou)不足的問(wen)題;
4���、為企業(yè)員(yuan)工的移動辦公(gong)提供支撐���,內(nèi)部(bu)員工可通過(guo)無線(xian)網(wǎng)絡(luò)隨時(shi)安全接入內(nèi)部(bu)網(wǎng)絡(luò),實(shí)現(xiàn)辦(ban)公���;
5���、內(nèi)部(bu)員工賬號及(ji)個人信(xin)息綁(bang)定���,便于(yu)安全管(guan)理;
6���、內(nèi)部(bu)員工可通(tong)過自(zi)己的辦公設(shè)(she)備在企業(yè)大(da)樓內(nèi)快速(su)移動(dong)辦公���,網(wǎng)絡(luò)接(jie)入更快速,上網(wǎng)(wang)行為(wei)管理(li)系統(tǒng)對員工上(shang)網(wǎng)行(xing)為進(jìn)行審計(jì)(ji)與管控
7���、來訪客戶接入(ru)企業(yè)網(wǎng)絡(luò)(luo)���,可根(gen)據(jù)不同需(xu)求,分配不同(tong)的上網(wǎng)(wang)權(quán)限���,保證了接(jie)入的安全性(xing)同時提升群(qun)眾上網(wǎng)的體(ti)驗(yàn)
8���、豐富(fu)的認(rèn)(ren)證機(jī)制,滿足組(zu)織對無線網(wǎng)(wang)絡(luò)安全���、快速接(jie)入
9���、投資成本(ben)低,通過(guo)部署無線控(kong)制器(qi)替換原有網(wǎng)絡(luò)(luo)的出(chu)口路(lu)由���、行為管理以(yi)及無線(xian)控制器
