?
大型企(qi)業(yè)在無(wu)線網(wǎng)(wang)絡建設(she)期間要(yao)充分(fen)考慮(lv)訪客(領(lǐng)(ling)導�����、客戶、合作伙(huo)伴)接(jie)入網(wǎng)絡的需求(qiu)�����。首先從安全(quan)性考慮(lv),訪客網(wǎng)(wang)絡必須要和(he)辦公(gong)網(wǎng)絡分(fen)開�����,訪(fang)客網(wǎng)絡(luo)單獨提供(gong)給訪客使(shi)用�����。從(cong)用戶(hu)體驗(yan)角度考慮(lv)�����,訪客接(jie)入網(wǎng)(wang)絡的驗證(zheng)方式一(yi)定要做到簡單(dan)易行(xing)�����,繁瑣的驗證(zheng)方式(shi)會降低訪(fang)客對企業(yè)的整(zheng)體印象(xiang)�����。同時(shi)對于訪客網(wǎng)(wang)絡�����,企業(yè)還需要(yao)建立完(wan)善的網(wǎng)絡(luo)安全管理機(ji)制�����,避(bi)免由于訪客(ke)的網(wǎng)絡不(bu)良訪(fang)問給企(qi)業(yè)帶來的法(fa)律風險�����。對于企(qi)業(yè)員(yuan)工移動辦公(gong)上網(wǎng)�����,更需要(yao)做到可(ke)管控�����,上網(wǎng)行為(wei)做到可(ke)追溯�����,企(qi)業(yè)有效的(de)帶寬資(zi)源得到合(he)理的分配和(he)保證�����,才能使企(qi)業(yè)的業(yè)務系統(tǒng)(tong)正常(chang)且穩(wěn)定(ding)高效(xiao)地運(yun)行�����,同時(shi)保證企業(yè)(ye)信息安全,避(bi)免機(ji)密信息泄露�����。
存在的問(wen)題(用(yong)戶需(xu)求)
1�����、接入不安全(quan):缺乏安全可(ke)靠的認(ren)證機制(zhi)�����,企業(yè)無(wu)線網(wǎng)(wang)絡接入不安(an)全
2�����、上網(wǎng)權(quán)限混亂(luan):缺乏有效的(de)控制(zhi)策略�����,員工上(shang)網(wǎng)權(quán)限(xian)不分明
3�����、數(shù)據(jù)信息安全(quan):缺乏有(you)效的數(shù)(shu)據(jù)加密(mi)機制�����,企業(yè)數(shù)據(jù)(ju)被黑客竊取(qu)篡改
4�����、無線信號(hao)差:AP性能不(bu)佳�����,上網(wǎng)總(zong)掉線�����,點位(wei)規(guī)劃不(bu)合理�����,信號盲(mang)區(qū)多
5�����、漫游效果差:不(bu)能實(shi)現(xiàn)二三層漫游(you)�����,移動辦(ban)公時,業(yè)務中斷(duan)
解決方案:
結(jié)合(he)用戶無(wu)線網(wǎng)絡需求情(qing)況�����,結(jié)合產(chǎn)品自(zi)身技術(shù)特點(dian)�����,為了滿(man)足用戶構(gòu)建一(yi)個高速(su)�����、穩(wěn)定�����、安全�����、可(ke)靠�����、易(yi)于管理的無(wu)線接入網(wǎng)(wang)絡的需求(qiu)�����,本設計(ji)方案(an)按照AP+AC的(de)結(jié)構(gòu)化無線網(wǎng)(wang)絡解決(jue)方案進(jin)行設(she)計�����。具體設計(ji)為在總部設(she)置總部AC,在大型(xing)分支機(ji)構(gòu)設置分支AC與(yu)分支AP�����,中(zhong)型分支機(ji)構(gòu)設計(ji)二級(ji)�����,三級交換機�����,分(fen)支AP�����。小微型分支(zhi)機構(gòu)直接設(she)置分支AP�����。總部(bu)AC可以對大型分(fen)支機(ji)構(gòu)的(de)AC進行管理�����,當(dang)網(wǎng)點控制器(qi)采用集中管(guan)理的(de)模式進入(ru)到中心端控制(zhi)器時(shi)�����,會自動下載中(zhong)心端的(de)公共配(pei)置�����,比如IP組�����、MAC地址(zhi)庫�����、時間計(ji)劃�����、角色授權(quán)�����、認(ren)證頁面(mian)等 �����?����?偛緼C也可(ke)以直(zhi)接管理中小型(xing)分支機構(gòu)的分(fen)支AP�����,實現(xiàn)統(tǒng)一(yi)管理�����。
方案(an)設計:
安全(quan)無線整(zheng)體解決方(fang)案:
接入前&接(jie)入時進行(xing)身份認證�����、安全(quan)無線網(wǎng)卡�����、賬(zhang)號綁(bang)定(硬件(jian)碼+手機(ji)號),非法熱點檢(jian)測及防御(yu)�����、網(wǎng)絡攻(gong)擊防(fang)護�����、射頻定時關(guān)(guan)閉及(ji)安全(quan)加固�����。
接入后&上(shang)網(wǎng)時(shi)進行訪問(wen)權(quán)限控(kong)制�����。
上網(wǎng)后進(jin)行上(shang)網(wǎng)行為記(ji)錄�����。
上網(wǎng)用戶身份(fen)實名認證(zheng):
無線辦公網(wǎng)(wang)采用(yong)802.1X/Portal/WAPI認證(zheng)�����,外置AAA和RADIUS+AD用于存(cun)儲用戶賬號密(mi)碼�����。
每個賬號(hao)對應一(yi)個員工�����,包括(kuo)姓名(ming)�����、部門(men)�����、性別以及(ji)身份(fen)證�����、手機(ji)號等個人信息(xi)�����,保證每個(ge)上網(wǎng)的賬(zhang)號都是可尋的(de),便于安全管理(li)�����。
用戶輸(shu)入賬號密(mi)碼上網(wǎng)(wang)驗證(zheng)時均(jun)采用加密(mi)傳輸�����,防止黑(hei)客空中(zhong)攔截(jie)�����,竊取賬號密(mi)碼等數(shù)據(jù)(ju)�����。
上網(wǎng)(wang)賬號自動綁(bang)定終端(duan):
自動將賬(zhang)號與終端的硬(ying)件特征(zheng)碼進行(xing)綁定�����,防止(zhi)賬號被他人使(shi)用或者被盜用(yong)�����。
每臺(tai)設備的硬(ying)件特征碼(ma)是唯一的�����,無法(fa)通過(guo)軟件修改�����。即(ji)使通過軟件(jian)修改了仍然可(ke)以識(shi)別原始的(de)�����。
每個賬號最多(duo)可以(yi)綁定5臺終(zhong)端�����,超過1臺時(shi)需要管理員審(shen)核�����。
上網(wǎng)賬(zhang)號二次綁定(ding)手機號(hao)碼:
賬號(hao)首次登陸時(shi)需要綁(bang)定手(shou)機號并輸(shu)入短信驗證碼(ma)�����,當用戶賬(zhang)號在新終(zhong)端登陸時(換終(zhong)端/被他用/被(bei)盜)�����,不(bu)僅需要輸入密(mi)碼,還需要(yao)輸入短(duan)信驗證碼(ma)�����,解決員工賬(zhang)號認證的(de)安全問(wen)題
綁定手(shou)機號(hao)碼的(de)用戶�����,可以(yi)自助重置密碼(ma)和修改密碼�����,無(wu)需通過IT管理員(yuan)�����。
用戶密碼管(guan)理及(ji)自助修改:
無需通過(guo)管理員即(ji)可修改密碼�����,提(ti)高效率及減輕(qing)管理(li)員工作壓力(li)�����。
通過(guo)口袋助理(li)�����、釘釘、企業(yè)號(hao)等手(shou)機MOA類APP軟件進行(xing)無線密(mi)碼修改�����。
若賬號綁(bang)定了(le)手機號碼�����,可(ke)通過手機驗(yan)證碼自助修(xiu)改�����。
上網(wǎng)終(zhong)端合(he)法效驗:
采用安全無(wu)線網(wǎng)卡接入無(wu)線網(wǎng)絡�����,終端與(yu)AP熱點的雙(shuang)向驗證�����,提(ti)高安全(quan)性�����。
可以將無(wu)線網(wǎng)絡(luo)設置(zhi)為只有安裝(zhuang)了安全無線網(wǎng)(wang)卡的(de)終端才能接(jie)入無(wu)線網(wǎng)絡�����。
支持設置安全(quan)無線網(wǎng)卡只(zhi)能連指定SSID無(wu)線網(wǎng)絡�����,無法(fa)連接非授(shou)權(quán)SSID�����。
網(wǎng)卡與(yu)AP數(shù)據(jù)(ju)傳輸時(shi)自動進行(xing)數(shù)據(jù)加密�����,保證(zheng)無線的空(kong)口安全�����。
無線(xian)熱點掃描(miao)及非(fei)法熱(re)點抑制:
背景:黑客在(zai)附近搭建一個(ge)一模一樣(yang)或者類似的WIFI名(ming)稱�����,誘使用戶(hu)連到虛假釣(diao)魚WIFI上�����,黑(hei)客利用分(fen)析軟件從(cong)用戶上(shang)網(wǎng)產(chǎn)生的(de)數(shù)據(jù)包中分析(xi)提取用戶隱私(si)信息。
我們通過(guo)WIPS無線(xian)入侵防御(yu)系統(tǒng)實(shi)時檢(jian)測周(zhou)圍無線信號(hao)�����,當檢測出(chu)來的信號BSSID�����、且AP源(yuan)MAC地址(zhi)不在授權(quán)列表(biao)中時�����,我們(men)向?qū)?dui)應的(de)AP和終端發(fā)送(song)解除關(guān)聯(lián)幀�����,讓(rang)終端(duan)無法連上釣魚(yu)WIFI�����。7×24小時不間斷(duan)監(jiān)測網(wǎng)絡�����。
上網(wǎng)行為嚴(yan)格控制(zhi):
強大的管理(li):通過(guo)應用識別(bie)技術(shù)(shu)�����,可以根(gen)據(jù)應用類(lei)型或者具體(ti)某一種應用(yong)進行封堵�����,包括(kuo)視頻�����、論壇�����、游戲(xi)�����、金融(rong)�����、下載等(deng)2400多種網(wǎng)絡應用(yong)。
通過應(ying)用識別技術(shù)�����,可(ke)以根據(jù)應用(yong)類型或者(zhe)具體(ti)某一種(zhong)應用(yong)進行(xing)封堵�����,比如上班(ban)時間(jian)不允許炒股�����,不(bu)允許(xu)P2P下載�����,不允許外(wai)發(fā)敏感(gan)文件等�����; 支持主(zhu)流移動平(ping)臺�����,可識別IM�����、社交(jiao)�����、Mail�����、新聞�����、炒股(gu)等應用�����。
無線控制器內(nèi)(nei)置千萬(wan)級別的URL分類庫(ku)�����,能夠?qū)RL進(jin)行識別�����,包(bao)含新聞(wen)、購物�����、金融�����、教育(yu)等18個種類的URL地(di)址�����; 準確識別目(mu)前主流(liu)網(wǎng)站�����,識別(bie)率高達99.9%�����,有效(xiao)實現(xiàn)網(wǎng)頁(ye)過濾�����。例如禁(jin)止登(deng)陸非(fei)法網(wǎng)站
通過(guo)基于時間段(duan)的訪(fang)問控制策(ce)略�����,實現(xiàn)(xian)不同(tong)的時間段(duan)不同(tong)的訪問權(quán)限�����,比(bi)如上班時間�����,禁(jin)止訪(fang)問網(wǎng)(wang)上銀行�����、游(you)戲�����、論壇貼吧等(deng)與工(gong)作無(wu)關(guān)的應用(yong)�����,下班時(shi)間則(ze)不受限制�����。
辦公區(qū)域內(nèi),不(bu)同辦公(gong)部門總會有(you)各自專屬的(de)無線網(wǎng)絡�����,并且(qie)不希望部門(men)之外的成(cheng)員使用這個(ge)網(wǎng)絡�����。無線(xian)網(wǎng)絡控制器可(ke)以根據(jù)用(yong)戶的(de)屬性�����,限制禁(jin)止非本部門(men)的用戶接(jie)入�����。
典型無線(xian)網(wǎng)絡攻擊防(fang)護:
對典型的危險(xian)攻擊行為進(jin)行檢測�����,當(dang)超過設定的閾(yu)值后自動將(jiang)攻擊者(zhe)加入到黑名(ming)單中(zhong)�����,并凍結(jié)一定(ding)時間�����,即時(shi)發(fā)現(xiàn)網(wǎng)絡(luo)攻擊并進行防(fang)御�����。
檢測的攻(gong)擊包括:DDOS防御(yu)�����、ARP掃描�����、IP掃描(miao)�����、端口(kou)掃描防御�����,禁(jin)止客戶端私(si)設IP以及ARP�����、網(wǎng)(wang)關(guān)欺騙防御、DHCP請(qing)求泛洪(hong)防御�����。
無線射(she)頻定時關(guān)閉開(kai)啟:
通過射頻(pin)關(guān)閉(bi)控制(zhi)策略�����,可以(yi)指定某SSID網(wǎng)絡�����,定(ding)時自動關(guān)閉(bi)和開啟無(wu)線網(wǎng)(wang)絡的射頻信(xin)號�����,晚上下(xia)班后自動關(guān)(guan)閉無線射(she)頻信號(hao)�����。
一方(fang)面可以節(jié)能減(jian)排�����、節(jié)省(sheng)電費支出�����;另(ling)一方面又能防(fang)止非法(fa)用戶利用(yong)深夜時間入(ru)侵無線(xian)網(wǎng)絡(luo)�����,做一(yi)些非(fei)法的操作�����。
有線(xian)無線一(yi)體化管理:
NAC的有線無線一(yi)體化(hua)�����,支持對有線用(yong)戶的接入認證(zheng)�����、訪問控(kong)制�����、流量管(guan)理�����、上網(wǎng)行(xing)為審計等,
并提(ti)供統(tǒng)一(yi)中文Web管理(li)界面�����,一(yi)站式服(fu)務�����,極(ji)大的降低網(wǎng)絡(luo)建設成本�����。
網(wǎng)絡分權(quán)分級(ji)管理:
分配不同(tong)的管理(li)員分別(bie)管理各自(zi)權(quán)限(xian)區(qū)域的無(wu)線AP�����,可以(yi)精細到對(dui)某AP分組有管(guan)理權(quán)限�����,該管理(li)員可以在(zai)該AP分組上建立(li)無線(xian)網(wǎng)絡�����,能夠激活(huo)、刪除接入點�����,能(neng)夠?qū)P的配(pei)置進行編(bian)輯修改�����。
可指定管理員(yuan)針對(dui)每個頁面的(de)編輯或可查(cha)看權(quán)限�����,控(kong)制粒度(du)到控制器上的(de)各個頁(ye)面�����,對某(mou)個頁面(mian)沒有(you)讀權(quán)限(xian)則登錄(lu)時不顯示�����。
移動APP隨時隨(sui)地運維管(guan)理:
支持跨(kua)互聯(lián)網(wǎng)(wang)運維管(guan)理
登陸APP進行維護(hu)管理:不同管(guan)理員�����,不同(tong)權(quán)限
查看網(wǎng)絡運行(xing)情況:在線用戶(hu)�����、在線AP數(shù)量�����、實時(shi)流量
無線網(wǎng)絡(luo)管理維(wei)護:開啟關(guān)(guan)閉SSID�����、終端綁(bang)定審批�����、二維碼(ma)上網(wǎng)審核(he)
故障�����、審批(pi)實時通知:AP離(li)線警(jing)告�����、服務器(qi)離線警告�����、網(wǎng)(wang)絡攻擊告警(jing)
方案優(yōu)勢:
1、最豐(feng)富的無線(xian)安全機制�����,提(ti)供從安全(quan)接入到安全(quan)上網(wǎng)等端到端(duan)的安全策(ce)略
2�����、合理管控工(gong)作人員上(shang)網(wǎng)行為�����,提升(sheng)工作效率(lv)�����、防止帶寬浪費(fei)�����,有線(xian)無線(xian)雙重管控(kong)
3�����、為會(hui)議室�����,報(bao)告廳等(deng)人員密集(ji)區(qū)域接入網(wǎng)(wang)絡提高保證�����,解(jie)決有線網(wǎng)口不(bu)足的問題�����;
4�����、為企(qi)業(yè)員工的移動(dong)辦公提供(gong)支撐�����,內(nèi)(nei)部員工可(ke)通過無(wu)線網(wǎng)絡隨(sui)時安全接(jie)入內(nèi)部(bu)網(wǎng)絡�����,實現(xiàn)辦公(gong)�����;
5、內(nèi)部員工賬(zhang)號及個人(ren)信息綁定(ding)�����,便于安(an)全管理�����;
6�����、內(nèi)部(bu)員工可通過(guo)自己的辦公設(she)備在企(qi)業(yè)大樓內(nèi)快速(su)移動辦(ban)公�����,網(wǎng)絡接入(ru)更快速(su)�����,上網(wǎng)行為(wei)管理系統(tǒng)對(dui)員工上網(wǎng)行(xing)為進行(xing)審計與(yu)管控(kong)
7�����、來訪客戶接入(ru)企業(yè)網(wǎng)絡�����,可根(gen)據(jù)不同需求�����,分(fen)配不(bu)同的上(shang)網(wǎng)權(quán)限�����,保(bao)證了接入的(de)安全性(xing)同時提(ti)升群眾上(shang)網(wǎng)的體驗
8�����、豐富的認證(zheng)機制�����,滿(man)足組織對無(wu)線網(wǎng)(wang)絡安全�����、快速(su)接入
9�����、投資成本低(di),通過部署(shu)無線(xian)控制器替換原(yuan)有網(wǎng)絡的出口(kou)路由(you)�����、行為管理(li)以及無線(xian)控制器
