?
大型(xing)企業(yè)在無(wu)線網(wǎng)絡(luò)建設(shè)(she)期間(jian)要充分考(kao)慮訪客(領(lǐng)導(dǎo)(dao)�����、客戶、合作(zuo)伙伴)接入網(wǎng)(wang)絡(luò)的需求�����。首(shou)先從安全性(xing)考慮�����,訪客網(wǎng)(wang)絡(luò)必(bi)須要和辦(ban)公網(wǎng)絡(luò)(luo)分開�����,訪客(ke)網(wǎng)絡(luò)(luo)單獨(dú)(du)提供給訪客使(shi)用�����。從用(yong)戶體驗(yàn)角度考(kao)慮�����,訪(fang)客接(jie)入網(wǎng)絡(luò)的驗(yàn)(yan)證方式(shi)一定(ding)要做(zuo)到簡(jian)單易行�����,繁瑣(suo)的驗(yàn)證方式會(hui)降低訪(fang)客對企(qi)業(yè)的(de)整體印(yin)象�����。同時(shí)對于訪(fang)客網(wǎng)絡(luò)�����,企(qi)業(yè)還需要建立(li)完善的網(wǎng)絡(luò)(luo)安全管理機(jī)(ji)制�����,避(bi)免由于(yu)訪客(ke)的網(wǎng)絡(luò)不良訪(fang)問給企業(yè)帶來(lai)的法律風(fēng)險(xiǎn)(xian)�����。對于企業(yè)員工(gong)移動辦公上網(wǎng)(wang)�����,更需(xu)要做到可管控(kong)�����,上網(wǎng)行為(wei)做到(dao)可追溯�����,企(qi)業(yè)有(you)效的帶寬(kuan)資源得到合理(li)的分配和保證(zheng)�����,才能使企業(yè)的(de)業(yè)務(wù)系統(tǒng)正(zheng)常且穩(wěn)定高效(xiao)地運(yùn)行�����,同時(shí)保(bao)證企業(yè)信息安(an)全�����,避免機(jī)密(mi)信息泄露。
存在的問(wen)題(用(yong)戶需求(qiu))
1�����、接入不(bu)安全:缺乏(fa)安全可靠(kao)的認(rèn)證機(jī)制(zhi)�����,企業(yè)無線(xian)網(wǎng)絡(luò)接(jie)入不(bu)安全(quan)
2�����、上網(wǎng)權(quán)(quan)限混亂:缺乏有(you)效的(de)控制策(ce)略�����,員工上網(wǎng)(wang)權(quán)限不分(fen)明
3�����、數(shù)據(jù)信息安(an)全:缺(que)乏有(you)效的數(shù)據(jù)加(jia)密機(jī)(ji)制�����,企業(yè)(ye)數(shù)據(jù)被黑(hei)客竊(qie)取篡改
4�����、無線(xian)信號差(cha):AP性能不佳(jia),上網(wǎng)總掉線(xian)�����,點(diǎn)位(wei)規(guī)劃不合(he)理�����,信號(hao)盲區(qū)多
5�����、漫游效(xiao)果差:不能實(shí)(shi)現(xiàn)二三層(ceng)漫游�����,移動辦公(gong)時(shí)�����,業(yè)(ye)務(wù)中斷
解決方案(an):
結(jié)合(he)用戶無線網(wǎng)(wang)絡(luò)需求情(qing)況�����,結(jié)合產(chǎn)品自(zi)身技術(shù)(shu)特點(diǎn)�����,為了(le)滿足用戶(hu)構(gòu)建一個(gè)高速(su)�����、穩(wěn)定�����、安(an)全�����、可靠(kao)�����、易于管理的(de)無線接(jie)入網(wǎng)絡(luò)的需(xu)求�����,本設(shè)計(jì)方(fang)案按照AP+AC的結(jié)構(gòu)(gou)化無線網(wǎng)絡(luò)解(jie)決方(fang)案進(jìn)行(xing)設(shè)計(jì)。具體設(shè)計(jì)(ji)為在總部(bu)設(shè)置總部AC,在(zai)大型分支機(jī)(ji)構(gòu)設(shè)置(zhi)分支AC與分支(zhi)AP�����,中型分支機(jī)構(gòu)(gou)設(shè)計(jì)(ji)二級(ji)�����,三級交(jiao)換機(jī)(ji)�����,分支AP�����。小(xiao)微型分(fen)支機(jī)構(gòu)直接(jie)設(shè)置分支AP�����?����?偛?bu)AC可以(yi)對大型分(fen)支機(jī)構(gòu)的(de)AC進(jìn)行管(guan)理�����,當(dāng)網(wǎng)點(diǎn)(dian)控制(zhi)器采用集(ji)中管(guan)理的模式進(jìn)入(ru)到中心端控(kong)制器時(shí)�����,會(hui)自動(dong)下載(zai)中心(xin)端的公共配置(zhi)�����,比如(ru)IP組�����、MAC地址庫�����、時(shí)間(jian)計(jì)劃�����、角色(se)授權(quán)(quan)�����、認(rèn)證頁面等(deng) ?����?偛緼C也可(ke)以直接管理(li)中小(xiao)型分支(zhi)機(jī)構(gòu)的分(fen)支AP�����,實(shí)(shi)現(xiàn)統(tǒng)(tong)一管理(li)�����。
方案設(shè)計(jì)(ji):
安全無線(xian)整體(ti)解決方(fang)案:
接入前(qian)&接入時(shí)進(jìn)(jin)行身份認(rèn)(ren)證�����、安(an)全無線網(wǎng)(wang)卡�����、賬號綁(bang)定(硬件(jian)碼+手機(jī)號)�����,非(fei)法熱(re)點(diǎn)檢測及防(fang)御�����、網(wǎng)絡(luò)攻擊(ji)防護(hù)�����、射頻定(ding)時(shí)關(guān)閉(bi)及安(an)全加固�����。
接入后&上網(wǎng)(wang)時(shí)進(jìn)行訪(fang)問權(quán)限控(kong)制�����。
上網(wǎng)后進(jìn)行(xing)上網(wǎng)行(xing)為記(ji)錄�����。
上網(wǎng)用(yong)戶身(shen)份實(shí)(shi)名認(rèn)證:
無線辦公網(wǎng)(wang)采用802.1X/Portal/WAPI認(rèn)證�����,外置(zhi)AAA和RADIUS+AD用(yong)于存儲(chu)用戶(hu)賬號密碼�����。
每個(gè)賬號對應(yīng)(ying)一個(gè)員工,包括(kuo)姓名�����、部門(men)�����、性別(bie)以及身(shen)份證(zheng)�����、手機(jī)號等個(gè)人(ren)信息�����,保證每(mei)個(gè)上網(wǎng)的(de)賬號都是(shi)可尋的(de)�����,便于安(an)全管理�����。
用戶輸入賬號(hao)密碼上網(wǎng)驗(yàn)證(zheng)時(shí)均采(cai)用加密(mi)傳輸�����,防止黑客(ke)空中攔截�����,竊(qie)取賬號密碼(ma)等數(shù)據(jù)�����。
上網(wǎng)賬(zhang)號自動(dong)綁定終(zhong)端:
自動將賬號(hao)與終端(duan)的硬件特征(zheng)碼進(jìn)行綁定�����,防(fang)止賬號被他(ta)人使用或者(zhe)被盜(dao)用�����。
每臺設(shè)備的(de)硬件特征碼是(shi)唯一的�����,無法(fa)通過軟件修改(gai)�����。即使通過軟(ruan)件修(xiu)改了仍然可(ke)以識別原始(shi)的。
每個(gè)賬號最多(duo)可以綁定(ding)5臺終端(duan)�����,超過1臺(tai)時(shí)需要管理(li)員審核�����。
上網(wǎng)賬(zhang)號二次(ci)綁定手機(jī)(ji)號碼:
賬號首次(ci)登陸時(shí)需要(yao)綁定手(shou)機(jī)號(hao)并輸入短信(xin)驗(yàn)證碼�����,當(dāng)(dang)用戶賬號(hao)在新(xin)終端(duan)登陸時(shí)(shi)(換終端(duan)/被他(ta)用/被盜)�����,不僅(jin)需要輸入密碼(ma)�����,還需(xu)要輸入短信(xin)驗(yàn)證碼�����,解決員(yuan)工賬(zhang)號認(rèn)證的安(an)全問題
綁定手(shou)機(jī)號碼(ma)的用戶�����,可(ke)以自助重置密(mi)碼和修(xiu)改密碼�����,無(wu)需通過IT管(guan)理員(yuan)�����。
用戶密碼管理(li)及自(zi)助修改:
無需通過管(guan)理員即可修(xiu)改密碼�����,提(ti)高效(xiao)率及減輕管理(li)員工作壓(ya)力�����。
通過口袋(dai)助理�����、釘(ding)釘�����、企業(yè)(ye)號等手(shou)機(jī)MOA類APP軟件(jian)進(jìn)行無線(xian)密碼修改(gai)。
若賬(zhang)號綁定了手機(jī)(ji)號碼�����,可(ke)通過手機(jī)驗(yàn)(yan)證碼自助修(xiu)改�����。
上網(wǎng)終端合(he)法效驗(yàn):
采用安全無(wu)線網(wǎng)卡接入無(wu)線網(wǎng)(wang)絡(luò)�����,終端(duan)與AP熱點(diǎn)的雙(shuang)向驗(yàn)證(zheng)�����,提高安全(quan)性�����。
可以(yi)將無線網(wǎng)(wang)絡(luò)設(shè)置(zhi)為只有安裝了(le)安全(quan)無線網(wǎng)(wang)卡的終(zhong)端才(cai)能接入(ru)無線網(wǎng)絡(luò)�����。
支持設(shè)置安全(quan)無線網(wǎng)卡只(zhi)能連指定SSID無線(xian)網(wǎng)絡(luò),無法連接(jie)非授(shou)權(quán)SSID�����。
網(wǎng)卡與AP數(shù)據(jù)傳(chuan)輸時(shí)(shi)自動進(jìn)行數(shù)(shu)據(jù)加(jia)密�����,保證無(wu)線的空口安全(quan)�����。
無線熱點(diǎn)掃描(miao)及非(fei)法熱點(diǎn)抑制(zhi):
背景:黑客在附(fu)近搭建一(yi)個(gè)一模(mo)一樣或者類(lei)似的WIFI名稱(cheng)�����,誘使用(yong)戶連(lian)到虛假釣魚(yu)WIFI上�����,黑客利用(yong)分析軟(ruan)件從用(yong)戶上(shang)網(wǎng)產(chǎn)生(sheng)的數(shù)據(jù)(ju)包中分析(xi)提取用戶隱(yin)私信息(xi)�����。
我們通過WIPS無(wu)線入侵防(fang)御系統(tǒng)(tong)實(shí)時(shí)(shi)檢測周(zhou)圍無(wu)線信(xin)號�����,當(dāng)(dang)檢測出來(lai)的信號BSSID�����、且AP源(yuan)MAC地址不在授權(quán)(quan)列表中時(shí)�����,我(wo)們向?qū)?dui)應(yīng)的AP和終端發(fā)(fa)送解(jie)除關(guān)(guan)聯(lián)幀(zhen)�����,讓終(zhong)端無(wu)法連上釣魚(yu)WIFI�����。7×24小時(shí)不間斷監(jiān)(jian)測網(wǎng)絡(luò)�����。
上網(wǎng)行為(wei)嚴(yán)格控制:
強(qiáng)大的(de)管理:通過應(yīng)用(yong)識別技術(shù)(shu)�����,可以根據(jù)應(yīng)用(yong)類型或者具體(ti)某一種應(yīng)(ying)用進(jìn)行封堵(du),包括視頻�����、論(lun)壇�����、游戲�����、金(jin)融�����、下(xia)載等2400多種網(wǎng)(wang)絡(luò)應(yīng)用�����。
通過應(yīng)(ying)用識別技(ji)術(shù)�����,可以根據(jù)應(yīng)(ying)用類型(xing)或者具體(ti)某一種應(yīng)用進(jìn)(jin)行封堵�����,比如(ru)上班時(shí)間不允(yun)許炒股(gu)�����,不允許P2P下(xia)載�����,不(bu)允許外發(fā)(fa)敏感文件等(deng)�����; 支持(chi)主流移動平(ping)臺�����,可識別IM�����、社交(jiao)�����、Mail、新聞�����、炒股等應(yīng)(ying)用�����。
無線控(kong)制器內(nèi)置千(qian)萬級別(bie)的URL分(fen)類庫(ku)�����,能夠?qū)?dui)URL進(jìn)行(xing)識別�����,包(bao)含新聞(wen)�����、購物�����、金(jin)融�����、教育等(deng)18個(gè)種類的URL地址(zhi)�����; 準(zhǔn)確識別(bie)目前主流網(wǎng)站(zhan)�����,識別(bie)率高達(dá)99.9%�����,有效(xiao)實(shí)現(xiàn)網(wǎng)頁過濾(lv)�����。例如禁止登陸(lu)非法網(wǎng)站
通過基于(yu)時(shí)間段(duan)的訪問控(kong)制策略(lve)�����,實(shí)現(xiàn)不(bu)同的時(shí)間段(duan)不同的(de)訪問權(quán)(quan)限�����,比如(ru)上班時(shí)間(jian),禁止訪問網(wǎng)(wang)上銀行�����、游戲(xi)�����、論壇(tan)貼吧(ba)等與工作(zuo)無關(guān)的應(yīng)用�����,下(xia)班時(shí)間則不(bu)受限制�����。
辦公(gong)區(qū)域內(nèi)�����,不同(tong)辦公部門總(zong)會有各自(zi)專屬的無線(xian)網(wǎng)絡(luò)�����,并且不(bu)希望部門之外(wai)的成員使用(yong)這個(gè)(ge)網(wǎng)絡(luò)�����。無線(xian)網(wǎng)絡(luò)控制器(qi)可以根(gen)據(jù)用戶的屬性(xing)�����,限制禁止非(fei)本部(bu)門的(de)用戶接入(ru)�����。
典型無線(xian)網(wǎng)絡(luò)攻擊防(fang)護(hù):
對典(dian)型的危險(xiǎn)攻擊(ji)行為進(jìn)行(xing)檢測�����,當(dāng)超(chao)過設(shè)定的閾(yu)值后自動將攻(gong)擊者加入(ru)到黑(hei)名單(dan)中�����,并凍結(jié)(jie)一定時(shí)間(jian)�����,即時(shí)(shi)發(fā)現(xiàn)網(wǎng)(wang)絡(luò)攻擊并進(jìn)(jin)行防御�����。
檢測(ce)的攻擊包括:DDOS防(fang)御、ARP掃(sao)描�����、IP掃描�����、端口掃(sao)描防御�����,禁(jin)止客戶端私(si)設(shè)IP以(yi)及ARP�����、網(wǎng)(wang)關(guān)欺騙防御�����、DHCP請(qing)求泛洪防御(yu)�����。
無線射頻定(ding)時(shí)關(guān)閉開啟:
通過(guo)射頻關(guān)(guan)閉控制策略�����,可(ke)以指定某SSID網(wǎng)(wang)絡(luò)�����,定時(shí)自動關(guān)(guan)閉和開啟無(wu)線網(wǎng)絡(luò)的(de)射頻信號�����,晚上(shang)下班后自(zi)動關(guān)閉無線射(she)頻信號�����。
一方(fang)面可以節(jié)(jie)能減(jian)排�����、節(jié)省電費(fèi)(fei)支出(chu)�����;另一方面(mian)又能防止非(fei)法用戶利用深(shen)夜時(shí)間入侵無(wu)線網(wǎng)絡(luò)�����,做一(yi)些非(fei)法的操作。
有線無線一體(ti)化管理:
NAC的有線無線(xian)一體化�����,支持對(dui)有線(xian)用戶(hu)的接入認(rèn)證�����、訪(fang)問控(kong)制�����、流量管(guan)理�����、上網(wǎng)行(xing)為審計(jì)等�����,
并提供統(tǒng)(tong)一中文Web管理界(jie)面�����,一(yi)站式服務(wù),極(ji)大的(de)降低網(wǎng)(wang)絡(luò)建設(shè)(she)成本�����。
網(wǎng)絡(luò)分權(quán)分(fen)級管理:
分配不同(tong)的管理員(yuan)分別管理各自(zi)權(quán)限區(qū)域的無(wu)線AP�����,可以精細(xì)(xi)到對某AP分組有(you)管理(li)權(quán)限(xian)�����,該管理員(yuan)可以在該AP分(fen)組上(shang)建立無線網(wǎng)絡(luò)(luo)�����,能夠激(ji)活�����、刪(shan)除接入點(diǎn)�����,能夠(gou)對AP的(de)配置進(jìn)(jin)行編輯修改(gai)�����。
可指(zhi)定管(guan)理員針對(dui)每個(gè)頁(ye)面的編輯或可(ke)查看權(quán)限�����,控制(zhi)粒度到(dao)控制器(qi)上的各(ge)個(gè)頁面�����,對(dui)某個(gè)頁面沒有(you)讀權(quán)限(xian)則登(deng)錄時(shí)不顯示(shi)�����。
移動APP隨(sui)時(shí)隨地運(yùn)維(wei)管理:
支持跨(kua)互聯(lián)網(wǎng)運(yùn)(yun)維管理
登陸(lu)APP進(jìn)行維護(hù)管(guan)理:不同(tong)管理(li)員�����,不同權(quán)(quan)限
查看網(wǎng)(wang)絡(luò)運(yùn)行情(qing)況:在線用戶(hu)�����、在線AP數(shù)量(liang)�����、實(shí)時(shí)流量(liang)
無線(xian)網(wǎng)絡(luò)管理維(wei)護(hù):開啟關(guān)(guan)閉SSID、終端綁定審(shen)批�����、二維(wei)碼上網(wǎng)審(shen)核
故障�����、審批實(shí)時(shí)(shi)通知:AP離線警告(gao)�����、服務(wù)器(qi)離線警(jing)告�����、網(wǎng)絡(luò)(luo)攻擊告警
方案優(yōu)(you)勢:
1�����、最豐富的(de)無線安(an)全機(jī)(ji)制�����,提供從(cong)安全(quan)接入到安全(quan)上網(wǎng)(wang)等端到(dao)端的安全策略(lve)
2�����、合理管(guan)控工作(zuo)人員上(shang)網(wǎng)行(xing)為�����,提升(sheng)工作效(xiao)率�����、防(fang)止帶寬浪費(fèi)(fei)�����,有線(xian)無線雙(shuang)重管控
3�����、為會議(yi)室�����,報(bào)告廳(ting)等人員(yuan)密集區(qū)(qu)域接(jie)入網(wǎng)絡(luò)提高(gao)保證�����,解決有線(xian)網(wǎng)口不足(zu)的問題;
4�����、為企業(yè)員(yuan)工的(de)移動辦公提(ti)供支撐�����,內(nèi)部員(yuan)工可通(tong)過無線網(wǎng)(wang)絡(luò)隨時(shí)安(an)全接(jie)入內(nèi)(nei)部網(wǎng)絡(luò)�����,實(shí)(shi)現(xiàn)辦公(gong)�����;
5�����、內(nèi)部員工賬號(hao)及個(gè)人信(xin)息綁定(ding)�����,便于安(an)全管(guan)理�����;
6�����、內(nèi)部員工可(ke)通過自己的(de)辦公設(shè)備(bei)在企業(yè)大(da)樓內(nèi)快速移動(dong)辦公�����,網(wǎng)絡(luò)(luo)接入更快速�����,上(shang)網(wǎng)行為管(guan)理系統(tǒng)對(dui)員工上網(wǎng)行(xing)為進(jìn)行審計(jì)與(yu)管控
7�����、來訪(fang)客戶接(jie)入企業(yè)(ye)網(wǎng)絡(luò)�����,可根(gen)據(jù)不同需(xu)求�����,分配不同的(de)上網(wǎng)權(quán)限,保(bao)證了接入的安(an)全性(xing)同時(shí)(shi)提升(sheng)群眾(zhong)上網(wǎng)的(de)體驗(yàn)
8�����、豐富(fu)的認(rèn)證(zheng)機(jī)制�����,滿足組(zu)織對無線(xian)網(wǎng)絡(luò)安(an)全�����、快速(su)接入
9�����、投資成本(ben)低�����,通過部(bu)署無線控制(zhi)器替換(huan)原有網(wǎng)絡(luò)的出(chu)口路(lu)由�����、行為管理(li)以及無(wu)線控制器
