?
大型(xing)企業(yè)在無(wu)線網(wǎng)絡建設期(qi)間要充分(fen)考慮(lv)訪客(領(ling)導���、客(ke)戶���、合作伙伴(ban))接入網(wǎng)絡的需(xu)求���。首先從安全(quan)性考慮,訪(fang)客網(wǎng)絡必(bi)須要和(he)辦公網(wǎng)(wang)絡分開���,訪客(ke)網(wǎng)絡單獨提供(gong)給訪客使(shi)用���。從用戶(hu)體驗角度考慮(lv)���,訪客接入網(wǎng)絡(luo)的驗(yan)證方式(shi)一定要做到(dao)簡單易(yi)行���,繁瑣(suo)的驗證方式(shi)會降(jiang)低訪客對企業(yè)(ye)的整(zheng)體印(yin)象���。同時(shi)對于訪客網(wǎng)(wang)絡,企業(yè)還需(xu)要建(jian)立完(wan)善的網(wǎng)絡安全(quan)管理機制(zhi)���,避免由于(yu)訪客(ke)的網(wǎng)絡不良訪(fang)問給企業(yè)(ye)帶來的法律(lv)風險���。對(dui)于企業(yè)員工(gong)移動(dong)辦公上網(wǎng),更需(xu)要做到可(ke)管控���,上(shang)網(wǎng)行為做(zuo)到可追溯(su)���,企業(yè)有效的(de)帶寬資源(yuan)得到(dao)合理的分配和(he)保證,才能使企(qi)業(yè)的業(yè)(ye)務系統(tǒng)正常(chang)且穩(wěn)定高效地(di)運行���,同(tong)時保證企業(yè)(ye)信息(xi)安全���,避(bi)免機密信息泄(xie)露。
存在的問題(用(yong)戶需求)
1���、接入不安全:缺(que)乏安全可靠(kao)的認證機制(zhi)���,企業(yè)無線(xian)網(wǎng)絡接入不安(an)全
2���、上網(wǎng)權限混(hun)亂:缺乏有效的(de)控制(zhi)策略,員工(gong)上網(wǎng)權限不(bu)分明
3���、數(shù)據(jù)信(xin)息安全:缺(que)乏有效(xiao)的數(shù)(shu)據(jù)加密機制���,企(qi)業(yè)數(shù)(shu)據(jù)被黑客竊(qie)取篡改
4、無線信號(hao)差:AP性(xing)能不佳(jia)���,上網(wǎng)(wang)總掉線���,點(dian)位規(guī)劃不合(he)理,信(xin)號盲區(qū)多
5���、漫游效果差(cha):不能實現(xiàn)二(er)三層漫游���,移(yi)動辦公時(shi),業(yè)務(wu)中斷
解決方(fang)案:
結合用戶無(wu)線網(wǎng)絡需求情(qing)況���,結合產(chǎn)(chan)品自身技術特(te)點���,為(wei)了滿(man)足用戶構(gou)建一個高速、穩(wěn)(wen)定���、安全(quan)���、可靠(kao)、易于管理的無(wu)線接入網(wǎng)(wang)絡的(de)需求���,本設計方(fang)案按照AP+AC的(de)結構化無(wu)線網(wǎng)絡(luo)解決方案進行(xing)設計���。具體(ti)設計為在(zai)總部設置(zhi)總部AC,在大(da)型分支機(ji)構設置分(fen)支AC與分支AP,中(zhong)型分支機(ji)構設計二級���,三(san)級交換(huan)機���,分支AP。小微型(xing)分支機(ji)構直(zhi)接設置分支AP���?��??zong)部AC可以對大(da)型分支機構(gou)的AC進行管理���,當(dang)網(wǎng)點控制(zhi)器采(cai)用集中管理的(de)模式進入(ru)到中心端控(kong)制器時(shi),會自動(dong)下載(zai)中心(xin)端的公共(gong)配置(zhi)���,比如IP組���、MAC地址庫(ku)、時間計劃(hua)���、角色授權���、認證(zheng)頁面等 ?��?偛?bu)AC也可以直(zhi)接管理中(zhong)小型分支機構(gou)的分支AP���,實現(xiàn)統(tǒng)(tong)一管理。
方案(an)設計:
安全無線整體(ti)解決方案:
接入前&接入時(shi)進行身份認證(zheng)���、安全無線網(wǎng)卡(ka)���、賬號綁定(硬件(jian)碼+手機(ji)號)���,非(fei)法熱點檢測(ce)及防御���、網(wǎng)絡攻(gong)擊防護(hu)���、射頻(pin)定時關閉及安(an)全加固。
接入(ru)后&上(shang)網(wǎng)時(shi)進行(xing)訪問權限控制(zhi)���。
上網(wǎng)后(hou)進行上網(wǎng)(wang)行為記錄(lu)���。
上網(wǎng)用戶(hu)身份實名認證(zheng):
無線辦(ban)公網(wǎng)采用802.1X/Portal/WAPI認(ren)證,外置AAA和RADIUS+AD用于(yu)存儲用戶賬(zhang)號密碼(ma)���。
每個賬號(hao)對應(ying)一個員工���,包括(kuo)姓名、部門���、性別(bie)以及身份證���、手(shou)機號等個人信(xin)息���,保證(zheng)每個(ge)上網(wǎng)(wang)的賬(zhang)號都是可尋的(de),便于安全管理(li)���。
用戶輸入(ru)賬號密碼(ma)上網(wǎng)驗證時(shi)均采用加密傳(chuan)輸���,防止(zhi)黑客空中攔截(jie),竊取賬號密(mi)碼等數(shù)據(jù)���。
上網(wǎng)賬號自(zi)動綁定終(zhong)端:
自動(dong)將賬(zhang)號與終端的硬(ying)件特征(zheng)碼進行(xing)綁定���,防止賬(zhang)號被他人使(shi)用或(huo)者被盜(dao)用。
每臺設(she)備的(de)硬件特(te)征碼是唯(wei)一的(de)���,無法通過軟件(jian)修改���。即(ji)使通過軟件(jian)修改了仍然(ran)可以識別原(yuan)始的。
每個(ge)賬號最多(duo)可以綁定(ding)5臺終端(duan)���,超過(guo)1臺時需要(yao)管理員審(shen)核���。
上網(wǎng)賬號二次(ci)綁定手機號碼(ma):
賬號首次登陸(lu)時需要綁定(ding)手機號并(bing)輸入短信驗證(zheng)碼���,當用戶(hu)賬號在(zai)新終端登陸時(shi)(換終端/被他用(yong)/被盜),不僅需(xu)要輸(shu)入密碼���,還需要(yao)輸入短信驗證(zheng)碼���,解決(jue)員工賬號認(ren)證的安(an)全問題
綁定手機號(hao)碼的用戶(hu)���,可以自(zi)助重置(zhi)密碼和修改密(mi)碼���,無需通過(guo)IT管理(li)員。
用戶密碼(ma)管理(li)及自助(zhu)修改:
無需通過(guo)管理員(yuan)即可修(xiu)改密碼(ma)���,提高效率及(ji)減輕管理(li)員工作壓(ya)力���。
通過(guo)口袋助(zhu)理、釘(ding)釘���、企業(yè)號(hao)等手機MOA類(lei)APP軟件進(jin)行無(wu)線密碼(ma)修改���。
若賬號綁定了(le)手機號碼���,可(ke)通過(guo)手機驗(yan)證碼自(zi)助修改。
上網(wǎng)終端(duan)合法效(xiao)驗:
采用(yong)安全無線網(wǎng)(wang)卡接入(ru)無線(xian)網(wǎng)絡(luo)���,終端與(yu)AP熱點(dian)的雙向驗證(zheng)���,提高(gao)安全性(xing)。
可以將(jiang)無線網(wǎng)絡(luo)設置為只有(you)安裝(zhuang)了安全無線網(wǎng)(wang)卡的終端才(cai)能接入無(wu)線網(wǎng)(wang)絡���。
支持設置安全(quan)無線網(wǎng)卡只能(neng)連指定SSID無線(xian)網(wǎng)絡���,無法(fa)連接非授權SSID。
網(wǎng)卡與AP數(shù)(shu)據(jù)傳輸(shu)時自(zi)動進行數(shù)據(jù)(ju)加密���,保(bao)證無線(xian)的空口安(an)全���。
無線熱(re)點掃描及非法(fa)熱點抑制:
背景:黑客在附(fu)近搭建一(yi)個一模一(yi)樣或(huo)者類似(shi)的WIFI名稱,誘使用(yong)戶連到虛假釣(diao)魚WIFI上���,黑(hei)客利用分(fen)析軟(ruan)件從(cong)用戶上(shang)網(wǎng)產(chǎn)生的數(shù)(shu)據(jù)包中分析(xi)提取(qu)用戶隱私信息(xi)���。
我們通(tong)過WIPS無線入(ru)侵防御(yu)系統(tǒng)實時(shi)檢測周圍無線(xian)信號���,當(dang)檢測(ce)出來的信號BSSID、且(qie)AP源MAC地址不(bu)在授權列表中(zhong)時���,我們向(xiang)對應的AP和終端(duan)發(fā)送解(jie)除關聯(lián)幀(zhen)���,讓終端無法連(lian)上釣魚WIFI。7×24小時不(bu)間斷監(jiān)測網(wǎng)(wang)絡���。
上網(wǎng)行(xing)為嚴格控(kong)制:
強大的管理(li):通過應用識(shi)別技術,可(ke)以根據(jù)(ju)應用類型或(huo)者具體某(mou)一種應用進(jin)行封堵���,包括視(shi)頻���、論壇、游(you)戲���、金(jin)融���、下載(zai)等2400多種網(wǎng)(wang)絡應(ying)用���。
通過(guo)應用識別(bie)技術,可以(yi)根據(jù)應(ying)用類型或(huo)者具體某(mou)一種應(ying)用進行封堵(du)���,比如上班時(shi)間不允(yun)許炒(chao)股���,不(bu)允許P2P下載(zai),不允許外發(fā)(fa)敏感文件(jian)等���; 支持主流(liu)移動平(ping)臺���,可識(shi)別IM、社交���、Mail���、新聞(wen)、炒股(gu)等應用���。
無線控制(zhi)器內(nèi)置千萬級(ji)別的URL分類庫(ku)���,能夠對(dui)URL進行(xing)識別���,包含新聞(wen)、購物(wu)���、金融���、教育(yu)等18個種類(lei)的URL地址; 準確(que)識別目(mu)前主流網(wǎng)(wang)站���,識別(bie)率高達99.9%���,有(you)效實現(xiàn)網(wǎng)頁過(guo)濾。例(li)如禁止登(deng)陸非法網(wǎng)站
通過基于時間(jian)段的訪問(wen)控制(zhi)策略���,實現(xiàn)不同(tong)的時間段不(bu)同的訪問權限(xian),比如上班時間(jian)���,禁止(zhi)訪問網(wǎng)上(shang)銀行���、游戲、論壇(tan)貼吧等與(yu)工作無關(guan)的應用,下班(ban)時間則不受限(xian)制���。
辦公區(qū)域內(nèi)���,不(bu)同辦公部(bu)門總會有各自(zi)專屬(shu)的無線(xian)網(wǎng)絡,并(bing)且不希望(wang)部門(men)之外(wai)的成員使用這(zhe)個網(wǎng)絡���。無線網(wǎng)(wang)絡控制器可以(yi)根據(jù)用(yong)戶的屬(shu)性���,限制(zhi)禁止非本部(bu)門的用戶接入(ru)。
典型無(wu)線網(wǎng)絡攻擊(ji)防護:
對典型(xing)的危險(xian)攻擊行為進(jin)行檢測���,當超(chao)過設(she)定的閾值(zhi)后自動將攻(gong)擊者加(jia)入到(dao)黑名(ming)單中(zhong)���,并凍結(jie)一定時(shi)間,即時發(fā)(fa)現(xiàn)網(wǎng)絡攻擊并(bing)進行防御���。
檢測(ce)的攻擊包括(kuo):DDOS防御(yu)���、ARP掃描、IP掃描���、端(duan)口掃描(miao)防御(yu)���,禁止客(ke)戶端私設IP以(yi)及ARP���、網(wǎng)關欺(qi)騙防御(yu)、DHCP請求(qiu)泛洪防御(yu)���。
無線射頻(pin)定時關閉(bi)開啟:
通過射(she)頻關閉控制(zhi)策略���,可以(yi)指定某(mou)SSID網(wǎng)絡,定時自動(dong)關閉和(he)開啟無線網(wǎng)(wang)絡的射頻信號(hao)���,晚上下班(ban)后自動關閉無(wu)線射(she)頻信號(hao)���。
一方面(mian)可以節(jié)能減(jian)排、節(jié)省電費支(zhi)出���;另(ling)一方面又能防(fang)止非(fei)法用戶(hu)利用深(shen)夜時間入侵(qin)無線網(wǎng)(wang)絡���,做一(yi)些非法的(de)操作���。
有線無線(xian)一體(ti)化管(guan)理:
NAC的有線無線(xian)一體化���,支(zhi)持對有線(xian)用戶(hu)的接入認證���、訪(fang)問控制、流量(liang)管理���、上(shang)網(wǎng)行(xing)為審計等���,
并提供統(tǒng)一中(zhong)文Web管理界(jie)面,一站式服(fu)務���,極大的(de)降低網(wǎng)絡建(jian)設成(cheng)本���。
網(wǎng)絡分權(quan)分級管理:
分配不同(tong)的管理員分別(bie)管理各自權(quan)限區(qū)(qu)域的無線(xian)AP,可以精細到(dao)對某(mou)AP分組有管(guan)理權(quan)限���,該管理員可(ke)以在(zai)該AP分組上建(jian)立無(wu)線網(wǎng)(wang)絡���,能夠(gou)激活、刪(shan)除接入點���,能(neng)夠對AP的配(pei)置進行編(bian)輯修改���。
可指定管(guan)理員針對每個(ge)頁面的(de)編輯或(huo)可查看權限���,控(kong)制粒度到控(kong)制器(qi)上的各(ge)個頁面(mian),對某個頁面(mian)沒有讀權(quan)限則登錄(lu)時不顯示���。
移動(dong)APP隨時隨地運維(wei)管理:
支持跨互聯(lián)(lian)網(wǎng)運維管(guan)理
登陸(lu)APP進行(xing)維護(hu)管理:不(bu)同管(guan)理員���,不(bu)同權限
查看網(wǎng)(wang)絡運行情況(kuang):在線(xian)用戶(hu)、在線(xian)AP數(shù)量���、實時流量(liang)
無線網(wǎng)絡管理(li)維護:開啟(qi)關閉SSID���、終(zhong)端綁(bang)定審批、二維碼(ma)上網(wǎng)(wang)審核(he)
故障(zhang)���、審批實時(shi)通知:AP離(li)線警(jing)告���、服務器(qi)離線警(jing)告、網(wǎng)(wang)絡攻擊(ji)告警
方案優(yōu)(you)勢:
1���、最豐富的無線(xian)安全機制���,提(ti)供從安全(quan)接入到(dao)安全上(shang)網(wǎng)等端到(dao)端的安全(quan)策略
2、合理管控工(gong)作人員上(shang)網(wǎng)行為���,提升工(gong)作效率���、防止帶(dai)寬浪費,有線無(wu)線雙重管控
3���、為會議室���,報(bao)告廳等人員(yuan)密集(ji)區(qū)域接(jie)入網(wǎng)絡提高保(bao)證,解決有線網(wǎng)(wang)口不足的問(wen)題���;
4���、為企(qi)業(yè)員工的(de)移動(dong)辦公提供支撐(cheng),內(nèi)部員工(gong)可通過無(wu)線網(wǎng)絡隨(sui)時安全接(jie)入內(nèi)(nei)部網(wǎng)絡(luo)���,實現(xiàn)辦公���;
5���、內(nèi)部(bu)員工賬號及(ji)個人信息(xi)綁定,便(bian)于安(an)全管(guan)理���;
6���、內(nèi)部員(yuan)工可通(tong)過自己的(de)辦公設備在企(qi)業(yè)大(da)樓內(nèi)(nei)快速移動辦公(gong),網(wǎng)絡接入(ru)更快速���,上網(wǎng)(wang)行為管理(li)系統(tǒng)(tong)對員工上網(wǎng)(wang)行為進行審(shen)計與管(guan)控
7���、來訪客戶接(jie)入企業(yè)網(wǎng)絡(luo),可根據(jù)不(bu)同需(xu)求���,分配不同的(de)上網(wǎng)權限(xian)���,保證了接入的(de)安全性同時提(ti)升群(qun)眾上網(wǎng)的體驗(yan)
8、豐富的(de)認證(zheng)機制���,滿足組織(zhi)對無線(xian)網(wǎng)絡安全(quan)���、快速接入
9���、投資(zi)成本低(di),通過部署無(wu)線控制(zhi)器替換原有網(wǎng)(wang)絡的出口路由(you)���、行為管理以及(ji)無線控(kong)制器
