?
大型企業(yè)在(zai)無線網(wǎng)(wang)絡(luò)建設(shè)期間(jian)要充分考慮訪(fang)客(領(lǐng)導(dǎo)(dao)、客戶、合(he)作伙伴(ban))接入網(wǎng)(wang)絡(luò)的(de)需求。首先從(cong)安全性考慮(lv),訪客網(wǎng)絡(luò)必須(xu)要和辦公網(wǎng)(wang)絡(luò)分(fen)開��,訪客網(wǎng)絡(luò)單(dan)獨(dú)提供給(gei)訪客(ke)使用(yong)��。從用戶體驗(yàn)角(jiao)度考慮(lv)��,訪客接入(ru)網(wǎng)絡(luò)的驗(yàn)證方(fang)式一定要做到(dao)簡單易行��,繁瑣(suo)的驗(yàn)證(zheng)方式會(huì)降(jiang)低訪客對(duì)企業(yè)(ye)的整體印象��。同(tong)時(shí)對(duì)于訪客網(wǎng)(wang)絡(luò)��,企(qi)業(yè)還需要(yao)建立完善(shan)的網(wǎng)絡(luò)(luo)安全管理機(jī)(ji)制��,避免(mian)由于訪客的網(wǎng)(wang)絡(luò)不良訪問給(gei)企業(yè)帶來(lai)的法律風(fēng)險(xiǎn)��。對(duì)(dui)于企業(yè)(ye)員工移動(dòng)(dong)辦公上(shang)網(wǎng)��,更需要做到(dao)可管控��,上網(wǎng)(wang)行為做到(dao)可追溯��,企(qi)業(yè)有效(xiao)的帶寬資源得(de)到合理的分(fen)配和(he)保證��,才能使企(qi)業(yè)的業(yè)務(wù)(wu)系統(tǒng)(tong)正常且穩(wěn)定(ding)高效地運(yùn)(yun)行��,同時(shí)(shi)保證(zheng)企業(yè)信(xin)息安(an)全��,避免機(jī)密信(xin)息泄(xie)露��。
存在的問題(ti)(用戶(hu)需求)
1��、接入(ru)不安(an)全:缺乏安(an)全可靠(kao)的認(rèn)證(zheng)機(jī)制(zhi)��,企業(yè)無線(xian)網(wǎng)絡(luò)接入不安(an)全
2��、上網(wǎng)權(quán)限(xian)混亂(luan):缺乏有效(xiao)的控(kong)制策略��,員工(gong)上網(wǎng)權(quán)限不(bu)分明
3��、數(shù)據(jù)信息安(an)全:缺乏有效的(de)數(shù)據(jù)加密機(jī)制(zhi)��,企業(yè)數(shù)(shu)據(jù)被(bei)黑客竊取篡(cuan)改
4��、無線信(xin)號(hào)差(cha):AP性能不佳��,上(shang)網(wǎng)總掉線��,點(diǎn)(dian)位規(guī)(gui)劃不(bu)合理��,信(xin)號(hào)盲區(qū)多
5��、漫游效果(guo)差:不能實(shí)現(xiàn)(xian)二三層漫游��,移(yi)動(dòng)辦公時(shí)��,業(yè)(ye)務(wù)中斷
解決方案:
結(jié)合(he)用戶無線網(wǎng)絡(luò)(luo)需求情況(kuang)��,結(jié)合產(chǎn)品(pin)自身技術(shù)特點(diǎn)(dian)��,為了滿足用戶(hu)構(gòu)建一個(gè)高(gao)速��、穩(wěn)定(ding)��、安全��、可靠(kao)��、易于管理(li)的無(wu)線接入網(wǎng)(wang)絡(luò)的需求(qiu)��,本設(shè)計(jì)(ji)方案(an)按照AP+AC的結(jié)構(gòu)化(hua)無線網(wǎng)絡(luò)解(jie)決方案進(jìn)行(xing)設(shè)計(jì)(ji)��。具體設(shè)計(jì)為(wei)在總部設(shè)(she)置總部AC,在(zai)大型分支(zhi)機(jī)構(gòu)設(shè)置分(fen)支AC與(yu)分支AP��,中型(xing)分支機(jī)構(gòu)設(shè)計(jì)(ji)二級(jí)��,三級(jí)交換(huan)機(jī)��,分支(zhi)AP。小微型分支機(jī)(ji)構(gòu)直接設(shè)置(zhi)分支(zhi)AP��?�?偛緼C可以(yi)對(duì)大型分支(zhi)機(jī)構(gòu)的AC進(jìn)行(xing)管理��,當(dāng)網(wǎng)(wang)點(diǎn)控(kong)制器采用集(ji)中管(guan)理的模式(shi)進(jìn)入到中心(xin)端控制(zhi)器時(shí)(shi)��,會(huì)自動(dòng)下(xia)載中心端的公(gong)共配置(zhi)��,比如IP組��、MAC地址庫(ku)��、時(shí)間計(jì)劃��、角色(se)授權(quán)��、認(rèn)證頁面(mian)等 ��?�?偛緼C也可以(yi)直接管(guan)理中小型(xing)分支(zhi)機(jī)構(gòu)的(de)分支AP��,實(shí)現(xiàn)統(tǒng)(tong)一管理(li)��。
方案(an)設(shè)計(jì)(ji):
安全無線(xian)整體(ti)解決方案:
接入(ru)前&接入時(shí)進(jìn)行(xing)身份(fen)認(rèn)證��、安(an)全無線網(wǎng)(wang)卡��、賬號(hào)綁(bang)定(硬件碼+手機(jī)(ji)號(hào))��,非法熱點(diǎn)檢(jian)測及(ji)防御(yu)��、網(wǎng)絡(luò)攻擊(ji)防護(hù)��、射(she)頻定(ding)時(shí)關(guān)(guan)閉及安(an)全加固(gu)��。
接入(ru)后&上網(wǎng)時(shí)(shi)進(jìn)行(xing)訪問權(quán)限控制(zhi)��。
上網(wǎng)后進(jìn)行(xing)上網(wǎng)(wang)行為記錄��。
上網(wǎng)用戶(hu)身份(fen)實(shí)名(ming)認(rèn)證:
無線辦公(gong)網(wǎng)采用802.1X/Portal/WAPI認(rèn)證(zheng)��,外置AAA和RADIUS+AD用于存(cun)儲(chǔ)用(yong)戶賬號(hào)(hao)密碼��。
每個(gè)(ge)賬號(hào)對(duì)應(yīng)一(yi)個(gè)員(yuan)工��,包括姓名(ming)��、部門��、性別(bie)以及身份證、手(shou)機(jī)號(hào)(hao)等個(gè)人(ren)信息��,保(bao)證每個(gè)上(shang)網(wǎng)的賬號(hào)(hao)都是(shi)可尋的(de)��,便于安全管(guan)理��。
用戶輸入賬(zhang)號(hào)密碼上網(wǎng)驗(yàn)(yan)證時(shí)均采(cai)用加密(mi)傳輸��,防止黑客(ke)空中攔截��,竊取(qu)賬號(hào)密(mi)碼等數(shù)(shu)據(jù)��。
上網(wǎng)賬號(hào)自動(dòng)(dong)綁定終端:
自動(dòng)將賬號(hào)與(yu)終端的硬件(jian)特征(zheng)碼進(jìn)(jin)行綁定(ding)��,防止賬(zhang)號(hào)被他人使(shi)用或(huo)者被盜用(yong)��。
每臺(tái)設(shè)備的硬(ying)件特征(zheng)碼是唯一(yi)的��,無法通(tong)過軟件(jian)修改��。即(ji)使通過軟件(jian)修改了(le)仍然可(ke)以識(shí)別原始(shi)的��。
每個(gè)賬號(hào)最(zui)多可以綁定(ding)5臺(tái)終(zhong)端��,超過1臺(tái)時(shí)需(xu)要管理(li)員審核(he)��。
上網(wǎng)賬號(hào)(hao)二次綁(bang)定手機(jī)號(hào)碼(ma):
賬號(hào)首(shou)次登陸時(shí)(shi)需要綁(bang)定手機(jī)(ji)號(hào)并輸入短(duan)信驗(yàn)證(zheng)碼,當(dāng)(dang)用戶賬號(hào)(hao)在新終(zhong)端登(deng)陸時(shí)(換(huan)終端/被(bei)他用/被(bei)盜)��,不僅需要輸(shu)入密碼��,還需(xu)要輸入短信(xin)驗(yàn)證碼(ma)��,解決員工(gong)賬號(hào)認(rèn)證(zheng)的安(an)全問題
綁定手機(jī)(ji)號(hào)碼的用戶��,可(ke)以自助重置密(mi)碼和修改密碼(ma)��,無需通過IT管(guan)理員��。
用戶(hu)密碼(ma)管理及自助修(xiu)改:
無需通過管理(li)員即可修改密(mi)碼��,提高效率及(ji)減輕(qing)管理員工作壓(ya)力��。
通過口(kou)袋助理��、釘(ding)釘��、企業(yè)(ye)號(hào)等(deng)手機(jī)MOA類APP軟件進(jìn)(jin)行無線密碼修(xiu)改��。
若賬號(hào)綁定(ding)了手機(jī)號(hào)碼��,可(ke)通過手(shou)機(jī)驗(yàn)證碼自(zi)助修(xiu)改��。
上網(wǎng)終端(duan)合法效驗(yàn):
采用安(an)全無線網(wǎng)卡(ka)接入無線(xian)網(wǎng)絡(luò)(luo)��,終端與(yu)AP熱點(diǎn)的雙(shuang)向驗(yàn)(yan)證��,提高安全性(xing)��。
可以將無線網(wǎng)(wang)絡(luò)設(shè)置(zhi)為只有安裝了(le)安全(quan)無線網(wǎng)卡的終(zhong)端才(cai)能接入(ru)無線(xian)網(wǎng)絡(luò)(luo)��。
支持設(shè)置安(an)全無線(xian)網(wǎng)卡只能連(lian)指定SSID無線網(wǎng)絡(luò)(luo)��,無法連接非(fei)授權(quán)(quan)SSID��。
網(wǎng)卡與AP數(shù)據(jù)傳(chuan)輸時(shí)自動(dòng)進(jìn)(jin)行數(shù)據(jù)加密(mi)��,保證無線的(de)空口安全(quan)��。
無線熱點(diǎn)掃(sao)描及非法熱點(diǎn)(dian)抑制:
背景:黑(hei)客在(zai)附近搭建一個(gè)(ge)一模一(yi)樣或者(zhe)類似的WIFI名(ming)稱��,誘使(shi)用戶連(lian)到虛假釣魚WIFI上(shang)��,黑客利用分(fen)析軟件從用(yong)戶上(shang)網(wǎng)產(chǎn)生的(de)數(shù)據(jù)包中分(fen)析提取用戶隱(yin)私信息(xi)��。
我們通(tong)過WIPS無線(xian)入侵防御系(xi)統(tǒng)實(shí)時(shí)檢測周(zhou)圍無線(xian)信號(hào)��,當(dāng)檢(jian)測出來的信(xin)號(hào)BSSID、且AP源MAC地(di)址不在授權(quán)列(lie)表中時(shí)(shi)��,我們向(xiang)對(duì)應(yīng)的AP和終(zhong)端發(fā)送解除關(guān)(guan)聯(lián)幀��,讓終(zhong)端無法連上(shang)釣魚WIFI��。7×24小時(shí)不間(jian)斷監(jiān)(jian)測網(wǎng)絡(luò)��。
上網(wǎng)行為嚴(yán)(yan)格控制(zhi):
強(qiáng)大(da)的管理:通(tong)過應(yīng)用識(shí)(shi)別技術(shù)��,可(ke)以根(gen)據(jù)應(yīng)用(yong)類型或者具(ju)體某一種(zhong)應(yīng)用進(jìn)行封(feng)堵��,包括視頻(pin)��、論壇��、游戲��、金融(rong)��、下載等2400多種(zhong)網(wǎng)絡(luò)(luo)應(yīng)用��。
通過應(yīng)用(yong)識(shí)別(bie)技術(shù)��,可以根據(jù)(ju)應(yīng)用類(lei)型或(huo)者具(ju)體某一種應(yīng)用(yong)進(jìn)行封堵��,比如(ru)上班時(shí)間(jian)不允(yun)許炒(chao)股��,不允許P2P下載(zai)��,不允許(xu)外發(fā)敏感(gan)文件等��; 支持(chi)主流移動(dòng)平(ping)臺(tái)��,可識(shí)別IM��、社(she)交��、Mail��、新聞(wen)��、炒股等(deng)應(yīng)用(yong)��。
無線控制器(qi)內(nèi)置千萬級(jí)(ji)別的URL分類庫(ku)��,能夠?qū)RL進(jìn)行識(shí)(shi)別��,包含(han)新聞��、購物��、金融(rong)、教育等18個(gè)(ge)種類的URL地址��; 準(zhǔn)(zhun)確識(shí)別目(mu)前主(zhu)流網(wǎng)(wang)站��,識(shí)別(bie)率高達(dá)99.9%��,有效(xiao)實(shí)現(xiàn)網(wǎng)頁過濾(lv)��。例如禁止登(deng)陸非法網(wǎng)站(zhan)
通過基于時(shí)間(jian)段的(de)訪問控制策(ce)略��,實(shí)現(xiàn)不(bu)同的(de)時(shí)間段(duan)不同的(de)訪問權(quán)(quan)限��,比如(ru)上班時(shí)間��,禁止(zhi)訪問網(wǎng)上銀(yin)行��、游(you)戲��、論(lun)壇貼(tie)吧等與工(gong)作無關(guān)的(de)應(yīng)用��,下(xia)班時(shí)間則不(bu)受限制��。
辦公(gong)區(qū)域(yu)內(nèi)��,不同(tong)辦公部門總(zong)會(huì)有各自專(zhuan)屬的無(wu)線網(wǎng)絡(luò)��,并且(qie)不希望(wang)部門之(zhi)外的成員使(shi)用這個(gè)(ge)網(wǎng)絡(luò)��。無線網(wǎng)(wang)絡(luò)控制器可以(yi)根據(jù)用(yong)戶的(de)屬性��,限制禁止(zhi)非本部門(men)的用戶接入(ru)��。
典型(xing)無線網(wǎng)絡(luò)攻(gong)擊防(fang)護(hù):
對(duì)典型(xing)的危險(xiǎn)攻擊行(xing)為進(jìn)行(xing)檢測(ce)��,當(dāng)超過設(shè)定的(de)閾值(zhi)后自動(dòng)(dong)將攻擊(ji)者加(jia)入到黑名單(dan)中��,并凍結(jié)(jie)一定時(shí)(shi)間��,即時(shí)發(fā)現(xiàn)網(wǎng)(wang)絡(luò)攻擊(ji)并進(jìn)行(xing)防御��。
檢測的攻擊(ji)包括:DDOS防御、ARP掃描(miao)、IP掃描��、端口掃描(miao)防御,禁止(zhi)客戶端(duan)私設(shè)(she)IP以及ARP、網(wǎng)關(guān)欺(qi)騙防(fang)御、DHCP請(qǐng)求泛洪(hong)防御(yu)��。
無線射頻定時(shí)(shi)關(guān)閉開啟(qi):
通過(guo)射頻關(guān)閉控制(zhi)策略(lve)��,可以指定(ding)某SSID網(wǎng)(wang)絡(luò)��,定時(shí)自(zi)動(dòng)關(guān)閉(bi)和開啟無線(xian)網(wǎng)絡(luò)(luo)的射頻(pin)信號(hào)��,晚上下班(ban)后自動(dòng)(dong)關(guān)閉無線(xian)射頻(pin)信號(hào)��。
一方面可(ke)以節(jié)能(neng)減排��、節(jié)(jie)省電費(fèi)(fei)支出��;另(ling)一方面又能(neng)防止非(fei)法用(yong)戶利用深夜(ye)時(shí)間入(ru)侵無線網(wǎng)絡(luò)(luo)��,做一些非法的(de)操作��。
有線無線(xian)一體化(hua)管理:
NAC的有線無線(xian)一體化(hua)��,支持對(duì)有線用(yong)戶的接(jie)入認(rèn)證��、訪問控(kong)制��、流量管(guan)理��、上網(wǎng)行(xing)為審(shen)計(jì)等��,
并提(ti)供統(tǒng)一中文Web管(guan)理界面��,一站(zhan)式服務(wù)��,極大的(de)降低網(wǎng)絡(luò)建(jian)設(shè)成本��。
網(wǎng)絡(luò)分(fen)權(quán)分級(jí)管(guan)理:
分配(pei)不同(tong)的管理員分(fen)別管理各自(zi)權(quán)限區(qū)域的無(wu)線AP��,可(ke)以精細(xì)(xi)到對(duì)(dui)某AP分組有管理(li)權(quán)限(xian)��,該管理員可(ke)以在該AP分組(zu)上建立無線網(wǎng)(wang)絡(luò)��,能(neng)夠激(ji)活��、刪除(chu)接入點(diǎn)��,能夠?qū)?dui)AP的配置進(jìn)(jin)行編(bian)輯修改��。
可指定管理(li)員針對(duì)(dui)每個(gè)頁面(mian)的編輯(ji)或可查(cha)看權(quán)限��,控制(zhi)粒度到(dao)控制器(qi)上的各個(gè)頁(ye)面��,對(duì)某個(gè)頁(ye)面沒有讀權(quán)(quan)限則(ze)登錄時(shí)不(bu)顯示��。
移動(dòng)APP隨時(shí)隨地(di)運(yùn)維(wei)管理:
支持跨互聯(lián)網(wǎng)(wang)運(yùn)維管理
登陸APP進(jìn)行(xing)維護(hù)管理:不同(tong)管理員��,不同權(quán)(quan)限
查看網(wǎng)絡(luò)(luo)運(yùn)行情況:在(zai)線用戶��、在線AP數(shù)(shu)量��、實(shí)時(shí)流(liu)量
無線網(wǎng)絡(luò)管(guan)理維(wei)護(hù):開啟關(guān)閉(bi)SSID��、終端綁定(ding)審批、二維碼(ma)上網(wǎng)審(shen)核
故障(zhang)��、審批實(shí)(shi)時(shí)通知:AP離線警(jing)告��、服(fu)務(wù)器離線警(jing)告��、網(wǎng)絡(luò)(luo)攻擊(ji)告警(jing)
方案優(yōu)勢(shi):
1��、最豐富(fu)的無線安全機(jī)(ji)制��,提供(gong)從安全接(jie)入到(dao)安全上網(wǎng)等(deng)端到端(duan)的安全策略
2��、合理(li)管控工作人員(yuan)上網(wǎng)行為��,提(ti)升工作(zuo)效率��、防止(zhi)帶寬浪費(fèi)��,有(you)線無線雙重(zhong)管控
3��、為會(huì)議室��,報(bào)告(gao)廳等人員密集(ji)區(qū)域接入網(wǎng)(wang)絡(luò)提高保證��,解(jie)決有(you)線網(wǎng)口(kou)不足的問題��;
4��、為企業(yè)員(yuan)工的移動(dòng)辦(ban)公提供支撐��,內(nèi)(nei)部員工可通過(guo)無線網(wǎng)絡(luò)(luo)隨時(shí)安全(quan)接入內(nèi)部(bu)網(wǎng)絡(luò)(luo)��,實(shí)現(xiàn)辦(ban)公��;
5��、內(nèi)部員工賬號(hào)(hao)及個(gè)人信息綁(bang)定��,便于(yu)安全管理��;
6��、內(nèi)部(bu)員工可通(tong)過自己的(de)辦公設(shè)(she)備在企業(yè)(ye)大樓(lou)內(nèi)快速(su)移動(dòng)辦公(gong)��,網(wǎng)絡(luò)接入(ru)更快速(su)��,上網(wǎng)行為(wei)管理系統(tǒng)(tong)對(duì)員工上網(wǎng)行(xing)為進(jìn)行審計(jì)(ji)與管控
7��、來訪客戶接(jie)入企業(yè)網(wǎng)絡(luò)(luo)��,可根(gen)據(jù)不同需(xu)求��,分配不(bu)同的上網(wǎng)權(quán)(quan)限,保證了接入(ru)的安全(quan)性同(tong)時(shí)提升群眾(zhong)上網(wǎng)的(de)體驗(yàn)
8��、豐富的認(rèn)證機(jī)(ji)制��,滿足組織對(duì)(dui)無線(xian)網(wǎng)絡(luò)安全��、快(kuai)速接入
9��、投資(zi)成本低(di)��,通過(guo)部署(shu)無線(xian)控制器替(ti)換原(yuan)有網(wǎng)絡(luò)的(de)出口(kou)路由��、行(xing)為管(guan)理以及(ji)無線控制(zhi)器
