?
大型企業(yè)在(zai)無線網(wǎng)絡建(jian)設期(qi)間要(yao)充分考(kao)慮訪客(ke)(領導��、客戶(hu)、合作伙伴(ban))接入網(wǎng)絡(luo)的需求��。首先(xian)從安(an)全性考(kao)慮�,訪客網(wǎng)絡(luo)必須要(yao)和辦公(gong)網(wǎng)絡分(fen)開����,訪客網(wǎng)絡單(dan)獨提供給(gei)訪客使(shi)用。從(cong)用戶體驗角(jiao)度考慮(lv)�����,訪客接入網(wǎng)絡(luo)的驗證方(fang)式一定要做(zuo)到簡單易(yi)行����,繁瑣(suo)的驗證方(fang)式會降(jiang)低訪客對企業(yè)(ye)的整體印象。同(tong)時對于訪客(ke)網(wǎng)絡(luo)���,企業(yè)還(hai)需要建(jian)立完善(shan)的網(wǎng)絡(luo)安全管(guan)理機制(zhi)���,避免由于訪客(ke)的網(wǎng)絡(luo)不良訪問給(gei)企業(yè)(ye)帶來的法律(lv)風險。對于企業(yè)(ye)員工(gong)移動辦(ban)公上網(wǎng)�����,更需要(yao)做到(dao)可管控,上網(wǎng)(wang)行為做到可追(zhui)溯���,企業(yè)有效(xiao)的帶寬資(zi)源得(de)到合理(li)的分配和保證(zheng)��,才能使企業(yè)的(de)業(yè)務系(xi)統(tǒng)正常且(qie)穩(wěn)定(ding)高效地運行�,同(tong)時保證企業(yè)信(xin)息安全����,避免(mian)機密信(xin)息泄露。
存在的(de)問題(用戶需(xu)求)
1����、接入(ru)不安全:缺(que)乏安全可(ke)靠的認證機制(zhi),企業(yè)無(wu)線網(wǎng)絡接入不(bu)安全
2�����、上網(wǎng)權限混(hun)亂:缺乏(fa)有效(xiao)的控制策略���,員(yuan)工上網(wǎng)權(quan)限不(bu)分明
3�����、數(shù)據(jù)信息安(an)全:缺(que)乏有效的數(shù)據(jù)(ju)加密機制�,企(qi)業(yè)數(shù)據(jù)被黑(hei)客竊取(qu)篡改
4���、無線信號差(cha):AP性能不佳(jia)���,上網(wǎng)(wang)總掉線(xian),點位(wei)規(guī)劃不合(he)理���,信號(hao)盲區(qū)(qu)多
5����、漫游(you)效果差(cha):不能(neng)實現(xiàn)(xian)二三層漫游��,移(yi)動辦公時�,業(yè)(ye)務中(zhong)斷
解決方案(an):
結合用戶無(wu)線網(wǎng)絡需(xu)求情況,結合(he)產(chǎn)品自身技(ji)術特點��,為(wei)了滿足用戶(hu)構建(jian)一個高速��、穩(wěn)(wen)定���、安全��、可(ke)靠��、易于管(guan)理的(de)無線接入網(wǎng)絡(luo)的需(xu)求����,本設(she)計方案按(an)照AP+AC的結構(gou)化無線網(wǎng)絡解(jie)決方(fang)案進行(xing)設計。具體(ti)設計(ji)為在(zai)總部設(she)置總部AC,在(zai)大型分支機(ji)構設置分支(zhi)AC與分(fen)支AP�����,中型(xing)分支機構(gou)設計二級���,三級(ji)交換機�����,分支AP��。小(xiao)微型(xing)分支機構(gou)直接設置分(fen)支AP���。總部AC可(ke)以對大型(xing)分支機構的(de)AC進行管理(li)���,當網(wǎng)點(dian)控制(zhi)器采(cai)用集中管理的(de)模式(shi)進入(ru)到中心端控制(zhi)器時��,會自動下(xia)載中心端的(de)公共配(pei)置��,比如IP組��、MAC地址(zhi)庫��、時間計(ji)劃、角色授(shou)權�、認證頁面(mian)等 ?����?偛緼C也可以(yi)直接管理中小(xiao)型分支(zhi)機構的分支(zhi)AP����,實現(xiàn)(xian)統(tǒng)一管理。
方案設計:
安全無線整體(ti)解決方案:
接入前&接(jie)入時(shi)進行身份認證(zheng)����、安全無(wu)線網(wǎng)卡、賬號綁(bang)定(硬件碼+手(shou)機號)���,非法(fa)熱點檢測及防(fang)御��、網(wǎng)(wang)絡攻擊防護���、射(she)頻定時(shi)關閉及安全(quan)加固����。
接入后&上網(wǎng)(wang)時進行訪問(wen)權限(xian)控制(zhi)��。
上網(wǎng)后進行(xing)上網(wǎng)行(xing)為記錄���。
上網(wǎng)(wang)用戶身份實名(ming)認證:
無線辦(ban)公網(wǎng)采用(yong)802.1X/Portal/WAPI認證�,外(wai)置AAA和RADIUS+AD用于(yu)存儲(chu)用戶賬號密碼(ma)����。
每個(ge)賬號對(dui)應一個(ge)員工,包(bao)括姓名�、部門(men)、性別以及身份(fen)證���、手(shou)機號等(deng)個人信息(xi)��,保證每個上網(wǎng)(wang)的賬號都是可(ke)尋的�,便(bian)于安全管(guan)理�。
用戶輸入(ru)賬號密碼上網(wǎng)(wang)驗證時均采用(yong)加密傳輸,防(fang)止黑客空中攔(lan)截�,竊取賬(zhang)號密碼(ma)等數(shù)據(jù)(ju)���。
上網(wǎng)(wang)賬號(hao)自動綁定(ding)終端:
自動將賬號與(yu)終端的(de)硬件特征碼進(jin)行綁(bang)定,防(fang)止賬號被(bei)他人使(shi)用或者被(bei)盜用���。
每臺設備的(de)硬件特征碼是(shi)唯一的���,無(wu)法通過軟(ruan)件修改����。即(ji)使通過軟件修(xiu)改了仍然可以(yi)識別原(yuan)始的(de)。
每個賬號最多(duo)可以綁定5臺(tai)終端(duan)��,超過1臺(tai)時需要管(guan)理員審核��。
上網(wǎng)(wang)賬號二次綁定(ding)手機(ji)號碼:
賬號首次登陸(lu)時需要綁定(ding)手機號并(bing)輸入短信(xin)驗證碼���,當用戶(hu)賬號(hao)在新終(zhong)端登陸時(shi)(換終端/被他(ta)用/被盜)��,不(bu)僅需要輸入密(mi)碼�����,還需要輸入(ru)短信驗證碼��,解(jie)決員工賬號認(ren)證的安全問(wen)題
綁定手機號(hao)碼的(de)用戶(hu)����,可以自(zi)助重置密(mi)碼和修改密碼(ma),無需通(tong)過IT管理員(yuan)����。
用戶(hu)密碼(ma)管理及(ji)自助(zhu)修改(gai):
無需通(tong)過管理(li)員即可(ke)修改密碼(ma),提高效率及(ji)減輕(qing)管理(li)員工作壓力�。
通過口袋助理(li)、釘釘(ding)��、企業(yè)號等(deng)手機MOA類(lei)APP軟件(jian)進行(xing)無線密碼修(xiu)改���。
若賬號綁定了(le)手機號碼(ma)�,可通過(guo)手機驗證碼自(zi)助修改�。
上網(wǎng)終端(duan)合法效驗(yan):
采用(yong)安全無線網(wǎng)(wang)卡接入無(wu)線網(wǎng)絡,終(zhong)端與AP熱點的雙(shuang)向驗證��,提(ti)高安全性�����。
可以將(jiang)無線網(wǎng)(wang)絡設置(zhi)為只有(you)安裝了安全無(wu)線網(wǎng)卡的終(zhong)端才能接(jie)入無線(xian)網(wǎng)絡����。
支持設置安(an)全無線網(wǎng)卡(ka)只能連指(zhi)定SSID無線網(wǎng)絡(luo),無法連接非(fei)授權SSID�����。
網(wǎng)卡與AP數(shù)(shu)據(jù)傳(chuan)輸時自動進(jin)行數(shù)(shu)據(jù)加密(mi)�����,保證無線(xian)的空口安(an)全�����。
無線熱點掃描(miao)及非法熱點(dian)抑制:
背景(jing):黑客在附(fu)近搭(da)建一個一(yi)模一樣(yang)或者類似(shi)的WIFI名稱���,誘使(shi)用戶連到(dao)虛假釣(diao)魚WIFI上,黑客(ke)利用分析軟(ruan)件從用戶(hu)上網(wǎng)產(chǎn)生的數(shù)(shu)據(jù)包(bao)中分析提(ti)取用(yong)戶隱私(si)信息��。
我們(men)通過(guo)WIPS無線入(ru)侵防(fang)御系統(tǒng)實時檢(jian)測周圍無線(xian)信號��,當檢測(ce)出來的(de)信號BSSID���、且AP源(yuan)MAC地址不在授權(quan)列表(biao)中時��,我們(men)向對應的AP和(he)終端發(fā)送解(jie)除關聯(lián)幀(zhen)�����,讓終端(duan)無法連上釣(diao)魚WIFI�。7×24小時(shi)不間斷(duan)監(jiān)測網(wǎng)絡。
上網(wǎng)行為(wei)嚴格控(kong)制:
強大的管理:通(tong)過應用識別技(ji)術���,可以(yi)根據(jù)(ju)應用類型或(huo)者具體某(mou)一種應用(yong)進行封(feng)堵����,包括視頻���、論(lun)壇�����、游(you)戲����、金融����、下載等(deng)2400多種網(wǎng)(wang)絡應(ying)用�����。
通過(guo)應用識(shi)別技(ji)術��,可以(yi)根據(jù)(ju)應用類(lei)型或者具體(ti)某一種應用(yong)進行(xing)封堵����,比如上(shang)班時間不允(yun)許炒股(gu)��,不允許(xu)P2P下載����,不允許外(wai)發(fā)敏感文件(jian)等; 支持主流移(yi)動平臺(tai)��,可識別IM���、社(she)交、Mail����、新聞、炒股等(deng)應用。
無線控(kong)制器內(nèi)置(zhi)千萬(wan)級別的URL分類庫(ku)�,能夠對(dui)URL進行(xing)識別(bie),包含(han)新聞���、購(gou)物�����、金融�����、教育等(deng)18個種類的URL地(di)址�; 準確識別目(mu)前主流網(wǎng)站���,識(shi)別率高達99.9%�����,有效(xiao)實現(xiàn)網(wǎng)(wang)頁過濾(lv)���。例如(ru)禁止登陸(lu)非法網(wǎng)站(zhan)
通過(guo)基于時間(jian)段的訪(fang)問控制策略,實(shi)現(xiàn)不同的時間(jian)段不同(tong)的訪(fang)問權限��,比如上(shang)班時間(jian),禁止訪(fang)問網(wǎng)(wang)上銀行�����、游戲(xi)���、論壇(tan)貼吧等與工(gong)作無關的應(ying)用���,下班(ban)時間則不受限(xian)制。
辦公區(qū)域(yu)內(nèi)��,不同辦公部(bu)門總會(hui)有各自專屬的(de)無線網(wǎng)絡�����,并(bing)且不(bu)希望部門之外(wai)的成員使(shi)用這個網(wǎng)(wang)絡�����。無線(xian)網(wǎng)絡控制器可(ke)以根據(jù)(ju)用戶的(de)屬性����,限制禁止(zhi)非本部門的(de)用戶接入�。
典型無(wu)線網(wǎng)絡攻擊防(fang)護:
對典(dian)型的危險攻擊(ji)行為進行檢(jian)測�����,當超過(guo)設定的(de)閾值(zhi)后自動將攻擊(ji)者加(jia)入到黑名單中(zhong)�,并凍(dong)結一定時間����,即(ji)時發(fā)現(xiàn)網(wǎng)(wang)絡攻擊并(bing)進行防御。
檢測的攻(gong)擊包括:DDOS防御(yu)��、ARP掃描���、IP掃描�、端(duan)口掃描防御�����,禁(jin)止客戶端(duan)私設(she)IP以及ARP�����、網(wǎng)關(guan)欺騙防御����、DHCP請求(qiu)泛洪防御�����。
無線射頻定(ding)時關(guan)閉開(kai)啟:
通過(guo)射頻關(guan)閉控(kong)制策(ce)略�,可(ke)以指定某SSID網(wǎng)(wang)絡��,定(ding)時自動關閉(bi)和開(kai)啟無線網(wǎng)絡(luo)的射頻(pin)信號�����,晚(wan)上下(xia)班后自(zi)動關閉無線射(she)頻信(xin)號��。
一方面可(ke)以節(jié)能減排����、節(jié)(jie)省電費(fei)支出;另一方面(mian)又能防(fang)止非法(fa)用戶利用深夜(ye)時間入侵無線(xian)網(wǎng)絡(luo)��,做一些(xie)非法的操作��。
有線(xian)無線一體(ti)化管(guan)理:
NAC的有線無(wu)線一體(ti)化�����,支持(chi)對有線用(yong)戶的接入(ru)認證(zheng)�����、訪問控制���、流量(liang)管理���、上網(wǎng)行為(wei)審計等,
并提(ti)供統(tǒng)一(yi)中文Web管理(li)界面�,一(yi)站式服務(wu),極大(da)的降低(di)網(wǎng)絡建設(she)成本�����。
網(wǎng)絡分(fen)權分級管(guan)理:
分配不(bu)同的管理員(yuan)分別(bie)管理各(ge)自權限(xian)區(qū)域(yu)的無線AP���,可以精(jing)細到(dao)對某AP分組有(you)管理權限(xian)���,該管理員(yuan)可以在該AP分(fen)組上建立(li)無線網(wǎng)絡(luo),能夠激活��、刪(shan)除接(jie)入點(dian)�����,能夠對AP的(de)配置進(jin)行編輯修(xiu)改。
可指定管(guan)理員針(zhen)對每(mei)個頁面的編(bian)輯或可查看權(quan)限��,控制粒(li)度到控制器上(shang)的各個(ge)頁面(mian)�,對某個(ge)頁面沒(mei)有讀(du)權限則登錄(lu)時不顯(xian)示。
移動(dong)APP隨時(shi)隨地運維(wei)管理:
支持跨互聯(lián)(lian)網(wǎng)運維管理
登陸APP進行維護(hu)管理:不同管(guan)理員���,不同(tong)權限
查看網(wǎng)(wang)絡運(yun)行情況:在線(xian)用戶���、在線AP數(shù)量(liang)、實時流量
無線網(wǎng)絡(luo)管理維護:開(kai)啟關閉(bi)SSID���、終端綁(bang)定審批����、二(er)維碼上網(wǎng)審(shen)核
故障����、審批(pi)實時通知(zhi):AP離線(xian)警告(gao)、服務器(qi)離線警告�����、網(wǎng)絡(luo)攻擊告警
方案優(yōu)(you)勢:
1、最豐(feng)富的無(wu)線安(an)全機制��,提供(gong)從安全接(jie)入到安(an)全上網(wǎng)等端到(dao)端的安全策略(lve)
2���、合理管控(kong)工作人員上(shang)網(wǎng)行為(wei)����,提升(sheng)工作效率(lv)��、防止帶寬(kuan)浪費�����,有線無(wu)線雙重管控(kong)
3����、為會(hui)議室��,報告廳等(deng)人員密集區(qū)(qu)域接入(ru)網(wǎng)絡提(ti)高保證�����,解決有(you)線網(wǎng)口不(bu)足的問(wen)題���;
4���、為企業(yè)員工的(de)移動辦公(gong)提供支(zhi)撐���,內(nèi)部員工(gong)可通過無線網(wǎng)(wang)絡隨時(shi)安全接入(ru)內(nèi)部網(wǎng)絡,實(shi)現(xiàn)辦公(gong)���;
5�����、內(nèi)部員工賬號(hao)及個人(ren)信息綁(bang)定���,便于安全管(guan)理;
6����、內(nèi)部員(yuan)工可通過(guo)自己的(de)辦公設備在企(qi)業(yè)大樓(lou)內(nèi)快速移動辦(ban)公,網(wǎng)(wang)絡接(jie)入更快速��,上網(wǎng)(wang)行為(wei)管理系統(tǒng)對員(yuan)工上網(wǎng)行為(wei)進行審計與(yu)管控
7�、來訪客戶接入(ru)企業(yè)(ye)網(wǎng)絡(luo),可根據(jù)不(bu)同需求(qiu)���,分配不同(tong)的上網(wǎng)權限���,保(bao)證了接(jie)入的安全性同(tong)時提(ti)升群眾上網(wǎng)(wang)的體驗(yan)
8���、豐富的認(ren)證機制,滿足組(zu)織對無線網(wǎng)(wang)絡安全��、快速(su)接入(ru)
9���、投資成本低,通(tong)過部署(shu)無線(xian)控制器替換原(yuan)有網(wǎng)絡(luo)的出口路(lu)由��、行為管理以(yi)及無線控(kong)制器
