?
大型(xing)企業(yè)在(zai)無線網絡建(jian)設期間要充分(fen)考慮訪客(ke)(領導(dao)�、客戶���、合作(zuo)伙伴)接(jie)入網絡的需(xu)求���。首先從安(an)全性考慮,訪(fang)客網絡必須要(yao)和辦公網(wang)絡分(fen)開����,訪客(ke)網絡(luo)單獨提供給訪(fang)客使用�����。從用戶(hu)體驗角(jiao)度考慮���,訪客(ke)接入網絡的(de)驗證方式一定(ding)要做(zuo)到簡(jian)單易行,繁瑣(suo)的驗證方式(shi)會降(jiang)低訪(fang)客對企業(yè)的整(zheng)體印象(xiang)�����。同時(shi)對于訪(fang)客網絡����,企業(yè)還(hai)需要建立完善(shan)的網絡安全(quan)管理(li)機制,避(bi)免由于(yu)訪客的網(wang)絡不良訪問(wen)給企業(yè)帶來(lai)的法律(lv)風險�。對于企業(yè)(ye)員工移動(dong)辦公上網(wang),更需要(yao)做到(dao)可管控�����,上網(wang)行為做(zuo)到可追溯(su)�,企業(yè)有效的(de)帶寬(kuan)資源得(de)到合理(li)的分配和保證(zheng),才能使(shi)企業(yè)的(de)業(yè)務系統(tong)正常(chang)且穩(wěn)定(ding)高效(xiao)地運行�����,同時保(bao)證企業(yè)(ye)信息安全(quan),避免(mian)機密信息(xi)泄露(lu)���。
存在的(de)問題(用戶(hu)需求)
1、接入(ru)不安全:缺乏(fa)安全(quan)可靠的認證機(ji)制����,企(qi)業(yè)無(wu)線網絡接入(ru)不安全
2、上網權限(xian)混亂:缺乏(fa)有效的控制策(ce)略����,員(yuan)工上網權限(xian)不分明
3、數據信(xin)息安全(quan):缺乏(fa)有效的數(shu)據加密機制�,企(qi)業(yè)數據被黑(hei)客竊取篡改(gai)
4、無線信號(hao)差:AP性能不(bu)佳����,上(shang)網總(zong)掉線,點位規(guī)劃(hua)不合(he)理���,信(xin)號盲區(qū)多
5���、漫游效果差(cha):不能實(shi)現二三(san)層漫游(you)��,移動辦公時��,業(yè)(ye)務中斷(duan)
解決方案:
結合(he)用戶無線網(wang)絡需(xu)求情況���,結(jie)合產品(pin)自身技術特點(dian),為了(le)滿足(zu)用戶構(gou)建一個高速�����、穩(wěn)(wen)定��、安全(quan)��、可靠���、易于(yu)管理(li)的無線接入網(wang)絡的需求(qiu)��,本設(she)計方案(an)按照AP+AC的結(jie)構化無(wu)線網絡解決方(fang)案進行設計�。具(ju)體設計(ji)為在總(zong)部設置總(zong)部AC,在(zai)大型(xing)分支機構設置(zhi)分支AC與分支(zhi)AP���,中型分支機構(gou)設計二級���,三級(ji)交換機���,分支(zhi)AP。小微型分支機(ji)構直接設置分(fen)支AP�。總部AC可以對(dui)大型分支機(ji)構的AC進行(xing)管理��,當網(wang)點控制器采用(yong)集中(zhong)管理的(de)模式進入到(dao)中心端(duan)控制器(qi)時��,會(hui)自動(dong)下載中心端的(de)公共配置���,比如(ru)IP組、MAC地址庫���、時間(jian)計劃��、角色授權(quan)��、認證頁(ye)面等 �?��??zong)部AC也(ye)可以直接(jie)管理中(zhong)小型(xing)分支機構的分(fen)支AP���,實(shi)現統(tong)一管理�����。
方案設計:
安全(quan)無線整體(ti)解決方案:
接入前&接(jie)入時進行身(shen)份認(ren)證����、安全無(wu)線網卡���、賬(zhang)號綁定(硬(ying)件碼+手(shou)機號)��,非(fei)法熱點(dian)檢測及防御��、網(wang)絡攻擊防(fang)護��、射頻定(ding)時關閉及(ji)安全加固(gu)�。
接入后(hou)&上網(wang)時進行訪問(wen)權限控(kong)制���。
上網(wang)后進(jin)行上網行為(wei)記錄(lu)�����。
上網用戶身(shen)份實名認證:
無線辦公網采(cai)用802.1X/Portal/WAPI認證����,外(wai)置AAA和RADIUS+AD用于存儲(chu)用戶賬號(hao)密碼。
每個賬(zhang)號對(dui)應一個員(yuan)工���,包括姓(xing)名����、部門��、性(xing)別以及身(shen)份證�、手機號(hao)等個人(ren)信息(xi),保證每(mei)個上網(wang)的賬(zhang)號都是可尋的(de)���,便于安全(quan)管理(li)。
用戶輸入(ru)賬號密(mi)碼上網驗(yan)證時均采用加(jia)密傳(chuan)輸����,防(fang)止黑客空(kong)中攔截,竊取(qu)賬號(hao)密碼等數據��。
上網賬號自動(dong)綁定終端:
自動將(jiang)賬號與終端的(de)硬件特征(zheng)碼進行綁定(ding)����,防止賬號(hao)被他人使用(yong)或者(zhe)被盜用(yong)。
每臺設備(bei)的硬件(jian)特征(zheng)碼是唯一的(de)���,無法(fa)通過軟件(jian)修改����。即使通(tong)過軟件修改(gai)了仍然可以識(shi)別原(yuan)始的。
每個賬號(hao)最多可(ke)以綁定(ding)5臺終端�,超過(guo)1臺時(shi)需要(yao)管理(li)員審核。
上網賬號(hao)二次綁定手機(ji)號碼:
賬號首次登陸(lu)時需要(yao)綁定手機(ji)號并輸(shu)入短信(xin)驗證碼����,當用(yong)戶賬號(hao)在新終端(duan)登陸時(shi)(換終端/被他用(yong)/被盜),不僅需要(yao)輸入密碼�,還需(xu)要輸(shu)入短(duan)信驗(yan)證碼,解決員(yuan)工賬號認證(zheng)的安(an)全問題
綁定手機號(hao)碼的(de)用戶(hu)�����,可以自助重置(zhi)密碼和(he)修改密碼�,無(wu)需通過IT管(guan)理員。
用戶密碼管理(li)及自助修改:
無需通過(guo)管理員即(ji)可修改密碼(ma)�,提高效率及(ji)減輕管(guan)理員工作壓(ya)力。
通過口(kou)袋助理(li)����、釘釘、企(qi)業(yè)號等手機MOA類(lei)APP軟件進(jin)行無線(xian)密碼修改。
若賬號綁定了(le)手機號碼�,可(ke)通過手機驗(yan)證碼自助修改(gai)。
上網(wang)終端(duan)合法(fa)效驗(yan):
采用(yong)安全無線網(wang)卡接入(ru)無線網絡(luo)���,終端與AP熱點的(de)雙向(xiang)驗證��,提高安(an)全性(xing)�����。
可以將無線(xian)網絡設(she)置為(wei)只有安裝(zhuang)了安(an)全無(wu)線網卡(ka)的終端才能(neng)接入無線網(wang)絡���。
支持設(she)置安(an)全無(wu)線網卡只(zhi)能連(lian)指定SSID無線網(wang)絡,無法連接(jie)非授權(quan)SSID���。
網卡與(yu)AP數據傳輸時自(zi)動進(jin)行數(shu)據加(jia)密���,保證無(wu)線的(de)空口安全(quan)���。
無線熱(re)點掃描(miao)及非法熱(re)點抑制(zhi):
背景:黑客在附(fu)近搭建(jian)一個一模一樣(yang)或者類似的WIFI名(ming)稱�,誘(you)使用戶連到(dao)虛假(jia)釣魚WIFI上(shang)����,黑客利用分(fen)析軟件從用戶(hu)上網產生的數(shu)據包中(zhong)分析(xi)提取(qu)用戶(hu)隱私(si)信息��。
我們通(tong)過WIPS無線入侵(qin)防御(yu)系統實時檢測(ce)周圍無線(xian)信號���,當(dang)檢測出來的信(xin)號BSSID、且AP源(yuan)MAC地址不在授權(quan)列表中(zhong)時�����,我們向對應(ying)的AP和終端發(fā)(fa)送解除關(guan)聯幀���,讓終(zhong)端無(wu)法連上釣魚(yu)WIFI�����。7×24小時不(bu)間斷(duan)監(jiān)測網絡�。
上網行為嚴格(ge)控制:
強大(da)的管理:通過(guo)應用識(shi)別技術�,可以(yi)根據(ju)應用類型(xing)或者具(ju)體某一(yi)種應(ying)用進行(xing)封堵(du),包括視頻(pin)、論壇、游(you)戲���、金融(rong)����、下載等2400多種(zhong)網絡應用�����。
通過應用(yong)識別技術���,可以(yi)根據應用(yong)類型或者(zhe)具體(ti)某一種應(ying)用進行(xing)封堵(du),比如上班(ban)時間不允許(xu)炒股(gu)����,不允許(xu)P2P下載,不(bu)允許外發(fā)敏(min)感文件等���; 支持(chi)主流移(yi)動平臺��,可識(shi)別IM��、社交���、Mail、新聞����、炒(chao)股等應(ying)用。
無線控制(zhi)器內置千萬級(ji)別的URL分類庫����,能(neng)夠對(dui)URL進行(xing)識別,包含(han)新聞�����、購物�、金融(rong)、教育等18個種類(lei)的URL地址��; 準(zhun)確識別目(mu)前主(zhu)流網(wang)站�����,識別(bie)率高達99.9%���,有效實(shi)現網(wang)頁過濾(lv)�。例如禁止(zhi)登陸非法網站(zhan)
通過基于時間(jian)段的訪(fang)問控(kong)制策略(lve)��,實現不同的時(shi)間段不(bu)同的訪問(wen)權限���,比如上班(ban)時間�����,禁止訪(fang)問網上銀(yin)行�、游(you)戲、論壇貼(tie)吧等與(yu)工作無關的(de)應用(yong)����,下班時(shi)間則不(bu)受限(xian)制。
辦公區(qū)域內(nei)�����,不同辦(ban)公部門總會(hui)有各自(zi)專屬的(de)無線網絡�����,并(bing)且不希(xi)望部門之外(wai)的成員使用(yong)這個網絡(luo)�。無線(xian)網絡控制器(qi)可以根據用戶(hu)的屬性(xing),限制禁止非(fei)本部門(men)的用戶接入�。
典型無線網(wang)絡攻(gong)擊防護:
對典型的(de)危險攻擊行為(wei)進行檢測,當超(chao)過設(she)定的(de)閾值后自動將(jiang)攻擊者(zhe)加入到黑(hei)名單中���,并凍結(jie)一定(ding)時間����,即時發(fā)現(xian)網絡攻擊并進(jin)行防御�。
檢測(ce)的攻擊包(bao)括:DDOS防御(yu)、ARP掃描�、IP掃描(miao)、端口(kou)掃描防御�����,禁止(zhi)客戶端(duan)私設IP以及(ji)ARP����、網關(guan)欺騙防御、DHCP請求(qiu)泛洪(hong)防御����。
無線(xian)射頻(pin)定時關閉開啟(qi):
通過射頻關閉(bi)控制策略,可(ke)以指定某(mou)SSID網絡�,定(ding)時自動關閉(bi)和開啟無線網(wang)絡的射頻(pin)信號,晚上下班(ban)后自動關(guan)閉無線射頻(pin)信號(hao)����。
一方面可以節(jié)(jie)能減排、節(jié)省電(dian)費支出���;另一(yi)方面又能(neng)防止(zhi)非法用(yong)戶利用深夜時(shi)間入侵無線網(wang)絡����,做(zuo)一些非法(fa)的操(cao)作。
有線無線一體(ti)化管理:
NAC的有(you)線無線一體化(hua)���,支持(chi)對有線用戶的(de)接入認證(zheng)���、訪問控制、流(liu)量管理�、上(shang)網行(xing)為審計(ji)等,
并提(ti)供統一(yi)中文Web管理界(jie)面�����,一站式服(fu)務���,極大的降(jiang)低網絡建設成(cheng)本���。
網絡分(fen)權分級管理:
分配(pei)不同的管理(li)員分別管(guan)理各(ge)自權限區(qū)域(yu)的無線AP,可(ke)以精細到(dao)對某AP分組有管(guan)理權(quan)限���,該管理員可(ke)以在該(gai)AP分組上(shang)建立無線網(wang)絡���,能(neng)夠激活��、刪除接(jie)入點�,能(neng)夠對AP的配(pei)置進行編輯(ji)修改(gai)��。
可指定(ding)管理員(yuan)針對每個頁面(mian)的編輯或(huo)可查看權(quan)限���,控制粒(li)度到控(kong)制器上(shang)的各(ge)個頁面,對(dui)某個頁面(mian)沒有(you)讀權限則登(deng)錄時不顯示(shi)��。
移動APP隨時隨(sui)地運維管理(li):
支持(chi)跨互聯網運維(wei)管理(li)
登陸APP進行(xing)維護管(guan)理:不同(tong)管理員���,不同(tong)權限
查看(kan)網絡運行情況(kuang):在線(xian)用戶��、在(zai)線AP數量�、實時(shi)流量
無線(xian)網絡(luo)管理維護:開啟(qi)關閉SSID��、終(zhong)端綁定(ding)審批�、二維碼(ma)上網審核
故障(zhang)、審批實時通(tong)知:AP離線(xian)警告(gao)���、服務器離線(xian)警告�����、網(wang)絡攻擊(ji)告警
方案優(yōu)勢:
1�、最豐富的無(wu)線安全機(ji)制,提(ti)供從安全(quan)接入到(dao)安全上網等(deng)端到端的安(an)全策略
2�、合理管控(kong)工作人(ren)員上網行為(wei),提升工作效率(lv)���、防止帶寬浪費(fei)����,有線無線雙重(zhong)管控
3�、為會(hui)議室,報告(gao)廳等(deng)人員密集(ji)區(qū)域接(jie)入網(wang)絡提高保證��,解(jie)決有線網口不(bu)足的(de)問題�����;
4����、為企業(yè)員工(gong)的移動辦公(gong)提供(gong)支撐,內部員(yuan)工可通過(guo)無線網絡隨時(shi)安全接入內(nei)部網絡��,實現(xian)辦公;
5��、內部員(yuan)工賬號及個(ge)人信息綁定(ding)���,便于安(an)全管理��;
6��、內部員工(gong)可通(tong)過自己的(de)辦公設備在(zai)企業(yè)大(da)樓內快(kuai)速移動辦公����,網(wang)絡接入更快(kuai)速���,上網行為管(guan)理系(xi)統對員(yuan)工上網行為(wei)進行審計與(yu)管控
7、來訪客(ke)戶接入企業(yè)網(wang)絡�,可根據不同(tong)需求,分(fen)配不同(tong)的上網權限(xian)��,保證了接入(ru)的安全(quan)性同時提升群(qun)眾上網的(de)體驗
8�����、豐富(fu)的認證機制(zhi)���,滿足(zu)組織對無(wu)線網絡安全����、快(kuai)速接入
9、投資成本低(di)����,通過部署(shu)無線控制(zhi)器替換(huan)原有(you)網絡的出口(kou)路由、行為管(guan)理以及無線控(kong)制器
