?
大型企業(yè)在(zai)無線(xian)網(wǎng)絡(luò)建設(shè)(she)期間要充分(fen)考慮(lv)訪客(領(lǐng)導(dǎo)、客(ke)戶、合(he)作伙(huo)伴)接入網(wǎng)絡(luò)的(de)需求���。首先從安(an)全性考慮,訪客(ke)網(wǎng)絡(luò)必須要和(he)辦公網(wǎng)絡(luò)分(fen)開,訪客(ke)網(wǎng)絡(luò)單(dan)獨(dú)提供(gong)給訪客使(shi)用���。從用戶體驗(yàn)(yan)角度考(kao)慮,訪客接入網(wǎng)(wang)絡(luò)的驗(yàn)證(zheng)方式一定要(yao)做到簡(jian)單易行����,繁(fan)瑣的驗(yàn)證方(fang)式會降低訪客(ke)對企業(yè)的(de)整體(ti)印象���。同時(shí)對(dui)于訪客網(wǎng)(wang)絡(luò),企業(yè)(ye)還需要建(jian)立完善的網(wǎng)(wang)絡(luò)安全(quan)管理機(jī)(ji)制���,避(bi)免由于訪(fang)客的網(wǎng)絡(luò)不(bu)良訪問給企業(yè)(ye)帶來的(de)法律風(fēng)險(xiǎn)����。對(dui)于企業(yè)員工(gong)移動(dong)辦公上網(wǎng)�,更(geng)需要做到可(ke)管控,上網(wǎng)(wang)行為做到可(ke)追溯��,企(qi)業(yè)有效的帶(dai)寬資源得到(dao)合理的分(fen)配和保證(zheng)����,才能(neng)使企業(yè)的(de)業(yè)務(wù)(wu)系統(tǒng)正常且(qie)穩(wěn)定高效地(di)運(yùn)行,同(tong)時(shí)保證企業(yè)信(xin)息安全�����,避免機(jī)(ji)密信息(xi)泄露(lu)��。
存在的問(wen)題(用戶需求(qiu))
1���、接入(ru)不安全(quan):缺乏安全可靠(kao)的認(rèn)證機(jī)(ji)制�,企業(yè)無線網(wǎng)(wang)絡(luò)接入不安(an)全
2、上網(wǎng)權(quán)(quan)限混亂(luan):缺乏有效(xiao)的控(kong)制策略�,員工(gong)上網(wǎng)權(quán)限不分(fen)明
3、數(shù)據(jù)信息安全(quan):缺乏有效的數(shù)(shu)據(jù)加(jia)密機(jī)制��,企業(yè)(ye)數(shù)據(jù)(ju)被黑(hei)客竊取(qu)篡改(gai)
4�、無線(xian)信號差:AP性能不(bu)佳,上網(wǎng)總(zong)掉線��,點(diǎn)位規(guī)(gui)劃不合理����,信號(hao)盲區(qū)多
5、漫游效果差(cha):不能(neng)實(shí)現(xiàn)二三(san)層漫游����,移(yi)動辦公時(shí),業(yè)務(wù)(wu)中斷
解決方案:
結(jié)合(he)用戶無(wu)線網(wǎng)(wang)絡(luò)需求情況����,結(jié)(jie)合產(chǎn)品(pin)自身技術(shù)(shu)特點(diǎn)�����,為了滿(man)足用戶(hu)構(gòu)建一(yi)個高速、穩(wěn)定(ding)���、安全���、可靠、易(yi)于管理的(de)無線接入(ru)網(wǎng)絡(luò)的需(xu)求��,本設(shè)計(jì)(ji)方案按照(zhao)AP+AC的結(jié)構(gòu)化(hua)無線網(wǎng)(wang)絡(luò)解決方案進(jìn)(jin)行設(shè)計(jì)����。具體設(shè)(she)計(jì)為在總部(bu)設(shè)置總部(bu)AC,在大型分(fen)支機(jī)(ji)構(gòu)設(shè)置分支AC與(yu)分支(zhi)AP,中型分支(zhi)機(jī)構(gòu)(gou)設(shè)計(jì)(ji)二級��,三級交(jiao)換機(jī)(ji)��,分支(zhi)AP��。小微(wei)型分(fen)支機(jī)構(gòu)直接(jie)設(shè)置分(fen)支AP�����?�?偛緼C可(ke)以對(dui)大型分支(zhi)機(jī)構(gòu)的AC進(jìn)行(xing)管理��,當(dāng)(dang)網(wǎng)點(diǎn)控(kong)制器采用集(ji)中管理的(de)模式進(jìn)入到中(zhong)心端控(kong)制器時(shí),會自(zi)動下載中心(xin)端的(de)公共配(pei)置����,比如IP組(zu)、MAC地址(zhi)庫�����、時(shí)間計(jì)(ji)劃�、角色授權(quán)(quan)、認(rèn)證頁面等 �。總(zong)部AC也可以直接(jie)管理中小(xiao)型分支機(jī)(ji)構(gòu)的分(fen)支AP�����,實(shí)現(xiàn)統(tǒng)一管(guan)理����。
方案設(shè)(she)計(jì):
安全無線(xian)整體解決(jue)方案:
接入前&接入(ru)時(shí)進(jìn)行身份(fen)認(rèn)證、安全無(wu)線網(wǎng)卡�����、賬號(hao)綁定(ding)(硬件碼(ma)+手機(jī)號)�,非(fei)法熱點(diǎn)(dian)檢測(ce)及防(fang)御、網(wǎng)絡(luò)攻擊(ji)防護(hù)���、射(she)頻定(ding)時(shí)關(guān)(guan)閉及(ji)安全加固�。
接入后&上網(wǎng)時(shí)(shi)進(jìn)行訪問權(quán)(quan)限控制�����。
上網(wǎng)后進(jìn)行上(shang)網(wǎng)行為記錄(lu)��。
上網(wǎng)(wang)用戶身份實(shí)名(ming)認(rèn)證:
無線辦(ban)公網(wǎng)采用802.1X/Portal/WAPI認(rèn)證(zheng)����,外置AAA和RADIUS+AD用于存(cun)儲用戶賬(zhang)號密碼。
每個賬(zhang)號對應(yīng)一個(ge)員工�,包(bao)括姓(xing)名、部門�、性別以(yi)及身份證(zheng)、手機(jī)(ji)號等個人信(xin)息�,保證(zheng)每個上(shang)網(wǎng)的賬號都是(shi)可尋的(de),便于安(an)全管理���。
用戶輸(shu)入賬(zhang)號密碼上網(wǎng)(wang)驗(yàn)證(zheng)時(shí)均采用加(jia)密傳輸(shu)����,防止黑客(ke)空中(zhong)攔截,竊取(qu)賬號密碼等(deng)數(shù)據(jù)���。
上網(wǎng)賬號自動(dong)綁定終端:
自動將賬號與(yu)終端(duan)的硬件(jian)特征碼進(jìn)(jin)行綁定���,防止賬(zhang)號被他人使用(yong)或者被盜用。
每臺設(shè)備的硬(ying)件特征碼是(shi)唯一(yi)的���,無法通過軟(ruan)件修改�����。即使(shi)通過軟件修(xiu)改了仍(reng)然可以識(shi)別原始(shi)的�����。
每個賬號最(zui)多可以綁定(ding)5臺終端��,超過(guo)1臺時(shí)需要管理(li)員審核(he)���。
上網(wǎng)(wang)賬號二次(ci)綁定(ding)手機(jī)號(hao)碼:
賬號首次登(deng)陸時(shí)需要綁(bang)定手機(jī)號并(bing)輸入短信驗(yàn)(yan)證碼,當(dāng)用(yong)戶賬號在新終(zhong)端登陸時(shí)(換終(zhong)端/被他用/被(bei)盜)����,不僅需(xu)要輸入密(mi)碼�,還需要輸(shu)入短信驗(yàn)證碼(ma)�����,解決員工賬(zhang)號認(rèn)證的安全(quan)問題
綁定手機(jī)號(hao)碼的(de)用戶(hu)��,可以自助(zhu)重置密碼(ma)和修改(gai)密碼��,無需通(tong)過IT管理員���。
用戶密碼管理(li)及自助(zhu)修改:
無需通過管理(li)員即(ji)可修改密(mi)碼,提高(gao)效率及減(jian)輕管理員工作(zuo)壓力�����。
通過口袋助(zhu)理�����、釘釘�、企業(yè)號(hao)等手機(jī)MOA類APP軟(ruan)件進(jìn)行無(wu)線密碼修改(gai)。
若賬號綁定了(le)手機(jī)號碼���,可(ke)通過手機(jī)驗(yàn)證(zheng)碼自助(zhu)修改(gai)����。
上網(wǎng)終端合(he)法效驗(yàn)(yan):
采用安(an)全無線網(wǎng)(wang)卡接入(ru)無線網(wǎng)絡(luò),終端(duan)與AP熱點(diǎn)的雙向(xiang)驗(yàn)證(zheng)��,提高安全性����。
可以將(jiang)無線網(wǎng)絡(luò)設(shè)置(zhi)為只有安裝(zhuang)了安全(quan)無線網(wǎng)卡的(de)終端才能(neng)接入無(wu)線網(wǎng)絡(luò)。
支持(chi)設(shè)置安全(quan)無線網(wǎng)卡只(zhi)能連指定(ding)SSID無線網(wǎng)(wang)絡(luò)�,無法連(lian)接非授權(quán)SSID。
網(wǎng)卡與AP數(shù)據(jù)傳(chuan)輸時(shí)(shi)自動進(jìn)(jin)行數(shù)據(jù)加密(mi)���,保證無(wu)線的(de)空口(kou)安全���。
無線熱(re)點(diǎn)掃(sao)描及非(fei)法熱點(diǎn)(dian)抑制:
背景(jing):黑客在附近(jin)搭建一個(ge)一模一樣或(huo)者類似的WIFI名稱(cheng),誘使用戶(hu)連到虛假(jia)釣魚WIFI上(shang)�,黑客利(li)用分析軟件從(cong)用戶上(shang)網(wǎng)產(chǎn)生(sheng)的數(shù)據(jù)包中(zhong)分析提取用戶(hu)隱私(si)信息。
我們通過(guo)WIPS無線入侵防(fang)御系統(tǒng)實(shí)時(shí)(shi)檢測周圍無(wu)線信號�����,當(dāng)(dang)檢測出來的(de)信號BSSID��、且AP源(yuan)MAC地址不(bu)在授權(quán)列(lie)表中時(shí),我們(men)向?qū)?yīng)的(de)AP和終端發(fā)送(song)解除關(guān)聯(lián)(lian)幀����,讓終(zhong)端無法連上釣(diao)魚WIFI。7×24小時(shí)(shi)不間斷監(jiān)測網(wǎng)(wang)絡(luò)����。
上網(wǎng)行(xing)為嚴(yán)格控制:
強(qiáng)大的管理(li):通過應(yīng)(ying)用識別技(ji)術(shù)�,可以(yi)根據(jù)應(yīng)用(yong)類型或(huo)者具體某(mou)一種應(yīng)用(yong)進(jìn)行封(feng)堵,包括視頻(pin)�、論壇、游戲����、金融(rong)、下載等2400多種網(wǎng)(wang)絡(luò)應(yīng)用�。
通過應(yīng)用識(shi)別技術(shù)(shu),可以根(gen)據(jù)應(yīng)用類型或(huo)者具體(ti)某一種應(yīng)(ying)用進(jìn)行(xing)封堵���,比如上班(ban)時(shí)間不(bu)允許炒(chao)股���,不允(yun)許P2P下(xia)載,不允許外發(fā)(fa)敏感文件等(deng)���; 支持主(zhu)流移動平(ping)臺�,可識別(bie)IM、社交����、Mail、新聞(wen)���、炒股等應(yīng)用(yong)���。
無線控制(zhi)器內(nèi)置(zhi)千萬(wan)級別的URL分類(lei)庫,能(neng)夠?qū)RL進(jìn)(jin)行識別(bie)�,包含新聞、購(gou)物���、金(jin)融����、教育等18個(ge)種類(lei)的URL地址���; 準(zhǔn)確(que)識別目(mu)前主(zhu)流網(wǎng)站��,識別(bie)率高達(dá)(da)99.9%����,有效實(shí)(shi)現(xiàn)網(wǎng)頁(ye)過濾(lv)。例如禁(jin)止登陸非法網(wǎng)(wang)站
通過(guo)基于時(shí)間段(duan)的訪(fang)問控制策(ce)略�����,實(shí)(shi)現(xiàn)不(bu)同的時(shí)間段不(bu)同的(de)訪問權(quán)限����,比如(ru)上班時(shí)間,禁止(zhi)訪問網(wǎng)上銀行(xing)�、游戲�����、論(lun)壇貼吧(ba)等與工作無(wu)關(guān)的應(yīng)(ying)用��,下班(ban)時(shí)間則不(bu)受限制�����。
辦公(gong)區(qū)域內(nèi)��,不(bu)同辦公部門總(zong)會有(you)各自專(zhuan)屬的無線網(wǎng)(wang)絡(luò)�,并(bing)且不(bu)希望部門之外(wai)的成員使(shi)用這個網(wǎng)絡(luò)�。無(wu)線網(wǎng)絡(luò)(luo)控制器可以根(gen)據(jù)用戶的屬(shu)性��,限制禁止(zhi)非本(ben)部門的用(yong)戶接入��。
典型無線網(wǎng)(wang)絡(luò)攻擊(ji)防護(hù):
對典型(xing)的危險(xiǎn)攻(gong)擊行為進(jìn)(jin)行檢測(ce)����,當(dāng)超(chao)過設(shè)定的閾(yu)值后自動將(jiang)攻擊者加(jia)入到黑名單中(zhong),并凍結(jié)一(yi)定時(shí)(shi)間�,即時(shí)發(fā)(fa)現(xiàn)網(wǎng)絡(luò)(luo)攻擊并進(jìn)行(xing)防御。
檢測的攻擊(ji)包括(kuo):DDOS防御��、ARP掃描�、IP掃(sao)描、端口(kou)掃描防(fang)御��,禁(jin)止客戶端私設(shè)(she)IP以及(ji)ARP���、網(wǎng)關(guān)欺(qi)騙防御���、DHCP請求泛(fan)洪防御。
無線射頻(pin)定時(shí)關(guān)閉開(kai)啟:
通過射頻關(guān)閉(bi)控制(zhi)策略(lve)��,可以(yi)指定某SSID網(wǎng)(wang)絡(luò)�,定時(shí)(shi)自動(dong)關(guān)閉和開啟無(wu)線網(wǎng)絡(luò)的射頻(pin)信號���,晚上(shang)下班(ban)后自動關(guān)(guan)閉無線射頻(pin)信號(hao)。
一方面(mian)可以節(jié)能(neng)減排�、節(jié)省(sheng)電費(fèi)支出;另一(yi)方面又(you)能防(fang)止非法用戶利(li)用深夜(ye)時(shí)間入侵無線(xian)網(wǎng)絡(luò)�,做(zuo)一些非(fei)法的(de)操作(zuo)。
有線無線一(yi)體化(hua)管理(li):
NAC的有線無(wu)線一體化�����,支(zhi)持對有線(xian)用戶的接入(ru)認(rèn)證(zheng)�����、訪問控制��、流量(liang)管理����、上網(wǎng)(wang)行為審計(jì)等�,
并提供統(tǒng)一(yi)中文Web管理(li)界面,一站式(shi)服務(wù)(wu)��,極大的(de)降低網(wǎng)絡(luò)建(jian)設(shè)成本���。
網(wǎng)絡(luò)分權(quán)(quan)分級(ji)管理:
分配(pei)不同的管理員(yuan)分別管理(li)各自權(quán)限區(qū)域(yu)的無線AP��,可以(yi)精細(xì)到對某(mou)AP分組(zu)有管理權(quán)限�����,該(gai)管理(li)員可以(yi)在該AP分組上(shang)建立無(wu)線網(wǎng)絡(luò)(luo)��,能夠(gou)激活�、刪除(chu)接入(ru)點(diǎn),能夠?qū)P的配(pei)置進(jìn)行編(bian)輯修改�。
可指定管理(li)員針對每個(ge)頁面(mian)的編(bian)輯或可(ke)查看權(quán)限,控制(zhi)粒度到(dao)控制器(qi)上的各個頁面(mian)�,對某個(ge)頁面沒有讀(du)權(quán)限則登錄時(shí)(shi)不顯示(shi)。
移動APP隨時(shí)隨(sui)地運(yùn)(yun)維管理:
支持(chi)跨互聯(lián)網(wǎng)運(yùn)維(wei)管理
登陸APP進(jìn)(jin)行維護(hù)管理:不(bu)同管理員(yuan)����,不同(tong)權(quán)限
查看網(wǎng)(wang)絡(luò)運(yùn)行情況(kuang):在線用戶、在線(xian)AP數(shù)量��、實(shí)時(shí)流量(liang)
無線網(wǎng)(wang)絡(luò)管理維護(hù):開(kai)啟關(guān)閉SSID���、終端綁(bang)定審批�、二(er)維碼上網(wǎng)(wang)審核
故障(zhang)、審批實(shí)時(shí)(shi)通知:AP離線警告(gao)��、服務(wù)器離(li)線警告�����、網(wǎng)(wang)絡(luò)攻擊告警
方案優(yōu)勢:
1����、最豐富的(de)無線安全機(jī)制(zhi),提供從安全(quan)接入到安全(quan)上網(wǎng)等端到端(duan)的安全策略
2�����、合理管控工作(zuo)人員上網(wǎng)行為(wei)�����,提升工作效(xiao)率���、防止帶寬(kuan)浪費(fèi)(fei)�,有線(xian)無線雙重管控(kong)
3�����、為會議室(shi)�,報(bào)告(gao)廳等人員密(mi)集區(qū)域接入(ru)網(wǎng)絡(luò)提高保證(zheng),解決有線網(wǎng)口(kou)不足的問題���;
4�����、為企(qi)業(yè)員(yuan)工的移動辦(ban)公提供支撐��,內(nèi)(nei)部員工可通(tong)過無線(xian)網(wǎng)絡(luò)隨時(shí)安全(quan)接入內(nèi)(nei)部網(wǎng)(wang)絡(luò)����,實(shí)現(xiàn)辦公(gong)��;
5��、內(nèi)部員工賬(zhang)號及個(ge)人信息綁定(ding)��,便于(yu)安全管理���;
6���、內(nèi)部員工可(ke)通過自(zi)己的(de)辦公設(shè)備在企(qi)業(yè)大樓內(nèi)(nei)快速移動辦公(gong),網(wǎng)絡(luò)接(jie)入更快速,上(shang)網(wǎng)行為(wei)管理系統(tǒng)(tong)對員(yuan)工上網(wǎng)行為(wei)進(jìn)行審計(jì)與管(guan)控
7�����、來訪客戶(hu)接入企業(yè)(ye)網(wǎng)絡(luò)�����,可根(gen)據(jù)不同(tong)需求�,分配不同(tong)的上網(wǎng)(wang)權(quán)限,保證了接(jie)入的安全(quan)性同時(shí)提升(sheng)群眾(zhong)上網(wǎng)的體驗(yàn)
8�、豐富的(de)認(rèn)證機(jī)制(zhi),滿足(zu)組織對無線網(wǎng)(wang)絡(luò)安(an)全���、快速接入
9�、投資成本低(di)�����,通過部署無線(xian)控制(zhi)器替換原有網(wǎng)(wang)絡(luò)的出口路由(you)���、行為管理以(yi)及無線控制(zhi)器
