?
大型企業(yè)(ye)在無線網(wǎng)(wang)絡(luò)建設(shè)(she)期間要充(chong)分考慮訪(fang)客(領(lǐng)導����、客戶���、合(he)作伙伴(ban))接入網(wǎng)絡(luò)的(de)需求。首(shou)先從安全性(xing)考慮�,訪客(ke)網(wǎng)絡(luò)(luo)必須(xu)要和辦公(gong)網(wǎng)絡(luò)分開,訪客(ke)網(wǎng)絡(luò)單獨提供(gong)給訪客使用(yong)����。從用戶體(ti)驗角度考慮,訪(fang)客接入網(wǎng)絡(luò)的(de)驗證方式一定(ding)要做到簡單(dan)易行,繁(fan)瑣的(de)驗證(zheng)方式會降(jiang)低訪(fang)客對企業(yè)(ye)的整體印象(xiang)�����。同時(shi)對于訪客網(wǎng)(wang)絡(luò)�����,企業(yè)還(hai)需要建立完善(shan)的網(wǎng)絡(luò)安(an)全管理機制(zhi)���,避免由于(yu)訪客的網(wǎng)絡(luò)不(bu)良訪(fang)問給企業(yè)(ye)帶來的法律風(feng)險�。對于企業(yè)員(yuan)工移(yi)動辦(ban)公上網(wǎng)�,更需要(yao)做到可管控(kong)��,上網(wǎng)(wang)行為做到可追(zhui)溯��,企業(yè)有效(xiao)的帶寬資(zi)源得到合理的(de)分配和保證����,才(cai)能使(shi)企業(yè)的(de)業(yè)務(wù)系(xi)統(tǒng)正(zheng)常且(qie)穩(wěn)定高效(xiao)地運行(xing),同時(shi)保證企業(yè)信息(xi)安全���,避(bi)免機密(mi)信息泄露(lu)�����。
存在的(de)問題(用戶需求(qiu))
1���、接入(ru)不安全:缺(que)乏安全(quan)可靠(kao)的認證機制���,企(qi)業(yè)無線網(wǎng)絡(luò)(luo)接入不安全
2、上網(wǎng)權(quán)限混(hun)亂:缺(que)乏有(you)效的控制策略(lve)����,員工上網(wǎng)(wang)權(quán)限不分明(ming)
3、數(shù)據(jù)信(xin)息安全(quan):缺乏有(you)效的數(shù)(shu)據(jù)加密(mi)機制��,企(qi)業(yè)數(shù)據(jù)被黑(hei)客竊取(qu)篡改
4�����、無線(xian)信號差:AP性(xing)能不(bu)佳�,上網(wǎng)總掉線(xian),點位(wei)規(guī)劃不(bu)合理(li)�,信號盲區(qū)多
5、漫游效果差(cha):不能實(shi)現(xiàn)二三層(ceng)漫游�����,移(yi)動辦公時,業(yè)(ye)務(wù)中斷
解決方(fang)案:
結(jié)合用(yong)戶無線(xian)網(wǎng)絡(luò)需求(qiu)情況�,結(jié)合產(chǎn)品(pin)自身技術(shù)(shu)特點,為(wei)了滿足用戶構(gòu)(gou)建一個高速��、穩(wěn)(wen)定��、安全����、可靠、易(yi)于管理的(de)無線接入(ru)網(wǎng)絡(luò)(luo)的需(xu)求�����,本(ben)設(shè)計方案(an)按照AP+AC的結(jié)構(gòu)化(hua)無線網(wǎng)絡(luò)解(jie)決方案(an)進行(xing)設(shè)計(ji)����。具體設(shè)計為在(zai)總部設(shè)置總部(bu)AC,在大型分支(zhi)機構(gòu)設(shè)置分支(zhi)AC與分支(zhi)AP,中型分支(zhi)機構(gòu)設(shè)計二(er)級���,三級交(jiao)換機,分(fen)支AP�����。小(xiao)微型分支機(ji)構(gòu)直接(jie)設(shè)置(zhi)分支AP?���?偛?bu)AC可以對大(da)型分支機構(gòu)的(de)AC進行(xing)管理,當(dang)網(wǎng)點控制(zhi)器采用集(ji)中管理的(de)模式進入(ru)到中心(xin)端控制器時(shi)����,會自動下載中(zhong)心端的公(gong)共配置,比如IP組(zu)���、MAC地址庫���、時(shi)間計劃、角色(se)授權(quán)(quan)��、認證頁(ye)面等 ����。總部AC也可(ke)以直接管理(li)中小(xiao)型分支(zhi)機構(gòu)的(de)分支AP���,實現(xiàn)統(tǒng)一(yi)管理���。
方案設(shè)(she)計:
安全無線整體(ti)解決方案:
接入前&接入時(shi)進行身份(fen)認證(zheng)�、安全無線網(wǎng)(wang)卡�����、賬號(hao)綁定(硬(ying)件碼+手(shou)機號)���,非(fei)法熱點檢測(ce)及防(fang)御�、網(wǎng)絡(luò)攻擊防(fang)護�����、射頻定時關(guān)(guan)閉及安全加固(gu)���。
接入后&上網(wǎng)時(shi)進行(xing)訪問權(quán)限(xian)控制����。
上網(wǎng)后進行(xing)上網(wǎng)行為記(ji)錄���。
上網(wǎng)用(yong)戶身份實名認(ren)證:
無線辦(ban)公網(wǎng)采(cai)用802.1X/Portal/WAPI認證����,外(wai)置AAA和RADIUS+AD用于(yu)存儲用戶(hu)賬號密(mi)碼�。
每個賬號對(dui)應一個員工(gong),包括姓名�、部門(men)、性別以及身份(fen)證�����、手(shou)機號等(deng)個人信息(xi)��,保證每(mei)個上網(wǎng)(wang)的賬號都是可(ke)尋的(de)����,便于安(an)全管理。
用戶輸(shu)入賬(zhang)號密碼上網(wǎng)(wang)驗證時(shi)均采(cai)用加(jia)密傳輸(shu)�,防止黑客(ke)空中攔(lan)截,竊取賬號密(mi)碼等(deng)數(shù)據(jù)����。
上網(wǎng)賬號(hao)自動綁定終端(duan):
自動將賬號與(yu)終端的硬件(jian)特征(zheng)碼進行綁定(ding),防止賬號被他(ta)人使用或者(zhe)被盜用(yong)��。
每臺設(shè)備(bei)的硬件特征碼(ma)是唯一(yi)的���,無法通(tong)過軟件修(xiu)改�。即使通過(guo)軟件修改了(le)仍然可以(yi)識別原(yuan)始的(de)���。
每個賬(zhang)號最多(duo)可以(yi)綁定5臺(tai)終端��,超(chao)過1臺(tai)時需(xu)要管理(li)員審(shen)核����。
上網(wǎng)賬號(hao)二次綁定(ding)手機(ji)號碼:
賬號(hao)首次登陸(lu)時需要綁定手(shou)機號并輸入(ru)短信驗證(zheng)碼,當(dang)用戶賬號在新(xin)終端(duan)登陸時(換終端(duan)/被他用(yong)/被盜)���,不(bu)僅需要(yao)輸入密碼���,還需(xu)要輸(shu)入短信(xin)驗證(zheng)碼,解決員工賬(zhang)號認證(zheng)的安(an)全問題
綁定手機號碼(ma)的用戶�,可以自(zi)助重(zhong)置密碼和修改(gai)密碼,無(wu)需通過IT管理員(yuan)�����。
用戶密碼(ma)管理(li)及自助修改(gai):
無需通過管(guan)理員即可修(xiu)改密碼�����,提(ti)高效(xiao)率及(ji)減輕管理員工(gong)作壓(ya)力�。
通過口袋(dai)助理、釘釘�����、企(qi)業(yè)號等手(shou)機MOA類APP軟件進(jin)行無線密(mi)碼修改�。
若賬(zhang)號綁定了手(shou)機號(hao)碼,可通過手(shou)機驗證(zheng)碼自助(zhu)修改���。
上網(wǎng)終(zhong)端合法效驗:
采用安(an)全無(wu)線網(wǎng)卡接入無(wu)線網(wǎng)絡(luò)�,終(zhong)端與AP熱(re)點的(de)雙向驗證����,提(ti)高安全性(xing)。
可以將無線網(wǎng)(wang)絡(luò)設(shè)置(zhi)為只有安(an)裝了安全(quan)無線網(wǎng)卡的終(zhong)端才(cai)能接入無(wu)線網(wǎng)絡(luò)�����。
支持設(shè)(she)置安全(quan)無線網(wǎng)卡只(zhi)能連指(zhi)定SSID無線網(wǎng)(wang)絡(luò)����,無法連接非(fei)授權(quán)SSID。
網(wǎng)卡(ka)與AP數(shù)(shu)據(jù)傳輸時(shi)自動進行數(shù)(shu)據(jù)加密���,保證無(wu)線的空(kong)口安(an)全���。
無線熱點掃(sao)描及非法(fa)熱點抑制(zhi):
背景:黑客在附(fu)近搭建一個(ge)一模(mo)一樣或者類(lei)似的(de)WIFI名稱(cheng)����,誘使用戶連(lian)到虛假釣魚(yu)WIFI上�,黑客(ke)利用分析(xi)軟件從用戶(hu)上網(wǎng)(wang)產(chǎn)生的數(shù)(shu)據(jù)包中分析提(ti)取用戶隱(yin)私信息(xi)。
我們通(tong)過WIPS無(wu)線入侵防御(yu)系統(tǒng)實(shi)時檢測周(zhou)圍無線信號�����,當(dang)檢測出來(lai)的信號BSSID�、且AP源(yuan)MAC地址(zhi)不在(zai)授權(quán)(quan)列表中時,我們(men)向?qū)?dui)應的AP和終(zhong)端發(fā)送解除關(guān)(guan)聯(lián)幀�����,讓(rang)終端無(wu)法連上釣魚(yu)WIFI��。7×24小時不間斷監(jiān)(jian)測網(wǎng)絡(luò)�。
上網(wǎng)行(xing)為嚴格(ge)控制(zhi):
強大的管理:通(tong)過應用識別技(ji)術(shù),可以根(gen)據(jù)應用(yong)類型或者(zhe)具體某一(yi)種應用進(jin)行封堵�,包括(kuo)視頻、論(lun)壇���、游戲�����、金(jin)融���、下載等2400多(duo)種網(wǎng)絡(luò)應用(yong)�����。
通過應(ying)用識別技術(shù)(shu),可以根據(jù)(ju)應用類型(xing)或者具(ju)體某一種(zhong)應用進行封堵(du)���,比如上班(ban)時間不允許(xu)炒股���,不允許(xu)P2P下載,不(bu)允許外(wai)發(fā)敏感文件等(deng)��; 支持主流(liu)移動平(ping)臺�,可識(shi)別IM、社交(jiao)����、Mail、新聞(wen)���、炒股等應用(yong)����。
無線控制器(qi)內(nèi)置千萬(wan)級別的URL分(fen)類庫(ku),能夠?qū)?dui)URL進行識別�,包(bao)含新聞、購(gou)物����、金融、教育(yu)等18個種類的URL地(di)址����; 準確識(shi)別目(mu)前主流(liu)網(wǎng)站,識別率高(gao)達99.9%����,有(you)效實現(xiàn)網(wǎng)(wang)頁過濾(lv)。例如禁止登(deng)陸非法網(wǎng)站(zhan)
通過基(ji)于時間段的(de)訪問控制策(ce)略����,實(shi)現(xiàn)不同的(de)時間段不同的(de)訪問權(quán)限,比如(ru)上班時間(jian)��,禁止訪問網(wǎng)上(shang)銀行���、游(you)戲�����、論壇貼吧(ba)等與工作(zuo)無關(guān)的應(ying)用��,下班時間(jian)則不(bu)受限制���。
辦公區(qū)域內(nèi)���,不(bu)同辦公部(bu)門總會(hui)有各(ge)自專屬(shu)的無線(xian)網(wǎng)絡(luò)���,并且不(bu)希望部(bu)門之外(wai)的成員使(shi)用這個(ge)網(wǎng)絡(luò)����。無線網(wǎng)(wang)絡(luò)控制器可(ke)以根據(jù)用戶(hu)的屬性��,限制禁(jin)止非本(ben)部門(men)的用戶接(jie)入����。
典型無線網(wǎng)(wang)絡(luò)攻擊防護:
對典(dian)型的危險攻(gong)擊行為(wei)進行檢測,當(dang)超過設(shè)定的閾(yu)值后自動將攻(gong)擊者(zhe)加入到(dao)黑名單中�����,并(bing)凍結(jié)一定(ding)時間,即時(shi)發(fā)現(xiàn)網(wǎng)絡(luò)攻(gong)擊并(bing)進行防(fang)御�����。
檢測(ce)的攻(gong)擊包括:DDOS防御(yu)�、ARP掃描、IP掃(sao)描��、端口(kou)掃描防御(yu)��,禁止客戶端私(si)設(shè)IP以(yi)及ARP���、網(wǎng)關(guān)欺(qi)騙防御���、DHCP請(qing)求泛洪防御(yu)。
無線射(she)頻定(ding)時關(guān)(guan)閉開啟:
通過射(she)頻關(guān)閉控制策(ce)略�,可以指(zhi)定某SSID網(wǎng)絡(luò),定時(shi)自動關(guān)(guan)閉和開啟無線(xian)網(wǎng)絡(luò)的射頻(pin)信號�����,晚(wan)上下(xia)班后(hou)自動關(guān)(guan)閉無線射(she)頻信號�。
一方面可以節(jié)(jie)能減排����、節(jié)省(sheng)電費(fei)支出�;另一(yi)方面又能防止(zhi)非法用戶利用(yong)深夜(ye)時間(jian)入侵無(wu)線網(wǎng)絡(luò),做一些(xie)非法的(de)操作(zuo)���。
有線無線一(yi)體化管理:
NAC的有線無(wu)線一體化(hua)��,支持對有線(xian)用戶的接入認(ren)證��、訪問控制����、流(liu)量管理�����、上網(wǎng)(wang)行為審計(ji)等�,
并提供統(tǒng)一(yi)中文Web管理界面(mian)����,一站式服務(wù)(wu),極大的降低(di)網(wǎng)絡(luò)建設(shè)(she)成本�。
網(wǎng)絡(luò)分權(quán)(quan)分級管理(li):
分配不同的管(guan)理員分別管理(li)各自權(quán)限區(qū)域(yu)的無線AP�,可以精(jing)細到對某(mou)AP分組有管理權(quán)(quan)限�,該(gai)管理員可以在(zai)該AP分(fen)組上建立無線(xian)網(wǎng)絡(luò),能夠激(ji)活���、刪除(chu)接入點(dian)��,能夠?qū)?dui)AP的配置進行(xing)編輯(ji)修改�。
可指定管理(li)員針(zhen)對每(mei)個頁面的編輯(ji)或可查看權(quán)(quan)限,控制粒(li)度到(dao)控制器(qi)上的各個頁(ye)面,對某個(ge)頁面沒(mei)有讀權(quán)限(xian)則登錄時(shi)不顯示���。
移動(dong)APP隨時隨地運(yun)維管(guan)理:
支持跨互聯(lián)網(wǎng)(wang)運維管理(li)
登陸APP進行維護(hu)管理:不同管理(li)員,不同權(quán)限
查看(kan)網(wǎng)絡(luò)運行情(qing)況:在線用戶���、在(zai)線AP數(shù)(shu)量��、實時(shi)流量
無線網(wǎng)絡(luò)管(guan)理維護:開(kai)啟關(guān)(guan)閉SSID����、終端(duan)綁定審(shen)批�、二維碼(ma)上網(wǎng)審核
故障(zhang)、審批實時通(tong)知:AP離(li)線警告�、服務(wù)(wu)器離線警告、網(wǎng)(wang)絡(luò)攻擊告警
方案優(yōu)勢(shi):
1����、最豐富的(de)無線安全(quan)機制���,提供從(cong)安全接(jie)入到安全(quan)上網(wǎng)等端到端(duan)的安全策略
2、合理管控工(gong)作人員上網(wǎng)(wang)行為����,提升工(gong)作效率、防止(zhi)帶寬浪費�,有線(xian)無線(xian)雙重管控
3、為會議室�,報(bao)告廳等人(ren)員密(mi)集區(qū)域接入網(wǎng)(wang)絡(luò)提高保證,解(jie)決有線網(wǎng)口(kou)不足的問題�;
4、為企業(yè)(ye)員工的(de)移動辦(ban)公提(ti)供支(zhi)撐�����,內(nèi)部員工(gong)可通過(guo)無線網(wǎng)絡(luò)隨時(shi)安全接入內(nèi)(nei)部網(wǎng)(wang)絡(luò)����,實(shi)現(xiàn)辦公�;
5、內(nèi)部員工(gong)賬號及個(ge)人信息綁(bang)定����,便于(yu)安全管理(li)����;
6���、內(nèi)部(bu)員工可通過(guo)自己的(de)辦公設(shè)備在企(qi)業(yè)大樓內(nèi)(nei)快速移動辦公(gong)���,網(wǎng)絡(luò)接入(ru)更快速,上(shang)網(wǎng)行為管(guan)理系統(tǒng)對員(yuan)工上網(wǎng)行(xing)為進行審計(ji)與管控
7����、來訪客戶接(jie)入企業(yè)網(wǎng)絡(luò)(luo),可根(gen)據(jù)不同需(xu)求����,分配不同(tong)的上網(wǎng)(wang)權(quán)限,保證了接(jie)入的安全(quan)性同時(shi)提升(sheng)群眾上網(wǎng)的體(ti)驗
8�����、豐富(fu)的認證機(ji)制�,滿足組(zu)織對無(wu)線網(wǎng)絡(luò)安全、快(kuai)速接(jie)入
9���、投資成本低���,通(tong)過部署無線(xian)控制器替換(huan)原有網(wǎng)絡(luò)的出(chu)口路由���、行為(wei)管理以(yi)及無線控(kong)制器
