?
大型企業(yè)在無(wu)線網(wǎng)絡(luò)(luo)建設(shè)期(qi)間要充分考(kao)慮訪(fang)客(領(lǐng)導(dǎo)(dao)、客戶�����、合作伙伴(ban))接入網(wǎng)絡(luò)的需(xu)求。首先從(cong)安全性考慮(lv)�����,訪客網(wǎng)絡(luò)必須(xu)要和(he)辦公網(wǎng)絡(luò)(luo)分開(kai)�����,訪客網(wǎng)絡(luò)(luo)單獨(dú)(du)提供給訪客使(shi)用�����。從用(yong)戶體驗角(jiao)度考(kao)慮�����,訪客接入網(wǎng)(wang)絡(luò)的驗證方式(shi)一定要做到(dao)簡單易(yi)行�����,繁瑣的驗(yan)證方式(shi)會降低訪(fang)客對企業(yè)(ye)的整體(ti)印象�����。同(tong)時對于(yu)訪客網(wǎng)絡(luò)�����,企業(yè)(ye)還需要建(jian)立完(wan)善的網(wǎng)絡(luò)安(an)全管理(li)機(jī)制�����,避(bi)免由于訪客的(de)網(wǎng)絡(luò)不(bu)良訪問給企業(yè)(ye)帶來的法(fa)律風(fēng)險�����。對(dui)于企業(yè)員(yuan)工移動辦公(gong)上網(wǎng)(wang)�����,更需要做到可(ke)管控�����,上(shang)網(wǎng)行(xing)為做(zuo)到可(ke)追溯�����,企業(yè)有效(xiao)的帶寬資源(yuan)得到合理(li)的分(fen)配和保證�����,才能(neng)使企業(yè)的業(yè)(ye)務(wù)系統(tǒng)正常且(qie)穩(wěn)定高效(xiao)地運(yùn)(yun)行�����,同時保證(zheng)企業(yè)信息(xi)安全�����,避免機(jī)(ji)密信(xin)息泄(xie)露。
存在的問題(ti)(用戶(hu)需求)
1、接入(ru)不安全:缺乏(fa)安全可靠的(de)認(rèn)證(zheng)機(jī)制�����,企(qi)業(yè)無線網(wǎng)絡(luò)(luo)接入(ru)不安(an)全
2�����、上網(wǎng)權(quán)限混亂(luan):缺乏(fa)有效的控制策(ce)略�����,員工上網(wǎng)(wang)權(quán)限不分明
3�����、數(shù)據(jù)信(xin)息安(an)全:缺乏有(you)效的數(shù)據(jù)(ju)加密機(jī)制(zhi)�����,企業(yè)數(shù)(shu)據(jù)被(bei)黑客竊取篡改(gai)
4�����、無線信號差(cha):AP性能不(bu)佳�����,上網(wǎng)總(zong)掉線�����,點(diǎn)位規(guī)劃(hua)不合(he)理�����,信號盲(mang)區(qū)多
5�����、漫游效(xiao)果差:不能實(shí)(shi)現(xiàn)二三層漫(man)游�����,移動辦(ban)公時�����,業(yè)務(wù)中(zhong)斷
解決方案(an):
結(jié)合用戶無(wu)線網(wǎng)絡(luò)需(xu)求情況�����,結(jié)合(he)產(chǎn)品自身技(ji)術(shù)特點(diǎn)�����,為了(le)滿足(zu)用戶構(gòu)(gou)建一個(ge)高速�����、穩(wěn)定�����、安全(quan)、可靠�����、易(yi)于管理(li)的無(wu)線接(jie)入網(wǎng)(wang)絡(luò)的需求�����,本設(shè)(she)計方案按(an)照AP+AC的結(jié)(jie)構(gòu)化無線(xian)網(wǎng)絡(luò)解決(jue)方案進(jìn)行設(shè)(she)計�����。具(ju)體設(shè)(she)計為在(zai)總部(bu)設(shè)置總部(bu)AC,在大型分支(zhi)機(jī)構(gòu)(gou)設(shè)置分支AC與(yu)分支AP�����,中型(xing)分支機(jī)構(gòu)設(shè)計(ji)二級(ji)�����,三級交(jiao)換機(jī)�����,分支AP。小微(wei)型分(fen)支機(jī)構(gòu)(gou)直接設(shè)(she)置分支AP�����?����?偛?bu)AC可以對大(da)型分支機(jī)(ji)構(gòu)的AC進(jìn)行(xing)管理�����,當(dāng)網(wǎng)點(diǎn)(dian)控制器采(cai)用集中管理的(de)模式進(jìn)(jin)入到中心(xin)端控制器時�����,會(hui)自動(dong)下載中(zhong)心端的(de)公共配(pei)置�����,比(bi)如IP組�����、MAC地址庫(ku)�����、時間計(ji)劃�����、角色授(shou)權(quán)�����、認(rèn)證頁面(mian)等 �����?����?偛緼C也可(ke)以直接管理中(zhong)小型(xing)分支機(jī)構(gòu)(gou)的分(fen)支AP�����,實(shí)現(xiàn)統(tǒng)(tong)一管理�����。
方案設(shè)計:
安全無(wu)線整體解決(jue)方案:
接入(ru)前&接入時進(jìn)行(xing)身份認(rèn)證、安全(quan)無線(xian)網(wǎng)卡�����、賬號(hao)綁定(硬件碼+手(shou)機(jī)號(hao))�����,非法(fa)熱點(diǎn)檢(jian)測及防御�����、網(wǎng)絡(luò)(luo)攻擊防(fang)護(hù)�����、射頻定(ding)時關(guān)閉及(ji)安全加固�����。
接入后&上(shang)網(wǎng)時進(jìn)行訪(fang)問權(quán)限(xian)控制(zhi)�����。
上網(wǎng)后進(jìn)(jin)行上(shang)網(wǎng)行為(wei)記錄�����。
上網(wǎng)用戶(hu)身份實(shí)名認(rèn)證(zheng):
無線辦公(gong)網(wǎng)采用802.1X/Portal/WAPI認(rèn)證�����,外(wai)置AAA和RADIUS+AD用(yong)于存儲用戶賬(zhang)號密碼�����。
每個賬號對(dui)應(yīng)一個員工(gong)�����,包括(kuo)姓名(ming)�����、部門�����、性別以(yi)及身份證�����、手(shou)機(jī)號等個(ge)人信(xin)息,保證(zheng)每個上網(wǎng)的(de)賬號都(dou)是可(ke)尋的�����,便于安(an)全管理�����。
用戶輸入(ru)賬號密碼(ma)上網(wǎng)驗證(zheng)時均(jun)采用加(jia)密傳輸�����,防止(zhi)黑客空(kong)中攔截�����,竊(qie)取賬號密碼(ma)等數(shù)(shu)據(jù)�����。
上網(wǎng)(wang)賬號(hao)自動綁(bang)定終端:
自動將賬號(hao)與終端的硬(ying)件特征碼(ma)進(jìn)行綁定�����,防(fang)止賬號被他(ta)人使用(yong)或者被(bei)盜用�����。
每臺設(shè)備的(de)硬件特征(zheng)碼是唯一(yi)的�����,無法通過軟(ruan)件修改(gai)�����。即使通(tong)過軟件修改了(le)仍然(ran)可以識別原(yuan)始的�����。
每個賬(zhang)號最多可以綁(bang)定5臺終端�����,超過(guo)1臺時(shi)需要管理員審(shen)核�����。
上網(wǎng)賬號二次(ci)綁定手機(jī)(ji)號碼:
賬號首次(ci)登陸時(shi)需要綁(bang)定手機(jī)(ji)號并輸(shu)入短信驗證(zheng)碼�����,當(dāng)用戶(hu)賬號(hao)在新終(zhong)端登陸(lu)時(換終端(duan)/被他(ta)用/被(bei)盜),不僅(jin)需要輸入密碼(ma)�����,還需要輸入短(duan)信驗證碼�����,解(jie)決員工(gong)賬號(hao)認(rèn)證的安(an)全問題
綁定手機(jī)號碼(ma)的用戶�����,可(ke)以自助重(zhong)置密碼(ma)和修(xiu)改密碼�����,無需通(tong)過IT管理(li)員�����。
用戶密(mi)碼管理及(ji)自助修改:
無需通(tong)過管理員(yuan)即可修改密(mi)碼�����,提(ti)高效率及(ji)減輕管理(li)員工作壓(ya)力�����。
通過(guo)口袋助理�����、釘(ding)釘�����、企業(yè)(ye)號等手機(jī)MOA類(lei)APP軟件進(jìn)行無線(xian)密碼(ma)修改�����。
若賬號綁(bang)定了手機(jī)號(hao)碼�����,可通(tong)過手機(jī)驗(yan)證碼自助(zhu)修改�����。
上網(wǎng)終端合(he)法效(xiao)驗:
采用安全無線(xian)網(wǎng)卡接入無線(xian)網(wǎng)絡(luò)�����,終端與AP熱(re)點(diǎn)的雙向(xiang)驗證(zheng),提高安全性(xing)�����。
可以將(jiang)無線(xian)網(wǎng)絡(luò)(luo)設(shè)置為(wei)只有安裝(zhuang)了安(an)全無線網(wǎng)卡(ka)的終端才(cai)能接入無線(xian)網(wǎng)絡(luò)�����。
支持設(shè)置安全(quan)無線網(wǎng)卡只(zhi)能連指(zhi)定SSID無線網(wǎng)絡(luò)(luo)�����,無法連接(jie)非授權(quán)SSID�����。
網(wǎng)卡與AP數(shù)(shu)據(jù)傳(chuan)輸時(shi)自動進(jìn)行(xing)數(shù)據(jù)加密�����,保證(zheng)無線的空口安(an)全�����。
無線熱點(diǎn)(dian)掃描及非法熱(re)點(diǎn)抑制:
背景:黑客在附(fu)近搭建一個一(yi)模一(yi)樣或(huo)者類(lei)似的WIFI名(ming)稱�����,誘使用戶連(lian)到虛假釣(diao)魚WIFI上�����,黑(hei)客利用(yong)分析軟(ruan)件從用戶上網(wǎng)(wang)產(chǎn)生的數(shù)(shu)據(jù)包中分(fen)析提取(qu)用戶(hu)隱私信(xin)息�����。
我們通(tong)過WIPS無線入(ru)侵防御系統(tǒng)(tong)實(shí)時檢測(ce)周圍(wei)無線信(xin)號�����,當(dāng)檢測出來(lai)的信號BSSID�����、且(qie)AP源MAC地(di)址不在授(shou)權(quán)列表中(zhong)時�����,我們向?qū)?yīng)(ying)的AP和終端(duan)發(fā)送解除關(guān)聯(lián)(lian)幀,讓終(zhong)端無法連(lian)上釣魚(yu)WIFI�����。7×24小時(shi)不間斷監(jiān)測網(wǎng)(wang)絡(luò)�����。
上網(wǎng)行為嚴(yán)(yan)格控制:
強(qiáng)大的管(guan)理:通過應(yīng)用識(shi)別技術(shù)(shu)�����,可以根據(jù)應(yīng)(ying)用類型或(huo)者具體某(mou)一種應(yīng)用進(jìn)行(xing)封堵�����,包括視(shi)頻�����、論壇�����、游戲(xi)�����、金融�����、下(xia)載等2400多種(zhong)網(wǎng)絡(luò)應(yīng)用(yong)�����。
通過應(yīng)(ying)用識別(bie)技術(shù)(shu)�����,可以(yi)根據(jù)(ju)應(yīng)用類型或者(zhe)具體某一(yi)種應(yīng)用(yong)進(jìn)行封(feng)堵�����,比如上班時(shi)間不(bu)允許炒股�����,不(bu)允許(xu)P2P下載(zai)�����,不允許外(wai)發(fā)敏感文件(jian)等; 支(zhi)持主流移(yi)動平臺�����,可(ke)識別(bie)IM�����、社交(jiao)�����、Mail�����、新聞�����、炒股(gu)等應(yīng)用�����。
無線(xian)控制器內(nèi)置千(qian)萬級(ji)別的URL分(fen)類庫�����,能夠(gou)對URL進(jìn)行識(shi)別,包(bao)含新聞�����、購物�����、金(jin)融�����、教育等(deng)18個種(zhong)類的URL地(di)址�����; 準(zhǔn)確識別目(mu)前主(zhu)流網(wǎng)站�����,識別率(lv)高達(dá)99.9%�����,有效實(shí)現(xiàn)(xian)網(wǎng)頁(ye)過濾�����。例(li)如禁止登(deng)陸非法(fa)網(wǎng)站
通過基于時間(jian)段的訪問控(kong)制策略�����,實(shí)現(xiàn)不(bu)同的時間段不(bu)同的訪問(wen)權(quán)限�����,比(bi)如上班時(shi)間�����,禁止(zhi)訪問網(wǎng)(wang)上銀行�����、游戲�����、論(lun)壇貼吧等與工(gong)作無關(guān)的應(yīng)(ying)用�����,下班時間(jian)則不受限制。
辦公區(qū)域內(nèi)�����,不(bu)同辦公部(bu)門總會有(you)各自專屬的無(wu)線網(wǎng)絡(luò)�����,并且(qie)不希(xi)望部門(men)之外的成員(yuan)使用這個網(wǎng)絡(luò)(luo)�����。無線網(wǎng)絡(luò)控制(zhi)器可以根據(jù)用(yong)戶的屬性(xing)�����,限制禁止(zhi)非本(ben)部門的用(yong)戶接入�����。
典型(xing)無線網(wǎng)絡(luò)攻(gong)擊防護(hù):
對典型的危險(xian)攻擊行為進(jìn)(jin)行檢測�����,當(dāng)(dang)超過設(shè)定的(de)閾值后(hou)自動將攻擊者(zhe)加入到黑名(ming)單中(zhong)�����,并凍結(jié)一(yi)定時間�����,即時(shi)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊(ji)并進(jìn)行防御�����。
檢測的攻(gong)擊包括(kuo):DDOS防御�����、ARP掃描�����、IP掃(sao)描�����、端口掃描防(fang)御�����,禁止客(ke)戶端私設(shè)(she)IP以及ARP、網(wǎng)關(guān)欺騙(pian)防御�����、DHCP請(qing)求泛洪防御(yu)�����。
無線射(she)頻定時關(guān)閉(bi)開啟:
通過射頻關(guān)(guan)閉控制策略(lve)�����,可以指定(ding)某SSID網(wǎng)絡(luò)�����,定時(shi)自動(dong)關(guān)閉和(he)開啟無線網(wǎng)絡(luò)(luo)的射頻信(xin)號�����,晚上(shang)下班后自(zi)動關(guān)(guan)閉無線(xian)射頻信號�����。
一方面可以節(jié)(jie)能減排�����、節(jié)省(sheng)電費(fèi)支(zhi)出�����;另一方面(mian)又能防止非法(fa)用戶(hu)利用深(shen)夜時(shi)間入侵無線(xian)網(wǎng)絡(luò)(luo)�����,做一些(xie)非法(fa)的操作�����。
有線(xian)無線一體化管(guan)理:
NAC的有線(xian)無線一體化(hua)�����,支持對(dui)有線(xian)用戶的接(jie)入認(rèn)證�����、訪問(wen)控制、流(liu)量管理(li)�����、上網(wǎng)行(xing)為審計等(deng)�����,
并提供統(tǒng)一中(zhong)文Web管理界面�����,一(yi)站式服務(wù)�����,極大(da)的降低網(wǎng)絡(luò)建(jian)設(shè)成本(ben)�����。
網(wǎng)絡(luò)分權(quán)分(fen)級管(guan)理:
分配不同的管(guan)理員(yuan)分別管(guan)理各自權(quán)限(xian)區(qū)域的無線AP�����,可(ke)以精(jing)細(xì)到對某(mou)AP分組有管(guan)理權(quán)限�����,該管理(li)員可以在(zai)該AP分組上建(jian)立無線網(wǎng)(wang)絡(luò)�����,能夠激(ji)活�����、刪(shan)除接入點(diǎn)�����,能(neng)夠?qū)P的配置進(jìn)(jin)行編(bian)輯修改�����。
可指(zhi)定管理員針(zhen)對每個頁面(mian)的編(bian)輯或可(ke)查看(kan)權(quán)限�����,控制(zhi)粒度到控制器(qi)上的各個頁面(mian)�����,對某個頁面(mian)沒有(you)讀權(quán)限則(ze)登錄時(shi)不顯示。
移動(dong)APP隨時隨(sui)地運(yùn)維管理(li):
支持跨互(hu)聯(lián)網(wǎng)運(yùn)(yun)維管理
登陸APP進(jìn)行維(wei)護(hù)管理:不同(tong)管理員�����,不(bu)同權(quán)(quan)限
查看網(wǎng)(wang)絡(luò)運(yùn)行(xing)情況:在(zai)線用戶�����、在線(xian)AP數(shù)量�����、實(shí)(shi)時流量
無線(xian)網(wǎng)絡(luò)管(guan)理維護(hù):開啟(qi)關(guān)閉SSID�����、終端綁(bang)定審批�����、二維碼(ma)上網(wǎng)審(shen)核
故障�����、審批(pi)實(shí)時通知:AP離線(xian)警告�����、服務(wù)器(qi)離線警(jing)告�����、網(wǎng)絡(luò)(luo)攻擊告警
方案(an)優(yōu)勢:
1�����、最豐富(fu)的無線安全(quan)機(jī)制�����,提供從安(an)全接(jie)入到安全上網(wǎng)(wang)等端到端的(de)安全策略
2�����、合理管(guan)控工作人員(yuan)上網(wǎng)行為�����,提升(sheng)工作效率(lv)�����、防止帶寬浪費(fèi)(fei),有線無(wu)線雙重管控
3�����、為會議室(shi)�����,報告廳等(deng)人員密集(ji)區(qū)域(yu)接入網(wǎng)(wang)絡(luò)提高保證�����,解(jie)決有線網(wǎng)口(kou)不足的問題(ti)�����;
4�����、為企業(yè)員工的(de)移動辦公提(ti)供支撐�����,內(nèi)部(bu)員工可通(tong)過無線網(wǎng)絡(luò)(luo)隨時安(an)全接入內(nèi)部網(wǎng)(wang)絡(luò)�����,實(shí)現(xiàn)辦公(gong)�����;
5�����、內(nèi)部(bu)員工賬號及(ji)個人信息綁定(ding)�����,便于(yu)安全管理(li)�����;
6�����、內(nèi)部員工可(ke)通過自己的辦(ban)公設(shè)備在企業(yè)(ye)大樓(lou)內(nèi)快速(su)移動辦公�����,網(wǎng)(wang)絡(luò)接入(ru)更快(kuai)速,上(shang)網(wǎng)行為管理(li)系統(tǒng)對員工上(shang)網(wǎng)行為(wei)進(jìn)行(xing)審計與管控
7�����、來訪客戶接(jie)入企(qi)業(yè)網(wǎng)絡(luò)�����,可根(gen)據(jù)不同需求�����,分(fen)配不同的(de)上網(wǎng)權(quán)限�����,保(bao)證了接入的安(an)全性同時提升(sheng)群眾上網(wǎng)的體(ti)驗
8�����、豐富的(de)認(rèn)證機(jī)制�����,滿足(zu)組織對無線(xian)網(wǎng)絡(luò)安(an)全、快(kuai)速接入
9�����、投資成本低�����,通(tong)過部(bu)署無線控制器(qi)替換原有網(wǎng)絡(luò)(luo)的出口(kou)路由�����、行(xing)為管(guan)理以及(ji)無線控制器(qi)
