大型企業(yè)(ye)在無線網(wǎng)絡(luò)建(jian)設(shè)期間要(yao)充分考慮訪客(ke)（領(lǐng)導(dǎo)、客戶、合作(zuo)伙伴(ban)）接入網(wǎng)絡(luò)的需(xu)求。首先(xian)從安全性考(kao)慮，訪客網(wǎng)絡(luò)必(bi)須要和辦(ban)公網(wǎng)絡(luò)分(fen)開，訪客網(wǎng)絡(luò)單(dan)獨提供給訪(fang)客使(shi)用。從用戶體(ti)驗角度考(kao)慮，訪客接入網(wǎng)(wang)絡(luò)的(de)驗證方式(shi)一定(ding)要做到簡單(dan)易行，繁瑣的(de)驗證(zheng)方式會降低訪(fang)客對企業(yè)的(de)整體印象。同(tong)時對于訪客(ke)網(wǎng)絡(luò)(luo)，企業(yè)還需要建(jian)立完善的網(wǎng)(wang)絡(luò)安全管(guan)理機制，避免(mian)由于訪客(ke)的網(wǎng)絡(luò)(luo)不良訪問給企(qi)業(yè)帶來的法(fa)律風(fēng)險。對于企(qi)業(yè)員(yuan)工移動(dong)辦公上網(wǎng)(wang)，更需要(yao)做到可管控，上(shang)網(wǎng)行為做(zuo)到可(ke)追溯(su)，企業(yè)有(you)效的(de)帶寬資(zi)源得(de)到合理的分(fen)配和(he)保證(zheng)，才能使企業(yè)(ye)的業(yè)務(wù)系統(tǒng)正(zheng)常且穩(wěn)定(ding)高效地運行(xing)，同時保證(zheng)企業(yè)信息安全(quan)，避免(mian)機密信(xin)息泄露。

存在的問題（用(yong)戶需求）

1、接入不安(an)全：缺(que)乏安(an)全可靠(kao)的認(rèn)證(zheng)機制，企業(yè)(ye)無線網(wǎng)(wang)絡(luò)接入不安全(quan)

2、上網(wǎng)權(quán)(quan)限混亂：缺乏(fa)有效的控(kong)制策略，員工(gong)上網(wǎng)權(quán)限不(bu)分明

3、數(shù)據(jù)信(xin)息安全：缺乏有(you)效的數(shù)據(jù)(ju)加密機制(zhi)，企業(yè)數(shù)據(jù)被黑(hei)客竊取(qu)篡改

4、無線(xian)信號差：AP性(xing)能不佳，上(shang)網(wǎng)總掉線，點位(wei)規(guī)劃不合理(li)，信號盲區(qū)多(duo)

5、漫游效(xiao)果差：不能實(shi)現(xiàn)二(er)三層(ceng)漫游，移動(dong)辦公時，業(yè)務(wù)中(zhong)斷

解決方案：

結(jié)合用(yong)戶無(wu)線網(wǎng)絡(luò)(luo)需求(qiu)情況，結(jié)合產(chǎn)品(pin)自身(shen)技術(shù)(shu)特點(dian)，為了滿足(zu)用戶構(gòu)(gou)建一(yi)個高速、穩(wěn)(wen)定、安全、可(ke)靠、易于管理(li)的無線(xian)接入網(wǎng)絡(luò)的(de)需求，本設(shè)計方(fang)案按(an)照AP+AC的(de)結(jié)構(gòu)化無(wu)線網(wǎng)(wang)絡(luò)解決(jue)方案進行設(shè)計(ji)。具體(ti)設(shè)計(ji)為在總(zong)部設(shè)置總部AC,在(zai)大型分支機(ji)構(gòu)設(shè)置分支AC與(yu)分支AP，中(zhong)型分支機構(gòu)設(shè)(she)計二級，三級交(jiao)換機，分支(zhi)AP。小微型分支(zhi)機構(gòu)直接(jie)設(shè)置分(fen)支AP?？?zong)部AC可(ke)以對大型(xing)分支機(ji)構(gòu)的(de)AC進行(xing)管理(li)，當(dāng)網(wǎng)(wang)點控(kong)制器(qi)采用集中管理(li)的模式(shi)進入到中(zhong)心端控制器(qi)時，會自動(dong)下載中心端(duan)的公共配置(zhi)，比如(ru)IP組、MAC地址(zhi)庫、時間計劃(hua)、角色授(shou)權(quán)、認(rèn)證頁面(mian)等 ?？偛緼C也(ye)可以直(zhi)接管理(li)中小型(xing)分支機構(gòu)(gou)的分支AP，實(shi)現(xiàn)統(tǒng)一(yi)管理。

方案設(shè)計：

安全無線(xian)整體解決方案(an)：

接入前&接入時(shi)進行身份認(rèn)(ren)證、安全無(wu)線網(wǎng)卡(ka)、賬號(hao)綁定（硬(ying)件碼+手(shou)機號），非(fei)法熱點檢測及(ji)防御、網(wǎng)絡(luò)(luo)攻擊防護、射頻(pin)定時關(guān)閉(bi)及安全加固。

接入(ru)后&上網(wǎng)時進(jin)行訪問權(quán)限控(kong)制。

上網(wǎng)后進(jin)行上網(wǎng)行(xing)為記錄(lu)。

上網(wǎng)用(yong)戶身份(fen)實名認(rèn)證：

無線辦公網(wǎng)采(cai)用802.1X/Portal/WAPI認(rèn)證，外(wai)置AAA和RADIUS+AD用于(yu)存儲(chu)用戶賬號(hao)密碼。

每個賬號對應(yīng)(ying)一個(ge)員工(gong)，包括姓名、部門(men)、性別(bie)以及身(shen)份證、手機號等(deng)個人信息(xi)，保證每個上(shang)網(wǎng)的賬(zhang)號都(dou)是可尋的，便(bian)于安全(quan)管理(li)。

用戶輸(shu)入賬號密(mi)碼上網(wǎng)驗證(zheng)時均(jun)采用加密(mi)傳輸，防(fang)止黑(hei)客空中(zhong)攔截，竊取(qu)賬號(hao)密碼(ma)等數(shù)據(jù)。

上網(wǎng)賬(zhang)號自動綁定(ding)終端(duan)：

自動(dong)將賬號與(yu)終端的硬件(jian)特征碼(ma)進行(xing)綁定(ding)，防止賬號被他(ta)人使用或(huo)者被(bei)盜用(yong)。

每臺設(shè)備(bei)的硬件特征碼(ma)是唯一的，無(wu)法通過(guo)軟件修改。即(ji)使通過軟(ruan)件修(xiu)改了仍然可以(yi)識別原始的。

每個賬號最多(duo)可以(yi)綁定5臺終(zhong)端，超(chao)過1臺時需要管(guan)理員審(shen)核。

上網(wǎng)賬號(hao)二次綁定(ding)手機(ji)號碼：

賬號(hao)首次登陸(lu)時需要綁定手(shou)機號并輸(shu)入短(duan)信驗證碼(ma)，當(dāng)用戶賬(zhang)號在新終端登(deng)陸時(shi)（換終端(duan)/被他(ta)用/被盜），不僅(jin)需要輸入(ru)密碼，還需要(yao)輸入短(duan)信驗證碼，解決(jue)員工賬號認(rèn)證(zheng)的安(an)全問題

綁定手機號碼(ma)的用(yong)戶，可以自助重(zhong)置密(mi)碼和修改密(mi)碼，無(wu)需通過IT管理員(yuan)。

用戶(hu)密碼管(guan)理及自助修改(gai)：

無需(xu)通過管(guan)理員即可(ke)修改密(mi)碼，提高效(xiao)率及(ji)減輕(qing)管理員工作壓(ya)力。

通過口袋助(zhu)理、釘(ding)釘、企業(yè)(ye)號等手機(ji)MOA類APP軟件進行無(wu)線密碼修(xiu)改。

若賬號(hao)綁定了(le)手機號碼，可(ke)通過手(shou)機驗證(zheng)碼自助(zhu)修改。

上網(wǎng)終端(duan)合法效(xiao)驗：

采用安(an)全無線(xian)網(wǎng)卡接(jie)入無線(xian)網(wǎng)絡(luò)，終端與(yu)AP熱點的雙向(xiang)驗證，提(ti)高安全(quan)性。

可以將無線(xian)網(wǎng)絡(luò)(luo)設(shè)置(zhi)為只(zhi)有安裝了(le)安全無線網(wǎng)卡(ka)的終端(duan)才能接入無(wu)線網(wǎng)(wang)絡(luò)。

支持設(shè)置安(an)全無線網(wǎng)卡只(zhi)能連指定(ding)SSID無線網(wǎng)絡(luò)，無法(fa)連接非授(shou)權(quán)SSID。

網(wǎng)卡(ka)與AP數(shù)(shu)據(jù)傳輸時(shi)自動進行數(shù)據(jù)(ju)加密，保(bao)證無線的(de)空口安全。

無線熱點掃描(miao)及非法熱點抑(yi)制：

背景：黑(hei)客在(zai)附近搭(da)建一(yi)個一(yi)模一(yi)樣或者類似(shi)的WIFI名(ming)稱，誘使用戶(hu)連到虛假釣(diao)魚WIFI上(shang)，黑客(ke)利用分析軟(ruan)件從用戶上網(wǎng)(wang)產(chǎn)生的數(shù)據(jù)包(bao)中分(fen)析提取用戶(hu)隱私信息(xi)。

我們通過WIPS無線(xian)入侵防御(yu)系統(tǒng)實(shi)時檢測(ce)周圍(wei)無線信號，當(dāng)(dang)檢測出來的(de)信號BSSID、且AP源(yuan)MAC地址不在授(shou)權(quán)列(lie)表中(zhong)時，我(wo)們向?qū)?yīng)(ying)的AP和終端發(fā)(fa)送解除關(guān)(guan)聯(lián)幀，讓終端無(wu)法連上(shang)釣魚(yu)WIFI。7×24小時(shi)不間斷監(jiān)測網(wǎng)(wang)絡(luò)。

上網(wǎng)行為嚴(yán)(yan)格控制：

強大的管(guan)理：通(tong)過應(yīng)用識別技(ji)術(shù)，可(ke)以根(gen)據(jù)應(yīng)用類型(xing)或者具(ju)體某一(yi)種應(yīng)用進行(xing)封堵(du)，包括視頻、論壇(tan)、游戲、金融(rong)、下載等(deng)2400多種網(wǎng)絡(luò)應(yīng)用(yong)。

通過(guo)應(yīng)用識別(bie)技術(shù)，可以(yi)根據(jù)應(yīng)用類(lei)型或者具(ju)體某一種(zhong)應(yīng)用進(jin)行封堵(du)，比如(ru)上班時間不允(yun)許炒(chao)股，不允許P2P下載(zai)，不允許外發(fā)(fa)敏感文件等； 支(zhi)持主流移動(dong)平臺，可(ke)識別IM、社交、Mail、新(xin)聞、炒股等應(yīng)(ying)用。

無線(xian)控制器(qi)內(nèi)置(zhi)千萬級(ji)別的(de)URL分類庫(ku)，能夠?qū)RL進行識(shi)別，包含(han)新聞、購(gou)物、金融、教(jiao)育等18個種類(lei)的URL地址(zhi)； 準(zhǔn)確識別目前(qian)主流網(wǎng)站，識別(bie)率高(gao)達(dá)99.9%，有效實現(xiàn)(xian)網(wǎng)頁過濾。例(li)如禁止(zhi)登陸(lu)非法網(wǎng)站(zhan)

通過基(ji)于時間段的訪(fang)問控制策(ce)略，實現(xiàn)不同的(de)時間段不(bu)同的(de)訪問權(quán)限，比如(ru)上班時(shi)間，禁止(zhi)訪問網(wǎng)上(shang)銀行、游戲、論(lun)壇貼吧(ba)等與工作(zuo)無關(guān)的(de)應(yīng)用，下班時間(jian)則不受限制。

辦公區(qū)域(yu)內(nèi)，不同辦公部(bu)門總會有(you)各自(zi)專屬的無線(xian)網(wǎng)絡(luò)(luo)，并且不希(xi)望部門之(zhi)外的成員(yuan)使用這個網(wǎng)(wang)絡(luò)。無線網(wǎng)(wang)絡(luò)控(kong)制器可以(yi)根據(jù)用戶(hu)的屬性，限制(zhi)禁止非本部門(men)的用戶接(jie)入。

典型無線網(wǎng)(wang)絡(luò)攻擊防護(hu)：

對典型的(de)危險攻擊(ji)行為進(jin)行檢測，當(dāng)超過(guo)設(shè)定的(de)閾值后(hou)自動將(jiang)攻擊者加入(ru)到黑名單中，并(bing)凍結(jié)一定時間(jian)，即時發(fā)(fa)現(xiàn)網(wǎng)絡(luò)攻擊并(bing)進行防御。

檢測的(de)攻擊包括(kuo)：DDOS防御、ARP掃描、IP掃描(miao)、端口掃描(miao)防御，禁止客(ke)戶端私設(shè)IP以(yi)及ARP、網(wǎng)關(guān)欺騙防(fang)御、DHCP請求泛(fan)洪防御。

無線射頻定(ding)時關(guān)閉開啟：

通過射頻(pin)關(guān)閉控制策(ce)略，可以指定某(mou)SSID網(wǎng)絡(luò)，定(ding)時自動(dong)關(guān)閉(bi)和開啟(qi)無線網(wǎng)(wang)絡(luò)的射(she)頻信號(hao)，晚上下班(ban)后自(zi)動關(guān)閉無線(xian)射頻(pin)信號(hao)。

一方面可以節(jié)(jie)能減排、節(jié)(jie)省電費(fei)支出；另(ling)一方面又能(neng)防止非法用(yong)戶利(li)用深(shen)夜時(shi)間入(ru)侵無線網(wǎng)絡(luò)(luo)，做一(yi)些非法(fa)的操(cao)作。

有線無線一(yi)體化管理：

NAC的有線(xian)無線一體化，支(zhi)持對(dui)有線(xian)用戶(hu)的接入(ru)認(rèn)證、訪(fang)問控制、流量(liang)管理、上(shang)網(wǎng)行為審(shen)計等，

并提(ti)供統(tǒng)一中文(wen)Web管理界(jie)面，一站式服(fu)務(wù)，極大的(de)降低(di)網(wǎng)絡(luò)(luo)建設(shè)(she)成本。

網(wǎng)絡(luò)分權(quán)(quan)分級管理：

分配不同的(de)管理員分(fen)別管理各自權(quán)(quan)限區(qū)域的無(wu)線AP，可(ke)以精細(xì)(xi)到對某(mou)AP分組有管理權(quán)(quan)限，該管(guan)理員可以在(zai)該AP分(fen)組上(shang)建立無線網(wǎng)絡(luò)(luo)，能夠(gou)激活、刪除接(jie)入點，能夠?qū)P的(de)配置進(jin)行編輯(ji)修改。

可指定(ding)管理員針對每(mei)個頁面(mian)的編輯或可(ke)查看(kan)權(quán)限，控制(zhi)粒度到控(kong)制器上(shang)的各個頁面，對(dui)某個(ge)頁面沒(mei)有讀(du)權(quán)限則登(deng)錄時不(bu)顯示。

移動(dong)APP隨時隨地(di)運維(wei)管理：

支持(chi)跨互(hu)聯(lián)網(wǎng)(wang)運維(wei)管理(li)

登陸(lu)APP進行維護(hu)管理：不同(tong)管理員，不同權(quán)(quan)限

查看(kan)網(wǎng)絡(luò)運行(xing)情況(kuang)：在線用戶、在線(xian)AP數(shù)量、實時流量(liang)

無線網(wǎng)絡(luò)(luo)管理維(wei)護：開啟關(guān)(guan)閉SSID、終端綁定(ding)審批、二維碼(ma)上網(wǎng)審核(he)

故障、審批(pi)實時通知：AP離(li)線警(jing)告、服務(wù)(wu)器離線警告(gao)、網(wǎng)絡(luò)(luo)攻擊告(gao)警

方案優(yōu)勢(shi)：

1、最豐(feng)富的無線安全(quan)機制，提供從(cong)安全(quan)接入到安(an)全上(shang)網(wǎng)等端(duan)到端的安(an)全策略

2、合理管控(kong)工作人(ren)員上網(wǎng)(wang)行為(wei)，提升工(gong)作效(xiao)率、防(fang)止帶寬(kuan)浪費(fei)，有線無(wu)線雙重管(guan)控

3、為會(hui)議室，報(bao)告廳等人(ren)員密集(ji)區(qū)域(yu)接入(ru)網(wǎng)絡(luò)提高保(bao)證，解決有(you)線網(wǎng)口不足(zu)的問題(ti)；

4、為企(qi)業(yè)員工(gong)的移動辦公(gong)提供支撐，內(nèi)部(bu)員工可(ke)通過無線(xian)網(wǎng)絡(luò)隨時安(an)全接入(ru)內(nèi)部網(wǎng)(wang)絡(luò)，實現(xiàn)辦公(gong)；

5、內(nèi)部員工賬號(hao)及個人(ren)信息(xi)綁定(ding)，便于安全(quan)管理；

6、內(nèi)部(bu)員工可(ke)通過自(zi)己的辦公設(shè)(she)備在企(qi)業(yè)大樓內(nèi)(nei)快速移動辦(ban)公，網(wǎng)絡(luò)接入(ru)更快速，上網(wǎng)行(xing)為管理系統(tǒng)(tong)對員(yuan)工上網(wǎng)行為進(jin)行審計與(yu)管控(kong)

7、來訪客(ke)戶接(jie)入企業(yè)網(wǎng)絡(luò)(luo)，可根據(jù)不(bu)同需求，分(fen)配不同的上網(wǎng)(wang)權(quán)限，保證了(le)接入的安全性(xing)同時提升群(qun)眾上(shang)網(wǎng)的體驗

8、豐富的(de)認(rèn)證機(ji)制，滿(man)足組織(zhi)對無線網(wǎng)絡(luò)(luo)安全、快速(su)接入

9、投資成本低，通(tong)過部署無線(xian)控制器替換(huan)原有(you)網(wǎng)絡(luò)(luo)的出口路(lu)由、行為管理以(yi)及無線(xian)控制器