大型企業(yè)(ye)在無線(xian)網絡(luo)建設期間要(yao)充分考(kao)慮訪客(ke)（領導、客戶、合(he)作伙伴(ban)）接入網絡的需(xu)求。首(shou)先從安(an)全性考慮，訪客(ke)網絡必(bi)須要(yao)和辦公網(wang)絡分開，訪(fang)客網(wang)絡單獨(du)提供(gong)給訪客使用。從(cong)用戶體驗(yan)角度考慮(lv)，訪客(ke)接入網絡的(de)驗證(zheng)方式一定要做(zuo)到簡單易(yi)行，繁瑣的驗(yan)證方(fang)式會(hui)降低訪(fang)客對企業(yè)(ye)的整體印象。同(tong)時對(dui)于訪客(ke)網絡，企(qi)業(yè)還需要建(jian)立完(wan)善的網絡安(an)全管(guan)理機(ji)制，避免由于訪(fang)客的網絡不良(liang)訪問給企(qi)業(yè)帶來的法律(lv)風險(xian)。對于企(qi)業(yè)員工移動辦(ban)公上網(wang)，更需要做到可(ke)管控，上網行(xing)為做到可追(zhui)溯，企(qi)業(yè)有效(xiao)的帶寬(kuan)資源得到合(he)理的分配(pei)和保證，才(cai)能使企(qi)業(yè)的業(yè)務(wu)系統(tǒng)正(zheng)常且(qie)穩(wěn)定高效地(di)運行，同時保證(zheng)企業(yè)信息(xi)安全，避(bi)免機密信(xin)息泄露。

存在(zai)的問(wen)題（用戶需求(qiu)）

1、接入(ru)不安全：缺(que)乏安全可(ke)靠的認證機(ji)制，企業(yè)無線網(wang)絡接入(ru)不安全(quan)

2、上網權(quan)限混亂：缺(que)乏有(you)效的控(kong)制策略，員(yuan)工上網權(quan)限不(bu)分明

3、數據信息安(an)全：缺乏(fa)有效的數據(ju)加密機(ji)制，企業(yè)數據(ju)被黑(hei)客竊(qie)取篡改

4、無線信(xin)號差：AP性能不佳(jia)，上網(wang)總掉線，點位規(guī)(gui)劃不合(he)理，信(xin)號盲區(qū)(qu)多

5、漫游效(xiao)果差：不能實(shi)現二三層(ceng)漫游(you)，移動辦公時(shi)，業(yè)務中(zhong)斷

解決方(fang)案：

結合用戶(hu)無線網(wang)絡需(xu)求情況(kuang)，結合產品自(zi)身技術特(te)點，為了滿足(zu)用戶構建一個(ge)高速、穩(wěn)(wen)定、安全、可靠(kao)、易于管理(li)的無線接入(ru)網絡(luo)的需(xu)求，本設(she)計方(fang)案按(an)照AP+AC的結構(gou)化無線(xian)網絡解決方案(an)進行設計。具體(ti)設計為(wei)在總部設置總(zong)部AC,在大(da)型分支機構(gou)設置分支AC與(yu)分支AP，中型(xing)分支機構設計(ji)二級，三級交換(huan)機，分支(zhi)AP。小微型分支機(ji)構直接(jie)設置分支AP。總部(bu)AC可以對(dui)大型分(fen)支機構的AC進(jin)行管理(li)，當網點控制(zhi)器采用集(ji)中管理(li)的模式進入(ru)到中心(xin)端控(kong)制器時，會自(zi)動下載(zai)中心端的(de)公共配置，比如(ru)IP組、MAC地址庫、時(shi)間計劃(hua)、角色授權、認證(zheng)頁面等 。總部(bu)AC也可(ke)以直接管理(li)中小型分支機(ji)構的分支AP，實現(xian)統(tǒng)一管理。

方案設計：

安全(quan)無線整體(ti)解決方案(an)：

接入前&接入時(shi)進行身份認證(zheng)、安全無線(xian)網卡、賬(zhang)號綁定（硬(ying)件碼+手機號），非(fei)法熱點檢(jian)測及防御、網(wang)絡攻擊防護、射(she)頻定時關閉(bi)及安全加固。

接入(ru)后&上網時進行(xing)訪問權限控(kong)制。

上網后(hou)進行上(shang)網行為記(ji)錄。

上網用(yong)戶身份實名(ming)認證：

無線辦公網采(cai)用802.1X/Portal/WAPI認證，外置(zhi)AAA和RADIUS+AD用(yong)于存儲用戶(hu)賬號(hao)密碼。

每個賬號對(dui)應一(yi)個員工，包括姓(xing)名、部門、性別以(yi)及身份證、手機(ji)號等個人信(xin)息，保證每個上(shang)網的(de)賬號(hao)都是(shi)可尋(xun)的，便于安(an)全管理。

用戶輸入(ru)賬號密碼上網(wang)驗證時均采(cai)用加密傳(chuan)輸，防止黑(hei)客空中(zhong)攔截，竊(qie)取賬號(hao)密碼等(deng)數據。

上網(wang)賬號(hao)自動綁定(ding)終端：

自動將賬(zhang)號與終(zhong)端的硬件(jian)特征碼(ma)進行綁(bang)定，防止賬號(hao)被他(ta)人使用或(huo)者被盜用。

每臺設備的(de)硬件(jian)特征碼是唯(wei)一的，無法通過(guo)軟件(jian)修改。即(ji)使通過軟件(jian)修改了(le)仍然(ran)可以識(shi)別原始的。

每個賬號(hao)最多可以(yi)綁定(ding)5臺終端，超(chao)過1臺時需要管(guan)理員審核。

上網(wang)賬號二次(ci)綁定(ding)手機號碼(ma)：

賬號首(shou)次登陸時需(xu)要綁定(ding)手機號并輸(shu)入短信驗證碼(ma)，當用(yong)戶賬號(hao)在新終端登(deng)陸時（換終端(duan)/被他用/被(bei)盜），不僅需要輸(shu)入密碼(ma)，還需(xu)要輸(shu)入短(duan)信驗(yan)證碼(ma)，解決員工賬(zhang)號認證(zheng)的安全問題(ti)

綁定手機號碼(ma)的用戶，可以(yi)自助重(zhong)置密碼(ma)和修改密(mi)碼，無需(xu)通過IT管理員(yuan)。

用戶密碼管(guan)理及自助(zhu)修改：

無需通過管理(li)員即(ji)可修(xiu)改密碼，提(ti)高效(xiao)率及減(jian)輕管理(li)員工作壓(ya)力。

通過口(kou)袋助理、釘釘(ding)、企業(yè)號等手機(ji)MOA類APP軟件進行無(wu)線密碼修改(gai)。

若賬號(hao)綁定了手機號(hao)碼，可通(tong)過手機驗證碼(ma)自助修改。

上網終端(duan)合法效驗(yan)：

采用安全無(wu)線網卡接入無(wu)線網絡，終端與(yu)AP熱點的雙(shuang)向驗證，提高(gao)安全(quan)性。

可以將(jiang)無線網絡設置(zhi)為只有安裝了(le)安全無線網(wang)卡的終端才能(neng)接入(ru)無線網(wang)絡。

支持設(she)置安全(quan)無線網卡(ka)只能(neng)連指定(ding)SSID無線網絡，無(wu)法連接非授權(quan)SSID。

網卡與AP數(shu)據傳輸時自(zi)動進行數(shu)據加密，保證無(wu)線的(de)空口安(an)全。

無線熱點掃(sao)描及非法(fa)熱點抑制(zhi)：

背景：黑客(ke)在附近搭建一(yi)個一模一(yi)樣或者類似的(de)WIFI名稱，誘(you)使用戶連到(dao)虛假釣魚(yu)WIFI上，黑客利用分(fen)析軟件從用戶(hu)上網(wang)產生的數據包(bao)中分析提(ti)取用戶(hu)隱私信息(xi)。

我們通過WIPS無線(xian)入侵防御系(xi)統(tǒng)實時檢(jian)測周圍無線(xian)信號，當檢(jian)測出來(lai)的信號BSSID、且(qie)AP源MAC地址(zhi)不在授權列表(biao)中時，我們(men)向對應的AP和(he)終端發(fā)送解(jie)除關聯幀，讓(rang)終端無法(fa)連上釣魚WIFI。7×24小(xiao)時不間(jian)斷監(jiān)測網絡。

上網行為(wei)嚴格控(kong)制：

強大的管(guan)理：通過應用識(shi)別技術(shu)，可以根據(ju)應用類型(xing)或者具體某一(yi)種應用進行(xing)封堵，包括(kuo)視頻、論壇(tan)、游戲、金融(rong)、下載(zai)等2400多種網絡(luo)應用。

通過應(ying)用識別技(ji)術，可以根(gen)據應用類型或(huo)者具體某(mou)一種應用進行(xing)封堵(du)，比如(ru)上班時(shi)間不允許(xu)炒股，不允許P2P下(xia)載，不允許外(wai)發(fā)敏感文件等(deng)； 支持(chi)主流移(yi)動平臺，可(ke)識別IM、社(she)交、Mail、新聞、炒股等(deng)應用。

無線(xian)控制(zhi)器內置千(qian)萬級別的URL分(fen)類庫，能(neng)夠對URL進行(xing)識別，包含新(xin)聞、購物(wu)、金融、教育等18個(ge)種類的(de)URL地址； 準確(que)識別目(mu)前主(zhu)流網(wang)站，識別率(lv)高達99.9%，有(you)效實現網頁過(guo)濾。例(li)如禁止登陸(lu)非法(fa)網站

通過基于時間(jian)段的(de)訪問控(kong)制策略，實現(xian)不同的時(shi)間段不同(tong)的訪問權限(xian)，比如上班(ban)時間，禁止訪(fang)問網上銀行(xing)、游戲、論壇貼吧(ba)等與工作(zuo)無關的(de)應用，下(xia)班時間(jian)則不(bu)受限制。

辦公(gong)區(qū)域內，不(bu)同辦公部門(men)總會有(you)各自專(zhuan)屬的無(wu)線網絡，并(bing)且不(bu)希望部(bu)門之外的成員(yuan)使用這個(ge)網絡。無線網(wang)絡控(kong)制器可以根據(ju)用戶的屬性(xing)，限制(zhi)禁止非本(ben)部門(men)的用戶接入。

典型無(wu)線網絡攻(gong)擊防(fang)護：

對典(dian)型的危險攻(gong)擊行為進行(xing)檢測，當超過設(she)定的閾值后自(zi)動將攻擊(ji)者加入到黑(hei)名單中，并(bing)凍結一定(ding)時間，即時(shi)發(fā)現網(wang)絡攻擊并進(jin)行防御。

檢測(ce)的攻擊包括：DDOS防(fang)御、ARP掃描(miao)、IP掃描、端(duan)口掃描防(fang)御，禁止客(ke)戶端(duan)私設IP以及(ji)ARP、網關欺(qi)騙防御、DHCP請求(qiu)泛洪(hong)防御。

無線射頻定(ding)時關(guan)閉開啟(qi)：

通過射頻關閉(bi)控制(zhi)策略，可以(yi)指定(ding)某SSID網絡，定時自(zi)動關閉和開啟(qi)無線(xian)網絡的射頻信(xin)號，晚上(shang)下班后自動關(guan)閉無線射(she)頻信號。

一方面可以(yi)節(jié)能減排、節(jié)(jie)省電費(fei)支出；另(ling)一方(fang)面又(you)能防(fang)止非(fei)法用戶(hu)利用深夜時間(jian)入侵無線(xian)網絡，做一些非(fei)法的操(cao)作。

有線無線一體(ti)化管(guan)理：

NAC的有線無線(xian)一體化，支持(chi)對有線用戶(hu)的接入認證、訪(fang)問控制、流量管(guan)理、上網(wang)行為審(shen)計等，

并提供統(tǒng)(tong)一中文Web管理界(jie)面，一站式服務(wu)，極大的降低(di)網絡建(jian)設成(cheng)本。

網絡分權分(fen)級管理：

分配(pei)不同的管理(li)員分別管理各(ge)自權限區(qū)域的(de)無線AP，可(ke)以精細到對某(mou)AP分組有管理(li)權限，該管(guan)理員可(ke)以在該AP分(fen)組上建(jian)立無線網(wang)絡，能(neng)夠激(ji)活、刪(shan)除接入(ru)點，能(neng)夠對AP的(de)配置進行(xing)編輯(ji)修改。

可指定(ding)管理員針對每(mei)個頁(ye)面的編輯或(huo)可查看權(quan)限，控(kong)制粒(li)度到控制器(qi)上的各(ge)個頁面，對(dui)某個頁(ye)面沒(mei)有讀權限則(ze)登錄時不顯示(shi)。

移動(dong)APP隨時隨(sui)地運(yun)維管理：

支持(chi)跨互聯網運維(wei)管理

登陸APP進行維(wei)護管(guan)理：不同管理員(yuan)，不同(tong)權限(xian)

查看(kan)網絡運行情(qing)況：在線用戶、在(zai)線AP數量、實(shi)時流量(liang)

無線網絡管(guan)理維護：開啟(qi)關閉SSID、終端綁定(ding)審批、二維碼上(shang)網審核(he)

故障、審(shen)批實時通(tong)知：AP離(li)線警告(gao)、服務器離線(xian)警告、網(wang)絡攻擊(ji)告警

方案優(yōu)勢：

1、最豐(feng)富的無(wu)線安全機(ji)制，提供從安全(quan)接入(ru)到安全上網(wang)等端(duan)到端的安全(quan)策略

2、合理管控工作(zuo)人員上網(wang)行為(wei)，提升工(gong)作效率(lv)、防止帶寬浪(lang)費，有線無線雙(shuang)重管控

3、為會議(yi)室，報(bao)告廳等人員(yuan)密集(ji)區(qū)域接(jie)入網絡提(ti)高保證(zheng)，解決有線網(wang)口不(bu)足的問題；

4、為企業(yè)(ye)員工的移動(dong)辦公提供支(zhi)撐，內(nei)部員工可(ke)通過(guo)無線網絡(luo)隨時安全接(jie)入內部網絡，實(shi)現辦公；

5、內部(bu)員工賬號及個(ge)人信(xin)息綁定，便(bian)于安全管理(li)；

6、內部員工可(ke)通過自(zi)己的辦公(gong)設備在企(qi)業(yè)大樓內(nei)快速移動(dong)辦公，網(wang)絡接入更快速(su)，上網(wang)行為管理系(xi)統(tǒng)對員工上網(wang)行為進行(xing)審計與管(guan)控

7、來訪客(ke)戶接入企業(yè)(ye)網絡，可(ke)根據不同(tong)需求，分(fen)配不同的(de)上網(wang)權限(xian)，保證了接入的(de)安全性(xing)同時提升(sheng)群眾上網的體(ti)驗

8、豐富的認證(zheng)機制，滿足(zu)組織對無線網(wang)絡安全、快速(su)接入

9、投資(zi)成本低，通過部(bu)署無線控制器(qi)替換(huan)原有網(wang)絡的出口路(lu)由、行為管理以(yi)及無線控制(zhi)器