?
大型企(qi)業(yè)在無線網(wǎng)絡(luò)(luo)建設(shè)(she)期間要充(chong)分考慮訪客(領(lǐng)(ling)導(dǎo)�����、客戶(hu)�����、合作(zuo)伙伴(ban))接入網(wǎng)絡(luò)的需(xu)求�����。首先(xian)從安全性考(kao)慮�����,訪客網(wǎng)絡(luò)必(bi)須要和辦(ban)公網(wǎng)(wang)絡(luò)分(fen)開�����,訪客網(wǎng)絡(luò)(luo)單獨(dú)提供(gong)給訪客(ke)使用(yong)�����。從用戶體驗(yàn)(yan)角度考(kao)慮�����,訪客接入網(wǎng)(wang)絡(luò)的(de)驗(yàn)證(zheng)方式一定要做(zuo)到簡(jiǎn)(jian)單易行�����,繁瑣(suo)的驗(yàn)證方式會(huì)(hui)降低訪客(ke)對(duì)企業(yè)的整(zheng)體印(yin)象�����。同時(shí)對(duì)于訪(fang)客網(wǎng)絡(luò)�����,企(qi)業(yè)還(hai)需要建立完善(shan)的網(wǎng)絡(luò)安(an)全管理(li)機(jī)制�����,避(bi)免由于(yu)訪客的網(wǎng)絡(luò)(luo)不良訪問(wen)給企業(yè)帶(dai)來的法律風(fēng)險(xiǎn)(xian)�����。對(duì)于企業(yè)(ye)員工移(yi)動(dòng)辦公上網(wǎng)(wang)�����,更需要做(zuo)到可(ke)管控�����,上網(wǎng)行(xing)為做到可追(zhui)溯�����,企業(yè)有效(xiao)的帶寬資源(yuan)得到合(he)理的分(fen)配和保證�����,才能(neng)使企業(yè)的(de)業(yè)務(wù)系統(tǒng)(tong)正常且穩(wěn)(wen)定高效(xiao)地運(yùn)行�����,同時(shí)(shi)保證企業(yè)信(xin)息安全(quan),避免(mian)機(jī)密信息(xi)泄露�����。
存在的問題(用(yong)戶需(xu)求)
1�����、接入不(bu)安全:缺乏安全(quan)可靠的(de)認(rèn)證機(jī)制(zhi)�����,企業(yè)無線網(wǎng)(wang)絡(luò)接入不安(an)全
2�����、上網(wǎng)權(quán)限混亂(luan):缺乏有效(xiao)的控制策略�����,員(yuan)工上網(wǎng)權(quán)(quan)限不(bu)分明(ming)
3�����、數(shù)據(jù)信息(xi)安全:缺乏(fa)有效(xiao)的數(shù)據(jù)加密機(jī)(ji)制,企業(yè)數(shù)(shu)據(jù)被黑客竊取(qu)篡改
4�����、無線信號(hào)(hao)差:AP性能不佳�����,上(shang)網(wǎng)總掉線�����,點(diǎn)(dian)位規(guī)劃(hua)不合(he)理�����,信(xin)號(hào)盲區(qū)多(duo)
5�����、漫游效果(guo)差:不能實(shí)現(xiàn)(xian)二三層漫(man)游�����,移動(dòng)辦(ban)公時(shí)�����,業(yè)(ye)務(wù)中(zhong)斷
解決方(fang)案:
結(jié)合用(yong)戶無(wu)線網(wǎng)(wang)絡(luò)需求情況�����,結(jié)(jie)合產(chǎn)品自(zi)身技術(shù)特點(diǎn)�����,為(wei)了滿足用(yong)戶構(gòu)建一(yi)個(gè)高速(su)�����、穩(wěn)定�����、安全�����、可靠(kao)�����、易于管理(li)的無線接入網(wǎng)(wang)絡(luò)的需求(qiu),本設(shè)(she)計(jì)方案按照(zhao)AP+AC的結(jié)構(gòu)化無(wu)線網(wǎng)絡(luò)解決(jue)方案(an)進(jìn)行設(shè)計(jì)�����。具體(ti)設(shè)計(jì)為在(zai)總部設(shè)置總(zong)部AC,在(zai)大型分支(zhi)機(jī)構(gòu)設(shè)置分(fen)支AC與分支(zhi)AP�����,中型分(fen)支機(jī)構(gòu)設(shè)計(jì)(ji)二級(jí)�����,三級(jí)交(jiao)換機(jī)�����,分支AP�����。小微(wei)型分支機(jī)(ji)構(gòu)直(zhi)接設(shè)置分(fen)支AP�����?����?偛?bu)AC可以(yi)對(duì)大(da)型分支(zhi)機(jī)構(gòu)的AC進(jìn)行(xing)管理�����,當(dāng)網(wǎng)(wang)點(diǎn)控制器采用(yong)集中管理的模(mo)式進(jìn)(jin)入到中心(xin)端控制(zhi)器時(shí)�����,會(huì)自(zi)動(dòng)下(xia)載中心(xin)端的公(gong)共配置�����,比如IP組(zu)�����、MAC地址庫(kù)�����、時(shí)間計(jì)(ji)劃�����、角色授(shou)權(quán)、認(rèn)證頁(yè)面(mian)等 �����?����?偛?bu)AC也可(ke)以直接管(guan)理中小型(xing)分支機(jī)(ji)構(gòu)的(de)分支AP�����,實(shí)(shi)現(xiàn)統(tǒng)一(yi)管理�����。
方案設(shè)(she)計(jì):
安全(quan)無線整體解(jie)決方案:
接入前&接入(ru)時(shí)進(jìn)行身(shen)份認(rèn)證�����、安全無(wu)線網(wǎng)卡�����、賬(zhang)號(hào)綁定(硬(ying)件碼+手(shou)機(jī)號(hào))�����,非法熱(re)點(diǎn)檢測(cè)(ce)及防御�����、網(wǎng)絡(luò)攻(gong)擊防護(hù)�����、射頻定(ding)時(shí)關(guān)閉及(ji)安全(quan)加固�����。
接入后(hou)&上網(wǎng)(wang)時(shí)進(jìn)行訪(fang)問權(quán)限控(kong)制�����。
上網(wǎng)后進(jìn)行上(shang)網(wǎng)行為(wei)記錄�����。
上網(wǎng)用戶(hu)身份實(shí)名認(rèn)(ren)證:
無線辦(ban)公網(wǎng)采(cai)用802.1X/Portal/WAPI認(rèn)證�����,外置(zhi)AAA和RADIUS+AD用于(yu)存儲(chǔ)用戶賬(zhang)號(hào)密碼。
每個(gè)賬號(hào)(hao)對(duì)應(yīng)一(yi)個(gè)員工(gong)�����,包括(kuo)姓名�����、部門�����、性(xing)別以及身份(fen)證�����、手機(jī)號(hào)(hao)等個(gè)(ge)人信息�����,保證每(mei)個(gè)上(shang)網(wǎng)的賬號(hào)都(dou)是可尋的�����,便于(yu)安全(quan)管理�����。
用戶輸入(ru)賬號(hào)密碼(ma)上網(wǎng)(wang)驗(yàn)證(zheng)時(shí)均采用加(jia)密傳輸�����,防(fang)止黑客空(kong)中攔(lan)截�����,竊(qie)取賬號(hào)密碼等(deng)數(shù)據(jù)�����。
上網(wǎng)賬號(hào)(hao)自動(dòng)綁定終端(duan):
自動(dòng)將(jiang)賬號(hào)與(yu)終端(duan)的硬件特征(zheng)碼進(jìn)行綁定(ding)�����,防止賬號(hào)(hao)被他人使用(yong)或者(zhe)被盜用�����。
每臺(tái)設(shè)備的(de)硬件(jian)特征碼是唯一(yi)的�����,無法通過(guo)軟件修(xiu)改。即使通(tong)過軟件修改了(le)仍然可以識(shí)別(bie)原始的(de)�����。
每個(gè)(ge)賬號(hào)最多可以(yi)綁定5臺(tái)(tai)終端�����,超過(guo)1臺(tái)時(shí)(shi)需要管理(li)員審核�����。
上網(wǎng)賬(zhang)號(hào)二次綁定(ding)手機(jī)號(hào)碼:
賬號(hào)首次(ci)登陸(lu)時(shí)需要綁定手(shou)機(jī)號(hào)并輸入(ru)短信驗(yàn)證(zheng)碼�����,當(dāng)用(yong)戶賬號(hào)在新終(zhong)端登陸時(shí)(換(huan)終端/被他(ta)用/被盜)�����,不(bu)僅需要輸(shu)入密碼�����,還需(xu)要輸入短(duan)信驗(yàn)(yan)證碼(ma)�����,解決(jue)員工賬(zhang)號(hào)認(rèn)證(zheng)的安全問題(ti)
綁定手機(jī)號(hào)(hao)碼的用戶�����,可以(yi)自助重置密(mi)碼和修(xiu)改密碼�����,無需(xu)通過IT管理員�����。
用戶密(mi)碼管(guan)理及自助修(xiu)改:
無需通過管理(li)員即可修(xiu)改密碼(ma)�����,提高效率(lv)及減輕管(guan)理員工作(zuo)壓力�����。
通過口袋助(zhu)理�����、釘釘、企(qi)業(yè)號(hào)等(deng)手機(jī)MOA類APP軟件進(jìn)(jin)行無線密(mi)碼修改�����。
若賬號(hào)綁定(ding)了手機(jī)號(hào)碼�����,可(ke)通過手機(jī)驗(yàn)(yan)證碼自(zi)助修改�����。
上網(wǎng)終端合(he)法效(xiao)驗(yàn):
采用(yong)安全(quan)無線網(wǎng)卡(ka)接入(ru)無線(xian)網(wǎng)絡(luò)�����,終(zhong)端與AP熱點(diǎn)(dian)的雙(shuang)向驗(yàn)(yan)證�����,提高安(an)全性(xing)�����。
可以(yi)將無線網(wǎng)(wang)絡(luò)設(shè)置為只(zhi)有安(an)裝了安全無(wu)線網(wǎng)卡的終(zhong)端才能接入(ru)無線網(wǎng)絡(luò)�����。
支持設(shè)置安(an)全無線(xian)網(wǎng)卡只(zhi)能連指(zhi)定SSID無線(xian)網(wǎng)絡(luò)�����,無(wu)法連接非授權(quán)(quan)SSID�����。
網(wǎng)卡與AP數(shù)據(jù)(ju)傳輸時(shí)自動(dòng)(dong)進(jìn)行數(shù)(shu)據(jù)加密�����,保證(zheng)無線的空口(kou)安全�����。
無線熱點(diǎn)掃(sao)描及非法熱(re)點(diǎn)抑制(zhi):
背景:黑客在附(fu)近搭(da)建一個(gè)一模一(yi)樣或者(zhe)類似(shi)的WIFI名稱(cheng)�����,誘使用(yong)戶連到虛假釣(diao)魚WIFI上�����,黑客利(li)用分析(xi)軟件從(cong)用戶上網(wǎng)產(chǎn)(chan)生的數(shù)(shu)據(jù)包(bao)中分析提取用(yong)戶隱私信息。
我們通過(guo)WIPS無線入(ru)侵防御系統(tǒng)實(shí)(shi)時(shí)檢測(cè)周圍(wei)無線(xian)信號(hào)�����,當(dāng)檢測(cè)(ce)出來的(de)信號(hào)BSSID�����、且AP源(yuan)MAC地址不在授權(quán)(quan)列表(biao)中時(shí)�����,我們(men)向?qū)?yīng)(ying)的AP和終端發(fā)(fa)送解(jie)除關(guān)(guan)聯(lián)幀�����,讓終端(duan)無法連上釣魚(yu)WIFI�����。7×24小時(shí)不(bu)間斷(duan)監(jiān)測(cè)網(wǎng)(wang)絡(luò)�����。
上網(wǎng)(wang)行為嚴(yán)(yan)格控(kong)制:
強(qiáng)大的管(guan)理:通(tong)過應(yīng)用(yong)識(shí)別技術(shù)(shu),可以(yi)根據(jù)應(yīng)用類型(xing)或者具體某一(yi)種應(yīng)用(yong)進(jìn)行封堵�����,包(bao)括視頻�����、論壇(tan)�����、游戲�����、金融(rong)�����、下載等2400多(duo)種網(wǎng)絡(luò)應(yīng)用(yong)�����。
通過應(yīng)用識(shí)(shi)別技術(shù)�����,可以根(gen)據(jù)應(yīng)用類型或(huo)者具體某(mou)一種應(yīng)用(yong)進(jìn)行封堵�����,比如(ru)上班時(shí)間不(bu)允許炒股�����,不(bu)允許P2P下(xia)載�����,不允許外發(fā)(fa)敏感文件等�����; 支(zhi)持主(zhu)流移動(dòng)平臺(tái)�����,可(ke)識(shí)別IM�����、社交、Mail�����、新聞(wen)�����、炒股等應(yīng)(ying)用�����。
無線控制器(qi)內(nèi)置千萬(wàn)(wan)級(jí)別的(de)URL分類庫(kù)�����,能夠(gou)對(duì)URL進(jìn)(jin)行識(shí)別�����,包含(han)新聞(wen)�����、購(gòu)物(wu)�����、金融�����、教育(yu)等18個(gè)種類的(de)URL地址(zhi)�����; 準(zhǔn)確識(shí)別(bie)目前(qian)主流網(wǎng)站�����,識(shí)別(bie)率高達(dá)99.9%�����,有效(xiao)實(shí)現(xiàn)網(wǎng)(wang)頁(yè)過濾�����。例如禁(jin)止登陸(lu)非法網(wǎng)站(zhan)
通過基(ji)于時(shí)間(jian)段的訪問控(kong)制策略�����,實(shí)(shi)現(xiàn)不(bu)同的(de)時(shí)間段不同(tong)的訪問(wen)權(quán)限,比如(ru)上班時(shí)間(jian)�����,禁止訪(fang)問網(wǎng)上銀行�����、游(you)戲�����、論壇貼吧(ba)等與工作(zuo)無關(guān)(guan)的應(yīng)用�����,下班時(shí)(shi)間則不受(shou)限制�����。
辦公(gong)區(qū)域內(nèi)�����,不同辦(ban)公部(bu)門總會(huì)(hui)有各自(zi)專屬的(de)無線網(wǎng)(wang)絡(luò)�����,并(bing)且不希望部門(men)之外的(de)成員使(shi)用這個(gè)網(wǎng)絡(luò)�����。無(wu)線網(wǎng)(wang)絡(luò)控制(zhi)器可以根據(jù)用(yong)戶的屬(shu)性�����,限制(zhi)禁止(zhi)非本部門的用(yong)戶接入�����。
典型無線網(wǎng)絡(luò)(luo)攻擊防護(hù):
對(duì)典型(xing)的危險(xiǎn)(xian)攻擊(ji)行為(wei)進(jìn)行檢測(cè)�����,當(dāng)超(chao)過設(shè)(she)定的閾值后自(zi)動(dòng)將攻(gong)擊者(zhe)加入到(dao)黑名(ming)單中(zhong)�����,并凍結(jié)一定時(shí)(shi)間�����,即時(shí)(shi)發(fā)現(xiàn)網(wǎng)絡(luò)攻(gong)擊并(bing)進(jìn)行(xing)防御。
檢測(cè)的攻擊(ji)包括:DDOS防御�����、ARP掃描(miao)�����、IP掃描(miao)�����、端口掃描防御(yu)�����,禁止客戶(hu)端私設(shè)IP以及ARP�����、網(wǎng)(wang)關(guān)欺騙防御�����、DHCP請(qǐng)(qing)求泛洪防(fang)御�����。
無線(xian)射頻(pin)定時(shí)(shi)關(guān)閉開(kai)啟:
通過射(she)頻關(guān)閉控制(zhi)策略(lve)�����,可以指定某(mou)SSID網(wǎng)絡(luò)�����,定時(shí)自(zi)動(dòng)關(guān)閉和開啟(qi)無線網(wǎng)絡(luò)(luo)的射頻信號(hào)(hao)�����,晚上下(xia)班后自動(dòng)關(guān)(guan)閉無(wu)線射頻信(xin)號(hào)�����。
一方(fang)面可以節(jié)(jie)能減(jian)排�����、節(jié)省電(dian)費(fèi)支出�����;另一(yi)方面又(you)能防止非法用(yong)戶利用深夜(ye)時(shí)間入侵(qin)無線網(wǎng)絡(luò),做(zuo)一些非(fei)法的操(cao)作�����。
有線無線(xian)一體化管(guan)理:
NAC的有線無線一(yi)體化�����,支持對(duì)(dui)有線(xian)用戶的接入認(rèn)(ren)證�����、訪(fang)問控制(zhi)�����、流量管理�����、上(shang)網(wǎng)行為審計(jì)(ji)等�����,
并提供(gong)統(tǒng)一中(zhong)文Web管(guan)理界面�����,一站(zhan)式服務(wù)�����,極(ji)大的降低網(wǎng)(wang)絡(luò)建設(shè)成本�����。
網(wǎng)絡(luò)分權(quán)分級(jí)(ji)管理:
分配不同的管(guan)理員分(fen)別管理各自權(quán)(quan)限區(qū)域的無線(xian)AP�����,可以精細(xì)(xi)到對(duì)某(mou)AP分組有管理(li)權(quán)限�����,該管理(li)員可以(yi)在該(gai)AP分組(zu)上建立無線(xian)網(wǎng)絡(luò)�����,能夠激(ji)活�����、刪除(chu)接入點(diǎn),能(neng)夠?qū)P的配(pei)置進(jìn)行編輯(ji)修改(gai)�����。
可指定管理員(yuan)針對(duì)(dui)每個(gè)頁(yè)面的編(bian)輯或可(ke)查看(kan)權(quán)限�����,控(kong)制粒度到控(kong)制器(qi)上的各個(gè)頁(yè)面(mian)�����,對(duì)某個(gè)頁(yè)面(mian)沒有讀權(quán)限(xian)則登錄(lu)時(shí)不(bu)顯示�����。
移動(dòng)APP隨時(shí)(shi)隨地運(yùn)維管理(li):
支持跨互聯(lián)(lian)網(wǎng)運(yùn)維管理(li)
登陸APP進(jìn)行(xing)維護(hù)管理:不同(tong)管理員�����,不(bu)同權(quán)(quan)限
查看網(wǎng)絡(luò)(luo)運(yùn)行情況(kuang):在線(xian)用戶�����、在線AP數(shù)量(liang)、實(shí)時(shí)流(liu)量
無線(xian)網(wǎng)絡(luò)管理(li)維護(hù):開啟(qi)關(guān)閉SSID�����、終(zhong)端綁定(ding)審批�����、二(er)維碼上網(wǎng)(wang)審核
故障(zhang)�����、審批實(shí)時(shí)通知(zhi):AP離線警告�����、服(fu)務(wù)器離(li)線警告�����、網(wǎng)絡(luò)攻(gong)擊告警(jing)
方案優(yōu)勢(shì)(shi):
1�����、最豐(feng)富的無線安全(quan)機(jī)制�����,提供從(cong)安全接入到安(an)全上(shang)網(wǎng)等端到端(duan)的安全(quan)策略
2�����、合理管(guan)控工作人員上(shang)網(wǎng)行為�����,提升工(gong)作效率�����、防(fang)止帶(dai)寬浪費(fèi)�����,有(you)線無線雙重(zhong)管控
3�����、為會(huì)議室(shi)�����,報(bào)告廳等(deng)人員密集區(qū)(qu)域接(jie)入網(wǎng)(wang)絡(luò)提高保(bao)證,解(jie)決有線網(wǎng)口(kou)不足的問題�����;
4�����、為企(qi)業(yè)員工的(de)移動(dòng)辦(ban)公提供支撐(cheng)�����,內(nèi)部員工可通(tong)過無線(xian)網(wǎng)絡(luò)隨(sui)時(shí)安全(quan)接入(ru)內(nèi)部網(wǎng)絡(luò)�����,實(shí)現(xiàn)(xian)辦公(gong)�����;
5�����、內(nèi)部員工(gong)賬號(hào)及個(gè)人信(xin)息綁定�����,便于安(an)全管理�����;
6�����、內(nèi)部員(yuan)工可通過(guo)自己的辦公(gong)設(shè)備在企(qi)業(yè)大樓(lou)內(nèi)快(kuai)速移(yi)動(dòng)辦(ban)公�����,網(wǎng)絡(luò)(luo)接入更快速(su)�����,上網(wǎng)行(xing)為管理系(xi)統(tǒng)對(duì)員(yuan)工上網(wǎng)行(xing)為進(jìn)(jin)行審(shen)計(jì)與(yu)管控
7�����、來訪(fang)客戶接(jie)入企業(yè)網(wǎng)絡(luò)(luo)�����,可根據(jù)不同需(xu)求,分配(pei)不同的上(shang)網(wǎng)權(quán)限�����,保(bao)證了接入的安(an)全性同時(shí)提(ti)升群眾上網(wǎng)的(de)體驗(yàn)
8�����、豐富的認(rèn)證機(jī)(ji)制�����,滿(man)足組織對(duì)無(wu)線網(wǎng)絡(luò)(luo)安全�����、快速接(jie)入
9�����、投資成本低(di)�����,通過部署無線(xian)控制器替換原(yuan)有網(wǎng)(wang)絡(luò)的出口路由(you)�����、行為管(guan)理以及(ji)無線(xian)控制器
