?
大型企業(yè)(ye)在無(wú)(wu)線網(wǎng)絡(luò)(luo)建設(shè)期間(jian)要充(chong)分考慮訪(fang)客(領(lǐng)導(dǎo)�����、客(ke)戶、合(he)作伙伴(ban))接入網(wǎng)絡(luò)(luo)的需求。首先從(cong)安全性考慮(lv)�����,訪客網(wǎng)絡(luò)必(bi)須要和(he)辦公(gong)網(wǎng)絡(luò)(luo)分開(kāi)(kai)��,訪客網(wǎng)(wang)絡(luò)單(dan)獨(dú)提供給(gei)訪客使用(yong)����。從用(yong)戶體驗(yàn)角(jiao)度考慮��,訪客(ke)接入網(wǎng)絡(luò)的(de)驗(yàn)證方(fang)式一定要做(zuo)到簡(jiǎn)單易行(xing)����,繁瑣(suo)的驗(yàn)證(zheng)方式會(huì)(hui)降低訪(fang)客對(duì)企(qi)業(yè)的整體(ti)印象�����。同(tong)時(shí)對(duì)(dui)于訪(fang)客網(wǎng)絡(luò)����,企(qi)業(yè)還(hai)需要建立完善(shan)的網(wǎng)(wang)絡(luò)安(an)全管(guan)理機(jī)制(zhi)����,避免由(you)于訪客(ke)的網(wǎng)(wang)絡(luò)不(bu)良訪(fang)問(wèn)給企業(yè)(ye)帶來(lái)的(de)法律風(fēng)險(xiǎn)(xian)。對(duì)于(yu)企業(yè)員工移動(dòng)(dong)辦公上網(wǎng)����,更需(xu)要做到可管控(kong),上網(wǎng)行為(wei)做到可追溯����,企(qi)業(yè)有(you)效的帶寬資(zi)源得(de)到合(he)理的(de)分配(pei)和保證,才能使(shi)企業(yè)(ye)的業(yè)務(wù)系(xi)統(tǒng)正常(chang)且穩(wěn)定高(gao)效地(di)運(yùn)行����,同時(shí)保證(zheng)企業(yè)(ye)信息安全(quan)�����,避免機(jī)(ji)密信息泄(xie)露。
存在的問(wèn)題(ti)(用戶(hu)需求)
1�����、接入不(bu)安全:缺乏安全(quan)可靠的認(rèn)證(zheng)機(jī)制����,企業(yè)(ye)無(wú)線網(wǎng)絡(luò)接入(ru)不安全(quan)
2、上網(wǎng)權(quán)限(xian)混亂:缺乏有效(xiao)的控制策略(lve)�����,員工(gong)上網(wǎng)權(quán)限不分(fen)明
3����、數(shù)據(jù)(ju)信息安全(quan):缺乏有效(xiao)的數(shù)據(jù)(ju)加密機(jī)制,企(qi)業(yè)數(shù)據(jù)被黑(hei)客竊(qie)取篡改(gai)
4��、無(wú)線(xian)信號(hào)差:AP性能(neng)不佳��,上(shang)網(wǎng)總掉(diao)線�����,點(diǎn)位規(guī)劃不(bu)合理,信號(hào)盲(mang)區(qū)多
5����、漫游效果差:不(bu)能實(shí)現(xiàn)二(er)三層漫游(you),移動(dòng)辦公時(shí)(shi)����,業(yè)務(wù)(wu)中斷
解決方(fang)案:
結(jié)合(he)用戶無(wú)線網(wǎng)絡(luò)(luo)需求情況,結(jié)(jie)合產(chǎn)(chan)品自身技術(shù)特(te)點(diǎn)��,為了滿(man)足用戶構(gòu)建(jian)一個(gè)高速����、穩(wěn)定(ding)、安全�����、可靠(kao)����、易于管理(li)的無(wú)線接(jie)入網(wǎng)絡(luò)的需求(qiu),本設(shè)(she)計(jì)方案按(an)照AP+AC的結(jié)構(gòu)化(hua)無(wú)線網(wǎng)(wang)絡(luò)解(jie)決方(fang)案進(jìn)行(xing)設(shè)計(jì)�����。具體(ti)設(shè)計(jì)(ji)為在總(zong)部設(shè)置(zhi)總部(bu)AC,在大型分(fen)支機(jī)構(gòu)設(shè)置分(fen)支AC與分支AP�����,中型(xing)分支機(jī)構(gòu)設(shè)計(jì)(ji)二級(jí)�����,三(san)級(jí)交換(huan)機(jī)����,分(fen)支AP。小(xiao)微型分支(zhi)機(jī)構(gòu)直接設(shè)(she)置分支AP�����?����?偛?bu)AC可以(yi)對(duì)大型(xing)分支機(jī)構(gòu)(gou)的AC進(jìn)(jin)行管理��,當(dāng)網(wǎng)(wang)點(diǎn)控制器采用(yong)集中(zhong)管理(li)的模式進(jìn)入(ru)到中心端(duan)控制器(qi)時(shí)�����,會(huì)自(zi)動(dòng)下載中心端(duan)的公(gong)共配置(zhi),比如(ru)IP組�����、MAC地址庫(kù)�����、時(shí)間(jian)計(jì)劃��、角(jiao)色授(shou)權(quán)�����、認(rèn)證頁(yè)面等(deng) �����?���?偛?bu)AC也可以直接管(guan)理中小型分支(zhi)機(jī)構(gòu)的分支AP,實(shí)(shi)現(xiàn)統(tǒng)(tong)一管理��。
方案設(shè)(she)計(jì):
安全無(wú)線(xian)整體(ti)解決(jue)方案:
接入(ru)前&接入時(shí)進(jìn)(jin)行身份認(rèn)(ren)證、安全無(wú)線網(wǎng)(wang)卡����、賬號(hào)綁定(硬(ying)件碼+手機(jī)號(hào)(hao))�����,非法(fa)熱點(diǎn)檢測(cè)及防(fang)御�����、網(wǎng)(wang)絡(luò)攻擊防護(hù)、射(she)頻定時(shí)(shi)關(guān)閉及安(an)全加固(gu)�����。
接入后(hou)&上網(wǎng)時(shí)進(jìn)(jin)行訪問(wèn)權(quán)(quan)限控制����。
上網(wǎng)后進(jìn)行(xing)上網(wǎng)(wang)行為記錄。
上網(wǎng)用戶身(shen)份實(shí)名認(rèn)證(zheng):
無(wú)線辦(ban)公網(wǎng)采(cai)用802.1X/Portal/WAPI認(rèn)證��,外置(zhi)AAA和RADIUS+AD用(yong)于存儲(chǔ)用戶賬(zhang)號(hào)密碼�����。
每個(gè)賬號(hào)對(duì)(dui)應(yīng)一個(gè)(ge)員工(gong)�����,包括姓(xing)名��、部門(mén)、性別(bie)以及(ji)身份證����、手機(jī)號(hào)(hao)等個(gè)人信息��,保(bao)證每個(gè)(ge)上網(wǎng)(wang)的賬(zhang)號(hào)都(dou)是可尋的�����,便(bian)于安全管理��。
用戶輸入賬號(hào)(hao)密碼上(shang)網(wǎng)驗(yàn)證時(shí)(shi)均采用加密傳(chuan)輸����,防止黑客(ke)空中攔截,竊(qie)取賬號(hào)密碼(ma)等數(shù)(shu)據(jù)��。
上網(wǎng)賬(zhang)號(hào)自動(dòng)綁定(ding)終端:
自動(dòng)將賬號(hào)(hao)與終(zhong)端的(de)硬件特征(zheng)碼進(jìn)行綁定(ding)�����,防止賬號(hào)被(bei)他人使用或者(zhe)被盜用�����。
每臺(tái)設(shè)(she)備的硬(ying)件特征碼是(shi)唯一的(de)��,無(wú)法通過(guò)軟件(jian)修改��。即使通過(guò)(guo)軟件修改了仍(reng)然可以識(shí)別原(yuan)始的��。
每個(gè)賬(zhang)號(hào)最(zui)多可以綁(bang)定5臺(tái)終端��,超過(guò)(guo)1臺(tái)時(shí)需要(yao)管理員(yuan)審核(he)�����。
上網(wǎng)賬(zhang)號(hào)二次(ci)綁定手機(jī)號(hào)(hao)碼:
賬號(hào)首次(ci)登陸時(shí)需(xu)要綁(bang)定手機(jī)號(hào)并輸(shu)入短信(xin)驗(yàn)證(zheng)碼�����,當(dāng)用戶(hu)賬號(hào)在新(xin)終端登陸時(shí)(換(huan)終端/被他用/被(bei)盜),不僅需要(yao)輸入密碼����,還(hai)需要輸入短信(xin)驗(yàn)證碼,解(jie)決員工賬號(hào)認(rèn)(ren)證的(de)安全問(wèn)題
綁定(ding)手機(jī)(ji)號(hào)碼的用戶(hu)��,可以自助重置(zhi)密碼和修(xiu)改密碼�����,無(wú)(wu)需通(tong)過(guò)IT管理員(yuan)�����。
用戶密碼管(guan)理及(ji)自助修改(gai):
無(wú)需(xu)通過(guò)(guo)管理(li)員即可(ke)修改密碼(ma)����,提高效(xiao)率及減輕管理(li)員工作(zuo)壓力。
通過(guò)口袋助(zhu)理����、釘釘、企業(yè)(ye)號(hào)等手機(jī)(ji)MOA類APP軟件(jian)進(jìn)行無(wú)線密(mi)碼修改(gai)����。
若賬號(hào)綁(bang)定了手機(jī)號(hào)碼(ma),可通過(guò)手機(jī)驗(yàn)(yan)證碼自(zi)助修改����。
上網(wǎng)終端(duan)合法效驗(yàn):
采用(yong)安全無(wú)線網(wǎng)卡(ka)接入(ru)無(wú)線(xian)網(wǎng)絡(luò),終端(duan)與AP熱(re)點(diǎn)的雙向驗(yàn)(yan)證����,提高安(an)全性。
可以將無(wú)線網(wǎng)(wang)絡(luò)設(shè)置為只(zhi)有安裝(zhuang)了安全(quan)無(wú)線網(wǎng)卡的(de)終端才能接入(ru)無(wú)線網(wǎng)絡(luò)��。
支持設(shè)置安全(quan)無(wú)線(xian)網(wǎng)卡只能(neng)連指定(ding)SSID無(wú)線網(wǎng)絡(luò)�����,無(wú)(wu)法連接(jie)非授(shou)權(quán)SSID�����。
網(wǎng)卡與(yu)AP數(shù)據(jù)傳輸(shu)時(shí)自動(dòng)進(jìn)行數(shù)(shu)據(jù)加密��,保(bao)證無(wú)線的(de)空口安全��。
無(wú)線熱點(diǎn)掃(sao)描及非法熱點(diǎn)(dian)抑制:
背景:黑(hei)客在附近搭建(jian)一個(gè)一模一(yi)樣或者類(lei)似的WIFI名稱����,誘使(shi)用戶連到虛假(jia)釣魚(yú)WIFI上(shang)��,黑客利(li)用分析軟(ruan)件從用戶(hu)上網(wǎng)產(chǎn)(chan)生的數(shù)(shu)據(jù)包中分析(xi)提取(qu)用戶隱私(si)信息����。
我們通過(guò)(guo)WIPS無(wú)線入(ru)侵防(fang)御系統(tǒng)實(shí)(shi)時(shí)檢測(cè)周(zhou)圍無(wú)線信(xin)號(hào)����,當(dāng)檢測(cè)(ce)出來(lái)的信號(hào)(hao)BSSID、且AP源MAC地(di)址不(bu)在授權(quán)列(lie)表中時(shí)(shi)��,我們向?qū)?dui)應(yīng)的AP和(he)終端發(fā)送解除(chu)關(guān)聯(lián)幀(zhen)�����,讓終端無(wú)(wu)法連上(shang)釣魚(yú)WIFI�����。7×24小時(shí)不(bu)間斷監(jiān)測(cè)網(wǎng)(wang)絡(luò)�����。
上網(wǎng)行為(wei)嚴(yán)格控制(zhi):
強(qiáng)大的(de)管理:通(tong)過(guò)應(yīng)(ying)用識(shí)別技術(shù)(shu)����,可以根(gen)據(jù)應(yīng)用類型(xing)或者具體某一(yi)種應(yīng)用進(jìn)行封(feng)堵�����,包括視(shi)頻、論壇��、游戲�����、金(jin)融��、下載等2400多(duo)種網(wǎng)絡(luò)應(yīng)(ying)用��。
通過(guò)應(yīng)用(yong)識(shí)別技術(shù)����,可以(yi)根據(jù)應(yīng)(ying)用類(lei)型或(huo)者具體某(mou)一種應(yīng)用(yong)進(jìn)行封堵(du),比如(ru)上班時(shí)間(jian)不允許炒股(gu)�����,不允(yun)許P2P下(xia)載����,不(bu)允許(xu)外發(fā)敏(min)感文件等����; 支持(chi)主流移(yi)動(dòng)平臺(tái)��,可(ke)識(shí)別IM����、社(she)交、Mail��、新聞��、炒股(gu)等應(yīng)(ying)用�����。
無(wú)線控(kong)制器內(nèi)置(zhi)千萬(wàn)級(jí)別的(de)URL分類庫(kù)����,能夠(gou)對(duì)URL進(jìn)行(xing)識(shí)別(bie),包含新聞(wen)����、購(gòu)物、金融、教育(yu)等18個(gè)種(zhong)類的URL地(di)址��; 準(zhǔn)(zhun)確識(shí)別目前主(zhu)流網(wǎng)(wang)站����,識(shí)別率高達(dá)(da)99.9%,有效實(shí)現(xiàn)網(wǎng)頁(yè)(ye)過(guò)濾(lv)�����。例如禁(jin)止登(deng)陸非法網(wǎng)站(zhan)
通過(guò)基于時(shí)(shi)間段(duan)的訪(fang)問(wèn)控制策略(lve)�����,實(shí)現(xiàn)不同(tong)的時(shí)間段不同(tong)的訪問(wèn)(wen)權(quán)限(xian)�����,比如上(shang)班時(shí)間(jian)�����,禁止訪問(wèn)網(wǎng)(wang)上銀行����、游戲(xi)��、論壇貼吧(ba)等與工(gong)作無(wú)關(guān)的應(yīng)(ying)用,下班時(shí)間則(ze)不受(shou)限制��。
辦公區(qū)域內(nèi)(nei)��,不同辦公(gong)部門(mén)總會(huì)有各(ge)自專屬的無(wú)線(xian)網(wǎng)絡(luò)��,并(bing)且不希(xi)望部門(mén)之(zhi)外的成員(yuan)使用(yong)這個(gè)網(wǎng)絡(luò)(luo)��。無(wú)線網(wǎng)(wang)絡(luò)控制(zhi)器可以根據(jù)(ju)用戶的屬性����,限(xian)制禁止非本(ben)部門(mén)的用(yong)戶接入。
典型無(wú)線網(wǎng)絡(luò)(luo)攻擊防(fang)護(hù):
對(duì)典(dian)型的危險(xiǎn)攻擊(ji)行為進(jìn)(jin)行檢測(cè)����,當(dāng)超過(guò)(guo)設(shè)定的閾(yu)值后自(zi)動(dòng)將攻擊(ji)者加入到(dao)黑名單(dan)中,并凍結(jié)一定(ding)時(shí)間�����,即(ji)時(shí)發(fā)(fa)現(xiàn)網(wǎng)絡(luò)攻擊(ji)并進(jìn)行防御��。
檢測(cè)的(de)攻擊包括:DDOS防(fang)御�����、ARP掃描(miao)、IP掃描��、端口掃(sao)描防(fang)御�����,禁(jin)止客戶端私(si)設(shè)IP以及ARP�����、網(wǎng)關(guān)(guan)欺騙防御(yu)����、DHCP請(qǐng)求泛洪防御(yu)��。
無(wú)線射頻(pin)定時(shí)關(guān)(guan)閉開(kāi)啟(qi):
通過(guò)射頻(pin)關(guān)閉控(kong)制策略(lve)�����,可以指定某(mou)SSID網(wǎng)絡(luò)(luo)�����,定時(shí)自動(dòng)(dong)關(guān)閉和開(kāi)啟無(wú)(wu)線網(wǎng)絡(luò)的(de)射頻信號(hào),晚上(shang)下班(ban)后自動(dòng)關(guān)(guan)閉無(wú)線(xian)射頻(pin)信號(hào)����。
一方面可以(yi)節(jié)能(neng)減排(pai)、節(jié)省電費(fèi)(fei)支出��;另(ling)一方(fang)面又能防(fang)止非法用(yong)戶利(li)用深夜時(shí)間入(ru)侵無(wú)線(xian)網(wǎng)絡(luò)�����,做一(yi)些非法的操作(zuo)��。
有線無(wú)線一(yi)體化(hua)管理:
NAC的有線無(wú)(wu)線一體化����,支持(chi)對(duì)有線(xian)用戶的接(jie)入認(rèn)證、訪(fang)問(wèn)控制����、流(liu)量管(guan)理、上網(wǎng)行為(wei)審計(jì)等����,
并提供統(tǒng)一中(zhong)文Web管理界(jie)面,一站式服(fu)務(wù)��,極大(da)的降(jiang)低網(wǎng)(wang)絡(luò)建設(shè)成本。
網(wǎng)絡(luò)分權(quán)分(fen)級(jí)管理:
分配不同的(de)管理員分(fen)別管(guan)理各(ge)自權(quán)限區(qū)域的(de)無(wú)線AP��,可(ke)以精細(xì)(xi)到對(duì)某(mou)AP分組有管理權(quán)(quan)限��,該管理員(yuan)可以(yi)在該AP分(fen)組上(shang)建立無(wú)線網(wǎng)(wang)絡(luò)�����,能夠激活��、刪(shan)除接入點(diǎn)(dian)�����,能夠(gou)對(duì)AP的配置進(jìn)行(xing)編輯修改(gai)��。
可指定(ding)管理員(yuan)針對(duì)每(mei)個(gè)頁(yè)面的(de)編輯或(huo)可查(cha)看權(quán)限���,控制粒(li)度到(dao)控制(zhi)器上的各個(gè)頁(yè)(ye)面,對(duì)某個(gè)頁(yè)面(mian)沒(méi)有讀權(quán)(quan)限則登錄時(shí)不(bu)顯示�。
移動(dòng)APP隨(sui)時(shí)隨(sui)地運(yùn)維(wei)管理:
支持跨互聯(lián)(lian)網(wǎng)運(yùn)維(wei)管理
登陸APP進(jìn)行維(wei)護(hù)管(guan)理:不(bu)同管理員,不同(tong)權(quán)限
查看網(wǎng)絡(luò)運(yùn)(yun)行情況:在(zai)線用(yong)戶���、在線AP數(shù)(shu)量�、實(shí)(shi)時(shí)流量(liang)
無(wú)線網(wǎng)(wang)絡(luò)管(guan)理維(wei)護(hù):開(kāi)(kai)啟關(guān)閉SSID、終端(duan)綁定審批(pi)����、二維(wei)碼上網(wǎng)(wang)審核
故障(zhang)、審批(pi)實(shí)時(shí)通(tong)知:AP離(li)線警告���、服(fu)務(wù)器(qi)離線警告(gao)����、網(wǎng)絡(luò)攻擊(ji)告警(jing)
方案(an)優(yōu)勢(shì):
1����、最豐富的無(wú)線(xian)安全機(jī)(ji)制,提(ti)供從安(an)全接入(ru)到安全上網(wǎng)(wang)等端到端的安(an)全策略
2����、合理管控(kong)工作人員(yuan)上網(wǎng)(wang)行為,提升(sheng)工作效率(lv)�、防止帶寬浪(lang)費(fèi),有線無(wú)(wu)線雙重管控(kong)
3����、為會(huì)議室(shi),報(bào)告廳等人員(yuan)密集區(qū)(qu)域接入網(wǎng)絡(luò)(luo)提高(gao)保證����,解(jie)決有線網(wǎng)口(kou)不足的問(wèn)題(ti)����;
4����、為企業(yè)(ye)員工的(de)移動(dòng)辦公提供(gong)支撐,內(nèi)(nei)部員工(gong)可通過(guò)(guo)無(wú)線網(wǎng)絡(luò)隨(sui)時(shí)安全(quan)接入內(nèi)(nei)部網(wǎng)絡(luò)���,實(shí)現(xiàn)辦(ban)公���;
5、內(nèi)部員工賬(zhang)號(hào)及個(gè)人信(xin)息綁(bang)定���,便于安(an)全管理����;
6���、內(nèi)部(bu)員工可通過(guò)(guo)自己的辦(ban)公設(shè)(she)備在企業(yè)大樓(lou)內(nèi)快速移動(dòng)(dong)辦公,網(wǎng)(wang)絡(luò)接入更快速(su)���,上網(wǎng)行為管理(li)系統(tǒng)對(duì)員工(gong)上網(wǎng)行為(wei)進(jìn)行審計(jì)與管(guan)控
7�、來(lái)訪(fang)客戶接入企業(yè)(ye)網(wǎng)絡(luò),可根(gen)據(jù)不同需求���,分(fen)配不同的上(shang)網(wǎng)權(quán)限(xian)���,保證了接入(ru)的安全(quan)性同時(shí)提升(sheng)群眾上網(wǎng)的體(ti)驗(yàn)
8、豐富的認(rèn)證機(jī)(ji)制�,滿足組(zu)織對(duì)無(wú)線網(wǎng)絡(luò)(luo)安全、快速接(jie)入
9����、投資成本低(di),通過(guò)部署(shu)無(wú)線控(kong)制器替換原(yuan)有網(wǎng)絡(luò)的(de)出口(kou)路由����、行為管理(li)以及無(wú)線(xian)控制器
