?
大型企(qi)業(yè)在無(wú)(wu)線網(wǎng)絡(luò)(luo)建設(shè)期間要(yao)充分考慮(lv)訪客(領(lǐng)(ling)導(dǎo)����、客戶、合作(zuo)伙伴)接入網(wǎng)絡(luò)(luo)的需求��。首先(xian)從安(an)全性(xing)考慮���,訪客(ke)網(wǎng)絡(luò)必須要(yao)和辦公網(wǎng)(wang)絡(luò)分開(kai)���,訪客網(wǎng)絡(luò)單(dan)獨(dú)提供(gong)給訪客使(shi)用�。從用(yong)戶體驗(yàn)角度考(kao)慮���,訪(fang)客接入網(wǎng)(wang)絡(luò)的驗(yàn)證方(fang)式一定要(yao)做到簡(jiǎn)(jian)單易行�����,繁瑣的(de)驗(yàn)證方式會(huì)降(jiang)低訪客(ke)對(duì)企業(yè)的(de)整體印(yin)象�����。同時(shí)(shi)對(duì)于(yu)訪客網(wǎng)(wang)絡(luò)���,企業(yè)(ye)還需要建(jian)立完善的網(wǎng)(wang)絡(luò)安全(quan)管理機(jī)制,避免(mian)由于訪客(ke)的網(wǎng)絡(luò)(luo)不良訪問給企(qi)業(yè)帶來(lái)的法(fa)律風(fēng)(feng)險(xiǎn)�。對(duì)于企業(yè)員(yuan)工移動(dòng)辦公(gong)上網(wǎng),更需要做(zuo)到可管控(kong)���,上網(wǎng)行為做(zuo)到可追溯(su)�����,企業(yè)有效(xiao)的帶寬資(zi)源得到合(he)理的分配和保(bao)證���,才能使企(qi)業(yè)的業(yè)務(wù)系統(tǒng)(tong)正常且穩(wěn)定高(gao)效地運(yùn)行���,同(tong)時(shí)保證企(qi)業(yè)信息安(an)全,避免機(jī)密(mi)信息泄露����。
存在的問(wen)題(用戶需(xu)求)
1、接入不安全(quan):缺乏安全(quan)可靠的認(rèn)證機(jī)(ji)制����,企業(yè)(ye)無(wú)線網(wǎng)絡(luò)(luo)接入不安全
2、上網(wǎng)權(quán)(quan)限混亂:缺乏(fa)有效(xiao)的控制(zhi)策略����,員(yuan)工上網(wǎng)(wang)權(quán)限不分明
3�����、數(shù)據(jù)信息(xi)安全:缺乏有效(xiao)的數(shù)據(jù)(ju)加密機(jī)(ji)制��,企業(yè)數(shù)據(jù)(ju)被黑客(ke)竊取篡改(gai)
4����、無(wú)線信號(hào)差:AP性(xing)能不(bu)佳�����,上(shang)網(wǎng)總掉線(xian)�,點(diǎn)位規(guī)劃(hua)不合理�,信(xin)號(hào)盲區(qū)(qu)多
5、漫游效(xiao)果差(cha):不能實(shí)現(xiàn)二(er)三層漫游�����,移(yi)動(dòng)辦(ban)公時(shí)���,業(yè)務(wù)(wu)中斷
解決(jue)方案(an):
結(jié)合用戶無(wú)線(xian)網(wǎng)絡(luò)需求情況(kuang)�����,結(jié)合產(chǎn)品自(zi)身技術(shù)(shu)特點(diǎn)���,為了(le)滿足用戶(hu)構(gòu)建一個(gè)高(gao)速、穩(wěn)定�、安(an)全、可靠、易于(yu)管理的無(wú)線接(jie)入網(wǎng)(wang)絡(luò)的需求�����,本(ben)設(shè)計(jì)方(fang)案按照(zhao)AP+AC的結(jié)構(gòu)化無(wú)線(xian)網(wǎng)絡(luò)解決(jue)方案進(jìn)(jin)行設(shè)(she)計(jì)�����。具(ju)體設(shè)計(jì)為(wei)在總(zong)部設(shè)置(zhi)總部AC,在大型(xing)分支機(jī)構(gòu)設(shè)置(zhi)分支(zhi)AC與分支AP��,中(zhong)型分支機(jī)構(gòu)(gou)設(shè)計(jì)二級(jí)����,三級(jí)(ji)交換(huan)機(jī),分支AP�。小微(wei)型分支機(jī)構(gòu)直(zhi)接設(shè)置分支AP?���??zong)部AC可以對(duì)大型(xing)分支機(jī)(ji)構(gòu)的AC進(jìn)行(xing)管理,當(dāng)(dang)網(wǎng)點(diǎn)控(kong)制器采(cai)用集中管(guan)理的模式進(jìn)入(ru)到中心端控制(zhi)器時(shí)��,會(huì)自動(dòng)(dong)下載中(zhong)心端(duan)的公共配置(zhi)�����,比如IP組�、MAC地址庫(kù)(ku)、時(shí)間計(jì)劃����、角(jiao)色授權(quán)、認(rèn)證頁(yè)(ye)面等 ��??偛?bu)AC也可以直接(jie)管理中小(xiao)型分(fen)支機(jī)構(gòu)的(de)分支AP,實(shí)現(xiàn)統(tǒng)一(yi)管理(li)���。
方案設(shè)計(jì)(ji):
安全(quan)無(wú)線整體解(jie)決方(fang)案:
接入前(qian)&接入時(shí)(shi)進(jìn)行身份認(rèn)(ren)證��、安全無(wú)線(xian)網(wǎng)卡����、賬(zhang)號(hào)綁定(硬件(jian)碼+手(shou)機(jī)號(hào))��,非法熱點(diǎn)(dian)檢測(cè)及(ji)防御��、網(wǎng)(wang)絡(luò)攻擊防護(hù)���、射(she)頻定時(shí)關(guān)閉(bi)及安全加(jia)固���。
接入后&上網(wǎng)時(shí)(shi)進(jìn)行訪問(wen)權(quán)限(xian)控制��。
上網(wǎng)后進(jìn)行(xing)上網(wǎng)行為(wei)記錄�����。
上網(wǎng)用戶身(shen)份實(shí)名認(rèn)(ren)證:
無(wú)線辦公網(wǎng)采(cai)用802.1X/Portal/WAPI認(rèn)證�,外置AAA和(he)RADIUS+AD用于存儲(chǔ)(chu)用戶賬號(hào)密碼(ma)��。
每個(gè)賬號(hào)對(duì)應(yīng)(ying)一個(gè)員(yuan)工�����,包括姓(xing)名����、部門、性(xing)別以及身(shen)份證�����、手機(jī)號(hào)等(deng)個(gè)人信息(xi)��,保證每個(gè)上(shang)網(wǎng)的賬號(hào)都(dou)是可(ke)尋的���,便于安全(quan)管理�。
用戶輸入賬號(hào)(hao)密碼上網(wǎng)(wang)驗(yàn)證時(shí)(shi)均采用(yong)加密傳(chuan)輸�����,防止黑(hei)客空(kong)中攔截��,竊取(qu)賬號(hào)密碼等(deng)數(shù)據(jù)(ju)���。
上網(wǎng)賬號(hào)自動(dòng)(dong)綁定終(zhong)端:
自動(dòng)將(jiang)賬號(hào)與終端(duan)的硬件特(te)征碼進(jìn)(jin)行綁(bang)定���,防止賬號(hào)被(bei)他人使用或(huo)者被盜用。
每臺(tái)設(shè)備(bei)的硬件特征(zheng)碼是唯一(yi)的��,無(wú)法通(tong)過軟件(jian)修改�����。即使(shi)通過軟件修(xiu)改了仍然可以(yi)識(shí)別原始的���。
每個(gè)(ge)賬號(hào)最多可(ke)以綁定5臺(tái)終端(duan)���,超過1臺(tái)(tai)時(shí)需要管理員(yuan)審核���。
上網(wǎng)(wang)賬號(hào)(hao)二次綁定手(shou)機(jī)號(hào)碼:
賬號(hào)首次登(deng)陸時(shí)(shi)需要(yao)綁定手機(jī)(ji)號(hào)并輸入短(duan)信驗(yàn)證碼,當(dāng)用(yong)戶賬(zhang)號(hào)在新終(zhong)端登陸時(shí)(shi)(換終端/被他用(yong)/被盜(dao))��,不僅需要輸入(ru)密碼���,還需要(yao)輸入短信(xin)驗(yàn)證碼(ma)����,解決員(yuan)工賬號(hào)認(rèn)證(zheng)的安全問(wen)題
綁定手機(jī)號(hào)(hao)碼的用戶�����,可(ke)以自助(zhu)重置密碼和修(xiu)改密(mi)碼�����,無(wú)需通(tong)過IT管理員����。
用戶密碼(ma)管理及(ji)自助(zhu)修改:
無(wú)需通過管(guan)理員即可修(xiu)改密碼(ma),提高效(xiao)率及減輕(qing)管理員工作壓(ya)力���。
通過口(kou)袋助理�����、釘(ding)釘�����、企業(yè)(ye)號(hào)等手機(jī)MOA類(lei)APP軟件(jian)進(jìn)行無(wú)線密碼(ma)修改(gai)�����。
若賬號(hào)綁(bang)定了手機(jī)(ji)號(hào)碼���,可通過(guo)手機(jī)(ji)驗(yàn)證碼自助修(xiu)改。
上網(wǎng)終(zhong)端合法(fa)效驗(yàn):
采用(yong)安全無(wú)線網(wǎng)卡(ka)接入無(wú)(wu)線網(wǎng)絡(luò)(luo)��,終端與AP熱點(diǎn)(dian)的雙向驗(yàn)證�,提(ti)高安全性。
可以將無(wú)線網(wǎng)(wang)絡(luò)設(shè)置為(wei)只有安裝(zhuang)了安全無(wú)線(xian)網(wǎng)卡的終(zhong)端才能(neng)接入無(wú)線網(wǎng)絡(luò)(luo)�。
支持設(shè)(she)置安(an)全無(wú)線(xian)網(wǎng)卡只能(neng)連指定SSID無(wú)(wu)線網(wǎng)絡(luò),無(wú)(wu)法連接非授權(quán)(quan)SSID���。
網(wǎng)卡與AP數(shù)據(jù)(ju)傳輸時(shí)自動(dòng)進(jìn)(jin)行數(shù)據(jù)(ju)加密����,保證無(wú)線(xian)的空口安全。
無(wú)線(xian)熱點(diǎn)掃描及(ji)非法(fa)熱點(diǎn)抑(yi)制:
背景:黑客(ke)在附近搭(da)建一個(gè)(ge)一模一樣或者(zhe)類似的(de)WIFI名稱���,誘使用戶(hu)連到虛(xu)假釣魚(yu)WIFI上�,黑客利用分(fen)析軟件(jian)從用戶上網(wǎng)產(chǎn)(chan)生的數(shù)(shu)據(jù)包中分析(xi)提取用(yong)戶隱私信息(xi)����。
我們通過WIPS無(wú)(wu)線入(ru)侵防御(yu)系統(tǒng)實(shí)時(shí)(shi)檢測(cè)周圍無(wú)線(xian)信號(hào),當(dāng)(dang)檢測(cè)出來(lái)的(de)信號(hào)BSSID��、且AP源MAC地(di)址不在授權(quán)(quan)列表中時(shí)����,我們(men)向?qū)?yīng)的(de)AP和終端發(fā)送(song)解除關(guān)聯(lián)幀,讓(rang)終端無(wú)法連上(shang)釣魚WIFI����。7×24小時(shí)(shi)不間斷監(jiān)(jian)測(cè)網(wǎng)絡(luò)。
上網(wǎng)行為嚴(yán)格(ge)控制:
強(qiáng)大的管理(li):通過(guo)應(yīng)用(yong)識(shí)別技(ji)術(shù)�,可以根據(jù)(ju)應(yīng)用類型(xing)或者(zhe)具體某一(yi)種應(yīng)用進(jìn)行(xing)封堵,包括視(shi)頻���、論壇�����、游戲���、金(jin)融���、下載等2400多種(zhong)網(wǎng)絡(luò)應(yīng)用。
通過應(yīng)用識(shí)別(bie)技術(shù)����,可以根(gen)據(jù)應(yīng)(ying)用類型或者具(ju)體某(mou)一種應(yīng)用進(jìn)(jin)行封堵���,比如(ru)上班時(shí)(shi)間不允許炒股(gu)���,不允(yun)許P2P下載(zai),不允許外發(fā)(fa)敏感文(wen)件等�����; 支(zhi)持主流移動(dòng)(dong)平臺(tái)�����,可識(shí)別(bie)IM����、社交�����、Mail�、新聞����、炒(chao)股等(deng)應(yīng)用(yong)。
無(wú)線控(kong)制器內(nèi)(nei)置千萬(wàn)級(jí)別的(de)URL分類庫(kù)���,能夠?qū)?dui)URL進(jìn)行(xing)識(shí)別��,包含新聞(wen)����、購(gòu)物�、金融、教(jiao)育等18個(gè)種類(lei)的URL地址�����; 準(zhǔn)確識(shí)(shi)別目(mu)前主流網(wǎng)站,識(shí)(shi)別率(lv)高達(dá)(da)99.9%���,有效(xiao)實(shí)現(xiàn)(xian)網(wǎng)頁(yè)過濾���。例如(ru)禁止登陸非法(fa)網(wǎng)站
通過基于(yu)時(shí)間段(duan)的訪問控(kong)制策略,實(shí)現(xiàn)不(bu)同的(de)時(shí)間段不同的(de)訪問權(quán)限����,比如(ru)上班時(shí)間,禁止(zhi)訪問(wen)網(wǎng)上銀行����、游戲(xi)���、論壇貼(tie)吧等與工作(zuo)無(wú)關(guān)(guan)的應(yīng)用���,下班時(shí)(shi)間則不受(shou)限制。
辦公(gong)區(qū)域內(nèi)�����,不同(tong)辦公部門總(zong)會(huì)有(you)各自專屬(shu)的無(wú)線網(wǎng)絡(luò)(luo)�,并且不希望(wang)部門(men)之外(wai)的成(cheng)員使用這個(gè)網(wǎng)(wang)絡(luò)。無(wú)(wu)線網(wǎng)絡(luò)控制器(qi)可以根據(jù)用(yong)戶的(de)屬性,限(xian)制禁止非本(ben)部門(men)的用(yong)戶接入(ru)��。
典型無(wú)線網(wǎng)絡(luò)(luo)攻擊防(fang)護(hù):
對(duì)典(dian)型的(de)危險(xiǎn)攻擊行為(wei)進(jìn)行檢測(cè)���,當(dāng)超(chao)過設(shè)定(ding)的閾值后(hou)自動(dòng)將攻擊(ji)者加(jia)入到(dao)黑名單中����,并凍(dong)結(jié)一定時(shí)(shi)間����,即時(shí)發(fā)現(xiàn)(xian)網(wǎng)絡(luò)攻擊(ji)并進(jìn)(jin)行防(fang)御。
檢測(cè)的攻擊包(bao)括:DDOS防御��、ARP掃描(miao)��、IP掃描(miao)�����、端口掃描防(fang)御���,禁止(zhi)客戶端私(si)設(shè)IP以及ARP�����、網(wǎng)關(guān)(guan)欺騙防御�����、DHCP請(qǐng)(qing)求泛洪(hong)防御�����。
無(wú)線(xian)射頻(pin)定時(shí)關(guān)閉開啟(qi):
通過射頻關(guān)(guan)閉控制策略���,可(ke)以指定某SSID網(wǎng)(wang)絡(luò)���,定時(shí)(shi)自動(dòng)關(guān)閉和(he)開啟無(wú)線網(wǎng)(wang)絡(luò)的射(she)頻信號(hào)(hao),晚上下班后自(zi)動(dòng)關(guān)閉無(wú)線(xian)射頻信號(hào)(hao)���。
一方面可以節(jié)(jie)能減排(pai)、節(jié)省電費(fèi)支(zhi)出�����;另一(yi)方面又能防(fang)止非法用戶利(li)用深夜時(shí)間入(ru)侵無(wú)線網(wǎng)絡(luò)���,做(zuo)一些非(fei)法的操作�。
有線無(wú)線(xian)一體化管(guan)理:
NAC的有線無(wú)線(xian)一體(ti)化,支持對(duì)有線(xian)用戶的(de)接入認(rèn)證����、訪(fang)問控制、流量管(guan)理�����、上網(wǎng)行為(wei)審計(jì)等�,
并提(ti)供統(tǒng)一中(zhong)文Web管理界(jie)面,一站(zhan)式服務(wù)(wu)���,極大的(de)降低網(wǎng)絡(luò)建(jian)設(shè)成(cheng)本���。
網(wǎng)絡(luò)分權(quán)分級(jí)(ji)管理:
分配不同(tong)的管理員分別(bie)管理各自(zi)權(quán)限區(qū)域(yu)的無(wú)線AP,可以精(jing)細(xì)到對(duì)某AP分組(zu)有管(guan)理權(quán)限��,該管(guan)理員可以(yi)在該(gai)AP分組上建立無(wú)(wu)線網(wǎng)絡(luò)(luo)�,能夠激(ji)活、刪除接(jie)入點(diǎn)�����,能夠(gou)對(duì)AP的(de)配置進(jìn)行編(bian)輯修改����。
可指(zhi)定管理員針(zhen)對(duì)每個(gè)頁(yè)面(mian)的編輯或可(ke)查看權(quán)限�,控(kong)制粒度(du)到控制器上的(de)各個(gè)頁(yè)面���,對(duì)(dui)某個(gè)頁(yè)面沒(mei)有讀權(quán)限則登(deng)錄時(shí)(shi)不顯示�����。
移動(dòng)APP隨時(shí)隨地(di)運(yùn)維管(guan)理:
支持跨互(hu)聯(lián)網(wǎng)運(yùn)維管理(li)
登陸APP進(jìn)行(xing)維護(hù)(hu)管理:不同(tong)管理員�����,不同(tong)權(quán)限
查看(kan)網(wǎng)絡(luò)運(yùn)行情(qing)況:在線用戶(hu)�����、在線AP數(shù)量�、實(shí)時(shí)(shi)流量
無(wú)線網(wǎng)(wang)絡(luò)管(guan)理維(wei)護(hù):開啟關(guān)閉SSID�、終(zhong)端綁定審批、二(er)維碼上網(wǎng)審(shen)核
故障�、審批(pi)實(shí)時(shí)通知(zhi):AP離線警告���、服(fu)務(wù)器(qi)離線警(jing)告�、網(wǎng)絡(luò)攻擊告(gao)警
方案優(yōu)(you)勢(shì):
1、最豐富的無(wú)(wu)線安全機(jī)(ji)制��,提供從安全(quan)接入到(dao)安全(quan)上網(wǎng)等端到端(duan)的安(an)全策略
2��、合理管控(kong)工作人(ren)員上網(wǎng)(wang)行為(wei)�����,提升工作(zuo)效率��、防(fang)止帶(dai)寬浪費(fèi)���,有線(xian)無(wú)線雙(shuang)重管控
3����、為會(huì)議(yi)室����,報(bào)告(gao)廳等人員(yuan)密集區(qū)(qu)域接(jie)入網(wǎng)(wang)絡(luò)提(ti)高保證(zheng),解決有(you)線網(wǎng)口不足(zu)的問(wen)題����;
4、為企業(yè)員工的(de)移動(dòng)辦公(gong)提供支(zhi)撐�,內(nèi)部(bu)員工(gong)可通(tong)過無(wú)線網(wǎng)絡(luò)隨(sui)時(shí)安全(quan)接入內(nèi)部網(wǎng)(wang)絡(luò)����,實(shí)(shi)現(xiàn)辦(ban)公���;
5���、內(nèi)部員(yuan)工賬號(hào)及(ji)個(gè)人信(xin)息綁定,便于(yu)安全管理�����;
6���、內(nèi)部(bu)員工可通過自(zi)己的辦公設(shè)(she)備在企業(yè)(ye)大樓內(nèi)快(kuai)速移動(dòng)(dong)辦公���,網(wǎng)絡(luò)接入(ru)更快速,上(shang)網(wǎng)行(xing)為管理系(xi)統(tǒng)對(duì)(dui)員工上(shang)網(wǎng)行為進(jìn)行(xing)審計(jì)與管控
7����、來(lái)訪客戶(hu)接入企(qi)業(yè)網(wǎng)絡(luò),可根據(jù)(ju)不同(tong)需求��,分(fen)配不(bu)同的上網(wǎng)權(quán)限(xian)�����,保證了接入(ru)的安(an)全性同(tong)時(shí)提(ti)升群(qun)眾上網(wǎng)的(de)體驗(yàn)
8�����、豐富的認(rèn)(ren)證機(jī)制(zhi)�,滿足組織對(duì)無(wú)(wu)線網(wǎng)絡(luò)安(an)全、快速(su)接入
9����、投資(zi)成本低,通過部(bu)署無(wú)線控(kong)制器替換(huan)原有網(wǎng)絡(luò)的(de)出口路由(you)���、行為管理以及(ji)無(wú)線控制(zhi)器
