?
大型企業(yè)在無(wu)線網(wǎng)絡(luò)建(jian)設(shè)期間要充(chong)分考慮(lv)訪客(領(lǐng)(ling)導(dǎo)、客戶�����、合(he)作伙伴)接(jie)入網(wǎng)絡(luò)的需求(qiu)���。首先從安全(quan)性考慮(lv)���,訪客(ke)網(wǎng)絡(luò)必須(xu)要和辦公網(wǎng)絡(luò)(luo)分開�,訪客網(wǎng)絡(luò)(luo)單獨(dú)提供(gong)給訪客使用(yong)���。從用戶體驗(yàn)角(jiao)度考慮����,訪(fang)客接入網(wǎng)(wang)絡(luò)的驗(yàn)(yan)證方式一定(ding)要做到簡單易(yi)行,繁(fan)瑣的驗(yàn)證方式(shi)會降低(di)訪客對企(qi)業(yè)的整(zheng)體印象(xiang)��。同時(shí)對于(yu)訪客網(wǎng)絡(luò)(luo)�,企業(yè)還需要(yao)建立完善的(de)網(wǎng)絡(luò)安全(quan)管理機(jī)制,避免(mian)由于訪客的網(wǎng)(wang)絡(luò)不良訪(fang)問給企業(yè)帶(dai)來的法律(lv)風(fēng)險(xiǎn)���。對于(yu)企業(yè)(ye)員工移(yi)動辦公上網(wǎng)��,更(geng)需要做到可(ke)管控���,上網(wǎng)行為(wei)做到可追溯(su),企業(yè)有效的(de)帶寬資源(yuan)得到合(he)理的分(fen)配和保證����,才能(neng)使企業(yè)的業(yè)(ye)務(wù)系統(tǒng)正常(chang)且穩(wěn)定高(gao)效地運(yùn)行,同(tong)時(shí)保證(zheng)企業(yè)信(xin)息安全����,避免機(jī)(ji)密信息泄(xie)露。
存在的問題(用(yong)戶需求)
1�����、接入(ru)不安全:缺(que)乏安全(quan)可靠(kao)的認(rèn)(ren)證機(jī)制�,企業(yè)(ye)無線網(wǎng)絡(luò)接(jie)入不(bu)安全
2��、上網(wǎng)權(quán)限混(hun)亂:缺乏有效(xiao)的控制策略����,員(yuan)工上網(wǎng)權(quán)限不(bu)分明
3�����、數(shù)據(jù)信(xin)息安(an)全:缺(que)乏有效(xiao)的數(shù)據(jù)加密(mi)機(jī)制���,企業(yè)數(shù)(shu)據(jù)被(bei)黑客(ke)竊取篡(cuan)改
4、無線信(xin)號差:AP性能不佳(jia)��,上網(wǎng)總掉線��,點(diǎn)(dian)位規(guī)劃(hua)不合理(li)���,信號盲區(qū)多(duo)
5��、漫游效果(guo)差:不能實(shí)現(xiàn)(xian)二三層漫游(you)��,移動辦公時(shí)����,業(yè)(ye)務(wù)中斷
解決方案(an):
結(jié)合用戶(hu)無線(xian)網(wǎng)絡(luò)需求情(qing)況,結(jié)(jie)合產(chǎn)(chan)品自身技術(shù)特(te)點(diǎn)�����,為了滿足用(yong)戶構(gòu)建(jian)一個高速(su)�、穩(wěn)定(ding)、安全(quan)�、可靠、易于管(guan)理的(de)無線接(jie)入網(wǎng)絡(luò)的需求(qiu)�����,本設(shè)計(jì)方(fang)案按照AP+AC的結(jié)構(gòu)(gou)化無(wu)線網(wǎng)(wang)絡(luò)解決方(fang)案進(jìn)行設(shè)(she)計(jì)��。具體(ti)設(shè)計(jì)為(wei)在總部設(shè)置總(zong)部AC,在大型(xing)分支機(jī)(ji)構(gòu)設(shè)置分(fen)支AC與分支AP���,中型(xing)分支(zhi)機(jī)構(gòu)設(shè)計(jì)二(er)級���,三級交換(huan)機(jī),分支AP��。小微型(xing)分支機(jī)構(gòu)(gou)直接設(shè)(she)置分支AP�����。總部(bu)AC可以(yi)對大型分支機(jī)(ji)構(gòu)的AC進(jìn)行(xing)管理(li)����,當(dāng)網(wǎng)點(diǎn)控制(zhi)器采用(yong)集中管理(li)的模式進(jìn)(jin)入到中心端控(kong)制器(qi)時(shí),會自動(dong)下載中心(xin)端的公共配(pei)置���,比如IP組����、MAC地址(zhi)庫�、時(shí)間計(jì)(ji)劃���、角色(se)授權(quán)�、認(rèn)(ren)證頁面等(deng) ���?���?偛緼C也可以直(zhi)接管理中(zhong)小型分支機(jī)構(gòu)(gou)的分支AP�,實(shí)(shi)現(xiàn)統(tǒng)一(yi)管理(li)。
方案設(shè)(she)計(jì):
安全無線整體(ti)解決方案:
接入前&接入時(shí)(shi)進(jìn)行身份認(rèn)(ren)證�、安全無線網(wǎng)(wang)卡�����、賬號綁定(硬(ying)件碼(ma)+手機(jī)(ji)號)�����,非法熱點(diǎn)(dian)檢測(ce)及防御��、網(wǎng)(wang)絡(luò)攻(gong)擊防(fang)護(hù)��、射頻定(ding)時(shí)關(guān)閉及(ji)安全(quan)加固��。
接入后&上網(wǎng)(wang)時(shí)進(jìn)(jin)行訪問權(quán)限(xian)控制����。
上網(wǎng)后進(jìn)行上(shang)網(wǎng)行為(wei)記錄��。
上網(wǎng)用戶(hu)身份實(shí)名認(rèn)(ren)證:
無線辦公網(wǎng)(wang)采用(yong)802.1X/Portal/WAPI認(rèn)證���,外(wai)置AAA和RADIUS+AD用于存儲(chu)用戶賬號密碼(ma)����。
每個賬號對應(yīng)(ying)一個員工,包括(kuo)姓名(ming)��、部門��、性別以及(ji)身份證����、手機(jī)(ji)號等個人(ren)信息,保(bao)證每個(ge)上網(wǎng)的賬號都(dou)是可尋的(de)��,便于安全(quan)管理�����。
用戶輸(shu)入賬號密(mi)碼上網(wǎng)驗(yàn)證時(shí)(shi)均采用加密傳(chuan)輸����,防止(zhi)黑客空(kong)中攔截���,竊(qie)取賬號(hao)密碼(ma)等數(shù)據(jù)����。
上網(wǎng)賬(zhang)號自動綁定(ding)終端(duan):
自動將賬(zhang)號與終(zhong)端的硬件特征(zheng)碼進(jìn)行綁(bang)定�����,防止(zhi)賬號被(bei)他人使用或(huo)者被盜用。
每臺設(shè)備的(de)硬件特(te)征碼是唯(wei)一的(de)�����,無法通(tong)過軟件修改��。即(ji)使通過軟件(jian)修改了仍然(ran)可以(yi)識別原始的(de)���。
每個賬(zhang)號最多可以(yi)綁定5臺終(zhong)端��,超過1臺時(shí)(shi)需要管理員審(shen)核�����。
上網(wǎng)賬(zhang)號二次(ci)綁定手機(jī)號(hao)碼:
賬號首(shou)次登陸(lu)時(shí)需(xu)要綁定手機(jī)號(hao)并輸入短信驗(yàn)(yan)證碼���,當(dāng)用(yong)戶賬號(hao)在新終(zhong)端登陸時(shí)(shi)(換終端(duan)/被他用/被(bei)盜),不僅(jin)需要輸(shu)入密碼��,還需要(yao)輸入短信驗(yàn)證(zheng)碼�����,解決員工(gong)賬號認(rèn)(ren)證的安全(quan)問題(ti)
綁定手機(jī)(ji)號碼的(de)用戶,可以自助(zhu)重置密(mi)碼和(he)修改密(mi)碼��,無需通過(guo)IT管理員����。
用戶密(mi)碼管理及自(zi)助修改(gai):
無需通過(guo)管理員即(ji)可修改密碼,提(ti)高效率及減輕(qing)管理員工(gong)作壓力�����。
通過口袋助理(li)�、釘釘(ding)、企業(yè)號等(deng)手機(jī)MOA類APP軟件(jian)進(jìn)行無(wu)線密碼修(xiu)改�����。
若賬號綁定(ding)了手機(jī)號(hao)碼��,可(ke)通過手機(jī)(ji)驗(yàn)證(zheng)碼自助(zhu)修改��。
上網(wǎng)終端合(he)法效驗(yàn):
采用安全無線(xian)網(wǎng)卡接(jie)入無線網(wǎng)絡(luò)��,終(zhong)端與AP熱點(diǎn)的雙(shuang)向驗(yàn)證����,提高安(an)全性。
可以將無線(xian)網(wǎng)絡(luò)設(shè)置為只(zhi)有安裝了安全(quan)無線網(wǎng)卡(ka)的終端才(cai)能接入無線網(wǎng)(wang)絡(luò)�����。
支持設(shè)置(zhi)安全無(wu)線網(wǎng)卡只(zhi)能連指定SSID無線(xian)網(wǎng)絡(luò)���,無法連接(jie)非授(shou)權(quán)SSID�。
網(wǎng)卡與(yu)AP數(shù)據(jù)傳(chuan)輸時(shí)自(zi)動進(jìn)行數(shù)(shu)據(jù)加密�,保證(zheng)無線(xian)的空(kong)口安全。
無線熱點(diǎn)(dian)掃描(miao)及非法熱(re)點(diǎn)抑(yi)制:
背景:黑客在(zai)附近搭建一個(ge)一模一(yi)樣或(huo)者類似的WIFI名稱(cheng)�,誘使用戶連(lian)到虛假釣魚WIFI上(shang),黑客利用(yong)分析軟(ruan)件從用戶上(shang)網(wǎng)產(chǎn)生(sheng)的數(shù)據(jù)包中分(fen)析提取(qu)用戶隱私信息(xi)�����。
我們通過(guo)WIPS無線入侵(qin)防御系統(tǒng)實(shí)時(shí)(shi)檢測周(zhou)圍無線(xian)信號��,當(dāng)檢測(ce)出來的(de)信號BSSID��、且AP源MAC地(di)址不(bu)在授權(quán)列表中(zhong)時(shí)��,我們向(xiang)對應(yīng)的AP和終(zhong)端發(fā)(fa)送解除關(guān)聯(lián)(lian)幀��,讓終端(duan)無法(fa)連上釣魚WIFI��。7×24小(xiao)時(shí)不間斷(duan)監(jiān)測網(wǎng)絡(luò)。
上網(wǎng)行(xing)為嚴(yán)格(ge)控制(zhi):
強(qiáng)大的管理:通(tong)過應(yīng)用識別(bie)技術(shù)��,可以(yi)根據(jù)(ju)應(yīng)用(yong)類型或者(zhe)具體某一(yi)種應(yīng)用進(jìn)行封(feng)堵�,包括(kuo)視頻、論(lun)壇��、游戲(xi)�����、金融�、下載等(deng)2400多種網(wǎng)絡(luò)應(yīng)(ying)用。
通過應(yīng)用(yong)識別技(ji)術(shù)�����,可(ke)以根據(jù)應(yīng)(ying)用類(lei)型或者具體(ti)某一種應(yīng)(ying)用進(jìn)行封堵(du)����,比如上班時(shí)(shi)間不允(yun)許炒股,不允(yun)許P2P下(xia)載�����,不允(yun)許外發(fā)(fa)敏感文(wen)件等�; 支(zhi)持主流(liu)移動平臺,可識(shi)別IM�、社交、Mail�、新(xin)聞、炒股等(deng)應(yīng)用(yong)�����。
無線(xian)控制(zhi)器內(nèi)置千(qian)萬級別的URL分類(lei)庫��,能夠(gou)對URL進(jìn)行識(shi)別��,包含(han)新聞�����、購(gou)物���、金(jin)融�����、教育(yu)等18個(ge)種類(lei)的URL地址�����; 準(zhǔn)確識(shi)別目(mu)前主(zhu)流網(wǎng)站�,識別(bie)率高達(dá)99.9%,有效實(shí)(shi)現(xiàn)網(wǎng)頁過濾(lv)��。例如禁止登(deng)陸非法(fa)網(wǎng)站
通過基于時(shí)(shi)間段的訪問(wen)控制策略��,實(shí)(shi)現(xiàn)不同的時(shí)間(jian)段不(bu)同的訪問權(quán)(quan)限����,比如(ru)上班時(shí)間,禁止(zhi)訪問網(wǎng)上銀(yin)行�、游戲、論(lun)壇貼吧(ba)等與工(gong)作無(wu)關(guān)的應(yīng)用�����,下(xia)班時(shí)間則不(bu)受限(xian)制�����。
辦公區(qū)(qu)域內(nèi)��,不(bu)同辦公部(bu)門總會有(you)各自專(zhuan)屬的(de)無線網(wǎng)絡(luò)�,并(bing)且不希望(wang)部門之外(wai)的成(cheng)員使用這(zhe)個網(wǎng)(wang)絡(luò)。無線網(wǎng)絡(luò)控(kong)制器可(ke)以根據(jù)用戶(hu)的屬性,限制(zhi)禁止非本(ben)部門的(de)用戶接入�����。
典型(xing)無線網(wǎng)絡(luò)(luo)攻擊防護(hù):
對典型的(de)危險(xiǎn)攻(gong)擊行為進(jìn)行檢(jian)測���,當(dāng)超(chao)過設(shè)(she)定的閾(yu)值后自動將(jiang)攻擊(ji)者加入到黑(hei)名單(dan)中,并凍結(jié)一定(ding)時(shí)間(jian)��,即時(shí)發(fā)現(xiàn)(xian)網(wǎng)絡(luò)攻擊并(bing)進(jìn)行防御(yu)��。
檢測的攻(gong)擊包括(kuo):DDOS防御(yu)�����、ARP掃描����、IP掃描(miao)、端口(kou)掃描防(fang)御���,禁止客戶端(duan)私設(shè)IP以及ARP�、網(wǎng)關(guān)(guan)欺騙防(fang)御���、DHCP請求泛洪(hong)防御��。
無線射(she)頻定(ding)時(shí)關(guān)閉(bi)開啟(qi):
通過射頻關(guān)閉(bi)控制策略�,可以(yi)指定(ding)某SSID網(wǎng)絡(luò),定(ding)時(shí)自動(dong)關(guān)閉和開啟無(wu)線網(wǎng)絡(luò)的射(she)頻信(xin)號����,晚上(shang)下班后(hou)自動關(guān)閉(bi)無線射頻信(xin)號。
一方面可以節(jié)(jie)能減排���、節(jié)省電(dian)費(fèi)支(zhi)出��;另一方(fang)面又能防止非(fei)法用戶利(li)用深夜時(shí)(shi)間入侵(qin)無線網(wǎng)(wang)絡(luò)�����,做(zuo)一些非(fei)法的操作�����。
有線無線一(yi)體化管(guan)理:
NAC的有線(xian)無線(xian)一體化�,支持(chi)對有線用戶的(de)接入認(rèn)證���、訪(fang)問控(kong)制���、流量管理(li)����、上網(wǎng)行為審計(jì)(ji)等�����,
并提(ti)供統(tǒng)一中文Web管(guan)理界面���,一站式(shi)服務(wù),極(ji)大的降低網(wǎng)(wang)絡(luò)建(jian)設(shè)成本(ben)��。
網(wǎng)絡(luò)分(fen)權(quán)分級(ji)管理:
分配不同(tong)的管(guan)理員(yuan)分別管理(li)各自權(quán)限區(qū)域(yu)的無線AP����,可以(yi)精細(xì)到對某(mou)AP分組有管(guan)理權(quán)限(xian),該管(guan)理員可以在(zai)該AP分組(zu)上建立無線網(wǎng)(wang)絡(luò)����,能(neng)夠激活、刪除(chu)接入點(diǎn)(dian)���,能夠?qū)P的配(pei)置進(jìn)行編輯修(xiu)改��。
可指定管(guan)理員(yuan)針對每(mei)個頁面(mian)的編輯或(huo)可查(cha)看權(quán)限�����,控制(zhi)粒度到控制器(qi)上的各個頁(ye)面�����,對(dui)某個頁面沒有(you)讀權(quán)限則登(deng)錄時(shí)不(bu)顯示(shi)�����。
移動APP隨時(shí)(shi)隨地(di)運(yùn)維管理:
支持(chi)跨互聯(lián)網(wǎng)運(yùn)維(wei)管理
登陸APP進(jìn)行(xing)維護(hù)管理(li):不同管(guan)理員����,不同權(quán)限(xian)
查看網(wǎng)絡(luò)(luo)運(yùn)行情況:在(zai)線用戶、在線(xian)AP數(shù)量�����、實(shí)時(shí)流(liu)量
無線網(wǎng)絡(luò)管理(li)維護(hù)(hu):開啟關(guān)閉SSID�、終端(duan)綁定審批、二(er)維碼上網(wǎng)審(shen)核
故障����、審批(pi)實(shí)時(shí)通(tong)知:AP離(li)線警告(gao)��、服務(wù)器離(li)線警(jing)告�����、網(wǎng)絡(luò)攻擊告(gao)警
方案優(yōu)勢(shi):
1�����、最豐富的無(wu)線安全機(jī)(ji)制����,提供(gong)從安全接入到(dao)安全上網(wǎng)(wang)等端(duan)到端(duan)的安全策略
2�、合理管控工作(zuo)人員上(shang)網(wǎng)行為���,提(ti)升工(gong)作效率�����、防(fang)止帶寬浪費(fèi)����,有(you)線無線雙重(zhong)管控
3����、為會議室��,報(bào)(bao)告廳等人(ren)員密(mi)集區(qū)域接入(ru)網(wǎng)絡(luò)提高保(bao)證�����,解決有線(xian)網(wǎng)口不足(zu)的問題�����;
4����、為企業(yè)員工(gong)的移(yi)動辦公提供(gong)支撐����,內(nèi)(nei)部員工可通過(guo)無線網(wǎng)(wang)絡(luò)隨時(shí)(shi)安全接(jie)入內(nèi)(nei)部網(wǎng)(wang)絡(luò),實(shí)現(xiàn)辦公(gong)����;
5、內(nèi)部員(yuan)工賬號及(ji)個人信息綁定(ding)�����,便于安全管(guan)理;
6�、內(nèi)部員工(gong)可通過(guo)自己的(de)辦公(gong)設(shè)備(bei)在企業(yè)大樓內(nèi)(nei)快速移(yi)動辦公,網(wǎng)(wang)絡(luò)接入更快速(su)��,上網(wǎng)行(xing)為管(guan)理系統(tǒng)(tong)對員工上網(wǎng)行(xing)為進(jìn)行審計(jì)(ji)與管控
7����、來訪客(ke)戶接入企(qi)業(yè)網(wǎng)(wang)絡(luò),可根據(jù)(ju)不同需求�����,分(fen)配不同的(de)上網(wǎng)權(quán)限�����,保(bao)證了(le)接入的安(an)全性同時(shí)提(ti)升群眾上網(wǎng)(wang)的體驗(yàn)(yan)
8�����、豐富的認(rèn)證機(jī)(ji)制�,滿足組(zu)織對(dui)無線網(wǎng)絡(luò)安(an)全�����、快速接(jie)入
9、投資(zi)成本低�,通過(guo)部署無線(xian)控制器替(ti)換原有網(wǎng)(wang)絡(luò)的出口(kou)路由、行(xing)為管理以(yi)及無線控(kong)制器
