大型企業(yè)(ye)在無線(xian)網(wǎng)絡(luò)(luo)建設(shè)期間要充(chong)分考慮訪(fang)客（領(lǐng)導(dǎo)、客戶(hu)、合作伙(huo)伴）接入網(wǎng)絡(luò)(luo)的需求。首先(xian)從安全性考(kao)慮，訪客(ke)網(wǎng)絡(luò)(luo)必須要(yao)和辦公網(wǎng)絡(luò)分(fen)開，訪客網(wǎng)(wang)絡(luò)單獨(du)提供給訪(fang)客使用(yong)。從用戶體驗角(jiao)度考慮(lv)，訪客(ke)接入網(wǎng)絡(luò)的驗(yan)證方式一(yi)定要做(zuo)到簡(jian)單易行，繁瑣的(de)驗證方(fang)式會(hui)降低訪客(ke)對企(qi)業(yè)的整體(ti)印象。同(tong)時對于訪客(ke)網(wǎng)絡(luò)，企業(yè)還(hai)需要建立(li)完善的網(wǎng)絡(luò)安(an)全管理機(jī)制，避(bi)免由于訪客(ke)的網(wǎng)絡(luò)不良訪(fang)問給(gei)企業(yè)(ye)帶來的法律風(fēng)(feng)險。對于企業(yè)(ye)員工移動(dong)辦公上網(wǎng)，更(geng)需要做到可管(guan)控，上(shang)網(wǎng)行(xing)為做到可追溯(su)，企業(yè)有效的帶(dai)寬資源得到(dao)合理的分(fen)配和保(bao)證，才能(neng)使企業(yè)的業(yè)(ye)務(wù)系統(tǒng)正(zheng)常且穩(wěn)(wen)定高效(xiao)地運(yun)行，同時保證(zheng)企業(yè)信(xin)息安(an)全，避(bi)免機(jī)(ji)密信息泄露(lu)。

存在的(de)問題（用戶需(xu)求）

1、接入不安(an)全：缺乏安全(quan)可靠的認(rèn)(ren)證機(jī)(ji)制，企(qi)業(yè)無線網(wǎng)絡(luò)(luo)接入不(bu)安全

2、上網(wǎng)權(quán)限(xian)混亂：缺乏(fa)有效(xiao)的控制策略，員(yuan)工上(shang)網(wǎng)權(quán)限不(bu)分明

3、數(shù)據(jù)信息安全(quan)：缺乏有(you)效的數(shù)據(jù)(ju)加密機(jī)制，企(qi)業(yè)數(shù)據(jù)被(bei)黑客竊(qie)取篡改(gai)

4、無線信號差(cha)：AP性能不(bu)佳，上網(wǎng)總掉線(xian)，點位(wei)規(guī)劃(hua)不合理(li)，信號盲(mang)區(qū)多

5、漫游(you)效果差：不能實(shi)現(xiàn)二(er)三層(ceng)漫游，移(yi)動辦公時，業(yè)務(wù)(wu)中斷(duan)

解決(jue)方案：

結(jié)合用(yong)戶無線(xian)網(wǎng)絡(luò)需(xu)求情況(kuang)，結(jié)合產(chǎn)品自身(shen)技術(shù)特點(dian)，為了(le)滿足用戶(hu)構(gòu)建(jian)一個(ge)高速、穩(wěn)定、安(an)全、可(ke)靠、易于(yu)管理的無(wu)線接入網(wǎng)(wang)絡(luò)的需求，本(ben)設(shè)計方案按照(zhao)AP+AC的結(jié)(jie)構(gòu)化無線(xian)網(wǎng)絡(luò)解決(jue)方案進(jìn)行設(shè)(she)計。具體設(shè)計為(wei)在總部設(shè)置(zhi)總部AC,在大(da)型分(fen)支機(jī)構(gòu)設(shè)置(zhi)分支AC與分(fen)支AP，中型分支(zhi)機(jī)構(gòu)設(shè)計(ji)二級，三(san)級交換機(jī)(ji)，分支AP。小微(wei)型分支機(jī)構(gòu)直(zhi)接設(shè)置(zhi)分支(zhi)AP。總部(bu)AC可以對(dui)大型(xing)分支機(jī)(ji)構(gòu)的(de)AC進(jìn)行管理，當(dāng)(dang)網(wǎng)點(dian)控制器采(cai)用集中管(guan)理的模式進(jìn)(jin)入到中心端控(kong)制器(qi)時，會自動(dong)下載中心端(duan)的公共配(pei)置，比如IP組、MAC地(di)址庫、時間計劃(hua)、角色(se)授權(quán)(quan)、認(rèn)證頁面等(deng) ?？偛緼C也可以(yi)直接(jie)管理中小型(xing)分支(zhi)機(jī)構(gòu)的分支(zhi)AP，實現(xiàn)統(tǒng)一管理(li)。

方案設(shè)計：

安全無(wu)線整體解決(jue)方案：

接入前&接入時(shi)進(jìn)行身份認(rèn)(ren)證、安全無線網(wǎng)(wang)卡、賬號綁(bang)定（硬件碼(ma)+手機(jī)號），非法(fa)熱點檢測(ce)及防御、網(wǎng)絡(luò)(luo)攻擊防(fang)護(hù)、射頻定(ding)時關(guān)閉(bi)及安全加固。

接入后(hou)&上網(wǎng)時進(jìn)行(xing)訪問權(quán)限控(kong)制。

上網(wǎng)后進(jìn)(jin)行上(shang)網(wǎng)行為記(ji)錄。

上網(wǎng)用戶(hu)身份(fen)實名認(rèn)證：

無線辦公(gong)網(wǎng)采用(yong)802.1X/Portal/WAPI認(rèn)證，外(wai)置AAA和RADIUS+AD用于(yu)存儲用(yong)戶賬號密碼。

每個賬號對(dui)應(yīng)一個員(yuan)工，包括姓(xing)名、部門、性別以(yi)及身份證、手(shou)機(jī)號等(deng)個人信(xin)息，保證每個(ge)上網(wǎng)的賬(zhang)號都是可尋的(de)，便于安全管(guan)理。

用戶(hu)輸入賬號密(mi)碼上網(wǎng)驗證時(shi)均采用加密(mi)傳輸，防止黑客(ke)空中(zhong)攔截，竊(qie)取賬號密碼(ma)等數(shù)據(jù)。

上網(wǎng)賬號自動(dong)綁定終(zhong)端：

自動將(jiang)賬號(hao)與終端的硬件(jian)特征碼進(jìn)行綁(bang)定，防(fang)止賬號被他(ta)人使用或者(zhe)被盜用。

每臺設(shè)(she)備的(de)硬件特(te)征碼是唯(wei)一的，無法(fa)通過軟件修(xiu)改。即使通(tong)過軟件修改了(le)仍然可以識(shi)別原始的。

每個(ge)賬號最多可以(yi)綁定(ding)5臺終(zhong)端，超(chao)過1臺時需要(yao)管理(li)員審核。

上網(wǎng)賬(zhang)號二次綁定手(shou)機(jī)號碼(ma)：

賬號(hao)首次登陸(lu)時需(xu)要綁定手機(jī)(ji)號并(bing)輸入短(duan)信驗證(zheng)碼，當(dāng)用戶(hu)賬號在(zai)新終端登陸(lu)時（換(huan)終端(duan)/被他用/被盜），不(bu)僅需要輸入(ru)密碼，還需要(yao)輸入短信(xin)驗證碼，解(jie)決員工賬(zhang)號認(rèn)證(zheng)的安全(quan)問題

綁定手機(jī)號(hao)碼的用戶(hu)，可以自(zi)助重(zhong)置密碼和修(xiu)改密(mi)碼，無需通過(guo)IT管理員。

用戶密碼管理(li)及自助修改：

無需通過管(guan)理員(yuan)即可修改密(mi)碼，提高效(xiao)率及減輕管理(li)員工(gong)作壓(ya)力。

通過口(kou)袋助理(li)、釘釘(ding)、企業(yè)號等手機(jī)(ji)MOA類APP軟件(jian)進(jìn)行無線(xian)密碼修改。

若賬號綁(bang)定了手(shou)機(jī)號碼，可通(tong)過手機(jī)驗證(zheng)碼自助修改。

上網(wǎng)終端(duan)合法(fa)效驗：

采用安全無(wu)線網(wǎng)(wang)卡接入無線(xian)網(wǎng)絡(luò)(luo)，終端與AP熱點的(de)雙向驗證，提高(gao)安全性(xing)。

可以(yi)將無線(xian)網(wǎng)絡(luò)設(shè)置為只(zhi)有安裝了安(an)全無線網(wǎng)卡的(de)終端才(cai)能接入無線(xian)網(wǎng)絡(luò)。

支持設(shè)置(zhi)安全無線(xian)網(wǎng)卡只能連(lian)指定SSID無線網(wǎng)絡(luò)(luo)，無法(fa)連接非(fei)授權(quán)SSID。

網(wǎng)卡與(yu)AP數(shù)據(jù)傳(chuan)輸時自動進(jìn)(jin)行數(shù)據(jù)加密(mi)，保證無線(xian)的空口安全(quan)。

無線熱點(dian)掃描(miao)及非法(fa)熱點抑制：

背景：黑客在(zai)附近(jin)搭建(jian)一個一模(mo)一樣或(huo)者類似的WIFI名稱(cheng)，誘使(shi)用戶連到虛假(jia)釣魚WIFI上，黑客利(li)用分析(xi)軟件從用戶(hu)上網(wǎng)(wang)產(chǎn)生的(de)數(shù)據(jù)包中分析(xi)提取用戶隱私(si)信息。

我們通過WIPS無(wu)線入侵防御(yu)系統(tǒng)實時檢測(ce)周圍(wei)無線信號，當(dāng)(dang)檢測出(chu)來的(de)信號BSSID、且(qie)AP源MAC地址不在(zai)授權(quán)列表(biao)中時(shi)，我們向?qū)?dui)應(yīng)的AP和終端(duan)發(fā)送(song)解除關(guān)聯(lián)幀(zhen)，讓終端無法(fa)連上釣魚WIFI。7×24小時(shi)不間斷監(jiān)測網(wǎng)(wang)絡(luò)。

上網(wǎng)行為嚴(yán)格(ge)控制：

強(qiáng)大的管理(li)：通過應(yīng)用(yong)識別技術(shù)，可(ke)以根據(jù)應(yīng)用(yong)類型或者具體(ti)某一種應(yīng)用進(jìn)(jin)行封(feng)堵，包括視(shi)頻、論壇(tan)、游戲、金(jin)融、下載等2400多(duo)種網(wǎng)絡(luò)應(yīng)(ying)用。

通過應(yīng)用識別(bie)技術(shù)(shu)，可以(yi)根據(jù)(ju)應(yīng)用類型或(huo)者具體某一(yi)種應(yīng)(ying)用進(jìn)行封(feng)堵，比(bi)如上班時(shi)間不允許炒(chao)股，不(bu)允許P2P下載(zai)，不允許外(wai)發(fā)敏感文件等(deng)； 支持主流移動(dong)平臺，可識別(bie)IM、社交、Mail、新聞(wen)、炒股等應(yīng)用。

無線(xian)控制(zhi)器內(nèi)(nei)置千萬(wan)級別(bie)的URL分(fen)類庫，能夠(gou)對URL進(jìn)行識別，包(bao)含新聞、購物、金(jin)融、教育(yu)等18個種類(lei)的URL地址； 準(zhǔn)確識(shi)別目(mu)前主流(liu)網(wǎng)站(zhan)，識別率高達(dá)(da)99.9%，有效(xiao)實現(xiàn)網(wǎng)頁(ye)過濾。例如禁(jin)止登陸(lu)非法(fa)網(wǎng)站(zhan)

通過基于(yu)時間段(duan)的訪問(wen)控制(zhi)策略，實現(xiàn)不同(tong)的時間段不(bu)同的訪問權(quán)限(xian)，比如(ru)上班時間(jian)，禁止訪問(wen)網(wǎng)上銀行、游(you)戲、論壇貼吧(ba)等與工作無(wu)關(guān)的應(yīng)用，下班(ban)時間則不(bu)受限(xian)制。

辦公區(qū)(qu)域內(nèi)，不同(tong)辦公部門總會(hui)有各(ge)自專(zhuan)屬的無線(xian)網(wǎng)絡(luò)，并(bing)且不希望(wang)部門之外的成(cheng)員使用這個(ge)網(wǎng)絡(luò)。無線網(wǎng)絡(luò)(luo)控制器可以根(gen)據(jù)用戶的屬(shu)性，限制(zhi)禁止非(fei)本部門的(de)用戶接入。

典型無線(xian)網(wǎng)絡(luò)攻擊(ji)防護(hù)：

對典型(xing)的危險攻擊行(xing)為進(jìn)行(xing)檢測，當(dāng)超過(guo)設(shè)定的閾值(zhi)后自(zi)動將(jiang)攻擊者加(jia)入到黑名單中(zhong)，并凍結(jié)一定(ding)時間，即時發(fā)(fa)現(xiàn)網(wǎng)絡(luò)攻(gong)擊并進(jìn)行防御(yu)。

檢測的攻(gong)擊包(bao)括：DDOS防御、ARP掃(sao)描、IP掃描、端(duan)口掃描防御(yu)，禁止客戶(hu)端私設(shè)IP以及(ji)ARP、網(wǎng)關(guān)欺騙防御(yu)、DHCP請求泛(fan)洪防御。

無線射(she)頻定時關(guān)(guan)閉開(kai)啟：

通過(guo)射頻關(guān)閉控(kong)制策(ce)略，可以(yi)指定(ding)某SSID網(wǎng)(wang)絡(luò)，定時自(zi)動關(guān)閉(bi)和開啟無(wu)線網(wǎng)絡(luò)的射頻(pin)信號，晚上下(xia)班后自動(dong)關(guān)閉無線(xian)射頻信號。

一方面可以節(jié)(jie)能減排、節(jié)省電(dian)費支出；另一方(fang)面又能防(fang)止非法用戶(hu)利用(yong)深夜時(shi)間入侵(qin)無線網(wǎng)(wang)絡(luò)，做一些非法(fa)的操作。

有線無(wu)線一(yi)體化管理：

NAC的有線無(wu)線一體化，支(zhi)持對有線用戶(hu)的接入認(rèn)證、訪(fang)問控制、流量管(guan)理、上網(wǎng)行為(wei)審計等，

并提(ti)供統(tǒng)一中文(wen)Web管理界面，一(yi)站式服務(wù)(wu)，極大(da)的降低網(wǎng)絡(luò)(luo)建設(shè)成(cheng)本。

網(wǎng)絡(luò)(luo)分權(quán)分級管(guan)理：

分配不(bu)同的(de)管理員分別管(guan)理各自權(quán)(quan)限區(qū)域的無(wu)線AP，可以精(jing)細(xì)到對(dui)某AP分組有管理(li)權(quán)限，該管理(li)員可以在該(gai)AP分組(zu)上建立(li)無線網(wǎng)絡(luò)，能(neng)夠激活、刪(shan)除接入點(dian)，能夠?qū)P的(de)配置進(jìn)行編輯(ji)修改。

可指定管理員(yuan)針對每個(ge)頁面的(de)編輯(ji)或可查看權(quán)限(xian)，控制粒度到(dao)控制器上(shang)的各(ge)個頁面，對某(mou)個頁面沒(mei)有讀權(quán)限則(ze)登錄時不顯(xian)示。

移動APP隨時隨(sui)地運維(wei)管理：

支持跨互聯(lián)網(wǎng)(wang)運維管理

登陸APP進(jìn)(jin)行維護(hù)管(guan)理：不(bu)同管理(li)員，不同權(quán)限

查看網(wǎng)(wang)絡(luò)運行(xing)情況：在(zai)線用戶、在線(xian)AP數(shù)量、實時流(liu)量

無線網(wǎng)絡(luò)(luo)管理維護(hù)(hu)：開啟關(guān)閉(bi)SSID、終端綁(bang)定審批、二維碼(ma)上網(wǎng)審核(he)

故障、審批實(shi)時通(tong)知：AP離線警告(gao)、服務(wù)器離線(xian)警告、網(wǎng)絡(luò)(luo)攻擊(ji)告警

方案優(yōu)勢：

1、最豐(feng)富的無(wu)線安全(quan)機(jī)制(zhi)，提供從安(an)全接(jie)入到安全上網(wǎng)(wang)等端(duan)到端的安(an)全策略

2、合理管控工作(zuo)人員上(shang)網(wǎng)行(xing)為，提升工作效(xiao)率、防止(zhi)帶寬浪費，有線(xian)無線雙重管(guan)控

3、為會(hui)議室，報告廳等(deng)人員密集區(qū)域(yu)接入網(wǎng)(wang)絡(luò)提高保(bao)證，解(jie)決有線網(wǎng)(wang)口不足的問題(ti)；

4、為企業(yè)(ye)員工的移動辦(ban)公提供支撐，內(nèi)(nei)部員工(gong)可通(tong)過無線網(wǎng)(wang)絡(luò)隨(sui)時安(an)全接入(ru)內(nèi)部網(wǎng)絡(luò)，實(shi)現(xiàn)辦公(gong)；

5、內(nèi)部員工賬號(hao)及個人信(xin)息綁定，便(bian)于安全管理；

6、內(nèi)部(bu)員工可通過(guo)自己的辦(ban)公設(shè)備在企業(yè)(ye)大樓內(nèi)快速(su)移動辦公(gong)，網(wǎng)絡(luò)(luo)接入更快速，上(shang)網(wǎng)行(xing)為管理系統(tǒng)對(dui)員工上網(wǎng)行(xing)為進(jìn)行審計(ji)與管控(kong)

7、來訪客戶接入(ru)企業(yè)網(wǎng)絡(luò)，可(ke)根據(jù)(ju)不同需求，分(fen)配不同的上(shang)網(wǎng)權(quán)限，保證了(le)接入的(de)安全性(xing)同時提升群眾(zhong)上網(wǎng)的體驗

8、豐富(fu)的認(rèn)(ren)證機(jī)制，滿(man)足組(zu)織對無線(xian)網(wǎng)絡(luò)(luo)安全、快速接入(ru)

9、投資成本低(di)，通過部(bu)署無線控制器(qi)替換原有網(wǎng)絡(luò)(luo)的出口路由(you)、行為管理以及(ji)無線控制(zhi)器