?
大型企業(yè)(ye)在無線網(wǎng)絡(luò)(luo)建設(shè)期間要充(chong)分考慮(lv)訪客(領(lǐng)(ling)導(dǎo)���、客(ke)戶���、合作(zuo)伙伴)接入網(wǎng)(wang)絡(luò)的需(xu)求���。首先從安(an)全性考慮,訪客(ke)網(wǎng)絡(luò)必須(xu)要和辦公(gong)網(wǎng)絡(luò)(luo)分開��,訪(fang)客網(wǎng)絡(luò)(luo)單獨(dú)提供給訪(fang)客使用(yong)��。從用戶體驗(yàn)(yan)角度考慮�����,訪客(ke)接入網(wǎng)絡(luò)的(de)驗(yàn)證(zheng)方式一定(ding)要做到簡單易(yi)行,繁瑣的驗(yàn)證(zheng)方式會(huì)降低(di)訪客對(duì)企業(yè)的(de)整體(ti)印象����。同(tong)時(shí)對(duì)(dui)于訪客網(wǎng)(wang)絡(luò),企業(yè)(ye)還需要建立完(wan)善的網(wǎng)(wang)絡(luò)安(an)全管理機(jī)制����,避(bi)免由于訪客的(de)網(wǎng)絡(luò)(luo)不良(liang)訪問(wen)給企業(yè)帶(dai)來的法律(lv)風(fēng)險(xiǎn)。對(duì)于企業(yè)(ye)員工移動(dòng)(dong)辦公上(shang)網(wǎng)���,更需要做到(dao)可管控����,上網(wǎng)(wang)行為做到(dao)可追(zhui)溯�����,企業(yè)有(you)效的帶寬資(zi)源得(de)到合理的分(fen)配和保(bao)證���,才能使企業(yè)(ye)的業(yè)務(wù)系統(tǒng)(tong)正常且穩(wěn)定(ding)高效地(di)運(yùn)行�,同時(shí)保證(zheng)企業(yè)信(xin)息安全(quan),避免機(jī)密信(xin)息泄(xie)露�����。
存在的問(wen)題(用戶需求(qiu))
1�、接入不安全(quan):缺乏安(an)全可靠(kao)的認(rèn)證(zheng)機(jī)制,企業(yè)無線(xian)網(wǎng)絡(luò)接入不(bu)安全
2�、上網(wǎng)權(quán)限混(hun)亂:缺乏(fa)有效(xiao)的控制策略,員(yuan)工上(shang)網(wǎng)權(quán)限不(bu)分明(ming)
3����、數(shù)據(jù)(ju)信息安(an)全:缺乏有(you)效的(de)數(shù)據(jù)加密機(jī)制(zhi),企業(yè)數(shù)(shu)據(jù)被黑客竊(qie)取篡改
4�����、無線信號(hào)(hao)差:AP性能不佳����,上(shang)網(wǎng)總掉線��,點(diǎn)位(wei)規(guī)劃不合(he)理�,信號(hào)盲(mang)區(qū)多
5、漫游(you)效果差:不能實(shí)(shi)現(xiàn)二(er)三層(ceng)漫游����,移動(dòng)辦公(gong)時(shí)��,業(yè)務(wù)中(zhong)斷
解決方(fang)案:
結(jié)合用戶無(wu)線網(wǎng)絡(luò)(luo)需求情況�����,結(jié)(jie)合產(chǎn)品自身技(ji)術(shù)特(te)點(diǎn)�,為了(le)滿足(zu)用戶構(gòu)建一個(gè)(ge)高速(su)���、穩(wěn)定�、安(an)全����、可靠(kao)、易于(yu)管理的無線接(jie)入網(wǎng)絡(luò)(luo)的需求�,本(ben)設(shè)計(jì)方案按(an)照AP+AC的(de)結(jié)構(gòu)(gou)化無線(xian)網(wǎng)絡(luò)(luo)解決(jue)方案進(jìn)(jin)行設(shè)(she)計(jì)。具體設(shè)計(jì)(ji)為在總部(bu)設(shè)置總(zong)部AC,在大(da)型分支機(jī)(ji)構(gòu)設(shè)置(zhi)分支AC與分支AP���,中(zhong)型分(fen)支機(jī)構(gòu)設(shè)計(jì)(ji)二級(jí)�����,三級(jí)交換(huan)機(jī)���,分支AP�����。小微(wei)型分支機(jī)(ji)構(gòu)直接(jie)設(shè)置(zhi)分支AP�?��??zong)部AC可(ke)以對(duì)(dui)大型分支機(jī)(ji)構(gòu)的AC進(jìn)行(xing)管理��,當(dāng)網(wǎng)點(diǎn)(dian)控制器(qi)采用集(ji)中管理的(de)模式進(jìn)入到(dao)中心端控制器(qi)時(shí)�����,會(huì)自動(dòng)下(xia)載中心端(duan)的公共配置(zhi)�����,比如IP組、MAC地址庫(ku)���、時(shí)間計(jì)劃���、角色(se)授權(quán)、認(rèn)證(zheng)頁面(mian)等 ??偛緼C也(ye)可以(yi)直接管(guan)理中(zhong)小型分(fen)支機(jī)構(gòu)(gou)的分支(zhi)AP,實(shí)現(xiàn)統(tǒng)一管理(li)���。
方案設(shè)(she)計(jì):
安全無線整(zheng)體解決方案(an):
接入前&接入時(shí)(shi)進(jìn)行(xing)身份認(rèn)證��、安全(quan)無線網(wǎng)卡�����、賬(zhang)號(hào)綁定(硬件碼(ma)+手機(jī)號(hào))���,非(fei)法熱點(diǎn)(dian)檢測(ce)及防(fang)御、網(wǎng)絡(luò)攻擊(ji)防護(hù)(hu)��、射頻(pin)定時(shí)關(guān)閉(bi)及安(an)全加固�。
接入后&上網(wǎng)時(shí)(shi)進(jìn)行(xing)訪問權(quán)(quan)限控制。
上網(wǎng)后進(jìn)行上(shang)網(wǎng)行為(wei)記錄���。
上網(wǎng)(wang)用戶身份實(shí)(shi)名認(rèn)(ren)證:
無線辦(ban)公網(wǎng)采(cai)用802.1X/Portal/WAPI認(rèn)證(zheng)�,外置AAA和(he)RADIUS+AD用于存儲(chǔ)用戶(hu)賬號(hào)密碼��。
每個(gè)賬(zhang)號(hào)對(duì)應(yīng)(ying)一個(gè)員(yuan)工����,包括姓(xing)名���、部門、性別(bie)以及(ji)身份(fen)證����、手機(jī)號(hào)(hao)等個(gè)人信息,保(bao)證每個(gè)上網(wǎng)(wang)的賬號(hào)(hao)都是可尋(xun)的��,便于安(an)全管理���。
用戶輸入賬號(hào)(hao)密碼上網(wǎng)(wang)驗(yàn)證(zheng)時(shí)均采(cai)用加(jia)密傳(chuan)輸�����,防止(zhi)黑客空中(zhong)攔截���,竊取(qu)賬號(hào)密碼(ma)等數(shù)據(jù)(ju)。
上網(wǎng)賬號(hào)自動(dòng)(dong)綁定終端(duan):
自動(dòng)(dong)將賬號(hào)(hao)與終端的(de)硬件特(te)征碼進(jìn)行(xing)綁定����,防(fang)止賬(zhang)號(hào)被他人使用(yong)或者(zhe)被盜用����。
每臺(tái)設(shè)備(bei)的硬件特征碼(ma)是唯一的(de)����,無法通過軟件(jian)修改(gai)�。即使通(tong)過軟件(jian)修改了仍(reng)然可以識(shí)別(bie)原始的。
每個(gè)賬(zhang)號(hào)最多可(ke)以綁(bang)定5臺(tái)終(zhong)端���,超過1臺(tái)時(shí)(shi)需要管理員審(shen)核�。
上網(wǎng)賬號(hào)(hao)二次綁定手機(jī)(ji)號(hào)碼:
賬號(hào)首次登(deng)陸時(shí)需要(yao)綁定(ding)手機(jī)號(hào)并(bing)輸入短(duan)信驗(yàn)證碼(ma)�����,當(dāng)用戶(hu)賬號(hào)(hao)在新終端登(deng)陸時(shí)(shi)(換終端/被他(ta)用/被盜(dao))�,不僅需(xu)要輸(shu)入密碼(ma),還需要輸(shu)入短(duan)信驗(yàn)證碼�����,解決(jue)員工賬號(hào)(hao)認(rèn)證的安全問(wen)題
綁定(ding)手機(jī)號(hào)碼的(de)用戶�����,可(ke)以自助重置(zhi)密碼和修改密(mi)碼���,無需通過(guo)IT管理(li)員�����。
用戶密(mi)碼管(guan)理及(ji)自助(zhu)修改(gai):
無需通過管(guan)理員即可修(xiu)改密碼���,提高效(xiao)率及減輕(qing)管理(li)員工作壓(ya)力����。
通過口(kou)袋助理�、釘(ding)釘、企業(yè)號(hào)等(deng)手機(jī)MOA類APP軟(ruan)件進(jìn)行(xing)無線(xian)密碼修(xiu)改�����。
若賬號(hào)(hao)綁定了手機(jī)號(hào)(hao)碼��,可(ke)通過手機(jī)驗(yàn)(yan)證碼自助修改(gai)��。
上網(wǎng)(wang)終端合法效驗(yàn)(yan):
采用安全無線(xian)網(wǎng)卡接入(ru)無線網(wǎng)絡(luò)����,終端(duan)與AP熱點(diǎn)的雙向(xiang)驗(yàn)證,提高(gao)安全(quan)性。
可以將無線(xian)網(wǎng)絡(luò)設(shè)置為只(zhi)有安裝了安(an)全無(wu)線網(wǎng)卡的終(zhong)端才能接(jie)入無線網(wǎng)絡(luò)(luo)��。
支持設(shè)(she)置安全(quan)無線網(wǎng)卡只(zhi)能連(lian)指定SSID無(wu)線網(wǎng)絡(luò)(luo)�����,無法連接非(fei)授權(quán)SSID����。
網(wǎng)卡與AP數(shù)據(jù)(ju)傳輸時(shí)(shi)自動(dòng)進(jìn)行數(shù)據(jù)(ju)加密(mi)����,保證無(wu)線的空口安全(quan)。
無線熱點(diǎn)掃描(miao)及非法(fa)熱點(diǎn)抑制(zhi):
背景:黑(hei)客在附(fu)近搭建一個(gè)一(yi)模一(yi)樣或者(zhe)類似的WIFI名稱��,誘(you)使用戶連到(dao)虛假釣魚WIFI上�����,黑(hei)客利用(yong)分析軟件從用(yong)戶上網(wǎng)產(chǎn)生的(de)數(shù)據(jù)(ju)包中分(fen)析提取(qu)用戶隱(yin)私信息����。
我們(men)通過WIPS無線入(ru)侵防御系統(tǒng)(tong)實(shí)時(shí)檢(jian)測周圍(wei)無線信號(hào),當(dāng)(dang)檢測(ce)出來的(de)信號(hào)BSSID�����、且AP源(yuan)MAC地址(zhi)不在授權(quán)列(lie)表中時(shí)(shi),我們(men)向?qū)?dui)應(yīng)的(de)AP和終端(duan)發(fā)送解(jie)除關(guān)(guan)聯(lián)幀��,讓終端無(wu)法連上(shang)釣魚WIFI�。7×24小時(shí)不間(jian)斷監(jiān)測網(wǎng)(wang)絡(luò)。
上網(wǎng)(wang)行為嚴(yán)格控(kong)制:
強(qiáng)大的(de)管理:通過應(yīng)用(yong)識(shí)別技(ji)術(shù)����,可以根據(jù)應(yīng)(ying)用類型或(huo)者具體某一種(zhong)應(yīng)用進(jìn)行封(feng)堵,包括(kuo)視頻(pin)���、論壇��、游戲����、金融(rong)����、下載等2400多種(zhong)網(wǎng)絡(luò)應(yīng)(ying)用。
通過應(yīng)用(yong)識(shí)別技術(shù)(shu)�,可以根據(jù)應(yīng)用(yong)類型或者具(ju)體某一種應(yīng)(ying)用進(jìn)行封堵(du),比如上班時(shí)(shi)間不允許炒(chao)股��,不允許P2P下載(zai),不允許外發(fā)(fa)敏感文件(jian)等���; 支持主(zhu)流移動(dòng)平(ping)臺(tái)�,可識(shí)別IM����、社交(jiao)�����、Mail����、新聞、炒股等應(yīng)(ying)用���。
無線控制(zhi)器內(nèi)置千萬級(jí)(ji)別的URL分(fen)類庫��,能夠(gou)對(duì)URL進(jìn)行識(shí)(shi)別�,包含新聞(wen)����、購物、金融(rong)、教育等18個(gè)種(zhong)類的URL地址��; 準(zhǔn)(zhun)確識(shí)(shi)別目前(qian)主流網(wǎng)站���,識(shí)別(bie)率高達(dá)99.9%���,有(you)效實(shí)現(xiàn)網(wǎng)(wang)頁過濾(lv)。例如禁(jin)止登(deng)陸非法(fa)網(wǎng)站(zhan)
通過基于(yu)時(shí)間段(duan)的訪問控制(zhi)策略��,實(shí)(shi)現(xiàn)不同的時(shí)(shi)間段不同的訪(fang)問權(quán)限����,比如上(shang)班時(shí)間,禁止(zhi)訪問(wen)網(wǎng)上銀行(xing)����、游戲、論(lun)壇貼(tie)吧等與工作無(wu)關(guān)的應(yīng)(ying)用�����,下班時(shí)間(jian)則不受(shou)限制���。
辦公區(qū)域內(nèi)(nei)�,不同辦(ban)公部門總會(huì)(hui)有各自(zi)專屬(shu)的無(wu)線網(wǎng)絡(luò)(luo),并且不希望(wang)部門之(zhi)外的(de)成員使(shi)用這個(gè)網(wǎng)絡(luò)(luo)����。無線網(wǎng)絡(luò)控(kong)制器可以(yi)根據(jù)用(yong)戶的(de)屬性,限制禁(jin)止非本部(bu)門的用戶(hu)接入�����。
典型無線網(wǎng)絡(luò)(luo)攻擊防(fang)護(hù):
對(duì)典型(xing)的危險(xiǎn)攻擊行(xing)為進(jìn)行檢測�,當(dāng)(dang)超過(guo)設(shè)定的(de)閾值后(hou)自動(dòng)將(jiang)攻擊者加入到(dao)黑名單中,并凍(dong)結(jié)一定(ding)時(shí)間����,即時(shí)發(fā)現(xiàn)(xian)網(wǎng)絡(luò)(luo)攻擊(ji)并進(jìn)行防(fang)御���。
檢測的攻(gong)擊包括(kuo):DDOS防御���、ARP掃描、IP掃(sao)描����、端口掃描(miao)防御,禁(jin)止客戶端私(si)設(shè)IP以(yi)及ARP�����、網(wǎng)關(guān)欺騙防(fang)御、DHCP請(qǐng)(qing)求泛(fan)洪防御�。
無線射頻定(ding)時(shí)關(guān)閉(bi)開啟:
通過(guo)射頻關(guān)閉(bi)控制(zhi)策略,可以指(zhi)定某(mou)SSID網(wǎng)絡(luò)(luo)�,定時(shí)自(zi)動(dòng)關(guān)閉和(he)開啟無線網(wǎng)(wang)絡(luò)的射頻(pin)信號(hào),晚上下班(ban)后自(zi)動(dòng)關(guān)閉無(wu)線射(she)頻信號(hào)(hao)�����。
一方面可以(yi)節(jié)能減排(pai)����、節(jié)省(sheng)電費(fèi)支出;另一(yi)方面(mian)又能防(fang)止非法用戶利(li)用深(shen)夜時(shí)(shi)間入侵無線(xian)網(wǎng)絡(luò)�����,做(zuo)一些非法的(de)操作����。
有線無(wu)線一體化管理(li):
NAC的有線無線一(yi)體化,支持對(duì)(dui)有線用戶的(de)接入(ru)認(rèn)證(zheng)����、訪問控制(zhi)����、流量管理�����、上網(wǎng)(wang)行為審計(jì)(ji)等����,
并提(ti)供統(tǒng)一中(zhong)文Web管理界(jie)面,一站式(shi)服務(wù)(wu)�����,極大的降(jiang)低網(wǎng)(wang)絡(luò)建設(shè)(she)成本���。
網(wǎng)絡(luò)分權(quán)分(fen)級(jí)管理(li):
分配不同的管(guan)理員(yuan)分別(bie)管理各自權(quán)(quan)限區(qū)域的無(wu)線AP,可(ke)以精細(xì)到(dao)對(duì)某AP分(fen)組有(you)管理權(quán)限����,該管(guan)理員可以(yi)在該AP分(fen)組上建立無線(xian)網(wǎng)絡(luò)(luo),能夠(gou)激活��、刪除接入(ru)點(diǎn)�,能夠?qū)P的配(pei)置進(jìn)行(xing)編輯修(xiu)改���。
可指定(ding)管理員針對(duì)(dui)每個(gè)頁面的(de)編輯(ji)或可查(cha)看權(quán)(quan)限,控制粒度到(dao)控制器上的各(ge)個(gè)頁(ye)面����,對(duì)某個(gè)頁面(mian)沒有讀權(quán)限(xian)則登(deng)錄時(shí)不顯示(shi)。
移動(dòng)APP隨時(shí)隨地(di)運(yùn)維管(guan)理:
支持跨(kua)互聯(lián)網(wǎng)運(yùn)維管(guan)理
登陸APP進(jìn)行(xing)維護(hù)管理(li):不同管理員�,不(bu)同權(quán)(quan)限
查看網(wǎng)絡(luò)(luo)運(yùn)行情(qing)況:在線(xian)用戶(hu)、在線AP數(shù)(shu)量��、實(shí)時(shí)流(liu)量
無線網(wǎng)絡(luò)管理(li)維護(hù):開啟關(guān)(guan)閉SSID��、終端綁定審(shen)批����、二維碼上(shang)網(wǎng)審核
故障(zhang)、審批實(shí)時(shí)(shi)通知:AP離線警告(gao)����、服務(wù)器離線警(jing)告、網(wǎng)絡(luò)攻(gong)擊告(gao)警
方案優(yōu)勢(shi):
1��、最豐(feng)富的無線安全(quan)機(jī)制(zhi)���,提供從安全接(jie)入到安(an)全上(shang)網(wǎng)等端到端(duan)的安全策略
2��、合理管控(kong)工作(zuo)人員(yuan)上網(wǎng)行為���,提(ti)升工(gong)作效(xiao)率����、防止帶寬浪(lang)費(fèi)���,有線無(wu)線雙重(zhong)管控(kong)
3����、為會(huì)議室�����,報(bào)(bao)告廳等人員(yuan)密集區(qū)域接入(ru)網(wǎng)絡(luò)(luo)提高保(bao)證���,解(jie)決有線網(wǎng)(wang)口不(bu)足的問題;
4����、為企業(yè)員(yuan)工的移動(dòng)辦(ban)公提供支(zhi)撐,內(nèi)部員工(gong)可通過無線(xian)網(wǎng)絡(luò)隨時(shí)(shi)安全接入內(nèi)(nei)部網(wǎng)絡(luò)����,實(shí)現(xiàn)(xian)辦公�����;
5���、內(nèi)部員工賬號(hào)(hao)及個(gè)人信(xin)息綁定(ding),便于安全管(guan)理�����;
6�、內(nèi)部員(yuan)工可通過自己(ji)的辦公設(shè)備在(zai)企業(yè)大(da)樓內(nèi)快速移動(dòng)(dong)辦公,網(wǎng)絡(luò)接(jie)入更快速��,上(shang)網(wǎng)行(xing)為管理(li)系統(tǒng)對(duì)(dui)員工上(shang)網(wǎng)行為進(jìn)行審(shen)計(jì)與管控
7����、來訪客(ke)戶接(jie)入企業(yè)網(wǎng)絡(luò),可(ke)根據(jù)不同(tong)需求��,分配不同(tong)的上(shang)網(wǎng)權(quán)(quan)限�����,保證了接入(ru)的安全性同時(shí)(shi)提升群眾(zhong)上網(wǎng)的體(ti)驗(yàn)
8、豐富的認(rèn)(ren)證機(jī)制�����,滿足(zu)組織對(duì)無線網(wǎng)(wang)絡(luò)安(an)全����、快速接(jie)入
9、投資(zi)成本低��,通(tong)過部署無線控(kong)制器替換原(yuan)有網(wǎng)(wang)絡(luò)的出(chu)口路由�����、行為(wei)管理以及(ji)無線控(kong)制器
