?
大型企業(yè)在(zai)無線網(wǎng)(wang)絡建設(she)期間要(yao)充分(fen)考慮訪客(領導(dao)���、客戶�、合作(zuo)伙伴)接入網(wǎng)絡(luo)的需(xu)求。首先從安全(quan)性考慮,訪客(ke)網(wǎng)絡必須要和(he)辦公網(wǎng)絡(luo)分開�,訪(fang)客網(wǎng)絡(luo)單獨提供給訪(fang)客使用����。從用戶(hu)體驗角度考(kao)慮,訪客接(jie)入網(wǎng)絡的驗(yan)證方式一定(ding)要做到(dao)簡單易行��,繁(fan)瑣的驗證(zheng)方式(shi)會降低訪(fang)客對企(qi)業(yè)的整體(ti)印象����。同時對于(yu)訪客(ke)網(wǎng)絡,企業(yè)還(hai)需要建立(li)完善的網(wǎng)(wang)絡安(an)全管理機(ji)制���,避免由于訪(fang)客的網(wǎng)絡不良(liang)訪問給企業(yè)(ye)帶來的法律風(feng)險�。對于(yu)企業(yè)(ye)員工移動(dong)辦公上網(wǎng)(wang)����,更需要做到可(ke)管控,上網(wǎng)行為(wei)做到可追溯(su)�,企業(yè)有(you)效的(de)帶寬資源得到(dao)合理的分(fen)配和保證�,才(cai)能使企(qi)業(yè)的業(yè)務系(xi)統(tǒng)正常(chang)且穩(wěn)(wen)定高效(xiao)地運行(xing),同時保證企(qi)業(yè)信息安(an)全��,避免機密信(xin)息泄露。
存在(zai)的問題(用(yong)戶需求(qiu))
1�����、接入不安(an)全:缺(que)乏安全可靠的(de)認證機(ji)制��,企業(yè)無線網(wǎng)(wang)絡接入不(bu)安全
2�����、上網(wǎng)權(quán)限混亂(luan):缺乏有(you)效的控制策(ce)略���,員工上網(wǎng)(wang)權(quán)限不(bu)分明
3�����、數(shù)據(jù)信(xin)息安全:缺(que)乏有效的(de)數(shù)據(jù)加密機(ji)制���,企(qi)業(yè)數(shù)據(jù)被黑(hei)客竊取篡(cuan)改
4、無線信號差(cha):AP性能不佳���,上(shang)網(wǎng)總掉線�,點位(wei)規(guī)劃不合理(li)���,信號盲區(qū)(qu)多
5�����、漫游效果(guo)差:不能實(shi)現(xiàn)二三(san)層漫游�,移(yi)動辦公時,業(yè)(ye)務中斷(duan)
解決方案(an):
結(jié)合用戶(hu)無線網(wǎng)絡需求(qiu)情況(kuang)���,結(jié)合產(chǎn)品自身(shen)技術(shù)特點��,為了(le)滿足用戶構(gòu)(gou)建一(yi)個高速(su)�、穩(wěn)定���、安全�、可(ke)靠����、易于管理的(de)無線接入(ru)網(wǎng)絡的需(xu)求,本設計方(fang)案按照AP+AC的結(jié)(jie)構(gòu)化無(wu)線網(wǎng)絡解決方(fang)案進(jin)行設計(ji)��。具體設計為在(zai)總部設置(zhi)總部AC,在大(da)型分(fen)支機構(gòu)設(she)置分(fen)支AC與分支(zhi)AP�����,中型分支(zhi)機構(gòu)設計二(er)級��,三(san)級交換機�,分支(zhi)AP。小微型分(fen)支機構(gòu)直接(jie)設置分支(zhi)AP����。總部AC可以對大(da)型分支機(ji)構(gòu)的AC進(jin)行管理�,當網(wǎng)(wang)點控制器采用(yong)集中管(guan)理的模(mo)式進入到中(zhong)心端控制器(qi)時,會自動下載(zai)中心端的公共(gong)配置����,比如(ru)IP組、MAC地址庫�、時間(jian)計劃、角(jiao)色授權(quán)���、認(ren)證頁(ye)面等 ����?��?偛緼C也(ye)可以直(zhi)接管理中(zhong)小型分(fen)支機(ji)構(gòu)的分(fen)支AP�����,實(shi)現(xiàn)統(tǒng)(tong)一管理(li)����。
方案設計(ji):
安全無線整(zheng)體解決(jue)方案:
接入前(qian)&接入時進(jin)行身份(fen)認證、安全(quan)無線網(wǎng)卡(ka)�����、賬號(hao)綁定(硬件(jian)碼+手機號(hao))�����,非法熱點(dian)檢測及防御��、網(wǎng)(wang)絡攻擊防(fang)護���、射頻定時關(guān)(guan)閉及安全加固(gu)���。
接入后&上(shang)網(wǎng)時(shi)進行訪問(wen)權(quán)限控制(zhi)。
上網(wǎng)后進行上(shang)網(wǎng)行為記錄(lu)�����。
上網(wǎng)用戶(hu)身份(fen)實名(ming)認證:
無線(xian)辦公網(wǎng)(wang)采用802.1X/Portal/WAPI認(ren)證,外(wai)置AAA和RADIUS+AD用(yong)于存儲用(yong)戶賬(zhang)號密(mi)碼����。
每個賬號(hao)對應一個員(yuan)工����,包括(kuo)姓名、部(bu)門���、性別以及(ji)身份證(zheng)����、手機號等個(ge)人信息���,保證每(mei)個上網(wǎng)的賬(zhang)號都(dou)是可尋的(de)���,便于(yu)安全(quan)管理。
用戶輸入(ru)賬號密碼上(shang)網(wǎng)驗證時均采(cai)用加(jia)密傳輸��,防止黑(hei)客空中攔(lan)截����,竊取賬(zhang)號密碼等數(shù)據(jù)(ju)����。
上網(wǎng)賬號自動(dong)綁定終(zhong)端:
自動將賬號與(yu)終端的硬件(jian)特征碼進(jin)行綁定�����,防止(zhi)賬號被他人(ren)使用(yong)或者被盜用(yong)����。
每臺設備的(de)硬件特征碼(ma)是唯一(yi)的,無(wu)法通過軟(ruan)件修(xiu)改��。即使通過(guo)軟件修改了(le)仍然可(ke)以識別原(yuan)始的���。
每個賬號最多(duo)可以(yi)綁定5臺終端(duan)����,超過1臺(tai)時需要管理員(yuan)審核����。
上網(wǎng)賬號二次(ci)綁定手機號碼(ma):
賬號首次(ci)登陸時需(xu)要綁(bang)定手機號(hao)并輸入短信(xin)驗證(zheng)碼,當用(yong)戶賬號在新終(zhong)端登陸時(換終(zhong)端/被他用/被盜(dao))����,不僅需要輸入(ru)密碼�����,還需(xu)要輸入短信(xin)驗證碼(ma)����,解決員工賬(zhang)號認證(zheng)的安全(quan)問題
綁定(ding)手機號碼的(de)用戶�����,可以自助(zhu)重置(zhi)密碼和修改密(mi)碼�����,無需通(tong)過IT管理員�。
用戶密碼管(guan)理及自(zi)助修改(gai):
無需通過(guo)管理員即可(ke)修改密(mi)碼�,提高效率及(ji)減輕管理(li)員工(gong)作壓力。
通過口(kou)袋助理���、釘釘��、企(qi)業(yè)號等手機MOA類(lei)APP軟件進行無(wu)線密碼修改�����。
若賬號(hao)綁定(ding)了手機號碼(ma)�����,可通過手(shou)機驗證(zheng)碼自助修改�����。
上網(wǎng)終端(duan)合法效驗:
采用(yong)安全無(wu)線網(wǎng)卡接入(ru)無線網(wǎng)(wang)絡�����,終端(duan)與AP熱點的雙向(xiang)驗證(zheng)����,提高(gao)安全性。
可以將無(wu)線網(wǎng)(wang)絡設置為只有(you)安裝了(le)安全無線(xian)網(wǎng)卡(ka)的終端才能接(jie)入無線(xian)網(wǎng)絡�����。
支持設置(zhi)安全無線網(wǎng)(wang)卡只能連(lian)指定SSID無(wu)線網(wǎng)絡����,無(wu)法連(lian)接非授權(quán)SSID����。
網(wǎng)卡與(yu)AP數(shù)據(jù)(ju)傳輸時(shi)自動進行(xing)數(shù)據(jù)加密(mi)��,保證無(wu)線的空口(kou)安全���。
無線熱(re)點掃描(miao)及非法熱點抑(yi)制:
背景(jing):黑客在附近搭(da)建一(yi)個一模(mo)一樣或者類(lei)似的(de)WIFI名稱����,誘使用戶(hu)連到(dao)虛假釣魚WIFI上���,黑(hei)客利(li)用分析軟(ruan)件從用戶上(shang)網(wǎng)產(chǎn)生的數(shù)據(jù)(ju)包中分析提取(qu)用戶隱(yin)私信息���。
我們通(tong)過WIPS無線入(ru)侵防御系統(tǒng)實(shi)時檢測周圍無(wu)線信號�,當(dang)檢測出(chu)來的信(xin)號BSSID、且AP源MAC地址(zhi)不在授權(quán)列表(biao)中時�,我(wo)們向?qū)?dui)應的AP和(he)終端發(fā)送解(jie)除關(guān)(guan)聯(lián)幀(zhen),讓終端無(wu)法連上(shang)釣魚WIFI���。7×24小時不(bu)間斷監(jiān)測網(wǎng)(wang)絡���。
上網(wǎng)(wang)行為嚴格(ge)控制:
強大的(de)管理:通(tong)過應用識別(bie)技術(shù),可以根據(jù)(ju)應用(yong)類型或(huo)者具體某一種(zhong)應用進行封堵(du),包括視頻��、論(lun)壇�、游戲(xi)、金融�、下載(zai)等2400多種網(wǎng)絡(luo)應用(yong)。
通過(guo)應用識別技術(shù)(shu)�,可以根據(jù)應(ying)用類型或者(zhe)具體某一種(zhong)應用(yong)進行(xing)封堵,比如上(shang)班時(shi)間不允許炒股(gu)���,不允許(xu)P2P下載���,不允許外(wai)發(fā)敏(min)感文(wen)件等; 支持(chi)主流移動平(ping)臺�,可識別IM、社交(jiao)�����、Mail�����、新聞���、炒股等應(ying)用���。
無線控制(zhi)器內(nèi)置千萬級(ji)別的(de)URL分類庫����,能夠(gou)對URL進(jin)行識別(bie)��,包含新聞��、購物(wu)��、金融���、教育等(deng)18個種(zhong)類的URL地址(zhi)���; 準確識別目前(qian)主流網(wǎng)(wang)站,識別率(lv)高達99.9%�,有效(xiao)實現(xiàn)網(wǎng)頁過濾(lv)����。例如(ru)禁止(zhi)登陸非法網(wǎng)(wang)站
通過基于時間(jian)段的訪問控制(zhi)策略,實(shi)現(xiàn)不同的時(shi)間段不同(tong)的訪問權(quán)限�,比(bi)如上(shang)班時間����,禁止(zhi)訪問(wen)網(wǎng)上銀行(xing)����、游戲、論壇(tan)貼吧等(deng)與工作無(wu)關(guān)的應用��,下班(ban)時間則不受(shou)限制�。
辦公區(qū)域內(nèi)(nei),不同辦公(gong)部門(men)總會有(you)各自專屬的(de)無線網(wǎng)絡�,并(bing)且不希(xi)望部門之(zhi)外的成員使用(yong)這個網(wǎng)絡。無(wu)線網(wǎng)絡(luo)控制器可(ke)以根(gen)據(jù)用戶的(de)屬性��,限制禁止(zhi)非本(ben)部門的(de)用戶(hu)接入���。
典型(xing)無線網(wǎng)(wang)絡攻(gong)擊防護:
對典型(xing)的危險攻(gong)擊行(xing)為進行檢測(ce)�����,當超過設定(ding)的閾值(zhi)后自動將(jiang)攻擊者加入到(dao)黑名單中(zhong)����,并凍結(jié)一定時(shi)間����,即(ji)時發(fā)現(xiàn)(xian)網(wǎng)絡攻擊并(bing)進行防御(yu)����。
檢測的(de)攻擊(ji)包括:DDOS防御��、ARP掃描(miao)�����、IP掃描����、端口掃(sao)描防御�,禁(jin)止客戶端(duan)私設(she)IP以及(ji)ARP、網(wǎng)關(guān)欺騙(pian)防御(yu)�����、DHCP請求泛洪防御(yu)��。
無線射頻(pin)定時關(guān)(guan)閉開啟:
通過(guo)射頻(pin)關(guān)閉控制策略(lve),可以指定某SSID網(wǎng)(wang)絡���,定時自動關(guān)(guan)閉和(he)開啟無線網(wǎng)(wang)絡的射(she)頻信(xin)號,晚上下(xia)班后自(zi)動關(guān)閉無線(xian)射頻(pin)信號��。
一方面可以(yi)節(jié)能減(jian)排�、節(jié)省電(dian)費支出����;另一(yi)方面又能防(fang)止非法(fa)用戶利(li)用深(shen)夜時間(jian)入侵無線網(wǎng)絡(luo)��,做一些非法(fa)的操作��。
有線無線一體(ti)化管理:
NAC的有線(xian)無線一體化(hua)����,支持對有(you)線用(yong)戶的接入認證(zheng)���、訪問控制���、流量(liang)管理、上網(wǎng)行(xing)為審(shen)計等�����,
并提供統(tǒng)一(yi)中文Web管理界(jie)面,一站式服務(wu)�����,極大(da)的降低網(wǎng)絡(luo)建設成本���。
網(wǎng)絡分權(quán)(quan)分級(ji)管理(li):
分配不(bu)同的管理員(yuan)分別(bie)管理各自權(quán)(quan)限區(qū)域(yu)的無線AP,可(ke)以精(jing)細到對某(mou)AP分組(zu)有管理權(quán)限���,該(gai)管理員可以(yi)在該AP分(fen)組上建(jian)立無線網(wǎng)(wang)絡��,能(neng)夠激活�����、刪(shan)除接入點����,能夠(gou)對AP的配置進行(xing)編輯修(xiu)改����。
可指定管理員(yuan)針對每個頁面(mian)的編(bian)輯或可查(cha)看權(quán)限�,控制(zhi)粒度到(dao)控制器上的(de)各個(ge)頁面��,對某個(ge)頁面沒有(you)讀權(quán)限則(ze)登錄時不(bu)顯示�����。
移動APP隨時(shi)隨地運維管理(li):
支持跨互(hu)聯(lián)網(wǎng)運(yun)維管(guan)理
登陸APP進行維(wei)護管理(li):不同管理員�����,不(bu)同權(quán)限
查看網(wǎng)絡運(yun)行情(qing)況:在線用戶(hu)��、在線AP數(shù)量(liang)��、實時流量
無線(xian)網(wǎng)絡管理(li)維護:開啟關(guān)(guan)閉SSID�、終端綁定審(shen)批�、二維碼上(shang)網(wǎng)審核
故障、審批實時(shi)通知:AP離線警(jing)告�、服務器離線(xian)警告(gao)、網(wǎng)絡(luo)攻擊告(gao)警
方案優(yōu)(you)勢:
1�����、最豐富的無線(xian)安全機制,提供(gong)從安全接(jie)入到安全上(shang)網(wǎng)等(deng)端到端的安(an)全策略(lve)
2���、合理管控工(gong)作人員上網(wǎng)行(xing)為���,提升工作效(xiao)率、防止帶(dai)寬浪費�,有(you)線無線雙(shuang)重管(guan)控
3、為會議(yi)室��,報告(gao)廳等人員密集(ji)區(qū)域(yu)接入網(wǎng)絡提(ti)高保證��,解決(jue)有線(xian)網(wǎng)口(kou)不足的(de)問題��;
4�����、為企業(yè)員(yuan)工的移動辦公(gong)提供(gong)支撐���,內(nèi)部(bu)員工可通(tong)過無線網(wǎng)(wang)絡隨時安全(quan)接入內(nèi)部網(wǎng)(wang)絡��,實現(xiàn)(xian)辦公����;
5、內(nèi)部員工賬號(hao)及個人信息綁(bang)定�,便于(yu)安全管理;
6����、內(nèi)部員工可通(tong)過自己的辦公(gong)設備(bei)在企業(yè)大樓(lou)內(nèi)快速移動(dong)辦公,網(wǎng)絡(luo)接入更快速(su)����,上網(wǎng)行為(wei)管理系統(tǒng)(tong)對員工上網(wǎng)行(xing)為進行審計與(yu)管控
7��、來訪客戶接(jie)入企(qi)業(yè)網(wǎng)絡����,可根(gen)據(jù)不同需求,分(fen)配不同(tong)的上網(wǎng)權(quán)限����,保(bao)證了接(jie)入的安全(quan)性同時(shi)提升群眾上網(wǎng)(wang)的體驗
8、豐富的(de)認證(zheng)機制���,滿足組(zu)織對無線網(wǎng)絡(luo)安全�����、快(kuai)速接入
9���、投資(zi)成本低�,通過(guo)部署無線(xian)控制(zhi)器替(ti)換原有網(wǎng)(wang)絡的出口(kou)路由�����、行為管理(li)以及無線控(kong)制器
