大型企業(yè)在無(wu)線網(wǎng)絡(luò)建(jian)設(shè)期間要充分(fen)考慮(lv)訪客（領(lǐng)導(dǎo)(dao)、客戶、合(he)作伙伴）接入(ru)網(wǎng)絡(luò)的(de)需求。首先從(cong)安全性考(kao)慮，訪客網(wǎng)(wang)絡(luò)必須要(yao)和辦(ban)公網(wǎng)(wang)絡(luò)分(fen)開，訪客網(wǎng)(wang)絡(luò)單獨(du)提供給(gei)訪客使用。從(cong)用戶(hu)體驗(yan)角度考慮(lv)，訪客接(jie)入網(wǎng)絡(luò)的(de)驗證方式一(yi)定要做到簡單(dan)易行，繁瑣的(de)驗證方式(shi)會降(jiang)低訪客對企業(yè)(ye)的整體(ti)印象。同(tong)時對于訪客(ke)網(wǎng)絡(luò)(luo)，企業(yè)還需要建(jian)立完善的(de)網(wǎng)絡(luò)安全(quan)管理機制(zhi)，避免由于訪(fang)客的網(wǎng)(wang)絡(luò)不良訪問(wen)給企業(yè)帶來(lai)的法律風(fēng)險。對(dui)于企業(yè)員工(gong)移動辦公上網(wǎng)(wang)，更需要(yao)做到可管控，上(shang)網(wǎng)行為做(zuo)到可追溯，企(qi)業(yè)有效(xiao)的帶寬資源(yuan)得到(dao)合理的分(fen)配和保證(zheng)，才能(neng)使企業(yè)的業(yè)(ye)務(wù)系統(tǒng)正常且(qie)穩(wěn)定高效地運(yun)行，同時保證(zheng)企業(yè)(ye)信息安(an)全，避免機密(mi)信息泄(xie)露。

存在的問題（用(yong)戶需求）

1、接入不安(an)全：缺(que)乏安(an)全可靠(kao)的認證機制(zhi)，企業(yè)(ye)無線(xian)網(wǎng)絡(luò)接(jie)入不安(an)全

2、上網(wǎng)權(quán)限混(hun)亂：缺(que)乏有效的控(kong)制策略(lve)，員工上網(wǎng)權(quán)限(xian)不分明

3、數(shù)據(jù)信(xin)息安全：缺乏有(you)效的數(shù)(shu)據(jù)加密機(ji)制，企業(yè)數(shù)據(jù)(ju)被黑客竊(qie)取篡改

4、無線信號(hao)差：AP性能(neng)不佳，上(shang)網(wǎng)總掉線，點(dian)位規(guī)劃(hua)不合理(li)，信號盲區(qū)(qu)多

5、漫游效(xiao)果差：不能(neng)實現(xiàn)二三(san)層漫(man)游，移動辦公(gong)時，業(yè)務(wù)中斷

解決(jue)方案：

結(jié)合用戶(hu)無線網(wǎng)絡(luò)(luo)需求情(qing)況，結(jié)合(he)產(chǎn)品自身技(ji)術(shù)特點(dian)，為了滿足用戶(hu)構(gòu)建(jian)一個高速(su)、穩(wěn)定、安(an)全、可靠、易于(yu)管理的無(wu)線接入網(wǎng)絡(luò)(luo)的需求，本(ben)設(shè)計方(fang)案按照AP+AC的(de)結(jié)構(gòu)化(hua)無線網(wǎng)(wang)絡(luò)解(jie)決方案進(jin)行設(shè)計。具體(ti)設(shè)計為在總部(bu)設(shè)置總(zong)部AC,在大型分(fen)支機(ji)構(gòu)設(shè)置分支(zhi)AC與分支(zhi)AP，中型分(fen)支機構(gòu)設(shè)計二(er)級，三(san)級交(jiao)換機(ji)，分支AP。小微型(xing)分支機構(gòu)(gou)直接(jie)設(shè)置分支AP?？偛?bu)AC可以對大型分(fen)支機(ji)構(gòu)的(de)AC進行管(guan)理，當(dāng)網(wǎng)(wang)點控制器(qi)采用集中管(guan)理的模式進(jin)入到中心(xin)端控制器時(shi)，會自動下載(zai)中心端的(de)公共配置，比(bi)如IP組、MAC地址(zhi)庫、時間計劃(hua)、角色授權(quán)、認(ren)證頁面等 。總(zong)部AC也可以(yi)直接管理中小(xiao)型分支(zhi)機構(gòu)(gou)的分支AP，實(shi)現(xiàn)統(tǒng)(tong)一管理。

方案設(shè)(she)計：

安全無(wu)線整體解決方(fang)案：

接入前&接入時(shi)進行身份(fen)認證、安全(quan)無線網(wǎng)卡、賬號(hao)綁定（硬(ying)件碼(ma)+手機(ji)號），非(fei)法熱點檢(jian)測及(ji)防御、網(wǎng)絡(luò)(luo)攻擊(ji)防護、射(she)頻定(ding)時關(guān)閉(bi)及安(an)全加固(gu)。

接入后(hou)&上網(wǎng)時進行訪(fang)問權(quán)限控(kong)制。

上網(wǎng)后進行上(shang)網(wǎng)行為記錄。

上網(wǎng)用戶身份(fen)實名認證：

無線辦公網(wǎng)采(cai)用802.1X/Portal/WAPI認證(zheng)，外置AAA和(he)RADIUS+AD用于存儲用(yong)戶賬號密碼。

每個賬號對應(yīng)(ying)一個(ge)員工，包(bao)括姓名、部(bu)門、性別以及身(shen)份證(zheng)、手機(ji)號等個(ge)人信(xin)息，保證每(mei)個上網(wǎng)的賬號(hao)都是可尋的，便(bian)于安(an)全管理。

用戶輸入賬(zhang)號密碼上(shang)網(wǎng)驗證時(shi)均采用(yong)加密傳輸(shu)，防止(zhi)黑客空中攔截(jie)，竊取賬號密(mi)碼等數(shù)據(jù)。

上網(wǎng)賬號(hao)自動綁定終(zhong)端：

自動將賬號與(yu)終端的(de)硬件特(te)征碼進行綁定(ding)，防止賬號被他(ta)人使用(yong)或者被(bei)盜用。

每臺(tai)設(shè)備的硬件特(te)征碼是唯一的(de)，無法通過軟(ruan)件修改。即使通(tong)過軟(ruan)件修改了仍(reng)然可以(yi)識別原始的(de)。

每個(ge)賬號最(zui)多可以綁(bang)定5臺(tai)終端，超過(guo)1臺時(shi)需要管(guan)理員審核(he)。

上網(wǎng)(wang)賬號二次綁(bang)定手機(ji)號碼：

賬號首次(ci)登陸時需(xu)要綁定手機號(hao)并輸(shu)入短(duan)信驗(yan)證碼，當(dāng)用戶(hu)賬號在新終端(duan)登陸時（換(huan)終端/被他用/被(bei)盜），不僅需(xu)要輸入密碼，還(hai)需要輸入短信(xin)驗證碼，解決員(yuan)工賬號(hao)認證的安全問(wen)題

綁定手機(ji)號碼的用戶，可(ke)以自助重(zhong)置密碼和修(xiu)改密(mi)碼，無需通過IT管(guan)理員。

用戶密碼(ma)管理及自助(zhu)修改(gai)：

無需通過(guo)管理員即可(ke)修改(gai)密碼，提(ti)高效率(lv)及減輕管理員(yuan)工作壓力。

通過口袋助理(li)、釘釘、企業(yè)(ye)號等手(shou)機MOA類APP軟(ruan)件進行無(wu)線密碼修改。

若賬號綁(bang)定了手機號碼(ma)，可通過手機驗(yan)證碼自助(zhu)修改。

上網(wǎng)終端(duan)合法效驗：

采用安全(quan)無線網(wǎng)卡接入(ru)無線網(wǎng)(wang)絡(luò)，終端與AP熱(re)點的(de)雙向(xiang)驗證，提高安(an)全性。

可以(yi)將無線網(wǎng)絡(luò)設(shè)(she)置為只(zhi)有安裝了安全(quan)無線網(wǎng)(wang)卡的終端才能(neng)接入無線網(wǎng)(wang)絡(luò)。

支持(chi)設(shè)置安全無(wu)線網(wǎng)卡只能連(lian)指定SSID無(wu)線網(wǎng)絡(luò)，無法(fa)連接非授權(quán)(quan)SSID。

網(wǎng)卡與AP數(shù)據(jù)(ju)傳輸時自(zi)動進行數(shù)據(jù)(ju)加密，保(bao)證無線的空(kong)口安全。

無線熱點掃(sao)描及非(fei)法熱點抑制(zhi)：

背景：黑客在附(fu)近搭建一(yi)個一模(mo)一樣或者(zhe)類似(shi)的WIFI名(ming)稱，誘使用(yong)戶連到虛(xu)假釣魚WIFI上，黑客(ke)利用分析(xi)軟件從(cong)用戶上網(wǎng)(wang)產(chǎn)生(sheng)的數(shù)據(jù)包中分(fen)析提取用戶隱(yin)私信息。

我們通過WIPS無線(xian)入侵防御(yu)系統(tǒng)實(shi)時檢(jian)測周圍(wei)無線信(xin)號，當(dāng)檢(jian)測出來的信(xin)號BSSID、且(qie)AP源MAC地址不在授(shou)權(quán)列表中時(shi)，我們(men)向?qū)?yīng)的AP和(he)終端(duan)發(fā)送解除關(guān)(guan)聯(lián)幀，讓終(zhong)端無法連上釣(diao)魚WIFI。7×24小時不間斷(duan)監(jiān)測網(wǎng)絡(luò)。

上網(wǎng)(wang)行為(wei)嚴(yán)格控制(zhi)：

強大的管理(li)：通過應(yīng)(ying)用識別(bie)技術(shù)，可以根(gen)據(jù)應(yīng)用類(lei)型或者具體(ti)某一種(zhong)應(yīng)用進(jin)行封堵，包(bao)括視頻、論壇、游(you)戲、金(jin)融、下(xia)載等2400多種網(wǎng)絡(luò)(luo)應(yīng)用。

通過應(yīng)(ying)用識(shi)別技術(shù)，可(ke)以根據(jù)應(yīng)(ying)用類型(xing)或者具體某一(yi)種應(yīng)用(yong)進行封(feng)堵，比如上班(ban)時間不允(yun)許炒股，不允許(xu)P2P下載，不(bu)允許外發(fā)敏(min)感文件等； 支(zhi)持主流移動平(ping)臺，可識(shi)別IM、社交、Mail、新(xin)聞、炒股等(deng)應(yīng)用。

無線控制器內(nèi)(nei)置千萬級(ji)別的URL分類(lei)庫，能(neng)夠?qū)?dui)URL進行識(shi)別，包含新聞(wen)、購物、金融、教(jiao)育等(deng)18個種(zhong)類的(de)URL地址； 準(zhǔn)確(que)識別目前主流(liu)網(wǎng)站(zhan)，識別(bie)率高(gao)達99.9%，有效實現(xiàn)網(wǎng)(wang)頁過濾。例如禁(jin)止登陸非(fei)法網(wǎng)(wang)站

通過基于時間(jian)段的訪(fang)問控制(zhi)策略，實(shi)現(xiàn)不同的時間(jian)段不同的(de)訪問(wen)權(quán)限，比如(ru)上班(ban)時間，禁止(zhi)訪問網(wǎng)上銀行(xing)、游戲、論(lun)壇貼吧等與工(gong)作無關(guān)的(de)應(yīng)用(yong)，下班時間則(ze)不受限制。

辦公區(qū)域內(nèi)(nei)，不同辦公部門(men)總會有各自專(zhuan)屬的無線網(wǎng)(wang)絡(luò)，并且不希望(wang)部門之外的(de)成員使(shi)用這個網(wǎng)(wang)絡(luò)。無(wu)線網(wǎng)絡(luò)控(kong)制器可以(yi)根據(jù)用(yong)戶的屬性(xing)，限制禁止(zhi)非本部(bu)門的用(yong)戶接入。

典型無(wu)線網(wǎng)(wang)絡(luò)攻擊(ji)防護：

對典型的危(wei)險攻(gong)擊行為進行檢(jian)測，當(dāng)(dang)超過設(shè)定(ding)的閾值(zhi)后自動將攻(gong)擊者加(jia)入到(dao)黑名單(dan)中，并凍結(jié)一(yi)定時間，即時(shi)發(fā)現(xiàn)(xian)網(wǎng)絡(luò)攻擊并進(jin)行防御。

檢測的攻擊包(bao)括：DDOS防(fang)御、ARP掃描(miao)、IP掃描(miao)、端口掃(sao)描防御，禁止(zhi)客戶端私(si)設(shè)IP以(yi)及ARP、網(wǎng)關(guān)(guan)欺騙防御、DHCP請(qing)求泛洪防(fang)御。

無線射頻定時(shi)關(guān)閉開(kai)啟：

通過射頻關(guān)(guan)閉控制策略(lve)，可以指定某(mou)SSID網(wǎng)絡(luò)，定時(shi)自動關(guān)閉(bi)和開啟無線(xian)網(wǎng)絡(luò)的射頻(pin)信號，晚上(shang)下班后自動(dong)關(guān)閉無(wu)線射頻信號。

一方面可以(yi)節(jié)能減排、節(jié)省(sheng)電費支出(chu)；另一方面(mian)又能防止(zhi)非法(fa)用戶利用深(shen)夜時間入侵無(wu)線網(wǎng)絡(luò)(luo)，做一些非法(fa)的操作。

有線無線(xian)一體化(hua)管理：

NAC的有(you)線無線一(yi)體化(hua)，支持(chi)對有線用(yong)戶的接入(ru)認證(zheng)、訪問控制、流(liu)量管理、上網(wǎng)行(xing)為審(shen)計等，

并提供統(tǒng)(tong)一中文Web管理界(jie)面，一站式服(fu)務(wù)，極(ji)大的降(jiang)低網(wǎng)(wang)絡(luò)建設(shè)成本。

網(wǎng)絡(luò)分權(quán)(quan)分級管理：

分配不(bu)同的管(guan)理員分(fen)別管理各自(zi)權(quán)限區(qū)域的無(wu)線AP，可(ke)以精細到對(dui)某AP分組有管理(li)權(quán)限，該(gai)管理員可(ke)以在(zai)該AP分組上建(jian)立無線網(wǎng)絡(luò)，能(neng)夠激活、刪除接(jie)入點，能夠?qū)?dui)AP的配置(zhi)進行編輯修改(gai)。

可指定管理(li)員針對每個(ge)頁面的(de)編輯或可查看(kan)權(quán)限(xian)，控制粒度到(dao)控制器上的(de)各個頁(ye)面，對某個(ge)頁面(mian)沒有讀(du)權(quán)限則登錄時(shi)不顯示。

移動APP隨時隨(sui)地運維(wei)管理：

支持跨互(hu)聯(lián)網(wǎng)運維管理(li)

登陸APP進行維護(hu)管理：不同管理(li)員，不同(tong)權(quán)限

查看網(wǎng)絡(luò)運(yun)行情況：在線用(yong)戶、在線(xian)AP數(shù)量、實時流(liu)量

無線(xian)網(wǎng)絡(luò)管理維護(hu)：開啟關(guān)閉SSID、終端(duan)綁定審(shen)批、二維碼上(shang)網(wǎng)審(shen)核

故障、審批實時(shi)通知：AP離(li)線警告、服務(wù)(wu)器離線警告(gao)、網(wǎng)絡(luò)(luo)攻擊告警

方案優(yōu)勢：

1、最豐富(fu)的無線安(an)全機(ji)制，提供從(cong)安全接入到安(an)全上(shang)網(wǎng)等端到(dao)端的安全(quan)策略

2、合理(li)管控(kong)工作(zuo)人員上(shang)網(wǎng)行(xing)為，提升工(gong)作效率、防(fang)止帶(dai)寬浪費(fei)，有線(xian)無線雙重(zhong)管控

3、為會議室(shi)，報告廳等(deng)人員密集(ji)區(qū)域接入(ru)網(wǎng)絡(luò)提(ti)高保證，解(jie)決有線網(wǎng)口(kou)不足的問題(ti)；

4、為企業(yè)員工(gong)的移動辦公提(ti)供支撐，內(nèi)部(bu)員工可通過(guo)無線網(wǎng)絡(luò)隨(sui)時安全接入內(nèi)(nei)部網(wǎng)絡(luò)，實(shi)現(xiàn)辦公；

5、內(nèi)部員工(gong)賬號(hao)及個人信息(xi)綁定，便(bian)于安全管理(li)；

6、內(nèi)部(bu)員工可(ke)通過自己(ji)的辦公設(shè)備在(zai)企業(yè)大(da)樓內(nèi)快速移動(dong)辦公(gong)，網(wǎng)絡(luò)接入(ru)更快(kuai)速，上網(wǎng)(wang)行為管理系統(tǒng)(tong)對員工上(shang)網(wǎng)行為進行審(shen)計與管(guan)控

7、來訪客戶(hu)接入企業(yè)網(wǎng)絡(luò)(luo)，可根據(jù)不(bu)同需求，分配(pei)不同的上網(wǎng)(wang)權(quán)限(xian)，保證了(le)接入(ru)的安(an)全性同(tong)時提升群(qun)眾上網(wǎng)的體(ti)驗

8、豐富的認證機(ji)制，滿足組織(zhi)對無線網(wǎng)絡(luò)安(an)全、快(kuai)速接入

9、投資成(cheng)本低，通(tong)過部署無線(xian)控制(zhi)器替(ti)換原(yuan)有網(wǎng)絡(luò)(luo)的出(chu)口路由、行為管(guan)理以(yi)及無線控制(zhi)器