?
大型企業(yè)在無(wu)線網(wǎng)絡建(jian)設期(qi)間要(yao)充分考慮訪客(ke)(領導����、客戶(hu)��、合作伙伴)接(jie)入網(wǎng)(wang)絡的需求(qiu)。首先從安全性(xing)考慮���,訪客網(wǎng)絡(luo)必須要和辦公(gong)網(wǎng)絡分開�,訪(fang)客網(wǎng)絡單獨(du)提供給(gei)訪客使用����。從(cong)用戶體驗(yan)角度考慮(lv),訪客接入(ru)網(wǎng)絡(luo)的驗證方式一(yi)定要(yao)做到簡單易行(xing)�����,繁瑣(suo)的驗證方(fang)式會降低訪客(ke)對企業(yè)(ye)的整體(ti)印象。同(tong)時對于訪(fang)客網(wǎng)絡�,企業(yè)(ye)還需要建立(li)完善的(de)網(wǎng)絡安全(quan)管理機制,避(bi)免由于訪客的(de)網(wǎng)絡不良訪(fang)問給(gei)企業(yè)(ye)帶來(lai)的法律風(feng)險��。對(dui)于企業(yè)員(yuan)工移動辦公上(shang)網(wǎng)��,更需要(yao)做到可管(guan)控�,上(shang)網(wǎng)行為做(zuo)到可追溯(su)��,企業(yè)有(you)效的(de)帶寬資源得(de)到合(he)理的分配和保(bao)證���,才能使企(qi)業(yè)的業(yè)(ye)務系統(tǒng)(tong)正常且穩(wěn)定高(gao)效地運行(xing)����,同時保證(zheng)企業(yè)信(xin)息安(an)全���,避免機密信(xin)息泄露�����。
存在的(de)問題(用(yong)戶需(xu)求)
1��、接入不(bu)安全(quan):缺乏安全(quan)可靠的(de)認證機制����,企(qi)業(yè)無線網(wǎng)絡(luo)接入不(bu)安全(quan)
2、上網(wǎng)(wang)權限混亂:缺乏(fa)有效的(de)控制策(ce)略���,員工上網(wǎng)(wang)權限不分明(ming)
3�、數(shù)據(jù)(ju)信息安全:缺(que)乏有效(xiao)的數(shù)據(jù)加(jia)密機制(zhi)�����,企業(yè)(ye)數(shù)據(jù)被黑客竊(qie)取篡(cuan)改
4��、無線信號差(cha):AP性能不佳�����,上(shang)網(wǎng)總掉線����,點位(wei)規(guī)劃不合理(li),信號盲(mang)區(qū)多
5�、漫游效果差(cha):不能實現(xiàn)二(er)三層漫(man)游,移動辦公(gong)時����,業(yè)務(wu)中斷
解決方案(an):
結合用戶無線(xian)網(wǎng)絡需(xu)求情況(kuang)�����,結合產(chǎn)(chan)品自(zi)身技(ji)術特點����,為(wei)了滿足(zu)用戶(hu)構建一個(ge)高速���、穩(wěn)(wen)定、安全�、可(ke)靠����、易于(yu)管理(li)的無線接入(ru)網(wǎng)絡的需(xu)求�����,本設計方案(an)按照AP+AC的結構化(hua)無線網(wǎng)絡解(jie)決方案進(jin)行設計��。具體設(she)計為在(zai)總部(bu)設置總部(bu)AC,在大型分支(zhi)機構(gou)設置分支(zhi)AC與分支AP���,中(zhong)型分支機構(gou)設計二級(ji),三級交(jiao)換機(ji)��,分支AP。小微型分(fen)支機構(gou)直接(jie)設置分(fen)支AP�����?���?偛?bu)AC可以對(dui)大型分支機構(gou)的AC進行管理,當(dang)網(wǎng)點控制器采(cai)用集中(zhong)管理(li)的模式進(jin)入到中心(xin)端控(kong)制器時�,會自動(dong)下載中心端(duan)的公共配置,比(bi)如IP組(zu)�、MAC地址(zhi)庫、時間(jian)計劃�����、角(jiao)色授權���、認(ren)證頁面等(deng) �����?�?偛緼C也可(ke)以直(zhi)接管理(li)中小型(xing)分支機構的(de)分支(zhi)AP���,實現(xiàn)統(tǒng)一(yi)管理�。
方案設計:
安全無(wu)線整體解(jie)決方案(an):
接入前&接入(ru)時進行(xing)身份認(ren)證�����、安全無線(xian)網(wǎng)卡���、賬號(hao)綁定(硬件碼+手(shou)機號)���,非法(fa)熱點檢測(ce)及防(fang)御、網(wǎng)絡攻擊防(fang)護�、射頻定時(shi)關閉及(ji)安全(quan)加固。
接入后&上網(wǎng)(wang)時進行(xing)訪問權(quan)限控制(zhi)����。
上網(wǎng)(wang)后進行上網(wǎng)(wang)行為記錄。
上網(wǎng)用戶身(shen)份實名(ming)認證(zheng):
無線(xian)辦公網(wǎng)采(cai)用802.1X/Portal/WAPI認證���,外(wai)置AAA和RADIUS+AD用(yong)于存(cun)儲用戶(hu)賬號密碼(ma)���。
每個賬號對應(ying)一個員工(gong),包括姓名(ming)�、部門����、性別以(yi)及身份證(zheng)����、手機(ji)號等(deng)個人(ren)信息��,保證每個(ge)上網(wǎng)的賬號(hao)都是可尋的(de)���,便于安全管理(li)�����。
用戶輸(shu)入賬號(hao)密碼上網(wǎng)(wang)驗證時均采用(yong)加密傳輸�,防止(zhi)黑客空(kong)中攔截(jie)�,竊取賬號密碼(ma)等數(shù)(shu)據(jù)。
上網(wǎng)賬(zhang)號自動(dong)綁定終(zhong)端:
自動(dong)將賬號與(yu)終端的硬件(jian)特征碼進行(xing)綁定(ding)�����,防止賬(zhang)號被他人使(shi)用或(huo)者被盜(dao)用�。
每臺設(she)備的硬件特(te)征碼是(shi)唯一的,無(wu)法通(tong)過軟件(jian)修改�����。即使通(tong)過軟件修改了(le)仍然(ran)可以識別原(yuan)始的(de)。
每個(ge)賬號最多可以(yi)綁定5臺終端(duan)���,超過1臺時需(xu)要管理(li)員審核���。
上網(wǎng)賬(zhang)號二次綁定手(shou)機號碼:
賬號(hao)首次(ci)登陸(lu)時需要綁定(ding)手機(ji)號并(bing)輸入短信(xin)驗證碼,當(dang)用戶賬號(hao)在新終端(duan)登陸(lu)時(換終端(duan)/被他(ta)用/被盜(dao))��,不僅(jin)需要輸(shu)入密碼����,還(hai)需要輸入短信(xin)驗證碼,解決(jue)員工(gong)賬號認證的(de)安全問題(ti)
綁定手機號碼(ma)的用戶���,可以自(zi)助重(zhong)置密(mi)碼和(he)修改密碼��,無需(xu)通過IT管理員(yuan)��。
用戶密碼管(guan)理及自助修改(gai):
無需通過(guo)管理員即(ji)可修改密(mi)碼����,提(ti)高效率及減輕(qing)管理員工作(zuo)壓力�。
通過口袋助(zhu)理���、釘釘、企業(yè)(ye)號等手機MOA類APP軟(ruan)件進行無線(xian)密碼(ma)修改��。
若賬(zhang)號綁(bang)定了手(shou)機號碼���,可(ke)通過手(shou)機驗證碼(ma)自助修改。
上網(wǎng)終(zhong)端合法效驗:
采用安全無(wu)線網(wǎng)卡接入無(wu)線網(wǎng)絡�,終(zhong)端與AP熱(re)點的雙向驗證(zheng),提高(gao)安全(quan)性�。
可以將(jiang)無線(xian)網(wǎng)絡設(she)置為只(zhi)有安(an)裝了安(an)全無線網(wǎng)卡的(de)終端(duan)才能接入無(wu)線網(wǎng)(wang)絡。
支持設(she)置安全無線(xian)網(wǎng)卡只能連(lian)指定SSID無線(xian)網(wǎng)絡�����,無法(fa)連接非授(shou)權SSID����。
網(wǎng)卡與AP數(shù)據(jù)(ju)傳輸時自動(dong)進行(xing)數(shù)據(jù)(ju)加密,保證無(wu)線的空(kong)口安全(quan)�。
無線熱點掃(sao)描及(ji)非法(fa)熱點抑制(zhi):
背景(jing):黑客在附(fu)近搭建一個(ge)一模一樣或者(zhe)類似的WIFI名稱,誘(you)使用戶(hu)連到虛(xu)假釣魚WIFI上(shang)���,黑客利用分(fen)析軟件(jian)從用戶上(shang)網(wǎng)產(chǎn)(chan)生的數(shù)據(jù)包中(zhong)分析提(ti)取用戶(hu)隱私信息�����。
我們(men)通過(guo)WIPS無線入侵(qin)防御系統(tǒng)實時(shi)檢測周(zhou)圍無(wu)線信號(hao)����,當檢測(ce)出來的信號(hao)BSSID、且AP源MAC地址(zhi)不在(zai)授權列表中(zhong)時����,我們向?qū)?ying)的AP和終(zhong)端發(fā)送解(jie)除關(guan)聯(lián)幀,讓終端無(wu)法連(lian)上釣魚(yu)WIFI��。7×24小時不(bu)間斷監(jiān)測(ce)網(wǎng)絡���。
上網(wǎng)行(xing)為嚴格控制(zhi):
強大的管理:通(tong)過應(ying)用識別技術���,可(ke)以根據(jù)應用類(lei)型或者具(ju)體某(mou)一種應用進(jin)行封(feng)堵,包括視頻�、論(lun)壇、游戲(xi)����、金融、下載等2400多(duo)種網(wǎng)絡應用(yong)�����。
通過(guo)應用識別技(ji)術,可以根據(jù)應(ying)用類型或者具(ju)體某一(yi)種應用(yong)進行封堵��,比如(ru)上班(ban)時間不允許炒(chao)股����,不允許P2P下(xia)載����,不允(yun)許外發(fā)敏感(gan)文件等; 支(zhi)持主流移(yi)動平臺����,可識別(bie)IM、社交�、Mail、新聞(wen)���、炒股(gu)等應用��。
無線(xian)控制器(qi)內(nèi)置千萬級(ji)別的URL分(fen)類庫��,能夠?qū)RL進(jin)行識別�����,包含新(xin)聞����、購物、金(jin)融����、教育等18個(ge)種類的URL地址; 準(zhun)確識(shi)別目前主流(liu)網(wǎng)站(zhan)�,識別率高(gao)達99.9%,有效實現(xiàn)網(wǎng)(wang)頁過濾(lv)����。例如禁止(zhi)登陸非法網(wǎng)站(zhan)
通過基于時間(jian)段的訪問控制(zhi)策略,實現(xiàn)(xian)不同(tong)的時間段不同(tong)的訪問權限(xian)���,比如上班時(shi)間��,禁止訪(fang)問網(wǎng)(wang)上銀行��、游戲�����、論(lun)壇貼吧等與工(gong)作無關的應(ying)用��,下(xia)班時(shi)間則不(bu)受限制�����。
辦公區(qū)域(yu)內(nèi)���,不同辦公(gong)部門(men)總會有各自專(zhuan)屬的無線(xian)網(wǎng)絡(luo)�,并且不希(xi)望部門之外的(de)成員使用(yong)這個網(wǎng)(wang)絡���。無線網(wǎng)絡(luo)控制器可(ke)以根據(jù)用戶(hu)的屬性,限制(zhi)禁止非本(ben)部門的用戶(hu)接入�。
典型無線網(wǎng)(wang)絡攻擊(ji)防護:
對典(dian)型的危險攻(gong)擊行為進行(xing)檢測,當超過(guo)設定的閾值后(hou)自動將(jiang)攻擊(ji)者加入到黑(hei)名單中����,并凍結(jie)一定(ding)時間,即(ji)時發(fā)現(xiàn)(xian)網(wǎng)絡攻擊(ji)并進行防御(yu)���。
檢測的攻擊(ji)包括:DDOS防御(yu)�����、ARP掃描��、IP掃描�����、端口(kou)掃描防(fang)御���,禁止客(ke)戶端(duan)私設IP以(yi)及ARP�、網(wǎng)關欺(qi)騙防御���、DHCP請求泛(fan)洪防御���。
無線射頻定(ding)時關閉開啟(qi):
通過(guo)射頻關(guan)閉控制策略,可(ke)以指定某SSID網(wǎng)(wang)絡�����,定時自動關(guan)閉和開啟無(wu)線網(wǎng)絡的(de)射頻信號��,晚上(shang)下班后自動關(guan)閉無線射頻(pin)信號�。
一方面(mian)可以(yi)節(jié)能減(jian)排���、節(jié)省電費支(zhi)出;另一方面(mian)又能防(fang)止非法用戶(hu)利用深夜時間(jian)入侵無(wu)線網(wǎng)(wang)絡��,做一(yi)些非法(fa)的操(cao)作�����。
有線無(wu)線一體化管(guan)理:
NAC的有線(xian)無線一體化(hua)��,支持對有(you)線用戶的接入(ru)認證(zheng)�、訪問控(kong)制、流(liu)量管理����、上(shang)網(wǎng)行為(wei)審計等(deng),
并提供統(tǒng)一(yi)中文Web管理(li)界面(mian)����,一站式服務��,極(ji)大的降低(di)網(wǎng)絡建設成(cheng)本����。
網(wǎng)絡分權分級(ji)管理:
分配不同的(de)管理員(yuan)分別管理各(ge)自權限區(qū)(qu)域的無線(xian)AP,可以精細(xi)到對某(mou)AP分組(zu)有管(guan)理權(quan)限,該管理(li)員可以(yi)在該(gai)AP分組上建(jian)立無(wu)線網(wǎng)(wang)絡����,能(neng)夠激活、刪除(chu)接入點��,能夠(gou)對AP的配置進行(xing)編輯修(xiu)改���。
可指(zhi)定管(guan)理員針對每個(ge)頁面的編輯(ji)或可查看權(quan)限����,控制(zhi)粒度到控制器(qi)上的各(ge)個頁面���,對某個(ge)頁面沒有(you)讀權限則登(deng)錄時不顯(xian)示�����。
移動APP隨(sui)時隨地(di)運維(wei)管理:
支持跨(kua)互聯(lián)(lian)網(wǎng)運維管(guan)理
登陸APP進行維護(hu)管理:不同管(guan)理員�,不同(tong)權限
查看網(wǎng)(wang)絡運行(xing)情況:在線用戶(hu)��、在線AP數(shù)量(liang)�、實時流量
無線網(wǎng)絡管(guan)理維護:開啟(qi)關閉(bi)SSID、終端綁定審(shen)批���、二維(wei)碼上網(wǎng)審(shen)核
故障�、審(shen)批實時通(tong)知:AP離(li)線警告、服務(wu)器離線(xian)警告���、網(wǎng)(wang)絡攻(gong)擊告警(jing)
方案優(yōu)勢:
1��、最豐富(fu)的無線安全機(ji)制�,提供(gong)從安全接入(ru)到安全(quan)上網(wǎng)等(deng)端到端的安(an)全策略
2����、合理管控工(gong)作人(ren)員上網(wǎng)行(xing)為,提升工作效(xiao)率�����、防止帶寬浪(lang)費��,有線無(wu)線雙重管控(kong)
3���、為會議室(shi)����,報告(gao)廳等人員密集(ji)區(qū)域接入網(wǎng)(wang)絡提高保(bao)證��,解決(jue)有線網(wǎng)口(kou)不足的問(wen)題���;
4�����、為企業(yè)員工(gong)的移動辦公(gong)提供支撐��,內(nèi)(nei)部員工(gong)可通過無(wu)線網(wǎng)絡隨(sui)時安(an)全接入(ru)內(nèi)部網(wǎng)(wang)絡����,實現(xiàn)(xian)辦公����;
5、內(nèi)部員工賬號(hao)及個(ge)人信(xin)息綁定����,便(bian)于安(an)全管理(li);
6���、內(nèi)部員工(gong)可通(tong)過自己(ji)的辦(ban)公設備在企業(yè)(ye)大樓內(nèi)快速(su)移動辦(ban)公��,網(wǎng)(wang)絡接入更快速(su)����,上網(wǎng)行(xing)為管理系統(tǒng)(tong)對員工(gong)上網(wǎng)行為(wei)進行審計(ji)與管控(kong)
7、來訪客戶(hu)接入企業(yè)網(wǎng)絡(luo)����,可根據(jù)(ju)不同需求,分(fen)配不(bu)同的上網(wǎng)權限(xian)�����,保證了接(jie)入的安全(quan)性同(tong)時提升群(qun)眾上(shang)網(wǎng)的(de)體驗
8����、豐富的認證(zheng)機制,滿(man)足組織對(dui)無線網(wǎng)絡(luo)安全(quan)�����、快速接入
9�����、投資成本低�,通(tong)過部署無(wu)線控(kong)制器(qi)替換(huan)原有網(wǎng)絡的(de)出口(kou)路由、行為(wei)管理以及(ji)無線控制器(qi)
