大型企業(yè)在無線網(wǎng)絡(luò)建設(shè)期間要充分考慮訪客(領(lǐng)導(dǎo)�����、客戶�、合作伙伴)接入網(wǎng)絡(luò)的需求�����。首先從安全性考慮����,訪客網(wǎng)絡(luò)必須要和辦公網(wǎng)絡(luò)分開,訪客網(wǎng)絡(luò)單獨提供給訪客使用���。從用戶體驗角度考慮��,訪客接入網(wǎng)絡(luò)的驗證方式一定要做到簡單易行���,繁瑣的驗證方式會降低訪客對企業(yè)的整體印象。同時對于訪客網(wǎng)絡(luò)��,企業(yè)還需要建立完善的網(wǎng)絡(luò)安全管理機制�,避免由于訪客的網(wǎng)絡(luò)不良訪問給企業(yè)帶來的法律風(fēng)險�����。對于企業(yè)員工移動辦公上網(wǎng)��,更需要做到可管控,上網(wǎng)行為做到可追溯����,企業(yè)有效的帶寬資源得到合理的分配和保證,才能使企業(yè)的業(yè)務(wù)系統(tǒng)正常且穩(wěn)定高效地運行���,同時保證企業(yè)信息安全���,避免機密信息泄露。
存在的問題(用戶需求)
1��、接入不安全:缺乏安全可靠的認(rèn)證機制,企業(yè)無線網(wǎng)絡(luò)接入不安全
2��、上網(wǎng)權(quán)限混亂:缺乏有效的控制策略����,員工上網(wǎng)權(quán)限不分明
3��、數(shù)據(jù)信息安全:缺乏有效的數(shù)據(jù)加密機制,企業(yè)數(shù)據(jù)被黑客竊取篡改
4�����、無線信號差:AP性能不佳�����,上網(wǎng)總掉線,點位規(guī)劃不合理,信號盲區(qū)多
5�����、漫游效果差:不能實現(xiàn)二三層漫游,移動辦公時����,業(yè)務(wù)中斷
解決方案:
結(jié)合用戶無線網(wǎng)絡(luò)需求情況�����,結(jié)合產(chǎn)品自身技術(shù)特點��,為了滿足用戶構(gòu)建一個高速���、穩(wěn)定�、安全����、可靠、易于管理的無線接入網(wǎng)絡(luò)的需求����,本設(shè)計方案按照AP+AC的結(jié)構(gòu)化無線網(wǎng)絡(luò)解決方案進(jìn)行設(shè)計���。具體設(shè)計為在總部設(shè)置總部AC,在大型分支機構(gòu)設(shè)置分支AC與分支AP,中型分支機構(gòu)設(shè)計二級�,三級交換機,分支AP�����。小微型分支機構(gòu)直接設(shè)置分支AP�����?�?偛緼C可以對大型分支機構(gòu)的AC進(jìn)行管理�,當(dāng)網(wǎng)點控制器采用集中管理的模式進(jìn)入到中心端控制器時,會自動下載中心端的公共配置��,比如IP組����、MAC地址庫、時間計劃�、角色授權(quán)�����、認(rèn)證頁面等 �����?�?偛緼C也可以直接管理中小型分支機構(gòu)的分支AP�����,實現(xiàn)統(tǒng)一管理。
方案設(shè)計:
安全無線整體解決方案:
接入前&接入時進(jìn)行身份認(rèn)證�、安全無線網(wǎng)卡、賬號綁定(硬件碼+手機號)���,非法熱點檢測及防御�、網(wǎng)絡(luò)攻擊防護(hù)����、射頻定時關(guān)閉及安全加固。
接入后&上網(wǎng)時進(jìn)行訪問權(quán)限控制���。
上網(wǎng)后進(jìn)行上網(wǎng)行為記錄����。
上網(wǎng)用戶身份實名認(rèn)證:
無線辦公網(wǎng)采用802.1X/Portal/WAPI認(rèn)證,外置AAA和RADIUS+AD用于存儲用戶賬號密碼�。
每個賬號對應(yīng)一個員工,包括姓名���、部門��、性別以及身份證�、手機號等個人信息��,保證每個上網(wǎng)的賬號都是可尋的��,便于安全管理���。
用戶輸入賬號密碼上網(wǎng)驗證時均采用加密傳輸�����,防止黑客空中攔截����,竊取賬號密碼等數(shù)據(jù)。
上網(wǎng)賬號自動綁定終端:
自動將賬號與終端的硬件特征碼進(jìn)行綁定��,防止賬號被他人使用或者被盜用�。
每臺設(shè)備的硬件特征碼是唯一的,無法通過軟件修改����。即使通過軟件修改了仍然可以識別原始的。
每個賬號最多可以綁定5臺終端�,超過1臺時需要管理員審核。
上網(wǎng)賬號二次綁定手機號碼:
賬號首次登陸時需要綁定手機號并輸入短信驗證碼�,當(dāng)用戶賬號在新終端登陸時(換終端/被他用/被盜),不僅需要輸入密碼�����,還需要輸入短信驗證碼����,解決員工賬號認(rèn)證的安全問題
綁定手機號碼的用戶�,可以自助重置密碼和修改密碼,無需通過IT管理員���。
用戶密碼管理及自助修改:
無需通過管理員即可修改密碼���,提高效率及減輕管理員工作壓力��。
通過口袋助理�、釘釘���、企業(yè)號等手機MOA類APP軟件進(jìn)行無線密碼修改�。
若賬號綁定了手機號碼�����,可通過手機驗證碼自助修改��。
上網(wǎng)終端合法效驗:
采用安全無線網(wǎng)卡接入無線網(wǎng)絡(luò)��,終端與AP熱點的雙向驗證���,提高安全性��。
可以將無線網(wǎng)絡(luò)設(shè)置為只有安裝了安全無線網(wǎng)卡的終端才能接入無線網(wǎng)絡(luò)�����。
支持設(shè)置安全無線網(wǎng)卡只能連指定SSID無線網(wǎng)絡(luò)��,無法連接非授權(quán)SSID�。
網(wǎng)卡與AP數(shù)據(jù)傳輸時自動進(jìn)行數(shù)據(jù)加密,保證無線的空口安全���。
無線熱點掃描及非法熱點抑制:
背景:黑客在附近搭建一個一模一樣或者類似的WIFI名稱��,誘使用戶連到虛假釣魚WIFI上�����,黑客利用分析軟件從用戶上網(wǎng)產(chǎn)生的數(shù)據(jù)包中分析提取用戶隱私信息����。
我們通過WIPS無線入侵防御系統(tǒng)實時檢測周圍無線信號��,當(dāng)檢測出來的信號BSSID�、且AP源MAC地址不在授權(quán)列表中時�����,我們向?qū)?yīng)的AP和終端發(fā)送解除關(guān)聯(lián)幀����,讓終端無法連上釣魚WIFI�。7×24小時不間斷監(jiān)測網(wǎng)絡(luò)����。
上網(wǎng)行為嚴(yán)格控制:
強大的管理:通過應(yīng)用識別技術(shù),可以根據(jù)應(yīng)用類型或者具體某一種應(yīng)用進(jìn)行封堵����,包括視頻、論壇�����、游戲�����、金融�����、下載等2400多種網(wǎng)絡(luò)應(yīng)用��。
通過應(yīng)用識別技術(shù)���,可以根據(jù)應(yīng)用類型或者具體某一種應(yīng)用進(jìn)行封堵�����,比如上班時間不允許炒股����,不允許P2P下載,不允許外發(fā)敏感文件等����; 支持主流移動平臺,可識別IM����、社交、Mail�����、新聞�����、炒股等應(yīng)用����。
無線控制器內(nèi)置千萬級別的URL分類庫,能夠?qū)RL進(jìn)行識別���,包含新聞����、購物��、金融����、教育等18個種類的URL地址; 準(zhǔn)確識別目前主流網(wǎng)站��,識別率高達(dá)99.9%�,有效實現(xiàn)網(wǎng)頁過濾。例如禁止登陸非法網(wǎng)站
通過基于時間段的訪問控制策略����,實現(xiàn)不同的時間段不同的訪問權(quán)限,比如上班時間�����,禁止訪問網(wǎng)上銀行、游戲�����、論壇貼吧等與工作無關(guān)的應(yīng)用�����,下班時間則不受限制����。
辦公區(qū)域內(nèi),不同辦公部門總會有各自專屬的無線網(wǎng)絡(luò)����,并且不希望部門之外的成員使用這個網(wǎng)絡(luò)。無線網(wǎng)絡(luò)控制器可以根據(jù)用戶的屬性�,限制禁止非本部門的用戶接入。
典型無線網(wǎng)絡(luò)攻擊防護(hù):
對典型的危險攻擊行為進(jìn)行檢測����,當(dāng)超過設(shè)定的閾值后自動將攻擊者加入到黑名單中,并凍結(jié)一定時間�����,即時發(fā)現(xiàn)網(wǎng)絡(luò)攻擊并進(jìn)行防御。
檢測的攻擊包括:DDOS防御���、ARP掃描、IP掃描��、端口掃描防御��,禁止客戶端私設(shè)IP以及ARP����、網(wǎng)關(guān)欺騙防御、DHCP請求泛洪防御�����。
無線射頻定時關(guān)閉開啟:
通過射頻關(guān)閉控制策略���,可以指定某SSID網(wǎng)絡(luò)���,定時自動關(guān)閉和開啟無線網(wǎng)絡(luò)的射頻信號,晚上下班后自動關(guān)閉無線射頻信號��。
一方面可以節(jié)能減排�����、節(jié)省電費支出;另一方面又能防止非法用戶利用深夜時間入侵無線網(wǎng)絡(luò)�����,做一些非法的操作����。
有線無線一體化管理:
NAC的有線無線一體化,支持對有線用戶的接入認(rèn)證����、訪問控制、流量管理��、上網(wǎng)行為審計等�,
并提供統(tǒng)一中文Web管理界面,一站式服務(wù)�����,極大的降低網(wǎng)絡(luò)建設(shè)成本��。
網(wǎng)絡(luò)分權(quán)分級管理:
分配不同的管理員分別管理各自權(quán)限區(qū)域的無線AP�����,可以精細(xì)到對某AP分組有管理權(quán)限,該管理員可以在該AP分組上建立無線網(wǎng)絡(luò)����,能夠激活����、刪除接入點,能夠?qū)P的配置進(jìn)行編輯修改�����。
可指定管理員針對每個頁面的編輯或可查看權(quán)限��,控制粒度到控制器上的各個頁面�,對某個頁面沒有讀權(quán)限則登錄時不顯示。
移動APP隨時隨地運維管理:
支持跨互聯(lián)網(wǎng)運維管理
登陸APP進(jìn)行維護(hù)管理:不同管理員����,不同權(quán)限
查看網(wǎng)絡(luò)運行情況:在線用戶、在線AP數(shù)量����、實時流量
無線網(wǎng)絡(luò)管理維護(hù):開啟關(guān)閉SSID�����、終端綁定審批���、二維碼上網(wǎng)審核
故障、審批實時通知:AP離線警告��、服務(wù)器離線警告���、網(wǎng)絡(luò)攻擊告警
方案優(yōu)勢:
1���、最豐富的無線安全機制,提供從安全接入到安全上網(wǎng)等端到端的安全策略
2�、合理管控工作人員上網(wǎng)行為,提升工作效率��、防止帶寬浪費���,有線無線雙重管控
3�、為會議室���,報告廳等人員密集區(qū)域接入網(wǎng)絡(luò)提高保證�,解決有線網(wǎng)口不足的問題;
4�����、為企業(yè)員工的移動辦公提供支撐�����,內(nèi)部員工可通過無線網(wǎng)絡(luò)隨時安全接入內(nèi)部網(wǎng)絡(luò)��,實現(xiàn)辦公���;
5、內(nèi)部員工賬號及個人信息綁定����,便于安全管理;
6�、內(nèi)部員工可通過自己的辦公設(shè)備在企業(yè)大樓內(nèi)快速移動辦公,網(wǎng)絡(luò)接入更快速�,上網(wǎng)行為管理系統(tǒng)對員工上網(wǎng)行為進(jìn)行審計與管控
7、來訪客戶接入企業(yè)網(wǎng)絡(luò)���,可根據(jù)不同需求����,分配不同的上網(wǎng)權(quán)限,保證了接入的安全性同時提升群眾上網(wǎng)的體驗
8�、豐富的認(rèn)證機制,滿足組織對無線網(wǎng)絡(luò)安全�、快速接入
9、投資成本低���,通過部署無線控制器替換原有網(wǎng)絡(luò)的出口路由��、行為管理以及無線控制器
