行業(yè)背景
大型企業(yè)在無(wú)線(xiàn)網(wǎng)絡(luò)建設(shè)期間要充分考慮訪(fǎng)客(領(lǐng)導(dǎo)、客戶(hù)����、合作伙伴)接入網(wǎng)絡(luò)的需求。首先從安全性考慮����,訪(fǎng)客網(wǎng)絡(luò)必需要和辦公網(wǎng)絡(luò)分開(kāi)�����,訪(fǎng)客網(wǎng)絡(luò)單獨(dú)提供應(yīng)訪(fǎng)客使用��。從用戶(hù)體驗(yàn)角度考慮��,訪(fǎng)客接入網(wǎng)絡(luò)的驗(yàn)證方式一定要做到簡(jiǎn)樸易行�����,繁瑣的驗(yàn)證方式會(huì)降低訪(fǎng)客對(duì)企業(yè)的整體印象��。同時(shí)對(duì)于訪(fǎng)客網(wǎng)絡(luò)��,企業(yè)還需要建立完善的網(wǎng)絡(luò)安全治理機(jī)制�,避免因?yàn)樵L(fǎng)客的網(wǎng)絡(luò)不良訪(fǎng)問(wèn)給企業(yè)帶來(lái)的法律風(fēng)險(xiǎn)��。對(duì)于企業(yè)員工移動(dòng)辦公上網(wǎng)�,更需要做到可管控,上網(wǎng)行為做到可追溯��,企業(yè)有效的帶寬資源得到公道的分配和保證��,才能使企業(yè)的業(yè)務(wù)系統(tǒng)正常且不亂高效地運(yùn)行,同時(shí)保證企業(yè)信息安全�����,避免秘要信息泄露���。
存在的問(wèn)題(用戶(hù)需求)
1�����、接入不安全:缺乏安全可靠的認(rèn)證機(jī)制,企業(yè)無(wú)線(xiàn)網(wǎng)絡(luò)接入不安全��;
2�����、上網(wǎng)權(quán)限混亂:缺乏有效的控制策略���,員工上網(wǎng)權(quán)限不分明��;
3����、數(shù)據(jù)信息安全:缺乏有效的數(shù)據(jù)加密機(jī)制,企業(yè)數(shù)據(jù)被黑客竊取篡改�;
4、無(wú)線(xiàn)信號(hào)差:AP機(jī)能不佳��,上網(wǎng)總掉線(xiàn)�����,點(diǎn)位規(guī)劃不公道��,信號(hào)盲區(qū)多��;
5���、周游效果差:不能實(shí)現(xiàn)二三層周游���,移動(dòng)辦公時(shí),業(yè)務(wù)間斷�����。
解決方案:
結(jié)適用戶(hù)無(wú)線(xiàn)網(wǎng)絡(luò)需求情況����,結(jié)合一飛產(chǎn)品自身技術(shù)特點(diǎn)�����,為了滿(mǎn)足用戶(hù)構(gòu)建一個(gè)高速�����、穩(wěn)定���、安全、可靠�����、易于治理的無(wú)線(xiàn)接入網(wǎng)絡(luò)的需求����,本設(shè)計(jì)方案按照AP+AC的結(jié)構(gòu)化無(wú)線(xiàn)網(wǎng)絡(luò)解決方案進(jìn)行設(shè)計(jì)�����。詳細(xì)設(shè)計(jì)為在總部設(shè)置總部AC,在大型分支機(jī)構(gòu)設(shè)置分支AC與分支AP�,中型分支機(jī)構(gòu)設(shè)計(jì)二級(jí),三級(jí)交換機(jī)���,分支AP�。小微型分支機(jī)構(gòu)直接設(shè)置分支AP?�?偛緼C可以對(duì)大型分支機(jī)構(gòu)的AC進(jìn)行治理�,當(dāng)網(wǎng)點(diǎn)控制器采用集中治理的模式進(jìn)入到中央端控制器時(shí),會(huì)自動(dòng)下載中央真?zhèn)€公共配置�����,好比IP組��、MAC地址庫(kù)����、時(shí)間計(jì)劃、角色授權(quán)�、認(rèn)證頁(yè)面等
?����?偛緼C也可以直接治理中小型分支機(jī)構(gòu)的分支AP��,實(shí)現(xiàn)同一治理����。
方案設(shè)計(jì):
安全無(wú)線(xiàn)整體解決方案:
接入前&接入時(shí)進(jìn)行身份認(rèn)證�、信銳安全無(wú)線(xiàn)網(wǎng)卡���、賬號(hào)綁定(硬件碼+手機(jī)號(hào))���,非法熱門(mén)檢測(cè)及防備、網(wǎng)絡(luò)攻擊防護(hù)����、射頻定時(shí)封閉及安全加固。
接入后&上網(wǎng)時(shí)進(jìn)行訪(fǎng)問(wèn)權(quán)限控制�����。
上網(wǎng)后進(jìn)行上網(wǎng)行為記實(shí)���。
上網(wǎng)用戶(hù)身份實(shí)名認(rèn)證:
無(wú)線(xiàn)辦公網(wǎng)采用802.1X/Portal/WAPI認(rèn)證,外置AAA和RADIUS+AD用于存儲(chǔ)用戶(hù)賬號(hào)密碼���。
每個(gè)賬號(hào)對(duì)應(yīng)一個(gè)員工����,包括姓名、部分����、性別以及身份證、手機(jī)號(hào)等個(gè)人信息�����,保證每個(gè)上網(wǎng)的賬號(hào)都是可尋的����,便于安全治理。
用戶(hù)輸入賬號(hào)密碼上網(wǎng)驗(yàn)證時(shí)均采用加密傳輸�,防止黑客空中攔截,竊取賬號(hào)密碼等數(shù)據(jù)��。
上網(wǎng)賬號(hào)自動(dòng)綁定終端:
自動(dòng)將賬號(hào)與終真?zhèn)€硬件特征碼進(jìn)行綁定����,防止賬號(hào)被他人使用或者被盜用。
每臺(tái)設(shè)備的硬件特征碼是獨(dú)一的��,無(wú)法通過(guò)軟件修改����,即使通過(guò)軟件修改了仍舊可以識(shí)別原始的MAC���。
每個(gè)賬號(hào)最多可以綁定5臺(tái)終端,超過(guò)1臺(tái)時(shí)需要治理員審核�。
上網(wǎng)賬號(hào)二次綁定手機(jī)號(hào)碼:
賬號(hào)首次登陸時(shí)需要綁定手機(jī)號(hào)并輸入短信驗(yàn)證碼,當(dāng)用戶(hù)賬號(hào)在新終端登陸時(shí)(換終端/被他用/被盜)����,不僅需要輸入密碼,還需要輸入短信驗(yàn)證碼���,解決員工賬號(hào)認(rèn)證的安全題目
綁定手機(jī)號(hào)碼的用戶(hù)���,可以自助重置密碼和修改密碼,無(wú)需通過(guò)IT治理員����。
用戶(hù)密碼治理及自助修改:
無(wú)需通過(guò)治理員即可修改密碼,進(jìn)步效率及減輕治理員工作壓力�����。
通過(guò)口袋助理�����、釘釘�、企業(yè)號(hào)等手機(jī)MOA類(lèi)APP軟件進(jìn)行無(wú)線(xiàn)密碼修改。
若賬號(hào)綁定了手機(jī)號(hào)碼���,可通過(guò)手機(jī)驗(yàn)證碼自助修改�。
上網(wǎng)終端正當(dāng)效驗(yàn):
采用一飛安全無(wú)線(xiàn)網(wǎng)卡接入無(wú)線(xiàn)網(wǎng)絡(luò)�,終端與AP熱門(mén)的雙向驗(yàn)證,進(jìn)步安全性�。
可以將無(wú)線(xiàn)網(wǎng)絡(luò)設(shè)置為只有安裝了信銳安全無(wú)線(xiàn)網(wǎng)卡的終端才能接入無(wú)線(xiàn)網(wǎng)絡(luò)。
支持設(shè)置安全無(wú)線(xiàn)網(wǎng)卡只能連指定SSID無(wú)線(xiàn)網(wǎng)絡(luò)��,無(wú)法連接非授權(quán)SSID���。
一飛網(wǎng)卡與AP數(shù)據(jù)傳輸時(shí)自動(dòng)進(jìn)行數(shù)據(jù)加密����,保證無(wú)線(xiàn)的空口安全���。
無(wú)線(xiàn)熱門(mén)掃描及非法熱門(mén)按捺:
背景:黑客在四周搭建一個(gè)一模一樣或者類(lèi)似的WIFI名稱(chēng)��,誘使用戶(hù)連到虛假釣魚(yú)WIFI上�����,黑客利用分析軟件從用戶(hù)上網(wǎng)產(chǎn)生的數(shù)據(jù)包中分析提取用戶(hù)隱私信息��。
我們通過(guò)WIPS無(wú)線(xiàn)入侵防備系統(tǒng)實(shí)時(shí)檢測(cè)附近無(wú)線(xiàn)信號(hào)���,當(dāng)檢測(cè)出來(lái)的信號(hào)BSSID�、且AP源MAC地址不在授權(quán)列表中時(shí)��,我們向?qū)?yīng)的AP和終端發(fā)送解除聯(lián)系關(guān)系幀�,讓終端無(wú)法連上釣魚(yú)WIFI,7×24小時(shí)不中斷監(jiān)測(cè)網(wǎng)絡(luò)���。
上網(wǎng)行為嚴(yán)格控制:
強(qiáng)盛的治理:通過(guò)應(yīng)用識(shí)別技術(shù)����,可以根據(jù)應(yīng)用類(lèi)型或者詳細(xì)某一種應(yīng)用進(jìn)行封堵����,包括視頻、論壇��、游戲���、金融��、下載等4800多種網(wǎng)絡(luò)應(yīng)用�����。
通過(guò)應(yīng)用識(shí)別技術(shù)�,可以根據(jù)應(yīng)用類(lèi)型或者詳細(xì)某一種應(yīng)用進(jìn)行封堵��,好比上班時(shí)間不答應(yīng)炒股���,不答應(yīng)P2P下載����,不答應(yīng)外發(fā)敏感文件等�;
支持主流移動(dòng)平臺(tái),可識(shí)別IM���、社交����、Mail����、新聞�����、炒股等應(yīng)用�。
無(wú)線(xiàn)控制器內(nèi)置千萬(wàn)級(jí)別的URL分類(lèi)庫(kù)����,能夠?qū)RL進(jìn)行識(shí)別,包含新聞��、購(gòu)物�����、金融����、教育等18個(gè)種類(lèi)的URL地址;
正確識(shí)別目前主流網(wǎng)站�����,識(shí)別率高達(dá)99.9%���,有效實(shí)現(xiàn)網(wǎng)頁(yè)過(guò)濾���。例如禁止登陸非法網(wǎng)站
通過(guò)基于時(shí)間段的訪(fǎng)問(wèn)控制策略��,實(shí)現(xiàn)不同的時(shí)間段不同的訪(fǎng)問(wèn)權(quán)限,好比上班時(shí)間��,禁止訪(fǎng)問(wèn)網(wǎng)上銀行�����、游戲���、論壇貼吧等與工作無(wú)關(guān)的應(yīng)用����,放工時(shí)間則不受限制����。
辦公區(qū)域內(nèi),不同辦公部分總會(huì)有各自專(zhuān)屬的無(wú)線(xiàn)網(wǎng)絡(luò)�,并且不但愿部分之外的成員使用這個(gè)網(wǎng)絡(luò)。無(wú)線(xiàn)網(wǎng)絡(luò)控制器可以根據(jù)用戶(hù)的屬性�,限制禁止非本部分的用戶(hù)接入��。
典型無(wú)線(xiàn)網(wǎng)絡(luò)攻擊防護(hù):
對(duì)典型的危險(xiǎn)攻擊行為進(jìn)行檢測(cè)�,當(dāng)超過(guò)設(shè)定的閾值后自動(dòng)將攻擊者加入到黑名單中�����,并凍結(jié)一定時(shí)間���,即時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊并進(jìn)行防備�。
檢測(cè)的攻擊包括:DDOS防備�����、ARP掃描����、IP掃描、端口掃描防備�����,禁止客戶(hù)端私設(shè)IP以及ARP����、網(wǎng)關(guān)欺騙防備��、DHCP哀求泛洪防備����。
無(wú)線(xiàn)射頻定時(shí)封閉開(kāi)啟:
通過(guò)射頻封閉控制策略�,可以指定某SSID網(wǎng)絡(luò),定時(shí)自動(dòng)封閉和開(kāi)啟無(wú)線(xiàn)網(wǎng)絡(luò)的射頻信號(hào)�,晚上放工后自動(dòng)封閉無(wú)線(xiàn)射頻信號(hào)。
一方面可以節(jié)能減排��、節(jié)省電費(fèi)支出�����;另一方面又能防止非法用戶(hù)利用深夜時(shí)間入侵無(wú)線(xiàn)網(wǎng)絡(luò)���,做一些非法的操縱。
有線(xiàn)無(wú)線(xiàn)一體化治理:
一飛NAC的有線(xiàn)無(wú)線(xiàn)一體化�����,支持對(duì)有線(xiàn)用戶(hù)的接入認(rèn)證��、訪(fǎng)問(wèn)控制�、流量治理�、上網(wǎng)行為審計(jì)等����,
并提供同一中文Web治理界面,一站式服務(wù)��,極大的降低網(wǎng)絡(luò)建設(shè)本錢(qián)���。
網(wǎng)絡(luò)分權(quán)分級(jí)治理:
分配不同的治理員分別治理各自權(quán)限區(qū)域的無(wú)線(xiàn)AP��,可以精細(xì)到對(duì)某AP分組有治理權(quán)限�,該治理員可以在該AP分組上建立無(wú)線(xiàn)網(wǎng)絡(luò)���,能夠激活���、刪除接入點(diǎn),能夠?qū)P的配置進(jìn)行編纂修改�����。
可指定治理員針對(duì)每個(gè)頁(yè)面的編纂或可查看權(quán)限���,控制粒度到控制器上的各個(gè)頁(yè)面���,對(duì)某個(gè)頁(yè)面沒(méi)有讀權(quán)限則登錄時(shí)不顯示�。
移動(dòng)APP隨時(shí)隨地運(yùn)維治理:
支持跨互聯(lián)網(wǎng)運(yùn)維治理
登陸APP進(jìn)行維護(hù)治理:不同治理員���,不同權(quán)限
查看網(wǎng)絡(luò)運(yùn)行情況:在線(xiàn)用戶(hù)�����、在線(xiàn)AP數(shù)目��、實(shí)時(shí)流量
無(wú)線(xiàn)網(wǎng)絡(luò)治理維護(hù):開(kāi)啟封閉SSID�、終端綁定審批����、二維碼上網(wǎng)審核
故障�����、審批實(shí)時(shí)通知:AP離線(xiàn)警告����、服務(wù)器離線(xiàn)警告、網(wǎng)絡(luò)攻擊告警
方案優(yōu)勢(shì):
1���、豐碩的無(wú)線(xiàn)安全機(jī)制���,提供從安全接入到安全上網(wǎng)等端到真?zhèn)€安全策略
2�、公道管控工作職員上網(wǎng)行為�����,晉升工作效率����、防止帶寬鋪張,有線(xiàn)無(wú)線(xiàn)雙重管控
3�����、為會(huì)議室�����,講演廳等職員密集區(qū)域接入網(wǎng)絡(luò)進(jìn)步保證����,解決有線(xiàn)網(wǎng)口不足的題目;
4、為企業(yè)員工的移動(dòng)辦公提供支撐����,內(nèi)部員工可通過(guò)無(wú)線(xiàn)網(wǎng)絡(luò)隨時(shí)安全接入內(nèi)部網(wǎng)絡(luò),實(shí)現(xiàn)辦公�;
5、內(nèi)部員工賬號(hào)及個(gè)人信息綁定�����,便于安全治理���;
6����、內(nèi)部員工可通過(guò)自己的辦公設(shè)備在企業(yè)大樓內(nèi)快速移動(dòng)辦公�����,網(wǎng)絡(luò)接入更快速���,上網(wǎng)行為治理系統(tǒng)對(duì)員工上網(wǎng)行為進(jìn)行審計(jì)與管控
7、來(lái)訪(fǎng)客戶(hù)接入企業(yè)網(wǎng)絡(luò)��,可根據(jù)不同需求,分配不同的上網(wǎng)權(quán)限���,保證了接入的安全性同時(shí)晉升群眾上網(wǎng)的體驗(yàn)
8����、豐碩的認(rèn)證機(jī)制���,知足組織對(duì)無(wú)線(xiàn)網(wǎng)絡(luò)安全�、快速接入
9����、投資成本低,通過(guò)部署一飛無(wú)線(xiàn)控制器替代原有網(wǎng)絡(luò)的出口路由���、行為治理以及無(wú)線(xiàn)控制器
企業(yè)無(wú)線(xiàn)WiFi傳輸方案�����,企業(yè)智慧無(wú)線(xiàn)WiFi覆蓋方案���,企業(yè)微信認(rèn)證無(wú)線(xiàn)WiFi,星級(jí)酒店網(wǎng)絡(luò)工程設(shè)計(jì)方案���,星級(jí)酒店智能化設(shè)計(jì)方案 �,成都星級(jí)酒店網(wǎng)絡(luò)工程設(shè)計(jì),重慶星級(jí)酒店網(wǎng)絡(luò)工程設(shè)計(jì)����,貴陽(yáng)星級(jí)酒店網(wǎng)絡(luò)工程設(shè)計(jì),酒店無(wú)線(xiàn)WIFI覆蓋方案設(shè)計(jì)���,醫(yī)院無(wú)線(xiàn)WIFI覆蓋方案����,商場(chǎng)無(wú)線(xiàn)WIFI覆蓋方案���,城市綜合體無(wú)線(xiàn)WIFI覆蓋方案��,無(wú)線(xiàn)WIFI系統(tǒng)方案設(shè)計(jì)���,酒店、醫(yī)院�、賓館、商場(chǎng)等無(wú)線(xiàn)WIFI覆蓋設(shè)計(jì)方案
