行業(yè)背景
大型企業(yè)在無線網(wǎng)絡(luò)建設(shè)期間要充分考慮訪客(領(lǐng)導(dǎo)��、客戶��、合作伙伴)接入網(wǎng)絡(luò)的需求��。首先從安全性考慮����,訪客網(wǎng)絡(luò)必需要和辦公網(wǎng)絡(luò)分開,訪客網(wǎng)絡(luò)單獨提供應(yīng)訪客使用�。從用戶體驗角度考慮,訪客接入網(wǎng)絡(luò)的驗證方式一定要做到簡樸易行���,繁瑣的驗證方式會降低訪客對企業(yè)的整體印象�����。同時對于訪客網(wǎng)絡(luò)�����,企業(yè)還需要建立完善的網(wǎng)絡(luò)安全治理機制����,避免因為訪客的網(wǎng)絡(luò)不良訪問給企業(yè)帶來的法律風險�����。對于企業(yè)員工移動辦公上網(wǎng)����,更需要做到可管控,上網(wǎng)行為做到可追溯,企業(yè)有效的帶寬資源得到公道的分配和保證�,才能使企業(yè)的業(yè)務(wù)系統(tǒng)正常且不亂高效地運行,同時保證企業(yè)信息安全�����,避免秘要信息泄露�����。
存在的問題(用戶需求)
1�、接入不安全:缺乏安全可靠的認證機制�����,企業(yè)無線網(wǎng)絡(luò)接入不安全�����;
2����、上網(wǎng)權(quán)限混亂:缺乏有效的控制策略,員工上網(wǎng)權(quán)限不分明���;
3���、數(shù)據(jù)信息安全:缺乏有效的數(shù)據(jù)加密機制����,企業(yè)數(shù)據(jù)被黑客竊取篡改����;
4、無線信號差:AP機能不佳��,上網(wǎng)總掉線�����,點位規(guī)劃不公道��,信號盲區(qū)多�����;
5����、周游效果差:不能實現(xiàn)二三層周游�����,移動辦公時��,業(yè)務(wù)間斷����。
解決方案:
結(jié)適用戶無線網(wǎng)絡(luò)需求情況�����,結(jié)合一飛產(chǎn)品自身技術(shù)特點���,為了滿足用戶構(gòu)建一個高速、穩(wěn)定��、安全�����、可靠���、易于治理的無線接入網(wǎng)絡(luò)的需求�,本設(shè)計方案按照AP+AC的結(jié)構(gòu)化無線網(wǎng)絡(luò)解決方案進行設(shè)計。詳細設(shè)計為在總部設(shè)置總部AC,在大型分支機構(gòu)設(shè)置分支AC與分支AP�����,中型分支機構(gòu)設(shè)計二級�����,三級交換機����,分支AP。小微型分支機構(gòu)直接設(shè)置分支AP�。總部AC可以對大型分支機構(gòu)的AC進行治理���,當網(wǎng)點控制器采用集中治理的模式進入到中央端控制器時�,會自動下載中央真?zhèn)€公共配置����,好比IP組、MAC地址庫�����、時間計劃、角色授權(quán)��、認證頁面等
���?���?偛緼C也可以直接治理中小型分支機構(gòu)的分支AP��,實現(xiàn)同一治理���。
方案設(shè)計:
安全無線整體解決方案:
接入前&接入時進行身份認證���、信銳安全無線網(wǎng)卡、賬號綁定(硬件碼+手機號)���,非法熱門檢測及防備、網(wǎng)絡(luò)攻擊防護�����、射頻定時封閉及安全加固����。
接入后&上網(wǎng)時進行訪問權(quán)限控制�。
上網(wǎng)后進行上網(wǎng)行為記實����。
上網(wǎng)用戶身份實名認證:
無線辦公網(wǎng)采用802.1X/Portal/WAPI認證,外置AAA和RADIUS+AD用于存儲用戶賬號密碼�。
每個賬號對應(yīng)一個員工,包括姓名�����、部分����、性別以及身份證、手機號等個人信息�����,保證每個上網(wǎng)的賬號都是可尋的��,便于安全治理���。
用戶輸入賬號密碼上網(wǎng)驗證時均采用加密傳輸���,防止黑客空中攔截����,竊取賬號密碼等數(shù)據(jù)�����。
上網(wǎng)賬號自動綁定終端:
自動將賬號與終真?zhèn)€硬件特征碼進行綁定��,防止賬號被他人使用或者被盜用�。
每臺設(shè)備的硬件特征碼是獨一的,無法通過軟件修改����,即使通過軟件修改了仍舊可以識別原始的MAC。
每個賬號最多可以綁定5臺終端�,超過1臺時需要治理員審核。
上網(wǎng)賬號二次綁定手機號碼:
賬號首次登陸時需要綁定手機號并輸入短信驗證碼�����,當用戶賬號在新終端登陸時(換終端/被他用/被盜)��,不僅需要輸入密碼��,還需要輸入短信驗證碼�,解決員工賬號認證的安全題目
綁定手機號碼的用戶,可以自助重置密碼和修改密碼����,無需通過IT治理員。
用戶密碼治理及自助修改:
無需通過治理員即可修改密碼��,進步效率及減輕治理員工作壓力�。
通過口袋助理、釘釘����、企業(yè)號等手機MOA類APP軟件進行無線密碼修改。
若賬號綁定了手機號碼�����,可通過手機驗證碼自助修改��。
上網(wǎng)終端正當效驗:
采用一飛安全無線網(wǎng)卡接入無線網(wǎng)絡(luò)��,終端與AP熱門的雙向驗證����,進步安全性�。
可以將無線網(wǎng)絡(luò)設(shè)置為只有安裝了信銳安全無線網(wǎng)卡的終端才能接入無線網(wǎng)絡(luò)��。
支持設(shè)置安全無線網(wǎng)卡只能連指定SSID無線網(wǎng)絡(luò)�����,無法連接非授權(quán)SSID��。
一飛網(wǎng)卡與AP數(shù)據(jù)傳輸時自動進行數(shù)據(jù)加密���,保證無線的空口安全���。
無線熱門掃描及非法熱門按捺:
背景:黑客在四周搭建一個一模一樣或者類似的WIFI名稱,誘使用戶連到虛假釣魚WIFI上��,黑客利用分析軟件從用戶上網(wǎng)產(chǎn)生的數(shù)據(jù)包中分析提取用戶隱私信息���。
我們通過WIPS無線入侵防備系統(tǒng)實時檢測附近無線信號�,當檢測出來的信號BSSID�����、且AP源MAC地址不在授權(quán)列表中時,我們向?qū)?yīng)的AP和終端發(fā)送解除聯(lián)系關(guān)系幀��,讓終端無法連上釣魚WIFI��,7×24小時不中斷監(jiān)測網(wǎng)絡(luò)�����。
上網(wǎng)行為嚴格控制:
強盛的治理:通過應(yīng)用識別技術(shù)�,可以根據(jù)應(yīng)用類型或者詳細某一種應(yīng)用進行封堵����,包括視頻、論壇��、游戲����、金融、下載等4800多種網(wǎng)絡(luò)應(yīng)用�。
通過應(yīng)用識別技術(shù),可以根據(jù)應(yīng)用類型或者詳細某一種應(yīng)用進行封堵�����,好比上班時間不答應(yīng)炒股,不答應(yīng)P2P下載�,不答應(yīng)外發(fā)敏感文件等;
支持主流移動平臺����,可識別IM、社交����、Mail、新聞�、炒股等應(yīng)用。
無線控制器內(nèi)置千萬級別的URL分類庫�����,能夠?qū)RL進行識別���,包含新聞���、購物、金融����、教育等18個種類的URL地址����;
正確識別目前主流網(wǎng)站��,識別率高達99.9%�����,有效實現(xiàn)網(wǎng)頁過濾��。例如禁止登陸非法網(wǎng)站
通過基于時間段的訪問控制策略��,實現(xiàn)不同的時間段不同的訪問權(quán)限�,好比上班時間���,禁止訪問網(wǎng)上銀行����、游戲����、論壇貼吧等與工作無關(guān)的應(yīng)用,放工時間則不受限制�����。
辦公區(qū)域內(nèi),不同辦公部分總會有各自專屬的無線網(wǎng)絡(luò)����,并且不但愿部分之外的成員使用這個網(wǎng)絡(luò)。無線網(wǎng)絡(luò)控制器可以根據(jù)用戶的屬性���,限制禁止非本部分的用戶接入�����。
典型無線網(wǎng)絡(luò)攻擊防護:
對典型的危險攻擊行為進行檢測�����,當超過設(shè)定的閾值后自動將攻擊者加入到黑名單中���,并凍結(jié)一定時間,即時發(fā)現(xiàn)網(wǎng)絡(luò)攻擊并進行防備��。
檢測的攻擊包括:DDOS防備�、ARP掃描、IP掃描�����、端口掃描防備,禁止客戶端私設(shè)IP以及ARP����、網(wǎng)關(guān)欺騙防備、DHCP哀求泛洪防備���。
無線射頻定時封閉開啟:
通過射頻封閉控制策略�����,可以指定某SSID網(wǎng)絡(luò),定時自動封閉和開啟無線網(wǎng)絡(luò)的射頻信號��,晚上放工后自動封閉無線射頻信號�����。
一方面可以節(jié)能減排�����、節(jié)省電費支出���;另一方面又能防止非法用戶利用深夜時間入侵無線網(wǎng)絡(luò)��,做一些非法的操縱�����。
有線無線一體化治理:
一飛NAC的有線無線一體化�,支持對有線用戶的接入認證、訪問控制�����、流量治理�、上網(wǎng)行為審計等,
并提供同一中文Web治理界面���,一站式服務(wù)�����,極大的降低網(wǎng)絡(luò)建設(shè)本錢�����。
網(wǎng)絡(luò)分權(quán)分級治理:
分配不同的治理員分別治理各自權(quán)限區(qū)域的無線AP�,可以精細到對某AP分組有治理權(quán)限,該治理員可以在該AP分組上建立無線網(wǎng)絡(luò)�����,能夠激活�、刪除接入點,能夠?qū)P的配置進行編纂修改�。
可指定治理員針對每個頁面的編纂或可查看權(quán)限,控制粒度到控制器上的各個頁面�����,對某個頁面沒有讀權(quán)限則登錄時不顯示�。
移動APP隨時隨地運維治理:
支持跨互聯(lián)網(wǎng)運維治理
登陸APP進行維護治理:不同治理員,不同權(quán)限
查看網(wǎng)絡(luò)運行情況:在線用戶�����、在線AP數(shù)目�、實時流量
無線網(wǎng)絡(luò)治理維護:開啟封閉SSID��、終端綁定審批��、二維碼上網(wǎng)審核
故障�、審批實時通知:AP離線警告�����、服務(wù)器離線警告��、網(wǎng)絡(luò)攻擊告警
方案優(yōu)勢:
1�、豐碩的無線安全機制���,提供從安全接入到安全上網(wǎng)等端到真?zhèn)€安全策略
2�����、公道管控工作職員上網(wǎng)行為����,晉升工作效率����、防止帶寬鋪張,有線無線雙重管控
3�����、為會議室,講演廳等職員密集區(qū)域接入網(wǎng)絡(luò)進步保證��,解決有線網(wǎng)口不足的題目���;
4�、為企業(yè)員工的移動辦公提供支撐���,內(nèi)部員工可通過無線網(wǎng)絡(luò)隨時安全接入內(nèi)部網(wǎng)絡(luò)���,實現(xiàn)辦公;
5����、內(nèi)部員工賬號及個人信息綁定,便于安全治理�;
6、內(nèi)部員工可通過自己的辦公設(shè)備在企業(yè)大樓內(nèi)快速移動辦公�����,網(wǎng)絡(luò)接入更快速���,上網(wǎng)行為治理系統(tǒng)對員工上網(wǎng)行為進行審計與管控
7、來訪客戶接入企業(yè)網(wǎng)絡(luò)���,可根據(jù)不同需求���,分配不同的上網(wǎng)權(quán)限�,保證了接入的安全性同時晉升群眾上網(wǎng)的體驗
8�、豐碩的認證機制,知足組織對無線網(wǎng)絡(luò)安全����、快速接入
9、投資成本低�,通過部署一飛無線控制器替代原有網(wǎng)絡(luò)的出口路由、行為治理以及無線控制器
企業(yè)無線WiFi傳輸方案���,企業(yè)智慧無線WiFi覆蓋方案�����,企業(yè)微信認證無線WiFi�����,星級酒店網(wǎng)絡(luò)工程設(shè)計方案��,星級酒店智能化設(shè)計方案 ���,成都星級酒店網(wǎng)絡(luò)工程設(shè)計��,重慶星級酒店網(wǎng)絡(luò)工程設(shè)計�,貴陽星級酒店網(wǎng)絡(luò)工程設(shè)計�����,酒店無線WIFI覆蓋方案設(shè)計����,醫(yī)院無線WIFI覆蓋方案,商場無線WIFI覆蓋方案���,城市綜合體無線WIFI覆蓋方案��,無線WIFI系統(tǒng)方案設(shè)計����,酒店����、醫(yī)院、賓館�����、商場等無線WIFI覆蓋設(shè)計方案
