信銳無(wú)線(xiàn)解決方案

行業(yè)背景

大型企業(yè)在無(wú)線(xiàn)網(wǎng)絡(luò )建設期間要充分考慮訪(fǎng)客（領(lǐng)導、客戶(hù)、合作伙伴）接入網(wǎng)絡(luò )的需求。首先從安全性考慮，訪(fǎng)客網(wǎng)絡(luò )必須要和辦公網(wǎng)絡(luò )分開(kāi)，訪(fǎng)客網(wǎng)絡(luò )單獨提供給訪(fǎng)客使用。從用戶(hù)體驗角度考慮，訪(fǎng)客接入網(wǎng)絡(luò )的驗證方式一定要做到簡(jiǎn)單易行，繁瑣的驗證方式會(huì )降低訪(fǎng)客對企業(yè)的整體印象。同時(shí)對于訪(fǎng)客網(wǎng)絡(luò )，企業(yè)還需要建立完善的網(wǎng)絡(luò )安全管理機制，避免由于訪(fǎng)客的網(wǎng)絡(luò )不良訪(fǎng)問(wèn)給企業(yè)帶來(lái)的法律風(fēng)險。對于企業(yè)員工移動(dòng)辦公上網(wǎng)，更需要做到可管控，上網(wǎng)行為做到可追溯，企業(yè)有效的帶寬資源得到合理的分配和保證，才能使企業(yè)的業(yè)務(wù)系統正常且穩定高效地運行，同時(shí)保證企業(yè)信息安全，避免機密信息泄露。

存在的問(wèn)題（用戶(hù)需求）

1、接入不安全：缺乏安全可靠的認證機制，企業(yè)無(wú)線(xiàn)網(wǎng)絡(luò )接入不安全

2、上網(wǎng)權限混亂：缺乏有效的控制策略，員工上網(wǎng)權限不分明

3、數據信息安全：缺乏有效的數據加密機制，企業(yè)數據被黑客竊取篡改

4、無(wú)線(xiàn)信號差：AP性能不佳，上網(wǎng)總掉線(xiàn)，點(diǎn)位規劃不合理，信號盲區多

5、漫游效果差：不能實(shí)現二三層漫游，移動(dòng)辦公時(shí)，業(yè)務(wù)中斷

解決方案：

結合用戶(hù)無(wú)線(xiàn)網(wǎng)絡(luò )需求情況，結合信銳產(chǎn)品自身技術(shù)特點(diǎn)，為了滿(mǎn)足用戶(hù)構建一個(gè)高速、穩定、安全、可靠、易于管理的無(wú)線(xiàn)接入網(wǎng)絡(luò )的需求，本設計方案按照AP+AC的結構化無(wú)線(xiàn)網(wǎng)絡(luò )解決方案進(jìn)行設計。具體設計為在總部設置總部AC,在大型分支機構設置分支AC與分支AP，中型分支機構設計二級，三級交換機，分支AP。小微型分支機構直接設置分支AP?？偛緼C可以對大型分支機構的AC進(jìn)行管理，當網(wǎng)點(diǎn)控制器采用集中管理的模式進(jìn)入到中心端控制器時(shí)，會(huì )自動(dòng)下載中心端的公共配置，比如IP組、MAC地址庫、時(shí)間計劃、角色授權、認證頁(yè)面等 ?？偛緼C也可以直接管理中小型分支機構的分支AP，實(shí)現統一管理。

方案設計：

安全無(wú)線(xiàn)整體解決方案：

接入前&接入時(shí)進(jìn)行身份認證、信銳安全無(wú)線(xiàn)網(wǎng)卡、賬號綁定（硬件碼+手機號），非法熱點(diǎn)檢測及防御、網(wǎng)絡(luò )攻擊防護、射頻定時(shí)關(guān)閉及安全加固。

接入后&上網(wǎng)時(shí)進(jìn)行訪(fǎng)問(wèn)權限控制。

上網(wǎng)后進(jìn)行上網(wǎng)行為記錄。

上網(wǎng)用戶(hù)身份實(shí)名認證：

無(wú)線(xiàn)辦公網(wǎng)采用802.1X/Portal/WAPI認證，外置AAA和RADIUS+AD用于存儲用戶(hù)賬號密碼。

每個(gè)賬號對應一個(gè)員工，包括姓名、部門(mén)、性別以及身份證、手機號等個(gè)人信息，保證每個(gè)上網(wǎng)的賬號都是可尋的，便于安全管理。

用戶(hù)輸入賬號密碼上網(wǎng)驗證時(shí)均采用加密傳輸，防止黑客空中攔截，竊取賬號密碼等數據。

上網(wǎng)賬號自動(dòng)綁定終端：

自動(dòng)將賬號與終端的硬件特征碼進(jìn)行綁定，防止賬號被他人使用或者被盜用。

每臺設備的硬件特征碼是唯一的，無(wú)法通過(guò)軟件修改。即使通過(guò)軟件修改了仍然可以識別原始的。

每個(gè)賬號最多可以綁定5臺終端，超過(guò)1臺時(shí)需要管理員審核。

上網(wǎng)賬號二次綁定手機號碼：

賬號首次登陸時(shí)需要綁定手機號并輸入短信驗證碼，當用戶(hù)賬號在新終端登陸時(shí)（換終端/被他用/被盜），不僅需要輸入密碼，還需要輸入短信驗證碼，解決員工賬號認證的安全問(wèn)題

綁定手機號碼的用戶(hù)，可以自助重置密碼和修改密碼，無(wú)需通過(guò)IT管理員。

用戶(hù)密碼管理及自助修改：

無(wú)需通過(guò)管理員即可修改密碼，提高效率及減輕管理員工作壓力。

通過(guò)口袋助理、釘釘、企業(yè)號等手機MOA類(lèi)APP軟件進(jìn)行無(wú)線(xiàn)密碼修改。

若賬號綁定了手機號碼，可通過(guò)手機驗證碼自助修改。

上網(wǎng)終端合法效驗：

采用信銳安全無(wú)線(xiàn)網(wǎng)卡接入無(wú)線(xiàn)網(wǎng)絡(luò )，終端與AP熱點(diǎn)的雙向驗證，提高安全性。

可以將無(wú)線(xiàn)網(wǎng)絡(luò )設置為只有安裝了信銳安全無(wú)線(xiàn)網(wǎng)卡的終端才能接入無(wú)線(xiàn)網(wǎng)絡(luò )。

支持設置安全無(wú)線(xiàn)網(wǎng)卡只能連指定SSID無(wú)線(xiàn)網(wǎng)絡(luò )，無(wú)法連接非授權SSID。

信銳網(wǎng)卡與AP數據傳輸時(shí)自動(dòng)進(jìn)行數據加密，保證無(wú)線(xiàn)的空口安全。

無(wú)線(xiàn)熱點(diǎn)掃描及非法熱點(diǎn)抑制：

背景：黑客在附近搭建一個(gè)一模一樣或者類(lèi)似的WIFI名稱(chēng)，誘使用戶(hù)連到虛假釣魚(yú)WIFI上，黑客利用分析軟件從用戶(hù)上網(wǎng)產(chǎn)生的數據包中分析提取用戶(hù)隱私信息。

我們通過(guò)WIPS無(wú)線(xiàn)入侵防御系統實(shí)時(shí)檢測周?chē)鸁o(wú)線(xiàn)信號，當檢測出來(lái)的信號BSSID、且AP源MAC地址不在授權列表中時(shí)，我們向對應的AP和終端發(fā)送解除關(guān)聯(lián)幀，讓終端無(wú)法連上釣魚(yú)WIFI。7×24小時(shí)不間斷監測網(wǎng)絡(luò )。

上網(wǎng)行為嚴格控制：

強大的管理：通過(guò)應用識別技術(shù)，可以根據應用類(lèi)型或者具體某一種應用進(jìn)行封堵，包括視頻、論壇、游戲、金融、下載等2400多種網(wǎng)絡(luò )應用。

通過(guò)應用識別技術(shù)，可以根據應用類(lèi)型或者具體某一種應用進(jìn)行封堵，比如上班時(shí)間不允許炒股，不允許P2P下載，不允許外發(fā)敏感文件等； 支持主流移動(dòng)平臺，可識別IM、社交、Mail、新聞、炒股等應用。

無(wú)線(xiàn)控制器內置千萬(wàn)級別的URL分類(lèi)庫，能夠對URL進(jìn)行識別，包含新聞、購物、金融、教育等18個(gè)種類(lèi)的URL地址； 準確識別目前主流網(wǎng)站，識別率高達99.9%，有效實(shí)現網(wǎng)頁(yè)過(guò)濾。例如禁止登陸非法網(wǎng)站

通過(guò)基于時(shí)間段的訪(fǎng)問(wèn)控制策略，實(shí)現不同的時(shí)間段不同的訪(fǎng)問(wèn)權限，比如上班時(shí)間，禁止訪(fǎng)問(wèn)網(wǎng)上銀行、游戲、論壇貼吧等與工作無(wú)關(guān)的應用，下班時(shí)間則不受限制。

辦公區域內，不同辦公部門(mén)總會(huì )有各自專(zhuān)屬的無(wú)線(xiàn)網(wǎng)絡(luò )，并且不希望部門(mén)之外的成員使用這個(gè)網(wǎng)絡(luò )。無(wú)線(xiàn)網(wǎng)絡(luò )控制器可以根據用戶(hù)的屬性，限制禁止非本部門(mén)的用戶(hù)接入。

典型無(wú)線(xiàn)網(wǎng)絡(luò )攻擊防護：

對典型的危險攻擊行為進(jìn)行檢測，當超過(guò)設定的閾值后自動(dòng)將攻擊者加入到黑名單中，并凍結一定時(shí)間，即時(shí)發(fā)現網(wǎng)絡(luò )攻擊并進(jìn)行防御。

檢測的攻擊包括：DDOS防御、ARP掃描、IP掃描、端口掃描防御，禁止客戶(hù)端私設IP以及ARP、網(wǎng)關(guān)欺騙防御、DHCP請求泛洪防御。

無(wú)線(xiàn)射頻定時(shí)關(guān)閉開(kāi)啟：

通過(guò)射頻關(guān)閉控制策略，可以指定某SSID網(wǎng)絡(luò )，定時(shí)自動(dòng)關(guān)閉和開(kāi)啟無(wú)線(xiàn)網(wǎng)絡(luò )的射頻信號，晚上下班后自動(dòng)關(guān)閉無(wú)線(xiàn)射頻信號。

一方面可以節能減排、節省電費支出；另一方面又能防止非法用戶(hù)利用深夜時(shí)間入侵無(wú)線(xiàn)網(wǎng)絡(luò )，做一些非法的操作。

有線(xiàn)無(wú)線(xiàn)一體化管理：

信銳NAC的有線(xiàn)無(wú)線(xiàn)一體化，支持對有線(xiàn)用戶(hù)的接入認證、訪(fǎng)問(wèn)控制、流量管理、上網(wǎng)行為審計等，

并提供統一中文Web管理界面，一站式服務(wù)，極大的降低網(wǎng)絡(luò )建設成本。

網(wǎng)絡(luò )分權分級管理：

分配不同的管理員分別管理各自權限區域的無(wú)線(xiàn)AP，可以精細到對某AP分組有管理權限，該管理員可以在該AP分組上建立無(wú)線(xiàn)網(wǎng)絡(luò )，能夠激活、刪除接入點(diǎn)，能夠對AP的配置進(jìn)行編輯修改。

可指定管理員針對每個(gè)頁(yè)面的編輯或可查看權限，控制粒度到控制器上的各個(gè)頁(yè)面，對某個(gè)頁(yè)面沒(méi)有讀權限則登錄時(shí)不顯示。

移動(dòng)APP隨時(shí)隨地運維管理：

支持跨互聯(lián)網(wǎng)運維管理

登陸APP進(jìn)行維護管理：不同管理員，不同權限

查看網(wǎng)絡(luò )運行情況：在線(xiàn)用戶(hù)、在線(xiàn)AP數量、實(shí)時(shí)流量

無(wú)線(xiàn)網(wǎng)絡(luò )管理維護：開(kāi)啟關(guān)閉SSID、終端綁定審批、二維碼上網(wǎng)審核

故障、審批實(shí)時(shí)通知：AP離線(xiàn)警告、服務(wù)器離線(xiàn)警告、網(wǎng)絡(luò )攻擊告警

方案優(yōu)勢：

1、最豐富的無(wú)線(xiàn)安全機制，提供從安全接入到安全上網(wǎng)等端到端的安全策略

2、合理管控工作人員上網(wǎng)行為，提升工作效率、防止帶寬浪費，有線(xiàn)無(wú)線(xiàn)雙重管控

3、為會(huì )議室，報告廳等人員密集區域接入網(wǎng)絡(luò )提高保證，解決有線(xiàn)網(wǎng)口不足的問(wèn)題；

4、為企業(yè)員工的移動(dòng)辦公提供支撐，內部員工可通過(guò)無(wú)線(xiàn)網(wǎng)絡(luò )隨時(shí)安全接入內部網(wǎng)絡(luò )，實(shí)現辦公；

5、內部員工賬號及個(gè)人信息綁定，便于安全管理；

6、內部員工可通過(guò)自己的辦公設備在企業(yè)大樓內快速移動(dòng)辦公，網(wǎng)絡(luò )接入更快速，上網(wǎng)行為管理系統對員工上網(wǎng)行為進(jìn)行審計與管控

7、來(lái)訪(fǎng)客戶(hù)接入企業(yè)網(wǎng)絡(luò )，可根據不同需求，分配不同的上網(wǎng)權限，保證了接入的安全性同時(shí)提升群眾上網(wǎng)的體驗

8、豐富的認證機制，滿(mǎn)足組織對無(wú)線(xiàn)網(wǎng)絡(luò )安全、快速接入

9、投資成本低，通過(guò)部署信銳無(wú)線(xiàn)控制器替換原有網(wǎng)絡(luò )的出口路由、行為管理以及無(wú)線(xiàn)控制器