010-63866899

企業辦公無線解決方案

分類: | 2018-07-28 16:09

行業背景

大型企業在無線網絡建設期間要充分考慮訪客(領導、客戶、合作夥伴)接入網絡的需求。首先從安全性考慮,訪客網絡必須要和辦公網絡分開,訪客網絡單獨提供給訪客使用。從用戶體驗角度考慮,訪客接入網絡的驗證方式一定要做到簡單易行,繁瑣的驗證方式會降低訪客對企業的整體印象。同時對于訪客網絡,企業還需要建立完善的網絡安全管理機制,避免由于訪客的網絡不良訪問給企業帶來的法律風險。對于企業員工移動辦公上網,更需要做到可管控,上網行為做到可追溯,企業有效的帶寬資源得到合理的分配和保證,才能使企業的業務系統正常且穩定高效地運行,同時保證企業信息安全,避免機密信息洩露。

存在的問題(用戶需求)

1、接入不安全:缺乏安全可靠的認證機制,企業無線網絡接入不安全

2、上網權限混亂:缺乏有效的控制策略,員工上網權限不分明

3、數據信息安全:缺乏有效的數據加密機制,企業數據被黑客竊取篡改

4、無線信号差:AP性能不佳,上網總掉線,點位規劃不合理,信号盲區多

5、漫遊效果差:不能實現二三層漫遊,移動辦公時,業務中斷

解決方案:

image.png

結合用戶無線網絡需求情況,結合産品自身技術特點,為了滿足用戶構建一個高速、穩定、安全、可靠、易于管理的無線接入網絡的需求,本設計方案按照AP+AC的結構化無線網絡解決方案進行設計。具體設計為在總部設置總部AC,在大型分支機構設置分支AC與分支AP,中型分支機構設計二級,三級交換機,分支AP。小微型分支機構直接設置分支AP。總部AC可以對大型分支機構的AC進行管理,當網點控制器采用集中管理的模式進入到中心端控制器時,會自動下載中心端的公共配置,比如IP組、MAC地址庫、時間計劃、角色授權、認證頁面等 。總部AC也可以直接管理中小型分支機構的分支AP,實現統一管理。

方案設計:

安全無線整體解決方案:

接入前&接入時進行身份認證、安全無線網卡、賬号綁定(硬件碼+手機号),非法熱點檢測及防禦、網絡攻擊防護、射頻定時關閉及安全加固。

接入後&上網時進行訪問權限控制。

上網後進行上網行為記錄。

上網用戶身份實名認證:

無線辦公網采用802.1X/Portal/WAPI認證,外置AAA和RADIUS+AD用于存儲用戶賬号密碼。

每個賬号對應一個員工,包括姓名、部門、性别以及身份證、手機号等個人信息,保證每個上網的賬号都是可尋的,便于安全管理。

用戶輸入賬号密碼上網驗證時均采用加密傳輸,防止黑客空中攔截,竊取賬号密碼等數據。

上網賬号自動綁定終端:

自動将賬号與終端的硬件特征碼進行綁定,防止賬号被他人使用或者被盜用。

每台設備的硬件特征碼是唯一的,無法通過軟件修改。即使通過軟件修改了仍然可以識别原始的。

每個賬号最多可以綁定5台終端,超過1台時需要管理員審核。

上網賬号二次綁定手機号碼:

賬号首次登陸時需要綁定手機号并輸入短信驗證碼,當用戶賬号在新終端登陸時(換終端/被他用/被盜),不僅需要輸入密碼,還需要輸入短信驗證碼,解決員工賬号認證的安全問題

綁定手機号碼的用戶,可以自助重置密碼和修改密碼,無需通過IT管理員。

用戶密碼管理及自助修改:

無需通過管理員即可修改密碼,提高效率及減輕管理員工作壓力。

通過口袋助理、釘釘、企業号等手機MOA類APP軟件進行無線密碼修改。

若賬号綁定了手機号碼,可通過手機驗證碼自助修改。

上網終端合法效驗:

采用安全無線網卡接入無線網絡,終端與AP熱點的雙向驗證,提高安全性。

可以将無線網絡設置為隻有安裝了安全無線網卡的終端才能接入無線網絡。

支持設置安全無線網卡隻能連指定SSID無線網絡,無法連接非授權SSID。

網卡與AP數據傳輸時自動進行數據加密,保證無線的空口安全。

無線熱點掃描及非法熱點抑制:

背景:黑客在附近搭建一個一模一樣或者類似的WIFI名稱,誘使用戶連到虛假釣魚WIFI上,黑客利用分析軟件從用戶上網産生的數據包中分析提取用戶隐私信息。

我們通過WIPS無線入侵防禦系統實時檢測周圍無線信号,當檢測出來的信号BSSID、且AP源MAC地址不在授權列表中時,我們向對應的AP和終端發送解除關聯幀,讓終端無法連上釣魚WIFI。7×24小時不間斷監測網絡。

上網行為嚴格控制:

強大的管理:通過應用識别技術,可以根據應用類型或者具體某一種應用進行封堵,包括視頻、論壇、遊戲、金融、下載等2400多種網絡應用。

通過應用識别技術,可以根據應用類型或者具體某一種應用進行封堵,比如上班時間不允許炒股,不允許P2P下載,不允許外發敏感文件等; 支持主流移動平台,可識别IM、社交、Mail、新聞、炒股等應用。

無線控制器内置千萬級别的URL分類庫,能夠對URL進行識别,包含新聞、購物、金融、教育等18個種類的URL地址; 準确識别目前主流網站,識别率高達99.9%,有效實現網頁過濾。例如禁止登陸非法網站

通過基于時間段的訪問控制策略,實現不同的時間段不同的訪問權限,比如上班時間,禁止訪問網上銀行、遊戲、論壇貼吧等與工作無關的應用,下班時間則不受限制。

辦公區域内,不同辦公部門總會有各自專屬的無線網絡,并且不希望部門之外的成員使用這個網絡。無線網絡控制器可以根據用戶的屬性,限制禁止非本部門的用戶接入。

典型無線網絡攻擊防護:

對典型的危險攻擊行為進行檢測,當超過設定的阈值後自動将攻擊者加入到黑名單中,并凍結一定時間,即時發現網絡攻擊并進行防禦。

檢測的攻擊包括:DDOS防禦、ARP掃描、IP掃描、端口掃描防禦,禁止客戶端私設IP以及ARP、網關欺騙防禦、DHCP請求泛洪防禦。

無線射頻定時關閉開啟:

通過射頻關閉控制策略,可以指定某SSID網絡,定時自動關閉和開啟無線網絡的射頻信号,晚上下班後自動關閉無線射頻信号。

一方面可以節能減排、節省電費支出;另一方面又能防止非法用戶利用深夜時間入侵無線網絡,做一些非法的操作。

有線無線一體化管理:

NAC的有線無線一體化,支持對有線用戶的接入認證、訪問控制、流量管理、上網行為審計等,

并提供統一中文Web管理界面,一站式服務,極大的降低網絡建設成本。

網絡分權分級管理:

分配不同的管理員分别管理各自權限區域的無線AP,可以精細到對某AP分組有管理權限,該管理員可以在該AP分組上建立無線網絡,能夠激活、删除接入點,能夠對AP的配置進行編輯修改。

可指定管理員針對每個頁面的編輯或可查看權限,控制粒度到控制器上的各個頁面,對某個頁面沒有讀權限則登錄時不顯示。

移動APP随時随地運維管理:

支持跨互聯網運維管理

登陸APP進行維護管理:不同管理員,不同權限

查看網絡運行情況:在線用戶、在線AP數量、實時流量

無線網絡管理維護:開啟關閉SSID、終端綁定審批、二維碼上網審核

故障、審批實時通知:AP離線警告、服務器離線警告、網絡攻擊告警

方案優勢:

1、最豐富的無線安全機制,提供從安全接入到安全上網等端到端的安全策略

2、合理管控工作人員上網行為,提升工作效率、防止帶寬浪費,有線無線雙重管控

3、為會議室,報告廳等人員密集區域接入網絡提高保證,解決有線網口不足的問題;

4、為企業員工的移動辦公提供支撐,内部員工可通過無線網絡随時安全接入内部網絡,實現辦公;

5、内部員工賬号及個人信息綁定,便于安全管理;

6、内部員工可通過自己的辦公設備在企業大樓内快速移動辦公,網絡接入更快速,上網行為管理系統對員工上網行為進行審計與管控

7、來訪客戶接入企業網絡,可根據不同需求,分配不同的上網權限,保證了接入的安全性同時提升群衆上網的體驗

8、豐富的認證機制,滿足組織對無線網絡安全、快速接入

9、投資成本低,通過部署無線控制器替換原有網絡的出口路由、行為管理以及無線控制器

010-63866899
18611304455
掃碼關注更多資訊
您身邊的IT外包合作夥伴--同創澤華
北京同創澤華科貿有限公司版權所有    京ICP備18032320号-1      
北京IT外包服務主營服務:關于我們IT外包系統集成産品系列成功案例新聞資訊聯系我們