行業(yè)背景
大型企業(yè)在無線網(wǎng)絡(luò)建設(shè)期間要充分考慮訪客(領(lǐng)導(dǎo)、客戶、合作伙伴)接入網(wǎng)絡(luò)的需求。首先從安全性考慮,訪客網(wǎng)絡(luò)必須要和辦公網(wǎng)絡(luò)分開,訪客網(wǎng)絡(luò)單獨(dú)提供給訪客使用。從用戶體驗(yàn)角度考慮,訪客接入網(wǎng)絡(luò)的驗(yàn)證方式一定要做到簡(jiǎn)單易行,繁瑣的驗(yàn)證方式會(huì)降低訪客對(duì)企業(yè)的整體印象。 同時(shí)對(duì)于訪客網(wǎng)絡(luò),企業(yè)還需要建立完善的網(wǎng)絡(luò)安全管理機(jī)制,避免由于訪客的網(wǎng)絡(luò)不良訪問給企業(yè)帶來的法律風(fēng)險(xiǎn)。對(duì)于企業(yè)員工移動(dòng)辦公上網(wǎng),更需要做到可管控,上網(wǎng)行為做到可追溯,企業(yè)有效的帶寬資源得到合理的分配和保證,才能使企業(yè)的業(yè)務(wù)系統(tǒng)正常且穩(wěn)定高效地運(yùn)行,同時(shí)保證企業(yè)信息安全,避免機(jī)密信息泄露。 存在的問題(用戶需求)
1、接入不安全:缺乏安全可靠的認(rèn)證機(jī)制,企業(yè)無線網(wǎng)絡(luò)接入不安全;
2、上網(wǎng)權(quán)限混亂:缺乏有效的控制策略,員工上網(wǎng)權(quán)限不分明;
3、數(shù)據(jù)信息安全:缺乏有效的數(shù)據(jù)加密機(jī)制,企業(yè)數(shù)據(jù)被黑客竊取篡改;
4、無線信號(hào)差:AP性能不佳,上網(wǎng)總掉線,點(diǎn)位規(guī)劃不合理,信號(hào)盲區(qū)多;
5、漫游效果差:不能實(shí)現(xiàn)二三層漫游,移動(dòng)辦公時(shí),業(yè)務(wù)中斷。
解決方案
結(jié)合用戶無線網(wǎng)絡(luò)需求情況,結(jié)合尚弘產(chǎn)品自身技術(shù)特點(diǎn),為了滿足用戶構(gòu)建一個(gè)高速、穩(wěn)定、安全、可靠、易于管理的無線接入網(wǎng)絡(luò)的需求,本設(shè)計(jì)方案按照AP+AC的結(jié)構(gòu)化無線網(wǎng)絡(luò)解決方案進(jìn)行設(shè)計(jì)。具體設(shè)計(jì)為在總部設(shè)置總部AC,在大型分支機(jī)構(gòu)設(shè)置分支AC與分支AP,中型分支機(jī)構(gòu)設(shè)計(jì)二級(jí),三級(jí)交換機(jī),分支AP。小微型分支機(jī)構(gòu)直接設(shè)置分支AP。總部AC可以對(duì)大型分支機(jī)構(gòu)的AC進(jìn)行管理,當(dāng)網(wǎng)點(diǎn)控制器采用集中管理的模式進(jìn)入到中心端控制器時(shí),會(huì)自動(dòng)下載中心端的公共配置,比如IP組、MAC地址庫、時(shí)間計(jì)劃、角色授權(quán)、認(rèn)證頁面等 。總部AC也可以直接管理中小型分支機(jī)構(gòu)的分支AP,實(shí)現(xiàn)統(tǒng)一管理。
1、安全無線整體解決方案 接入前&接入時(shí)進(jìn)行身份認(rèn)證、尚弘安全無線網(wǎng)卡、賬號(hào)綁定(硬件碼+手機(jī)號(hào)),非法熱點(diǎn)檢測(cè)及防御、網(wǎng)絡(luò)攻擊防護(hù)、射頻定時(shí)關(guān)閉及安全加固。接入后&上網(wǎng)時(shí)進(jìn)行訪問權(quán)限控制。上網(wǎng)后進(jìn)行上網(wǎng)行為記錄。
2、上網(wǎng)用戶身份實(shí)名認(rèn)證 無線辦公網(wǎng)采用802.1X/Portal/WAPI認(rèn)證,外置AAA和RADIUS+AD用于存儲(chǔ)用戶賬號(hào)密碼。每個(gè)賬號(hào)對(duì)應(yīng)一個(gè)員工,包括姓名、部門、性別以及身份證、手機(jī)號(hào)等個(gè)人信息,保證每個(gè)上網(wǎng)的賬號(hào)都是可尋的,便于安全管理。用戶輸入賬號(hào)密碼上網(wǎng)驗(yàn)證時(shí)均采用加密傳輸,防止黑客空中攔截,竊取賬號(hào)密碼等數(shù)據(jù)。
3、上網(wǎng)賬號(hào)自動(dòng)綁定終端 自動(dòng)將賬號(hào)與終端的硬件特征碼進(jìn)行綁定,防止賬號(hào)被他人使用或者被盜用。每臺(tái)設(shè)備的硬件特征碼是唯一的,無法通過軟件修改,即使通過軟件修改了仍然可以識(shí)別原始的MAC。每個(gè)賬號(hào)最多可以綁定5臺(tái)終端,超過1臺(tái)時(shí)需要管理員審核。
4、上網(wǎng)賬號(hào)二次綁定手機(jī)號(hào)碼 賬號(hào)首次登陸時(shí)需要綁定手機(jī)號(hào)并輸入短信驗(yàn)證碼,當(dāng)用戶賬號(hào)在新終端登陸時(shí)(換終端/被他用/被盜),不僅需要輸入密碼,還需要輸入短信驗(yàn)證碼,解決員工賬號(hào)認(rèn)證的安全問題綁定手機(jī)號(hào)碼的用戶,可以自助重置密碼和修改密碼,無需通過IT管理員。
5、用戶密碼管理及自助修改 無需通過管理員即可修改密碼,提高效率及減輕管理員工作壓力。通過口袋助理、釘釘、企業(yè)號(hào)等手機(jī)MOA類APP軟件進(jìn)行無線密碼修改。若賬號(hào)綁定了手機(jī)號(hào)碼,可通過手機(jī)驗(yàn)證碼自助修改。
6、上網(wǎng)終端合法效驗(yàn) 采用尚弘安全無線網(wǎng)卡接入無線網(wǎng)絡(luò),終端與AP熱點(diǎn)的雙向驗(yàn)證,提高安全性??梢詫o線網(wǎng)絡(luò)設(shè)置為只有安裝了尚弘安全無線網(wǎng)卡的終端才能接入無線網(wǎng)絡(luò)。支持設(shè)置安全無線網(wǎng)卡只能連指定SSID無線網(wǎng)絡(luò),無法連接非授權(quán)SSID。尚弘網(wǎng)卡與AP數(shù)據(jù)傳輸時(shí)自動(dòng)進(jìn)行數(shù)據(jù)加密,保證無線的空口安全。
7、無線熱點(diǎn)掃描及非法熱點(diǎn)抑制 背景:黑客在附近搭建一個(gè)一模一樣或者類似的WIFI名稱,誘使用戶連到虛假釣魚WIFI上,黑客利用分析軟件從用戶上網(wǎng)產(chǎn)生的數(shù)據(jù)包中分析提取用戶隱私信息。我們通過WIPS無線入侵防御系統(tǒng)實(shí)時(shí)檢測(cè)周圍無線信號(hào),當(dāng)檢測(cè)出來的信號(hào)BSSID、且AP源MAC地址不在授權(quán)列表中時(shí),我們向?qū)?yīng)的AP和終端發(fā)送解除關(guān)聯(lián)幀,讓終端無法連上釣魚WIFI,7×24小時(shí)不間斷監(jiān)測(cè)網(wǎng)絡(luò)。 8、典型無線網(wǎng)絡(luò)攻擊防護(hù) 對(duì)典型的危險(xiǎn)攻擊行為進(jìn)行檢測(cè),當(dāng)超過設(shè)定的閾值后自動(dòng)將攻擊者加入到黑名單中,并凍結(jié)一定時(shí)間,即時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊并進(jìn)行防御。檢測(cè)的攻擊包括:DDOS防御、ARP掃描、IP掃描、端口掃描防御,禁止客戶端私設(shè)IP以及ARP、網(wǎng)關(guān)欺騙防御、DHCP請(qǐng)求泛洪防御。
9、無線射頻定時(shí)關(guān)閉開啟 通過射頻關(guān)閉控制策略,可以指定某SSID網(wǎng)絡(luò),定時(shí)自動(dòng)關(guān)閉和開啟無線網(wǎng)絡(luò)的射頻信號(hào),晚上下班后自動(dòng)關(guān)閉無線射頻信號(hào)。一方面可以節(jié)能減排、節(jié)省電費(fèi)支出;另一方面又能防止非法用戶利用深夜時(shí)間入侵無線網(wǎng)絡(luò),做一些非法的操作。
10、有線無線一體化管理 尚弘NAC的有線無線一體化,支持對(duì)有線用戶的接入認(rèn)證、訪問控制、流量管理、上網(wǎng)行為審計(jì)等,并提供統(tǒng)一中文Web管理界面,一站式服務(wù),極大的降低網(wǎng)絡(luò)建設(shè)成本。