企业无线建设解决方案

需求分析

    企业网络承载企业所有IT基础设施和企业所有上层软件应用，对一个企业的重要性不言而喻。随着互联网的发展、万物互联时代对网络提出更高要求，对于企业而言，无线已经成为终端接入的主导力量，BYOD、移动办公已成大势所趋，安全的企业WLAN的应用需求正在进一步加大。

• 业务需求
  

        1、统一运维，所有设备统一管理，保证无线稳定、持续、安全。

        2、无线全覆盖，无缝漫游，实现移动办公。

• 网络安全需求

       1、 有线网络升级改造，打造更安全的无线网络。

       2、用户认证，内部员工和访客使用不同的安全认证方式，内部员工使用账号密码接入无线网络，并且对账号和终端进行绑定，实现实名认证上网；访客使用二维码审核方式，短信验证等认证方式便捷接入，实现访客上网可溯源。

       3、上网行为管理，如员工上班期间的行为管理，禁止使用降低工作效率的应用；访客可以正常访问，并且，员工不能接入访客无线网络。

       4、对所有的上网行为进行审计，监控上网行为。

       5、数据安全，数据空口加密保证无线传输数据安全；Wi-Fi安全防钓鱼，有效防范黑客钓鱼Wi-Fi上网风险，有效保障用户上网接入安全和业务数据安全。

       6、在出口带宽有线的情况下，流量精细化管控，优先保障办公流量。

解决方案

• 上网用户身份实名认证：

    无线办公网采用802.1X/Portal/WAPI认证，外置AAA和RADIUS+AD用于存储用户账号密码。每个账号对应一个员工，包括姓名、部门、性别以及身份证、手机号等个人信息，保证每个上网的账号都是可寻的，便于安全管理。用户输入账号密码上网验证时均采用加密传输，防止黑客空中拦截，窃取账号密码等数据。

• 上网账号自动绑定终端

    自动将账号与终端的硬件特征码进行绑定，防止账号被他人使用或者被盗用。每台设备的硬件特征码是唯一的，无法通过软件修改。即使通过软件修改了仍然可以识别原始的。每个账号最多可以绑定5台终端，超过1台时需要管理员审核。

• 上网账号二次绑定手机号码

    账号首次登陆时需要绑定手机号并输入短信验证码，当用户账号在新终端登陆时（换终端/被他用/被盗），不仅需要输入密码，还需要输入短信验证码，解决员工账号认证的安全问题绑定手机号码的用户，可以自助重置密码和修改密码，无需通过IT管理员。

• 无线热点扫描及非法热点抑制：

    背景：黑客在附近搭建一个一模一样或者类似的WIFI名称，诱使用户连到虚假钓鱼WIFI上，黑客利用分析软件从用户上网产生的数据包中分析取用户隐私信息。我们通过WIPS无线入侵防御系统实时检测周围无线信号，当检测出来的信号BSSID、且AP源MAC地址不在授权列表中时，我们向对应的AP和终端发送解除关联帧，让终端无法连上钓鱼WIFI。7×24小时不间断监测网络。

• 上网行为严格控制：

    强大的管理：通过应用识别技术，可以根据应用类型或者具体某一种应用进行封堵，包括视频、论坛、游戏、金融、下载等2400多种网络应用。通过应用识别技术，可以根据应用类型或者具体某一种应用进行封堵，比如上班时间不允许炒股，不允许P2P下载，不允许外发敏感文件等；支持主流移动平台，可识别IM、社交、Mail、新闻、炒股等应用。无线控制器内置千万级别的URL分类库，能够对URL进行识别，包含新闻、购物、金融、教育等18个种类的URL地址；准确识别目前主流网站，识别率高达99.9%，有效实现网页过滤。例如禁止登陆非法网站通过基于时间段的访问控制策略，实现不同的时间段不同的访问权限，比如上班时间，禁止访问网上银行、游戏、论坛贴吧等与工作无关的应用，下班时间则不受限制。办公区域内，不同办公部门总会有各自专属的无线网络，并且不希望部门之外的成员使用这个网络。无线网络控制器可以根据用户的属性，限制禁止非本部门的用户接入。

• 典型无线网络攻击防护：

    对典型的危险攻击行为进行检测，当超过设定的阈值后自动将攻击者加入到黑名单中，并冻结一定时间，即时发现网络攻击并进行防御。检测的攻击包括：DDOS防御、ARP扫描、IP扫描、端口扫描防御，禁止客户端私设IP以及ARP、网关欺骗防御、DHCP请求泛洪防御。

方案优势

    1、最丰富的无线安全机制，供从安全接入到安全上网等端到端的安全策略

    2、合理管控工作人员上网行为，升工作效率、防止带宽浪费，有线无线双重管控

    3、为会议室，报告厅等人员密集区域接入网络高保证，解决有线网口不足的问题；

    4、为企业员工的移动办公供支撑，内部员工可通过无线网络随时安全接入内部网络，实现办公；

    5、内部员工账号及个人信息绑定，便于安全管理；

    6、内部员工可通过自己的办公设备在企业大楼内快速移动办公，网络接入更快速，上网行为管理系统对员工上网行为进行审计与管控

    7、来访客户接入企业网络，可根据不同需求，分配不同的上网权限，保证了接入的安全性同时升群众上网的体验

    8、丰富的认证机制，满足组织对无线网络安全、快速接入

    9、投资成本低，通过部署信锐无线控制器替换原有网络的出口路由、行为管理以及无线控制器