結(jié)合用戶無線網(wǎng)絡(luò)需求情況��,結(jié)合尚弘產(chǎn)品自身技術(shù)特點����,為了滿足用戶構(gòu)建一個高速��、穩(wěn)定����、安全����、可靠、易于管理的無線接入網(wǎng)絡(luò)的需求�����,本設(shè)計方案按照AP+AC的結(jié)構(gòu)化無線網(wǎng)絡(luò)解決方案進行設(shè)計�。具體設(shè)計為在總部設(shè)置總部AC,在大型分支機構(gòu)設(shè)置分支AC與分支AP,中型分支機構(gòu)設(shè)計二級�,三級交換機,分支AP�。小微型分支機構(gòu)直接設(shè)置分支AP??偛緼C可以對大型分支機構(gòu)的AC進行管理,當(dāng)網(wǎng)點控制器采用集中管理的模式進入到中心端控制器時��,會自動下載中心端的公共配置��,比如IP組、MAC地址庫�、時間計劃、角色授權(quán)���、認證頁面等 ?��?偛緼C也可以直接管理中小型分支機構(gòu)的分支AP�����,實現(xiàn)統(tǒng)一管理�。
1�����、安全無線整體解決方案
接入前&接入時進行身份認證��、尚弘安全無線網(wǎng)卡����、賬號綁定(硬件碼+手機號),非法熱點檢測及防御��、網(wǎng)絡(luò)攻擊防護、射頻定時關(guān)閉及安全加固��。接入后&上網(wǎng)時進行訪問權(quán)限控制���。上網(wǎng)后進行上網(wǎng)行為記錄�����。
2�����、上網(wǎng)用戶身份實名認證
無線辦公網(wǎng)采用802.1X/Portal/WAPI認證���,外置AAA和RADIUS+AD用于存儲用戶賬號密碼。每個賬號對應(yīng)一個員工�,包括姓名、部門�、性別以及身份證、手機號等個人信息�,保證每個上網(wǎng)的賬號都是可尋的,便于安全管理��。用戶輸入賬號密碼上網(wǎng)驗證時均采用加密傳輸����,防止黑客空中攔截�,竊取賬號密碼等數(shù)據(jù)�。
3、上網(wǎng)賬號自動綁定終端
自動將賬號與終端的硬件特征碼進行綁定��,防止賬號被他人使用或者被盜用��。每臺設(shè)備的硬件特征碼是唯一的�,無法通過軟件修改����,即使通過軟件修改了仍然可以識別原始的MAC。每個賬號最多可以綁定5臺終端�,超過1臺時需要管理員審核。
4�����、上網(wǎng)賬號二次綁定手機號碼
賬號首次登陸時需要綁定手機號并輸入短信驗證碼���,當(dāng)用戶賬號在新終端登陸時(換終端/被他用/被盜)���,不僅需要輸入密碼�����,還需要輸入短信驗證碼�����,解決員工賬號認證的安全問題綁定手機號碼的用戶���,可以自助重置密碼和修改密碼,無需通過IT管理員��。
5�、用戶密碼管理及自助修改
無需通過管理員即可修改密碼,提高效率及減輕管理員工作壓力���。通過口袋助理��、釘釘���、企業(yè)號等手機MOA類APP軟件進行無線密碼修改。若賬號綁定了手機號碼���,可通過手機驗證碼自助修改����。
6、上網(wǎng)終端合法效驗
采用尚弘安全無線網(wǎng)卡接入無線網(wǎng)絡(luò)�,終端與AP熱點的雙向驗證,提高安全性�����??梢詫o線網(wǎng)絡(luò)設(shè)置為只有安裝了尚弘安全無線網(wǎng)卡的終端才能接入無線網(wǎng)絡(luò)。支持設(shè)置安全無線網(wǎng)卡只能連指定SSID無線網(wǎng)絡(luò)����,無法連接非授權(quán)SSID��。尚弘網(wǎng)卡與AP數(shù)據(jù)傳輸時自動進行數(shù)據(jù)加密��,保證無線的空口安全����。
7、無線熱點掃描及非法熱點抑制
背景:黑客在附近搭建一個一模一樣或者類似的WIFI名稱�����,誘使用戶連到虛假釣魚WIFI上,黑客利用分析軟件從用戶上網(wǎng)產(chǎn)生的數(shù)據(jù)包中分析提取用戶隱私信息����。我們通過WIPS無線入侵防御系統(tǒng)實時檢測周圍無線信號,當(dāng)檢測出來的信號BSSID��、且AP源MAC地址不在授權(quán)列表中時����,我們向?qū)?yīng)的AP和終端發(fā)送解除關(guān)聯(lián)幀,讓終端無法連上釣魚WIFI����,7×24小時不間斷監(jiān)測網(wǎng)絡(luò)。 8����、典型無線網(wǎng)絡(luò)攻擊防護
對典型的危險攻擊行為進行檢測,當(dāng)超過設(shè)定的閾值后自動將攻擊者加入到黑名單中��,并凍結(jié)一定時間�����,即時發(fā)現(xiàn)網(wǎng)絡(luò)攻擊并進行防御�����。檢測的攻擊包括:DDOS防御、ARP掃描��、IP掃描���、端口掃描防御��,禁止客戶端私設(shè)IP以及ARP��、網(wǎng)關(guān)欺騙防御�����、DHCP請求泛洪防御���。
9�����、無線射頻定時關(guān)閉開啟
通過射頻關(guān)閉控制策略�����,可以指定某SSID網(wǎng)絡(luò),定時自動關(guān)閉和開啟無線網(wǎng)絡(luò)的射頻信號��,晚上下班后自動關(guān)閉無線射頻信號����。一方面可以節(jié)能減排、節(jié)省電費支出���;另一方面又能防止非法用戶利用深夜時間入侵無線網(wǎng)絡(luò)�,做一些非法的操作�����。
10�����、有線無線一體化管理
尚弘NAC的有線無線一體化�����,支持對有線用戶的接入認證��、訪問控制、流量管理�����、上網(wǎng)行為審計等����,并提供統(tǒng)一中文Web管理界面,一站式服務(wù)����,極大的降低網(wǎng)絡(luò)建設(shè)成本。
