企業(yè)無線辦公解決方案

背景概述

隨著互聯(lián)網(wǎng)的發(fā)展，移動終端的數(shù)量呈爆炸式的增長，需求也越發(fā)的廣泛，極大的推動了無線網(wǎng)絡(luò)的發(fā)展，對于企業(yè)而言，無線已經(jīng)成為終端接入的主導(dǎo)力量，BYOD、移動辦公已成大勢所趨，安全的企業(yè)WLAN的應(yīng)用需求正在進(jìn)一步加大；網(wǎng)絡(luò)需要提前為物聯(lián)網(wǎng)的增長做準(zhǔn)備，滿足實時實地設(shè)備自動化部署；由于應(yīng)用場景變得更加豐富多樣，因此網(wǎng)絡(luò)也隨之出現(xiàn)新的安全邊界，據(jù)統(tǒng)計全球80%的網(wǎng)絡(luò)安全事件發(fā)生在內(nèi)網(wǎng)，為此建設(shè)一張身份權(quán)限可統(tǒng)一管理、具備內(nèi)網(wǎng)無線通信管控與防御，能夠清晰呈現(xiàn)業(yè)務(wù)數(shù)據(jù)、網(wǎng)絡(luò)狀態(tài)數(shù)據(jù)并方便維護(hù)與管理，有效發(fā)送相關(guān)告警提示的無線網(wǎng)絡(luò)已經(jīng)成為了大家建設(shè)過程中的共性要求。

現(xiàn)狀與需求

l          無線的信號差：無線AP性能不佳，終端上網(wǎng)時總掉線，無線AP點位規(guī)劃不合理，信號盲區(qū)多等等。

l          漫游的效果差：無線網(wǎng)絡(luò)環(huán)境中，不能實現(xiàn)移動設(shè)備二三層漫游，進(jìn)行移動辦公時，業(yè)務(wù)出現(xiàn)中斷。

l          上網(wǎng)接入安全：企業(yè)無線網(wǎng)絡(luò)缺乏安全可靠的認(rèn)證機(jī)制，導(dǎo)致問題終端輕易接入無線中，導(dǎo)致網(wǎng)絡(luò)不安全。

l          數(shù)據(jù)信息安全：網(wǎng)絡(luò)傳輸缺乏有效的數(shù)據(jù)加密機(jī)制，伴隨簡單認(rèn)證方式上線，企業(yè)數(shù)據(jù)存在被黑客竊取篡改的風(fēng)險。

l          內(nèi)網(wǎng)終端風(fēng)險：內(nèi)網(wǎng)安全掃描頻發(fā)，需要有效快速的進(jìn)行溯源，精準(zhǔn)定位具體的問題移動網(wǎng)絡(luò)終端，要防止其蔓延。

l          上網(wǎng)權(quán)限混亂：缺乏有效的控制機(jī)制，上網(wǎng)權(quán)限不分明，上班時間使用一些與工作無關(guān)的應(yīng)用，影響合規(guī)辦公應(yīng)用。

l          風(fēng)險告警提示：針對內(nèi)網(wǎng)當(dāng)中存在的風(fēng)險不當(dāng)訪問行為需要有明確的告警提示信息，可以快速定位風(fēng)險狀態(tài)情況。

方案介紹

身份統(tǒng)一管理

l           無線辦公網(wǎng)采用802.1X/Portal認(rèn)證，可通過XMG-5100多業(yè)務(wù)安全網(wǎng)關(guān)自身存儲用戶的認(rèn)證信息。

l           每個賬號對應(yīng)一個員工，包括姓名、部門、性別以及身份證、手機(jī)號等個人信息，保證每個上網(wǎng)的賬號都是可尋的，便于安全管理。

l           用戶輸入賬號密碼上網(wǎng)驗證時均采用加密傳輸，防止黑客空中攔截，竊取賬號密碼等數(shù)據(jù)。

l           二維碼審核認(rèn)證，外來訪客連接無線網(wǎng)絡(luò)后打開瀏覽器，訪問任意網(wǎng)站時，系統(tǒng)將頁面重定向到認(rèn)證頁面，認(rèn)證頁面中會顯示二維碼，具備審批權(quán)限的內(nèi)部接待人員，使用終端掃描訪客的認(rèn)證界面上的二維碼，外來訪客即可上網(wǎng)。

l           自動將員工賬號與上網(wǎng)終端的硬件特征碼進(jìn)行綁定，防止員工賬號被他人使用或者被盜用。

l           每臺設(shè)備的硬件特征碼是唯一的，無法通過軟件修改。即使通過軟件修改仍然可以識別原始的。每個賬號最多可綁定5臺終端，超過時需要管理員審核。

l           若賬號綁定手機(jī)號碼，可通過手機(jī)驗證碼自助修改。

網(wǎng)絡(luò)安全管控

l           接入前&接入時進(jìn)行身份認(rèn)證、賬號綁定（硬件碼+手機(jī)號），采取虛假熱點檢測及防御、網(wǎng)絡(luò)攻擊防護(hù)、射頻定時關(guān)閉及安全加固。

l           接入后&上網(wǎng)時進(jìn)行訪問權(quán)限控制, 上網(wǎng)后進(jìn)行上網(wǎng)行為記錄.

l           防止黑客在附近搭建一個一模一樣或者類似的Wi-Fi名稱，誘使用戶連到虛假釣魚Wi-Fi上，黑客利用分析軟件從用戶上網(wǎng)產(chǎn)生的數(shù)據(jù)包中分析提取用戶隱私信息。

l           我們通過WIPS無線入侵防御系統(tǒng)實時檢測周圍無線信號，當(dāng)檢測出來的信號BSSID、且AP源MAC地址不在授權(quán)列表中時，我們向?qū)?yīng)的AP和終端發(fā)送解除關(guān)聯(lián)幀，讓終端無法連上釣魚Wi-Fi。7×24小時不間斷監(jiān)測網(wǎng)絡(luò)。

                                                   

無線通信防御：

l           對典型的危險攻擊行為進(jìn)行檢測，當(dāng)超過設(shè)定的閾值后自動將攻擊者加入到黑名單中，并凍結(jié)一定時間，即時發(fā)現(xiàn)網(wǎng)絡(luò)攻擊并進(jìn)行防御。

l           檢測的攻擊包括：DDOS防御、ARP掃描、IP掃描、端口掃描防御，禁止客戶端私設(shè)IP以及ARP、網(wǎng)關(guān)欺騙防御、DHCP請求泛洪防御。

l           針對網(wǎng)絡(luò)中存在的橫(東西)向 流量，針對互訪存在的可能潛在的風(fēng)險進(jìn)行呈現(xiàn)，當(dāng)有異常終端在網(wǎng)絡(luò)中發(fā)起不合規(guī)的流量請求或掃描時，可通過配置策略第一時間發(fā)現(xiàn)潛在網(wǎng)絡(luò)中的問題終端與病毒，早起發(fā)現(xiàn)病毒風(fēng)險。

l           通過射頻關(guān)閉控制策略，可指定某SSID網(wǎng)絡(luò)，定時自動關(guān)閉和開啟無線網(wǎng)絡(luò)射頻信號，下班后自動關(guān)閉射頻信號。

l           一方面可以節(jié)能減排、節(jié)省電費支出；另一方面又能防止非法用戶利用深夜時間入侵無線網(wǎng)絡(luò)，做一些非法的操作。

業(yè)務(wù)數(shù)據(jù)可視：

l           通過應(yīng)用識別技術(shù)，可以根據(jù)應(yīng)用類型或者具體某一種應(yīng)用進(jìn)行封堵，包括視頻、論壇、游戲、金融、下載等5400多種網(wǎng)絡(luò)應(yīng)用。比如上班時間不允許炒股、P2P下載、外發(fā)敏感文件等； 支持主流移動平臺，可識別IM、社交、Mail、新聞、炒股等應(yīng)用。

                                                                    

l           多業(yè)務(wù)安全網(wǎng)關(guān)內(nèi)置千萬級別URL分類庫，能夠?qū)RL進(jìn)行識別，包含新聞、購物、金融、教育等18個種類的URL地址； 準(zhǔn)確識別目前主流網(wǎng)站，識別率高達(dá)99.9%，有效實現(xiàn)網(wǎng)頁過濾，可是別超過5000+種應(yīng)用、1000+移動種應(yīng)用，500種SAAS應(yīng)用。

l           通過基于時間段的訪問控制策略，實現(xiàn)不同的時間段不同的訪問權(quán)限，比如上班時間，禁止訪問網(wǎng)上銀行、游戲、論壇貼吧等與工作無關(guān)的應(yīng)用。

l           辦公區(qū)域內(nèi)，不同辦公部門總會有各自專屬的無線網(wǎng)絡(luò)，并且不希望部門之外的成員使用這個網(wǎng)絡(luò)。無線網(wǎng)絡(luò)控制器可以根據(jù)用戶的屬性，限制禁止非本部門的用戶接入。

網(wǎng)絡(luò)流量可視：

l           信銳NAC的有線無線一體化，支持對用戶的接入認(rèn)證、訪問控制、流量管理、上網(wǎng)行為審計等，并提供統(tǒng)一中文Web管理界面，一站式服務(wù)，極大降低網(wǎng)絡(luò)建設(shè)成本?？梢酝ㄟ^web界面查看內(nèi)網(wǎng)當(dāng)中的流量訪問走勢和終端訪問情況

極簡運維管理：

l           分配不同的管理員分別管理各自權(quán)限區(qū)域的無線AP，可以精細(xì)到對某AP分組有管理權(quán)限，該管理員可以在該AP分組上建立無線網(wǎng)絡(luò)，能夠激活、刪除接入點，能夠?qū)P的配置進(jìn)行編輯修改。

l           可指定管理員針對每個頁面編輯或可查看權(quán)限進(jìn)行控制，控制粒度到控制器上各個頁面，對某個頁面沒有讀權(quán)限則登錄時不顯示。

l           移動APP隨時隨地運維管理，支持跨互聯(lián)網(wǎng)運維管理，登陸APP進(jìn)行維護(hù)管理：不同管理員，不同權(quán)限。

l           無線網(wǎng)絡(luò)管理維護(hù)：開啟關(guān)閉SSID、終端綁定審批，查看網(wǎng)絡(luò)運行情況：在線用戶、AP數(shù)量；實時流量。

組網(wǎng)示意圖

AP布點圖

辦公室1

辦公室2

方案價值

l           內(nèi)部員工賬號及個人信息綁定，便于安全管理，豐富的認(rèn)證機(jī)制，滿足無線網(wǎng)絡(luò)安全、快速接入；

l           最豐富的無線安全機(jī)制，提供從安全接入到安全上網(wǎng)等端到端的安全策略；

l           合理管控工作人員上網(wǎng)行為，提升工作效率、防止帶寬浪費，有線無線雙重管控；

l           為會議室，報告廳等人員密集區(qū)域接入網(wǎng)絡(luò)提高保證，解決有線網(wǎng)口不足的問題；

l           投資成本低，通過部署信銳多業(yè)務(wù)安全網(wǎng)關(guān)替換原有網(wǎng)絡(luò)的出口路由、行為管理以及防火墻和無線控制器；

l           為企業(yè)員工的移動辦公提供支撐，內(nèi)部員工可通過無線網(wǎng)絡(luò)隨時安全接入內(nèi)部網(wǎng)絡(luò)，實現(xiàn)辦公；

l           來訪客戶接入網(wǎng)絡(luò)，根據(jù)不同需求，分配不同的上網(wǎng)權(quán)限，保證接入安全性同時提升群眾上網(wǎng)的體驗；

l           內(nèi)部員工可通過自己的辦公設(shè)備在企業(yè)大樓內(nèi)快速移動辦公，網(wǎng)絡(luò)接入更快速，上網(wǎng)行為管理系統(tǒng)對員工上網(wǎng)行為進(jìn)行審計與管控。

l        通過全網(wǎng)身份統(tǒng)一管理措施結(jié)合對應(yīng)的網(wǎng)絡(luò)安全管控手段，結(jié)合多重?zé)o線通信安全保障機(jī)制，簡單快速的搭建了一張數(shù)據(jù)與流量等業(yè)務(wù)可視終端管理非常便捷的無線網(wǎng)絡(luò)。