您好，欢迎光临广东粤云信息科技有限公司！

企业无线办公解决方案

背景概述

随着互联网的发展，移动终端的数量呈爆炸式的增长，需求也越发的广泛，极大的推动了无线网络的发展，对于企业而言，无线已经成为终端接入的主导力量，BYOD、移动办公已成大势所趋，安全的企业WLAN的应用需求正在进一步加大；网络需要提前为物联网的增长做准备，满足实时实地设备自动化部署；由于应用场景变得更加丰富多样，因此网络也随之出现新的安全边界，据统计全球80%的网络安全事件发生在内网，为此建设一张身份权限可统一管理、具备内网无线通信管控与防御，能够清晰呈现业务数据、网络状态数据并方便维护与管理，有效发送相关告警提示的无线网络已经成为了大家建设过程中的共性要求。

现状与需求

l          无线的信号差：无线AP性能不佳，终端上网时总掉线，无线AP点位规划不合理，信号盲区多等等。

l          漫游的效果差：无线网络环境中，不能实现移动设备二三层漫游，进行移动办公时，业务出现中断。

l          上网接入安全：企业无线网络缺乏安全可靠的认证机制，导致问题终端轻易接入无线中，导致网络不安全。

l          数据信息安全：网络传输缺乏有效的数据加密机制，伴随简单认证方式上线，企业数据存在被黑客窃取篡改的风险。

l          内网终端风险：内网安全扫描频发，需要有效快速的进行溯源，精准定位具体的问题移动网络终端，要防止其蔓延。

l          上网权限混乱：缺乏有效的控制机制，上网权限不分明，上班时间使用一些与工作无关的应用，影响合规办公应用。

l          风险告警提示：针对内网当中存在的风险不当访问行为需要有明确的告警提示信息，可以快速定位风险状态情况。

方案介绍

身份统一管理

l           无线办公网采用802.1X/Portal认证，可通过XMG-5100多业务安全网关自身存储用户的认证信息。

l           每个账号对应一个员工，包括姓名、部门、性别以及身份证、手机号等个人信息，保证每个上网的账号都是可寻的，便于安全管理。

l           用户输入账号密码上网验证时均采用加密传输，防止黑客空中拦截，窃取账号密码等数据。

l           二维码审核认证，外来访客连接无线网络后打开浏览器，访问任意网站时，系统将页面重定向到认证页面，认证页面中会显示二维码，具备审批权限的内部接待人员，使用终端扫描访客的认证界面上的二维码，外来访客即可上网。

l           自动将员工账号与上网终端的硬件特征码进行绑定，防止员工账号被他人使用或者被盗用。

l           每台设备的硬件特征码是唯一的，无法通过软件修改。即使通过软件修改仍然可以识别原始的。每个账号最多可绑定5台终端，超过时需要管理员审核。

l           若账号绑定手机号码，可通过手机验证码自助修改。

网络安全管控

l           接入前&接入时进行身份认证、账号绑定（硬件码+手机号），采取虚假热点检测及防御、网络攻击防护、射频定时关闭及安全加固。

l           接入后&上网时进行访问权限控制, 上网后进行上网行为记录.

l           防止黑客在附近搭建一个一模一样或者类似的Wi-Fi名称，诱使用户连到虚假钓鱼Wi-Fi上，黑客利用分析软件从用户上网产生的数据包中分析提取用户隐私信息。

l           我们通过WIPS无线入侵防御系统实时检测周围无线信号，当检测出来的信号BSSID、且AP源MAC地址不在授权列表中时，我们向对应的AP和终端发送解除关联帧，让终端无法连上钓鱼Wi-Fi。7×24小时不间断监测网络。

                                                   

无线通信防御：

l           对典型的危险攻击行为进行检测，当超过设定的阈值后自动将攻击者加入到黑名单中，并冻结一定时间，即时发现网络攻击并进行防御。

l           检测的攻击包括：DDOS防御、ARP扫描、IP扫描、端口扫描防御，禁止客户端私设IP以及ARP、网关欺骗防御、DHCP请求泛洪防御。

l           针对网络中存在的横(东西)向 流量，针对互访存在的可能潜在的风险进行呈现，当有异常终端在网络中发起不合规的流量请求或扫描时，可通过配置策略第一时间发现潜在网络中的问题终端与病毒，早起发现病毒风险。

l           通过射频关闭控制策略，可指定某SSID网络，定时自动关闭和开启无线网络射频信号，下班后自动关闭射频信号。

l           一方面可以节能减排、节省电费支出；另一方面又能防止非法用户利用深夜时间入侵无线网络，做一些非法的操作。

业务数据可视：

l           通过应用识别技术，可以根据应用类型或者具体某一种应用进行封堵，包括视频、论坛、游戏、金融、下载等5400多种网络应用。比如上班时间不允许炒股、P2P下载、外发敏感文件等； 支持主流移动平台，可识别IM、社交、Mail、新闻、炒股等应用。

                                                                    

l           多业务安全网关内置千万级别URL分类库，能够对URL进行识别，包含新闻、购物、金融、教育等18个种类的URL地址； 准确识别目前主流网站，识别率高达99.9%，有效实现网页过滤，可是别超过5000+种应用、1000+移动种应用，500种SAAS应用。

l           通过基于时间段的访问控制策略，实现不同的时间段不同的访问权限，比如上班时间，禁止访问网上银行、游戏、论坛贴吧等与工作无关的应用。

l           办公区域内，不同办公部门总会有各自专属的无线网络，并且不希望部门之外的成员使用这个网络。无线网络控制器可以根据用户的属性，限制禁止非本部门的用户接入。

网络流量可视：

l           信锐NAC的有线无线一体化，支持对用户的接入认证、访问控制、流量管理、上网行为审计等，并提供统一中文Web管理界面，一站式服务，极大降低网络建设成本。可以通过web界面查看内网当中的流量访问走势和终端访问情况

极简运维管理：

l           分配不同的管理员分别管理各自权限区域的无线AP，可以精细到对某AP分组有管理权限，该管理员可以在该AP分组上建立无线网络，能够激活、删除接入点，能够对AP的配置进行编辑修改。

l           可指定管理员针对每个页面编辑或可查看权限进行控制，控制粒度到控制器上各个页面，对某个页面没有读权限则登录时不显示。

l           移动APP随时随地运维管理，支持跨互联网运维管理，登陆APP进行维护管理：不同管理员，不同权限。

l           无线网络管理维护：开启关闭SSID、终端绑定审批，查看网络运行情况：在线用户、AP数量；实时流量。

组网示意图

AP布点图

办公室1

办公室2

方案价值

l           内部员工账号及个人信息绑定，便于安全管理，丰富的认证机制，满足无线网络安全、快速接入；

l           最丰富的无线安全机制，提供从安全接入到安全上网等端到端的安全策略；

l           合理管控工作人员上网行为，提升工作效率、防止带宽浪费，有线无线双重管控；

l           为会议室，报告厅等人员密集区域接入网络提高保证，解决有线网口不足的问题；

l           投资成本低，通过部署信锐多业务安全网关替换原有网络的出口路由、行为管理以及防火墙和无线控制器；

l           为企业员工的移动办公提供支撑，内部员工可通过无线网络随时安全接入内部网络，实现办公；

l           来访客户接入网络，根据不同需求，分配不同的上网权限，保证接入安全性同时提升群众上网的体验；

l           内部员工可通过自己的办公设备在企业大楼内快速移动办公，网络接入更快速，上网行为管理系统对员工上网行为进行审计与管控。

l        通过全网身份统一管理措施结合对应的网络安全管控手段，结合多重无线通信安全保障机制，简单快速的搭建了一张数据与流量等业务可视终端管理非常便捷的无线网络。