企業無線辦公解決方案

背景概述

隨著互聯網的發展，移動終端的數量呈爆炸式的增長，需求也越發的廣泛，極大的推動了無線網絡的發展，對于企業而言，無線已經成為終端接入的主導力量，BYOD、移動辦公已成大勢所趨，安全的企業WLAN的應用需求正在進一步加大；網絡需要提前為物聯網的增長做準備，滿足實時實地設備自動化部署；由于應用場景變得更加豐富多樣，因此網絡也隨之出現新的安全邊界，據統計全球80%的網絡安全事件發生在內網，為此建設一張身份權限可統一管理、具備內網無線通信管控與防御，能夠清晰呈現業務數據、網絡狀態數據并方便維護與管理，有效發送相關告警提示的無線網絡已經成為了大家建設過程中的共性要求。

現狀與需求

l          無線的信號差：無線AP性能不佳，終端上網時總掉線，無線AP點位規劃不合理，信號盲區多等等。

l          漫游的效果差：無線網絡環境中，不能實現移動設備二三層漫游，進行移動辦公時，業務出現中斷。

l          上網接入安全：企業無線網絡缺乏安全可靠的認證機制，導致問題終端輕易接入無線中，導致網絡不安全。

l          數據信息安全：網絡傳輸缺乏有效的數據加密機制，伴隨簡單認證方式上線，企業數據存在被黑客竊取篡改的風險。

l          內網終端風險：內網安全掃描頻發，需要有效快速的進行溯源，精準定位具體的問題移動網絡終端，要防止其蔓延。

l          上網權限混亂：缺乏有效的控制機制，上網權限不分明，上班時間使用一些與工作無關的應用，影響合規辦公應用。

l          風險告警提示：針對內網當中存在的風險不當訪問行為需要有明確的告警提示信息，可以快速定位風險狀態情況。

方案介紹

身份統一管理

l           無線辦公網采用802.1X/Portal認證，可通過XMG-5100多業務安全網關自身存儲用戶的認證信息。

l           每個賬號對應一個員工，包括姓名、部門、性別以及身份證、手機號等個人信息，保證每個上網的賬號都是可尋的，便于安全管理。

l           用戶輸入賬號密碼上網驗證時均采用加密傳輸，防止黑客空中攔截，竊取賬號密碼等數據。

l           二維碼審核認證，外來訪客連接無線網絡后打開瀏覽器，訪問任意網站時，系統將頁面重定向到認證頁面，認證頁面中會顯示二維碼，具備審批權限的內部接待人員，使用終端掃描訪客的認證界面上的二維碼，外來訪客即可上網。

l           自動將員工賬號與上網終端的硬件特征碼進行綁定，防止員工賬號被他人使用或者被盜用。

l           每臺設備的硬件特征碼是唯一的，無法通過軟件修改。即使通過軟件修改仍然可以識別原始的。每個賬號最多可綁定5臺終端，超過時需要管理員審核。

l           若賬號綁定手機號碼，可通過手機驗證碼自助修改。

網絡安全管控

l           接入前&接入時進行身份認證、賬號綁定（硬件碼+手機號），采取虛假熱點檢測及防御、網絡攻擊防護、射頻定時關閉及安全加固。

l           接入后&上網時進行訪問權限控制, 上網后進行上網行為記錄.

l           防止黑客在附近搭建一個一模一樣或者類似的Wi-Fi名稱，誘使用戶連到虛假釣魚Wi-Fi上，黑客利用分析軟件從用戶上網產生的數據包中分析提取用戶隱私信息。

l           我們通過WIPS無線入侵防御系統實時檢測周圍無線信號，當檢測出來的信號BSSID、且AP源MAC地址不在授權列表中時，我們向對應的AP和終端發送解除關聯幀，讓終端無法連上釣魚Wi-Fi。7×24小時不間斷監測網絡。

                                                   

無線通信防御：

l           對典型的危險攻擊行為進行檢測，當超過設定的閾值后自動將攻擊者加入到黑名單中，并凍結一定時間，即時發現網絡攻擊并進行防御。

l           檢測的攻擊包括：DDOS防御、ARP掃描、IP掃描、端口掃描防御，禁止客戶端私設IP以及ARP、網關欺騙防御、DHCP請求泛洪防御。

l           針對網絡中存在的橫(東西)向 流量，針對互訪存在的可能潛在的風險進行呈現，當有異常終端在網絡中發起不合規的流量請求或掃描時，可通過配置策略第一時間發現潛在網絡中的問題終端與病毒，早起發現病毒風險。

l           通過射頻關閉控制策略，可指定某SSID網絡，定時自動關閉和開啟無線網絡射頻信號，下班后自動關閉射頻信號。

l           一方面可以節能減排、節省電費支出；另一方面又能防止非法用戶利用深夜時間入侵無線網絡，做一些非法的操作。

業務數據可視：

l           通過應用識別技術，可以根據應用類型或者具體某一種應用進行封堵，包括視頻、論壇、游戲、金融、下載等5400多種網絡應用。比如上班時間不允許炒股、P2P下載、外發敏感文件等； 支持主流移動平臺，可識別IM、社交、Mail、新聞、炒股等應用。

                                                                    

l           多業務安全網關內置千萬級別URL分類庫，能夠對URL進行識別，包含新聞、購物、金融、教育等18個種類的URL地址； 準確識別目前主流網站，識別率高達99.9%，有效實現網頁過濾，可是別超過5000+種應用、1000+移動種應用，500種SAAS應用。

l           通過基于時間段的訪問控制策略，實現不同的時間段不同的訪問權限，比如上班時間，禁止訪問網上銀行、游戲、論壇貼吧等與工作無關的應用。

l           辦公區域內，不同辦公部門總會有各自專屬的無線網絡，并且不希望部門之外的成員使用這個網絡。無線網絡控制器可以根據用戶的屬性，限制禁止非本部門的用戶接入。

網絡流量可視：

l           信銳NAC的有線無線一體化，支持對用戶的接入認證、訪問控制、流量管理、上網行為審計等，并提供統一中文Web管理界面，一站式服務，極大降低網絡建設成本?？梢酝ㄟ^web界面查看內網當中的流量訪問走勢和終端訪問情況

極簡運維管理：

l           分配不同的管理員分別管理各自權限區域的無線AP，可以精細到對某AP分組有管理權限，該管理員可以在該AP分組上建立無線網絡，能夠激活、刪除接入點，能夠對AP的配置進行編輯修改。

l           可指定管理員針對每個頁面編輯或可查看權限進行控制，控制粒度到控制器上各個頁面，對某個頁面沒有讀權限則登錄時不顯示。

l           移動APP隨時隨地運維管理，支持跨互聯網運維管理，登陸APP進行維護管理：不同管理員，不同權限。

l           無線網絡管理維護：開啟關閉SSID、終端綁定審批，查看網絡運行情況：在線用戶、AP數量；實時流量。

組網示意圖

AP布點圖

辦公室1

辦公室2

方案價值

l           內部員工賬號及個人信息綁定，便于安全管理，豐富的認證機制，滿足無線網絡安全、快速接入；

l           最豐富的無線安全機制，提供從安全接入到安全上網等端到端的安全策略；

l           合理管控工作人員上網行為，提升工作效率、防止帶寬浪費，有線無線雙重管控；

l           為會議室，報告廳等人員密集區域接入網絡提高保證，解決有線網口不足的問題；

l           投資成本低，通過部署信銳多業務安全網關替換原有網絡的出口路由、行為管理以及防火墻和無線控制器；

l           為企業員工的移動辦公提供支撐，內部員工可通過無線網絡隨時安全接入內部網絡，實現辦公；

l           來訪客戶接入網絡，根據不同需求，分配不同的上網權限，保證接入安全性同時提升群眾上網的體驗；

l           內部員工可通過自己的辦公設備在企業大樓內快速移動辦公，網絡接入更快速，上網行為管理系統對員工上網行為進行審計與管控。

l        通過全網身份統一管理措施結合對應的網絡安全管控手段，結合多重無線通信安全保障機制，簡單快速的搭建了一張數據與流量等業務可視終端管理非常便捷的無線網絡。