智慧WIFI建設
所屬行業:外企公司
行業背景:
大型企業在無線網絡建設期間要充分考慮訪客(領導、客戶、合作伙伴)接入網絡的需求。首先從安全性考慮,訪客網絡必須要和辦公網絡分開,訪客網絡單獨提供給訪客使用。從用戶體驗角度考慮,訪客接入網絡的驗證方式一定要做到簡單易行,繁瑣的驗證方式會降低訪客對企業的整體印象。同時對于訪客網絡,企業還需要建立完善的網絡安全管理機制,避免由于訪客的網絡不良訪問給企業帶來的法律風險。對于企業員工移動辦公上網,更需要做到可管控,上網行為做到可追溯,企業有效的帶寬資源得到合理的分配和保證,才能使企業的業務系統正常且穩定高效地運行,同時保證企業信息安全,避免機密信息泄露。
存在的問題(用戶需求)
1、接入不安全:缺乏安全可靠的認證機制,企業無線網絡接入不安全;
2、上網權限混亂:缺乏有效的控制策略,員工上網權限不分明;
3、數據信息安全:缺乏有效的數據加密機制,企業數據被黑客竊取篡改;
4、無線信號差:AP性能不佳,上網總掉線,點位規劃不合理,信號盲區多;
5、漫游效果差:不能實現二三層漫游,移動辦公時,業務中斷。
結合用戶無線網絡需求情況,結合云騰產品自身技術特點,為了滿足用戶構建一個高速、穩定、安全、可靠、易于管理的無線接入網絡的需求,本設計方案按照AP+AC的結構化無線網絡解決方案進行設計。具體設計為在總部設置總部AC,在大型分支機構設置分支AC與分支AP,中型分支機構設計二級,三級交換機,分支AP。小微型分支機構直接設置分支AP。總部AC可以對大型分支機構的AC進行管理,當網點控制器采用集中管理的模式進入到中心端控制器時,會自動下載中心端的公共配置,比如IP組、MAC地址庫、時間計劃、角色授權、認證頁面等 。總部AC也可以直接管理中小型分支機構的分支AP,實現統一管理。
方案設計:
安全無線整體解決方案:
接入前&接入時進行身份認證、云騰安全無線網卡、賬號綁定(硬件碼+手機號),非法熱點檢測及防御、網絡攻擊防護、射頻定時關閉及安全加固。
接入后&上網時進行訪問權限控制。
上網后進行上網行為記錄。
上網用戶身份實名認證:
無線辦公網采用802.1X/Portal/WAPI認證,外置AAA和RADIUS+AD用于存儲用戶賬號密碼。
每個賬號對應一個員工,包括姓名、部門、性別以及身份證、手機號等個人信息,保證每個上網的賬號都是可尋的,便于安全管理。
方案優勢:
1、豐富的無線安全機制,提供從安全接入到安全上網等端到端的安全策略
2、合理管控工作人員上網行為,提升工作效率、防止帶寬浪費,有線無線雙重管控
3、為會議室,報告廳等人員密集區域接入網絡提高保證,解決有線網口不足的問題;