案例展示
客服中(zhōng)心
廣東快(kuài)通信息科技有限公司
電話(huà):18520737309
網址:www.gzyueyun.com.cn
郵箱:gzyueyun@gzyueyun.com.cn
地址:廣州市天河(hé)區中(zhōng)山大(dà)(dà)道(dào)268号403房223号
案例展示
當前位置:首頁 >> 新聞中(zhōng)心 >> 案例展示企業無線辦公解決方案
背景概述
随着互聯網的發展,移動終端的數量呈爆炸式的增長,需求也(yě)越發的廣泛,極大(dà)(dà)的推動了(le)無線網絡的發展,對于企業而言,無線已經成爲終端接入的主導力量,BYOD、移動辦公已成大(dà)(dà)勢所趨,安全的企業WLAN的應用(yòng)需求正在進一(yī)步加大(dà)(dà);網絡需要提前爲物(wù)聯網的增長做準備,滿足實時實地設備自(zì)動化部署;由于應用(yòng)場景變得更加豐富多樣,因此網絡也(yě)随之出現新的安全邊界,據統計全球80%的網絡安全事(shì)件發生(shēng)在内網,爲此建設一(yī)張身份權限可統一(yī)管理(lǐ)、具備内網無線通信管控與防禦,能(néng)夠清晰呈現業務數據、網絡狀态數據并方便維護與管理(lǐ),有效發送相關告警提示的無線網絡已經成爲了(le)大(dà)(dà)家建設過程中(zhōng)的共性要求。
現狀與需求
l 無線的信号差:無線AP性能(néng)不佳,終端上(shàng)網時總掉線,無線AP點位規劃不合理(lǐ),信号盲區多等等。
l 漫遊的效果差:無線網絡環境中(zhōng),不能(néng)實現移動設備二三層漫遊,進行移動辦公時,業務出現中(zhōng)斷。
l 上(shàng)網接入安全:企業無線網絡缺乏安全可靠的認證機制,導緻問題終端輕易接入無線中(zhōng),導緻網絡不安全。
l 數據信息安全:網絡傳輸缺乏有效的數據加密機制,伴随簡單認證方式上(shàng)線,企業數據存在被黑客竊取篡改的風險。
l 内網終端風險:内網安全掃描頻(pín)發,需要有效快(kuài)速的進行溯源,精準定位具體(tǐ)的問題移動網絡終端,要防止其蔓延。
l 上(shàng)網權限混亂:缺乏有效的控制機制,上(shàng)網權限不分(fēn)明(míng),上(shàng)班時間使用(yòng)一(yī)些(xiē)與工(gōng)(gōng)作(zuò)無關的應用(yòng),影響合規辦公應用(yòng)。
l 風險告警提示:針對内網當中(zhōng)存在的風險不當訪問行爲需要有明(míng)确的告警提示信息,可以快(kuài)速定位風險狀态情況。
方案介紹
身份統一(yī)管理(lǐ)
l 無線辦公網采用(yòng)802.1X/Portal認證,可通過XMG-5100多業務安全網關自(zì)身存儲用(yòng)戶的認證信息。
l 每個賬号對應一(yī)個員(yuán)工(gōng)(gōng),包括姓名、部門、性别以及身份證、手機号等個人信息,保證每個上(shàng)網的賬号都是可尋的,便于安全管理(lǐ)。
l 用(yòng)戶輸入賬号密碼上(shàng)網驗證時均采用(yòng)加密傳輸,防止黑客空(kōng)中(zhōng)攔截,竊取賬号密碼等數據。
l 二維碼審核認證,外(wài)(wài)來訪客連接無線網絡後打開(kāi)浏覽器,訪問任意網站(zhàn)時,系統将頁面重定向到(dào)認證頁面,認證頁面中(zhōng)會顯示二維碼,具備審批權限的内部接待人員(yuán),使用(yòng)終端掃描訪客的認證界面上(shàng)的二維碼,外(wài)(wài)來訪客即可上(shàng)網。
l 自(zì)動将員(yuán)工(gōng)(gōng)賬号與上(shàng)網終端的硬件特征碼進行綁定,防止員(yuán)工(gōng)(gōng)賬号被他(tā)人使用(yòng)或者被盜用(yòng)。
l 每台設備的硬件特征碼是唯一(yī)的,無法通過軟件修改。即使通過軟件修改仍然可以識别原始的。每個賬号最多可綁定5台終端,超過時需要管理(lǐ)員(yuán)審核。
l 若賬号綁定手機号碼,可通過手機驗證碼自(zì)助修改。
網絡安全管控
l 接入前&接入時進行身份認證、賬号綁定(硬件碼+手機号),采取虛假熱點檢測及防禦、網絡攻擊防護、射頻(pín)定時關閉及安全加固。
l 接入後&上(shàng)網時進行訪問權限控制, 上(shàng)網後進行上(shàng)網行爲記錄.
l 防止黑客在附近搭建一(yī)個一(yī)模一(yī)樣或者類似的Wi-Fi名稱,誘使用(yòng)戶連到(dào)虛假釣魚Wi-Fi上(shàng),黑客利用(yòng)分(fēn)析軟件從用(yòng)戶上(shàng)網産生(shēng)的數據包中(zhōng)分(fēn)析提取用(yòng)戶隐私信息。
l 我(wǒ)們通過WIPS無線入侵防禦系統實時檢測周圍無線信号,當檢測出來的信号BSSID、且AP源MAC地址不在授權列表中(zhōng)時,我(wǒ)們向對應的AP和(hé)終端發送解除關聯幀,讓終端無法連上(shàng)釣魚Wi-Fi。7×24小(xiǎo)(xiǎo)時不間斷監測網絡。
無線通信防禦:
l 對典型的危險攻擊行爲進行檢測,當超過設定的阈值後自(zì)動将攻擊者加入到(dào)黑名單中(zhōng),并凍結一(yī)定時間,即時發現網絡攻擊并進行防禦。
l 檢測的攻擊包括:DDOS防禦、ARP掃描、IP掃描、端口掃描防禦,禁止客戶端私設IP以及ARP、網關欺騙防禦、DHCP請求泛洪防禦。
l 針對網絡中(zhōng)存在的橫(東西)向 流量,針對互訪存在的可能(néng)潛在的風險進行呈現,當有異常終端在網絡中(zhōng)發起不合規的流量請求或掃描時,可通過配置策略第一(yī)時間發現潛在網絡中(zhōng)的問題終端與病毒,早起發現病毒風險。
l 通過射頻(pín)關閉控制策略,可指定某SSID網絡,定時自(zì)動關閉和(hé)開(kāi)啓無線網絡射頻(pín)信号,下(xià)(xià)班後自(zì)動關閉射頻(pín)信号。
l 一(yī)方面可以節能(néng)減排、節省電費(fèi)支出;另一(yī)方面又(yòu)能(néng)防止非法用(yòng)戶利用(yòng)深夜時間入侵無線網絡,做一(yī)些(xiē)非法的操作(zuò)。
業務數據可視:
l 通過應用(yòng)識别技術,可以根據應用(yòng)類型或者具體(tǐ)某一(yī)種應用(yòng)進行封堵,包括視頻(pín)、論壇、遊戲、金(jīn)融、下(xià)(xià)載等5400多種網絡應用(yòng)。比如上(shàng)班時間不允許炒股、P2P下(xià)(xià)載、外(wài)(wài)發敏感文(wén)件等; 支持主流移動平台,可識别IM、社交、Mail、新聞、炒股等應用(yòng)。
l 多業務安全網關内置千萬級别URL分(fēn)類庫,能(néng)夠對URL進行識别,包含新聞、購物(wù)、金(jīn)融、教育等18個種類的URL地址; 準确識别目前主流網站(zhàn),識别率高(gāo)達99.9%,有效實現網頁過濾,可是别超過5000+種應用(yòng)、1000+移動種應用(yòng),500種SAAS應用(yòng)。
l 通過基于時間段的訪問控制策略,實現不同的時間段不同的訪問權限,比如上(shàng)班時間,禁止訪問網上(shàng)銀行、遊戲、論壇貼吧等與工(gōng)(gōng)作(zuò)無關的應用(yòng)。
l 辦公區域内,不同辦公部門總會有各自(zì)專屬的無線網絡,并且不希望部門之外(wài)(wài)的成員(yuán)使用(yòng)這個網絡。無線網絡控制器可以根據用(yòng)戶的屬性,限制禁止非本部門的用(yòng)戶接入。
網絡流量可視:
l 信銳NAC的有線無線一(yī)體(tǐ)化,支持對用(yòng)戶的接入認證、訪問控制、流量管理(lǐ)、上(shàng)網行爲審計等,并提供統一(yī)中(zhōng)文(wén)Web管理(lǐ)界面,一(yī)站(zhàn)式服務,極大(dà)(dà)降低(dī)網絡建設成本。可以通過web界面查看(kàn)内網當中(zhōng)的流量訪問走勢和(hé)終端訪問情況
極簡運維管理(lǐ):
l 分(fēn)配不同的管理(lǐ)員(yuán)分(fēn)别管理(lǐ)各自(zì)權限區域的無線AP,可以精細到(dào)對某AP分(fēn)組有管理(lǐ)權限,該管理(lǐ)員(yuán)可以在該AP分(fēn)組上(shàng)建立無線網絡,能(néng)夠激活、删除接入點,能(néng)夠對AP的配置進行編輯修改。
l 可指定管理(lǐ)員(yuán)針對每個頁面編輯或可查看(kàn)權限進行控制,控制粒度到(dào)控制器上(shàng)各個頁面,對某個頁面沒有讀權限則登錄時不顯示。
l 移動APP随時随地運維管理(lǐ),支持跨互聯網運維管理(lǐ),登陸APP進行維護管理(lǐ):不同管理(lǐ)員(yuán),不同權限。
l 無線網絡管理(lǐ)維護:開(kāi)啓關閉SSID、終端綁定審批,查看(kàn)網絡運行情況:在線用(yòng)戶、AP數量;實時流量。
組網示意圖
AP布點圖
辦公室1
辦公室2
方案價值
l 内部員(yuán)工(gōng)(gōng)賬号及個人信息綁定,便于安全管理(lǐ),豐富的認證機制,滿足無線網絡安全、快(kuài)速接入;
l 最豐富的無線安全機制,提供從安全接入到(dào)安全上(shàng)網等端到(dào)端的安全策略;
l 合理(lǐ)管控工(gōng)(gōng)作(zuò)人員(yuán)上(shàng)網行爲,提升工(gōng)(gōng)作(zuò)效率、防止帶寬浪費(fèi),有線無線雙重管控;
l 爲會議室,報告廳等人員(yuán)密集區域接入網絡提高(gāo)保證,解決有線網口不足的問題;
l 投資(zī)成本低(dī),通過部署信銳多業務安全網關替換原有網絡的出口路由、行爲管理(lǐ)以及防火(huǒ)牆和(hé)無線控制器;
l 爲企業員(yuán)工(gōng)(gōng)的移動辦公提供支撐,内部員(yuán)工(gōng)(gōng)可通過無線網絡随時安全接入内部網絡,實現辦公;
l 來訪客戶接入網絡,根據不同需求,分(fēn)配不同的上(shàng)網權限,保證接入安全性同時提升群衆上(shàng)網的體(tǐ)驗;
l 内部員(yuán)工(gōng)(gōng)可通過自(zì)己的辦公設備在企業大(dà)(dà)樓内快(kuài)速移動辦公,網絡接入更快(kuài)速,上(shàng)網行爲管理(lǐ)系統對員(yuán)工(gōng)(gōng)上(shàng)網行爲進行審計與管控。
l 通過全網身份統一(yī)管理(lǐ)措施結合對應的網絡安全管控手段,結合多重無線通信安全保障機制,簡單快(kuài)速的搭建了(le)一(yī)張數據與流量等業務可視終端管理(lǐ)非常便捷的無線網絡。
下(xià)(xià)一(yī)篇:【一(yī)圖通】信銳智慧酒店(diàn)(diàn)Sec-Hotel解決方案
- 2020/06/14【一(yī)圖通】信銳智慧酒店(diàn)(diàn)Sec-Hotel解決方案
- 2020/08/14企業無線覆蓋解決方案