1.4 企业WLAN需求分析
随着智能移动终端的增加,BYOD对公司的普及,高质量的WLAN已经成为移动办公公司的严格要求。
在具体的申请过程中,公司的WLAN包含以下具体要求:
1.4.1 企业WIFI安全接入
随着企业信息化建设和国家信息工程的发展,公司办公室的信息逐步实现,对BYOD的需求不断增加。越来越多的公司使用无线网络访问其内部业务系统和办公室。通过无线网络的局限性影响,其安全性问题日益突出,迫切需要接入安全机制来保护客户服务系统免受黑客攻击。
1.4.2 企业WIFI安全办公
公司业务规模不断扩大,公司对网络的业务依赖性不断增加。无线网络技术的逐渐成熟使许多公司能够扩展其无线网络,以实现其日常办公和客户接收以及业务咨询。办公室,访客,会议室等都需要无线网络。在当前流行的智能终端中,无线网络还可以将平板电脑,手机和笔记本电脑变成办公工具。安全问题是伴随着不仅体现在上网,如何保障网络安全公司的访问后,并确保企业系统的正常运行,需要为双的解决方案有效的无线安全保护。
1.4.3 企业WIFI快速上网
随着公司的不断发展,无线网络的业务需求也在不断增加。然而,由于该无线网络是没有国界的,并且信号容易受到干扰的事实,无线网络可能会遇到连接不稳定,上网慢和带宽不足的应用程序在多用户使用的过程。因此,企业邮件,财务,办公软件,互联网业务系统,访客信息和评论的有效使用需要快速的无线支持网络。
1.4.4 企业WIFI快速漫游
随着智能移动终端的发展,业务BYOD呈现大势所趋。 BYOD实现随时随地的企业必须保证无线信号,快速漫游和高信号质量的完美覆盖。
对于多个接入终端,多个接入位置确保良好的集成,控制和管理。
1.4.5 企业上网行为管理
企业员工可以使用WIFI来搜索数据,后台办公,通讯,业务咨询,即将离任的机密文件等,而且必须使员工的上网行为,带宽控制管理并确保员工在线安全。办公效率,避免对企业网络资源的浪费,防止泄漏的公司和员工通过互联网进行违法经营活动的机密数据。
1.4.6 访客安全管理
商务旅客可以通过该公司或访问问题中的Wi-Fi接入到接入层的安全接入互联网必须解决的问题。在获得对公司受限制的内部资源和访问Internet的访问权限之后,还需要控制访问者访问行为和控制流量。
1.4.7 集中管理
多公司随着业务的快速发展,业务实现无线接入点的增长,数量巨大。对于许多WiFi热点的无线配置,升级,维护需要统一集中管理,降低维护成本,提高整体稳定性,降低故障率。
1.4.8 企业数据保护、安全
企业业务系统将数据作为内核,无线网络具有不同的网络于有线。所有无线网络数据被通过空气传播,并为有效且高度安全加密的机制,以确保不需要被盗或过滤器数据,以及企业机密泄漏。
无线实现作为有线扩展,限制和安全访问模式比于有线网络更难控制,而安全问题,如员工的无线互联网连接,也缺乏良好的管理工具。几个网络钓鱼AP和AD-hoc可以隐藏在环境无线连接中,数据被传输,数据中的病毒风险无处不在,需要保护以确保数据和公司的安全。
1.5企业WLAN当前面临的挑战
1.5.1 企业办公无线终端密度大,员工对网络时延敏感度高
公司对BYOD的需求有所增加,公司办公室,会议室和无线终端领域也很密集。有必要确保员工和访客在高密度环境中的流动性,并提高公司办公室和业务的效率。
1.5.2办公场所要求覆盖广,无死角,信号强
该公司的办公区域很大,不需要盲点覆盖,内部员工访问可以执行无意识的漫游和连续的网络。了解公司会议室的高密度区域,确保稳定的访问。访问者可以随时随地访问和访问业务提示和意见。
1.5.3 企业组织结构复杂,权限难于控制
随着公司的成长和发展,劳动分工更加清晰,部门的职责更加详细。同时,必须对部门进行细化和控制,每个部门和职位都有不同的权限。
1.5.4 OA、邮件等办公系统带宽被大量抢占
在某些无线带宽条件下,该公司的员工执行大量的P2P下载,视频浏览和其他高带宽应用,严重占用系统的正常带宽,从而导致公司的带宽消耗和办公室和无线服务的低效率处理。
1.5.5 无线攻击手段多样,内网安全有威胁
不同的网络于有线基于物理端口以防御安全性。由于其自身的特性,任何人都可以在覆盖区域看到无线信号。对于公司来说,存在诸如盗窃帐户和非法访问等安全威胁是不可避免的。
1.5.6 空中垃圾多,无线接入稳定性得不到保证
WiFi网络大多使用的2.4GHz频段,众所周知,2.4GHz频段是开放频段,工作在这个频段的设备很多,比如:微波炉、蓝牙、无线座机、外来NAP、监控摄像头等等,会对WiFi设备进行大量的干扰。除此以外,2.4GHz相互不干扰的信道只有1、6、11,当部署区域被运营商的AP给占用以后,可用信道就不多了。在这种情况下,干扰会造成丢包和延迟,实际传输速率往往得不到保证。
2、时讯网络-方案设计
根据所述无线网络的要求和XXX公司,具有技术和产品无线系统的特性相结合的无线网络的设计原理,方案被设计如下:
2.2 无线组网方式
与无线网络用户的需求相结合,结合产品的具体技术特性,以满足用户的需求,打造安全,可靠,方便的无线高速网络,稳定,管理,该设计基于结构为化无线的NOP + AC网络解决方案。设计网络的拓扑结构如下(可编辑):
2.3 信道规划
使用2.4GHz的点作为一个例子,以确保信道不相互干扰,需要两个信道之间的间隔不小于25兆赫。在一个覆盖区域,可以提供多达三个非重叠的频点同时工作,通常使用三个频率点1,6和11中的WLAN频率规划必须考虑建筑结构,所述穿透损耗和布线系统的特定条件。
渠道计划如下:
图中的橙色,蓝色和黄色信号圆分别是1,6和11个通道。中心点是国家行动方案的实施地点。
2.4 企业无线安全接入设计
在无线系统中,可以在系统前面的多个层中构建安全保护。安全设计如下:
2.4.1更丰富、快捷的企业认证安全机制
使用802.1x身份验证时,用户访问时需要进行身份验证。用户可以使用安全证书和用户名和密码作为凭据来访问网络,并且经过身份验证的用户可以访问网络。据业内人士指出,用户终端设备802.1x在是极其复杂的设置,这无疑增加了很多配置工作的用户和管理员众所周知的。无线技术为企业身份验证提供了自动配置工具。下载自动配置工具,只需单击即可轻松连接到企业网络,安装方便。
自动配置工具可以统一打包和完成证书的分发。此外,它允许用户通过网络下载和管理员通过电子邮件分发,这是简单而快速的。
支持使用公司中的用户认证服务器进行认证。你只需要配置与公司的数据库用户的身份,如LDAP,AD域和Radius快速身份校验配置页上的连接信息。它安全可靠。
企业身份验证支持本地内部数据库服务器本地数据库支持控制器中的身份验证终止,以满足没有内部身份验证服务器的中小型企业。
2.4.2帐号、终端灵活绑定、杜绝越权访问
首次连接无线网络认证时,可以自动链接用户名和终端,以帮助公司快速完成身份链接。如果用户具有多个Internet终端,则管理员还可以手动批准新的聚合终端的链接。因此,公司可以根据用户组织的结构划分不同的访问权限,以避免出现未经授权的访问问题。
2.4.3 限制帐号在多个终端同时接入
您可以限制帐户可以同时登录的终端数量,有效保护公司的网络资源。对于超出的帐户,有两种方法可以执行此操作:
尽早强制接入终端断开连接。
不允许访问新终端。
当然,对于需要发布的帐户,例如老板帐户,您还可以设置例外帐户。
2.4.4 多样化的接入控制
基于终端类型和特征的访问控制。手机,iPad和笔记本电脑可以连接到无线网络,你有最后的发言权。无需客户端软件即可安装无线连接,以执行终端类型的识别。访问认证时,只能根据情况访问移动终端,无法访问笔记本的类型,或者只能访问IOS终端,无法访问Android终端。您认为不安全的终端无法访问网络。
基于访问位置的访问控制。您可以使用不同的访问控制策略配置不同的无线接入点,以便具有不同无线接入点的无线用户可以访问公司内的不同业务系统,这是安全有效的。
基于用户属性的访问控制。无线连接无缝连接到公司的内部认证服务器,并支持用户属性的访问控制,例如用户组[安全组,组织单位组]和用户名,以及它支持无线电等属性的访问控制。不仅如此,而且还开发了内部本地数据库服务器,它还支持基于本地数据库的用户属性的访问控制。
甚至可以灵活地组合访问控制条件,以满足客户的不同访问控制需求。它支持根据终端类型和访问位置以及用户属性作为一组访问条件的访问控制。例如,它可以支持不同的访问位置并符合指定的终端特性以允许Internet访问,如下所示:
2.5 企业无线安全办公设计
2.5.1精细化多角色授权管理
一旦公司用户访问无线网络,无线安全管理员就完全负责管理其用户权限的授权。富裕许可分配表支持根据用户属性,终端类型,接入区域和不同时间段配置不同角色。角色中配置了不同的访问控制策略以创建企业级防火墙,并且权限控制更加完善和完善。
2.5.2 VLAN隔离
同一个VLAN中的终端和不同VLAN之间的通信使用隔离技术,避免了终端之间传输大量文件丢失和AP的有限带宽资源。它还可以防止终端之间的任何相互访问导致的数据被盗,文件中毒等。恶意行为,确保最大限度地提高办公室安全性并提高办公效率。
2.5.3 基于内网的服务和应用控制
0x7D0不仅与传统的控制策略的防火墙端口不兼容,库还具有URL ID和库ID最大的应用中国。管理员可以轻松识别特定应用程序和URL,灵活配置网络访问策略,从而优化应用程序的控制。
业界的防火墙控制主要基于网关的退出。您只能限制内网的用户访问网络的外部资源。内网的用户无法基于服务和应用程序执行控制。而0x7D0补偿这个黑洞,和独特的控制方案基于应用和服务内网带来了新的发展和福音行业。业务网络和内部应用程序非常复杂。如下图所示,公司内部有有线网络和无线网络。他们需要相互访问,访问内部资源,访问小型移动设备和数据传输,以及访问Internet资源。数据中心需要数据同步。环境在这个复杂的网络和应用环境,传统的防火墙只能控制用户访问资源内网公共网络输出网关,忽视内网更复杂的环境。
信线通过有线集成了无线的集成,并首次在业界引入了“用户”的概念。具有强大的库应用识别和“用户”的概念组合策略的访问控制进行用户内网和访问控制之间的公共网络资源。与外部控制,该程序适合于与电缆或0x7D0用户,给予公司清洁健康环境网络。同时,其政策的配置更加注重人性化。不同于配置IP的复杂的传统方式,用户可以选择应用程序,选择连接地址“用户启动”,“接收用户”,选择日历,选择操作“允许”或“拒绝”“这您可以快速实施访问控制。“ ,
例如,公司的员工只能在工作时间访问公司的“内部业务系统”内网,不允许访问公共网络的视频网站。研发人员无法访问市场人员的CRM系统,研发人员无法向市场人员发送电子邮件;你不能将文件之间传输,游客只能访问特定的网站,您将无法访问R&d和营销资源,内部,而不是在微博上发出一条消息,即时通讯软件相关这项工作,下载的软件应用程序不受限制,并且对下载速度有一定的限制。
2.5.4 网络层防护
DHCP防御。只需转发来自可信DHCP服务器的响应,阻止非法DHCP服务器并防止终端的IP被非法。防止用户私下配置IP,有效保护网络免受大量冲突的IP地址的影响,并导致客户网络中的尴尬。
DDOS防御。保护可以是最大同时用户数,新连接速度,包速率,可以自动添加动态黑名单一次超调,冻结处理,防止网络攻击。
2.6 企业无线快速上网设计
2.6.1 端到端的协议加速
0x7D0作为访问次数,访问速度上网速度慢,因为更多的经验干扰和应用接入较差。使用独特的应用层协议加速技术,客户端不需要安装任何附加组件,只需在无线驱动程序中启用应用程序的加速功能即可。通过改进传输协议算法无线,无线网络的传输速度可以提高1.5-4倍。有效解决网络质量问题,例如由于无线网络引起的干扰导致的低传输速率,丢包和网络延迟无线。
2.6.2 防终端拖滞让无线跑得更快
传统的访问0x7D0终端低速会造成的高速终端速度下降,导致整体性能和响应速度慢的客户服务的速度降低,从而严重影响访问体验终端的应用。
与下面的技术改进0x7D0专利提出的“末端抗阻力”创新,提出技术帮助用户以均匀地分配带宽和防止单个终端将根据降低网络的整体速度公平时间算法。
2.6.3 基于应用的无线射频管理
技术开发的无线网络带宽的动态分配。当无线接入点的带宽不足时,将根据建立的权重分配无线网络的保证带宽。当无线接入点的带宽足够时,不受此限制。例如,办公网络可以配置很大,以保证办公应用的正常服务通信。阿非关键网络作为客体网络可以与较小的权重被配置成限制非关键网络的带宽,不影响其它无线网络。
每个无线网络的用户可以根据应用定制子通道。的用户可以配置通道之间的带宽使用关系。当无线网络的带宽不足时,将根据建立的关系分配信道之间的保证带宽。当它足够时,它不受这种关系的约束。例如,在办公室网络,P2P0x7D0可以具有较小结构的重量配置,重量0x7D0系统办公OA是最大的,并且重量0x7D0互联网应用是在两者之间。
2.6.4 组播优化及提速
自动加速组播速度增加了传输分组的初始传输,加速了传输分组的传输效率,并确保每个终端可以接收多播数据包并提高了带宽的性能。
ARP转发到单播:通过优化ARP发送机制提高ARP效率,减少不必要的扩散泛滥。
禁用对无线终端的DHCP请求:通过优化DHCP发送机制提高DHCP的效率。
限速接入终端:支持限速接入终端,禁止到低于某一速度终端接入并提高了整体网络的速度。
2.6.5 VLAN池
使用VLAN组地址域,以减少传播,降低洪水和提高发送资源的利用带宽的无线网络。
2.6.6 智能负载、5G优先、高密稳定快速接入
在高密度的企业区域,例如开放式站点和会议室,通常有多个无线接入点覆盖信号。技术无线解决方案将根据每个AP的负载自动为用户分配信号和访问次数。至少AP,将为干扰较少的5G频段选择优先级负载,确保每个无线用户都能获得无缝的网络体验。除了基于数字的充电,该技术还可以基于双2.4G和5.8G频段执行双频智能充电。
智能负载双频:自动加载可以是2.4G和5G,5G和终端之间被优选地连接到5G网络具有较少干扰,从而提高了的无线接入的质量。
2.7 企业无线快速漫游设计
2.7.1 防终端粘滞
传统的无线漫游是基于终端,这是不能被控制的特性,而“卡在端子的端部”,由技术提供补偿这一缺陷。通过防止终端卡住,无线设备可以引导无线终端更快地移动到具有更好无线服务能力的无线接入点,从而使客户获得更好的无线网络体验。漫游后,终端的vlan,角色和IP保持不变,用户没有感知。
2.8 企业无线上网行为管理设计
2.8.1 有线与无线一体化
无线企业网络客户端通常同时连接用户。客户希望通过无线控制器进行配置,使用有线端口的无线控制器来完成连接的用户认证和集中管理无线用户和连接来完成流量控制的用户,流量管理和审计交通。无线技术集成管理和认证的电缆,并提供身份验证机制,安全访问进行“验证组合”,将“IP认证”和“只认证不认证”,整合,真正控制用户电缆和无线用户。
2.8.2 上网审计
公司无线网络的客户不仅需要完成访问和用户身份验证,还需要审核用户网络的行为和内容,包括传出的HTTP内容,网站等访问和下载,邮件,FTP,TELNET等。 Web应用程序,Web内容,ACL拒绝和流量控制以及Internet持续时间。
配置审核策略时,参考角色中的应用程序审核策略并将相应的角色分配给用户,可以审核用户。
2.8.3 流量控制和带宽保证
客户希望管理和划分不同用户和应用的网络流量,以完成带宽保证和带宽限制。带宽保证功能可以保证重要应用的带宽,限制带宽功能可以限制用户组/上行链路和下行链路的总带宽以及几个带宽。应用。同时,客户希望提供更灵活的管理和配置,以确保重要应用程序的带宽,然后根据用户的优先级在同一应用程序的不同用户之间分配带宽。
该技术基于应用提供流量控制,以保证用户输出的带宽,并保证关键应用的带宽消耗。
2.8.4更丰富的数据中心报表功能、审计报告自动通知管理层
客户无线网络的公司不仅需要完全访问权限,用户认证,同时也希望审核的行为和用户的网络内容。审计结果存储在数据中心。
技术提供了“辞职的风险报告”,“法律风险报告”,“报告网上行为”只有及时控制员工的风险行为。
2.9 访客安全管理设计
2.9.1二维码快捷上网
参观者是开放公司每天面对的群体。供应商,客户,业务合作伙伴和相关领导来公司参观,需要无线网络的方便。提供认证的简明方法,游客只需连接到公司的无线网络,然后打开浏览器自动显示的QR码,内部接待的工作人员可以使用自己的终端通过认证。
QR码认证技术经过认证,为公安部,可追溯到访客行为。
2.9.2 临时访客快捷上网
该技术为临时访客提供临时解决方案,以取代传统接待。公司可以直接在接待处打开访客的帐户和密码。帐号可以是您的身份证号码,密码可以是身份证的最后六位数字。访问互联网的有效时间;与此同时,技术锐信与QR码组合,以产生临时访问者上网二维码,企业的工作人员接待只需要给他们一个QR码,游客可以扫描QR码,以便快速访问互联网。
临时访客的在线行为可以追溯到。
2.9.3 短信认证
SMS技术提供认证和guest用户可以通过手机获取验证码,并方便地接入无线网络。验证码可以使用一次以便永久使用。
2.9.4微信认证
通过无线连接提供的微信认证功能,访客进入企业展厅,进入无线网络,进入指定的留言页面,请您关注微信 - 签名然后访问互联网。访客可以关注微信号访问互联网。这极大地增加了访客对公司的关注,也促进了企业广告,商业冲动和促销。
该技术涵盖了各种微信认证方法,特别是一键式关注,Oauth网站授权等,使访问者可以快速访问互联网。
2.9.5防蹭网
该技术提供了一种控制网络持续时间和流量配额的策略,可以避免公司客户根据客户需求灵活地入侵网络并保护公司网络资源。 。
2.9.6 同一SSID内的隔离
该技术提供相同SSID的员工和访客之间的隔离,避免数据传输,公司信息泄露,文件中毒和互访造成的其他危险行为,保护公司资源的安全性和防止泄露机密信息。
2.10 集中管理设计
2.10.1 AP零配置
所有无线接入点的配置均匀配置在无线控制器中,易于实现和配置,无需用户学习成本。
该配置与自动和手动备份和恢复兼容,并保证无线接入点24小时不间断运行的两倍。
2.10.2 云升级
所有无线热点都支持从云端到最新版本的自动更新。不同的AP硬件模型可以自动判断和完成更新。无线客户端手动干预以减少后续维护和升级成本。
客户可以选择在晚上自动更新,以减少白天更新造成的业务中断。
2.10.3 可视化的热点地图
随着大公司的快速发展,无线接入点的实施急剧增加,企业分支控制器的实施也急剧增加,面临复杂的设备管理问题。
该技术提供了强大的可视化访问点映射,可以有效地帮助网络管理员快速分析和掌握实时执行状态和设备加载。此功能分层管理基于地图的演示中的设备,以跟踪设备的实时操作状态。
接入点的位图还提供了分析人流密度,快速搜索用户位置和安全事件的机制,以帮助网络管理更好地管理无线网络并为员工服务。
2.10.4 远程AP智能连接
一些公司分支机构实施远程AP,需要访问总部的无线控制器,以通过无线网络访问总部的资源。公司总部的退出IP频繁更改,给远程AP带来了很大的问题。
该技术提供智能连接技术。总部的IP转换对于远程AP是透明的。无需任何手动操作即可快速恢复网络,并且不会中断服务。
2.10.5 智能射频管理
信号的干扰是无线网络使用中的常见问题。在中国移动运营商,中国网等无线信号,以及蓝牙,无线监控摄像机等,在2.4G频段工作,将与无线网络的干扰。
无线技术接入只能设置与根据来自无线circundante.Al同时干扰的实际情况干扰最小的信道也可以降低功耗,减少重叠的覆盖面,提高功率补偿覆盖盲区等,以实现真正的干扰预防。
2.11 企业数据保护、安全可靠设计
2.11.1 流氓AP的攻击检测与反制
从无线网络的无线信号是开放的,非法接入点,比如AP网络钓鱼和AD-HOC,很容易隐藏无线网络来吸引企业用户访问,窃取用户帐户并窃取公司的机密文件或传播病毒。
公司员工还可以实现数据传输的AP非法,导致企业信息的披露。
该技术采用整体防御系统,以建立您的网络更安全的无线接入,无线抵御攻击,如网络钓鱼AP和AD-肝卵圆细胞,欺骗攻击或由用户发起洪水和一个安全的无线网络环境。
2.11.2 无线空中加密技术
无线数据通过空气传送,并且各种商业经营者的数据要求有效且可靠的机制加密以防止侵犯或猛烈处理的数据。数据加密的国际标准支持多种方法,确保了公司的商业数据安全可靠的传输过程。主要体现在以下三个方面:
该技术使用WPA/WPA2 + AES加密数据并确保数据安全。在WPA2密钥长度是128位,它解决了传统的密钥太短,很容易被第三方截获该问题。在CPA2,加密标准更高的安全性CCMP,其目的是提供一种具有完全验证的机制的用户,所述无线接入点确定是否允许根据所定义的访问无线网络用户认证结果,认证信息进行比较,以数据库用户的身份验证之前,确认是否权威有权力,并动态分配给客户端。加密密钥可以动态地改变根据几种方法为每个用户访问的加密密钥(数据分组的当用户访问的网络等传送的量)。此外,由用户在无线连接上传输的数据分组中的MIC编码,以确保其他用户不改变用户数据。
无线接入点和控制器之间的数据包是RC4加密的,这是有效和安全的。
该技术还与WAPI标准兼容,以进一步保证数据的机密性和完整性。
2.12 企业无线稳定性设计
2.12.1 单一设备多功能集成
该技术不仅具有多种无线功能,还具有线缆管理和认证功能,并集成到无线控制器中。每个功能模块是彼此独立的,服务模块的数据转发和处理平台应用层上,故障可以被快速恢复。
2.12.2 冗余、减少单点故障
技术提供了一种机制双重备份系统,以减少因单个设备的故障客户服务中断,提高客户服务的可靠性,并减少单点故障。
2.13设备选型
根据对商场XXX需求的上述分析,实现更快,安全的企业WLAN建设,XXX无线系统必须具有以下特点:
加速无线网络
确定并保证专注于公司的业务数据带宽
识别和控制非法Web应用程序和URL
访客网络通过QR代码或单独的临时访客系统进行身份验证
NAP无线接入点使用2.4G和5G双频接入来保证接入的数量和质量。