無線網(wǎng)絡產(chǎn)品——企業(yè)局域網(wǎng)無線認證解決方案

現(xiàn)在很多企業(yè)局域網(wǎng)都是全無線覆蓋，給員工和客戶的網(wǎng)絡接入提供了很大的便利。無論在公司或者廠區(qū)的任何位置，都可以很方便的接入到公司局域網(wǎng)和互聯(lián)網(wǎng)。但是這樣也帶來了不可避免的安全性問題：一旦有未經(jīng)授權的網(wǎng)絡接入，不但會占用寶貴的帶寬資源；而且會帶來病毒攻擊等局域網(wǎng)安全問題。

所以，局域網(wǎng)在做無線覆蓋的同時，一定要考慮到安全問題。一般來說，可以從兩方面入手：

合理的劃分VLAN。無線接入應當處于單獨的VLAN，并且控制該VLAN對企業(yè)內(nèi)部資源的訪問。即使有惡意的攻擊，也可以被控制在無線VLAN內(nèi)部。

對無線上網(wǎng)的設備進行用戶認證。

對無線上網(wǎng)的設備進行ip-mac綁定。

記錄無線上網(wǎng)的上網(wǎng)記錄，包括ip地址、mac地址、網(wǎng)站訪問等信息。供需要時查詢。

無線網(wǎng)絡產(chǎn)品的功能

注冊時間期限

對設備網(wǎng)絡接入時間范圍可以通過參數(shù)的配置加以控制。它可以是一個日期（如“2012年3月28日星期三”），一個范圍（如“從一次網(wǎng)絡接入的四個星期內(nèi)”）或是當設備變?yōu)榉腔钴S狀態(tài)30分鐘后失效。當準入失效時，注冊設備就變?yōu)槲醋栽O備。也可以設備類別為基礎來實現(xiàn)這一控制。準入期限也可以在每個節(jié)點上手動編輯。

無線網(wǎng)絡產(chǎn)品——案例介紹

方案一：企事業(yè)單位旁路部署

部署方案：

1.采用旁路部署，VLAN隔離。

2.用戶區(qū)劃分為：員工VLAN、隔離VLAN、BYOD（Bring Your Owner Device）設備VLAN、來訪者VLAN。

3.用戶采用本地帳戶管理，來訪者采用郵件申請注冊。

4.服務區(qū)劃分為：外部服務區(qū)VLAN、內(nèi)部服務區(qū)VLAN。

5.隔離區(qū)：即時聊天QQ軟件，終端未升級系統(tǒng)及軟件補丁。6.BYOD區(qū)主要包含智能手機及平板電腦。

方案二：企業(yè)分級部署

1.采用旁路部署，隔離方式VLAN。

2.邏輯層次分為中央（總部）、省級（分支）、市級（銷售點）。

3.上下級設備實時數(shù)據(jù)同步，執(zhí)行統(tǒng)一安全策略。

4.用戶采用本地帳戶與域帳戶管理相結合，來訪者采用短信（SMS）注冊并管理員審核。

無線網(wǎng)絡產(chǎn)品——案例分析

方案一：企事業(yè)單位串聯(lián)部署

1.采用串聯(lián)部署，網(wǎng)絡層隔離。

2.用戶采用本地帳戶管理，來訪者采用短信及郵件申請并審核。

3.隔離區(qū)：終端未升級系統(tǒng)及軟件補丁。

方案二：服務器網(wǎng)絡安全部署

安全問題：內(nèi)網(wǎng)較混亂，終端型號及系統(tǒng)復雜，發(fā)生內(nèi)網(wǎng)掃描及內(nèi)網(wǎng)侵入服務器等安全事件。

2.部署NAM設備從網(wǎng)絡層保護服務區(qū)僅允許授權用戶訪問。

3.授權用戶采用本地帳戶、郵件賬戶管理，臨時用戶采用申請并審核。

4.訪問時間嚴格限制，避免非授權用戶接觸服務區(qū)。