企业WLAN安全防护解决方案
一. 需求分析
1. 安全风险
A. 移动办公安全风险
a) 公司的财务、研发、销售等员工办公电脑,保存公司重要信息,因私自开启wifi共享;遭暴力破解或中间人攻击,造成公司信息泄漏;
b) 未授权、窃取/伪造员工身份接入移动办公网络,导致公司信息泄漏。
B. 访客无线安全风险
a) wifi钓鱼风险:阻止合法无线连接,诱骗合法无线终端连接到伪造热点,窃取数据。
C. 高风险网站访问风险
a) 因访问含有病毒、黑客程序,或其他安全风险的网站,导致公司内部网络遭受病毒、黑客攻击,造成公司信息泄漏、网络瘫痪等损失。
2. 无线上网需求
A. 移动办公需要高速的无线,满足更高效率的办公数据传输;
B. 为公司提供可连接互联网的无线网络;
C. 需要通过身份认证,确定接入公司无线网络的用户身份合法性。
二. 解决方案
1. 安全无线体系构建
A. 组网架构
a) 安全无线系统部署
企业安全无线系统部署
B. 核心安全功能
a) 为企业移动办公网络提供7*24小时全环境监测,通过可视地图、短信、微信、邮件发出及时告警;
b) 依据企业对无线安全风险的不同防范能力要求,为移动办公网络制定精确无线攻击防御策略;实现攻击自动防御;
c) 安全管理者能够依据安全无线系统对风险数据的统计、分析、多维度可视化展示,来判断移动办公环境面临的各种安全风险;
d) 通过无线安全检查报告,帮助安全管理者有效定位、清理非法无线设备、优化无线环境,提升WLAN的运行能力和安全等级。
e) 针对中小型企业,可提供对无线用户的上网行为安全管理能力,阻止用户访问包含病毒、黑客代码的网站,并对禁止网络应用程序进行有效控制。
C. WLAN安全功能
a) AP开启无线终端的二层隔离;
b) AP开启抗拒绝服务能力;
c) 根据企业自身需求,使用适合的身份认证方案:本地账户、AD域、WPA2-企业,访客推荐使用微信认证;
D. 无线终端安全功能
a) 使用防病毒、防黑客软件加强移动办公网络的安全性
b) 建议使用官方来源的APP软件,避免出现应用漏洞,导致信息泄漏;
E. 一体化安全功能
a) 结合防火墙、IDS、IPS等安全设备,与无线安全系统构成无线有线一体化安全防线。
F. 方案优势
a) 安全、接入一体化;
b) 旁挂部署,管理维护简单;
c) 有效检测和防御:非法连接、中间人、wifi钓鱼、拒绝服务、私建热点等,在企业移动办公易出现的安全事件;
d) 丰富、便捷的无线用户身份认证能力,有效降低未授权访问导致的安全事件发生;
e) 通过向无线用户推送企业资讯信息,为企业形象扩宽了展示途径;
f) 对用户上网行为进行管理和审计,有效降低因上网不当而导致企业内部网络被病毒和黑客攻击;
g) 系统具备隐身监控模式,有效杜绝针对防御系统自身的攻击行为发生;
三. 系统建设
1. 产品与部署
| 产品 | 数量 | AP/探针部署 | 探针防御范围 | 备注 |
| (与建筑格局有关) | ||||
| 无线探针(室内型) | 1:2或1:3(探针:AP比例) | 20~30米/台(室内) | ||
| 无线AP(室内型) | 注 | 办公、会议、公共区域 | ||
| 无线AP(室外型) | 注 | 室外、大型仓储空间 | ||
| 安全无线控制器 | 1注 | 旁挂核心交换机 | ||
| 用户身份认证系统 | 1注 | 旁挂核心交换机 |
