系統集成
廣東煙草無線Wi-Fi覆蓋方案
發布日期:2020-10-09 16:18:00閱讀量:810

一、項目背景

1.1 企業WLAN建設背景概述

廣東煙草廣州市有限公司是廣州地區國家煙草專賣專營機構,負責廣州地區煙草制品的專賣管理,經營范圍以國產卷煙為主,兼營進口卷煙。局(公司)內設辦公室、營銷管理中心、專賣管理辦公室、信息中心、財務處、從事勞資處、安全保衛處、紀檢監察處、審計處、政工處、工會11個處(室)。下設荔灣、越秀、海珠、天河、白云、黃埔、番禺、南沙、花都、增城、從化11個專賣分局以及1個物流配送中心和1支稽查支隊直屬稽查隊,擁有員工1000多人

1.2?項目需求情況介紹

(一)提供穩定安全的辦公無線網絡。

(二)辦公無線覆蓋區域無線信號強度不低于-65dBm。

(三)▲用戶接入須實名認證,并記錄用戶的上網行為,滿足國家網絡信息安全審計需要;提供公共WIFI對接公安審計服務;審計日志保存時間不少于300天,日志須同時存儲在區局(公司)、物流配送中心、專賣稽查中隊和市局機關本部;市局機關本部須保存所有下屬單位審計日志。

(四)無線控制器和安全審計網關須包含不少于36個月特征庫、規則庫、補丁及安全更新升級服務。所有審計設備產品須具備《計算機信息系統安全專用產品銷售許可證》,且已向廣州市公安局網警部門報備。

(五)▲市局機關本部須對下屬單位所有 AP 和無線控制器進行統一集中管控,實現對所有AP和無線控制器的統一集中配置管理以及網絡運維,并實現基于用戶、接入位置、時間段 、終端類型等因素分配不同的上網權限策略。

1.3?WLAN無線企業網絡總體需求??

? 安全

安全、便捷的接入認證方式,保證網絡的安全性

精細的訪問控制策略,保證部門信息安全

對數據傳輸進行加密,防止黑客竊取、篡改

快速

在企業內移動時能快速切換,滿足移動辦公需求

足夠的互聯網以及內網帶寬,保障辦公應用的流暢訪問

穩定

無線不斷線、不中斷,不能因無線網絡問題影響辦公效率

良好的網絡冗余和容錯能力,無線網絡常年使用穩定

二、解決方案

2.1有線網絡

基礎互聯網接入方案

為了滿足煙草構建一個高速、穩定、安全、可靠、易于管理的無線接入網絡的需求,結合煙草實際的上網流量需求,本項目互聯網接入全部設計為光纖接入作為基礎網絡,設計內容與建議帶寬為:總部為1條50M帶寬的互聯網極速專線服務+1條1000M的互聯網商務專線;各個分局為1條20M帶寬的互聯網極速專線服務+1條500M的互聯網商務專線。

光纖接入網由于其高速率、低成本的特性且發展潛力巨大,資源豐富,因此將是未來接入網的主流技術,這已成為業界的一個共識。目前,有源光網絡的成本與銅纜逐漸接近,無源光網絡也逐漸與銅纜接近,使得光纖網絡日益延伸到我們的生活中來。最具安全性的高速率透明光纖通路成為用戶信息網進行寬帶上網的首選。

2.2?無線組網及認證接入方式

本設計方案按照AP+AC的結構化無線網絡解決方案進行設計。具體設計為在市局部署AC,在各分局直接部署分支AP。市局AC可以對各分局的AP進行統一管理。

無線接入方式分為員工接入和訪客接入,員工接入內網,可以訪問一些內部資源與外部網絡,而訪客則接入外網,優化內網的工作效率與訪客的外網體驗,更保護了內網的安全,增強內網的安全性,防止內網受到攻擊而導致內部資料泄露。

2.2.1?員工接入認證方式

支持和企業內部的用戶認證服務器進行身份認證,只需要在配置頁面上配置對接信息即可以和LDAP、AD域、Radius等企業內部的用戶身份數據庫進行快速的身份校驗,既安全且可靠。

企業認證支持本地內部數據庫服務器,本地數據庫支持認證終結到控制器上。

首次連接無線網絡認證時,用戶名和終端可以實現自動綁定,幫助企業快速完成身份綁定,若用戶擁有多個上網終端,管理員也可以靈活的手動審批后續新加入終端的綁定。因此企業可根據用戶組織結構劃分不同的訪問權限,避免越權訪問問題的發生。

(a)portal認證

Portal認證通常也稱為Web認證,一般將Portal認證網站稱為門戶網站。未認證用戶上網時,設備強制用戶登錄到特定站點,用戶可以免費訪問其中的服務。當用戶需要使用互聯網中的其它信息時,必須在門戶網站進行認證,只有認證通過后才可以使用互聯網資源。

用戶可以主動訪問已知的Portal認證網站,輸入用戶名和密碼進行認證,這種開始Portal認證的方式稱作主動認證。反之,如果用戶試圖通過HTTP訪問其他外網,將被強制訪問Portal認證網站,從而開始Portal認證過程,這種方式稱作強制認證。同時本次建設無線支持Portal認證頁面自定義,可方便靈活的根據自己的需求來制定Portal認證頁面,包括但不限于頁面標題、logo、背景顏色、文字描述、廣告圖片等信息同時本次建設無線支持Portal認證頁面自定義,可方便靈活的根據自己的需求來制定Portal認證頁面,包括但不限于頁面標題、logo、背景顏色、文字描述、廣告圖片等信息

(b) 802.1x一鍵配置

在部署基于證書認證( EAP-TLS)或用戶名、密碼認證( PEAP-MSCHAPv2)的企業無線網絡時,由于接入無線網絡的終端類型眾多,不同平臺的無線網絡配置方法各不一致。這提高了用戶接入無線網絡的難度,降低了用戶體驗。因此在大規模部署企業無線網絡時,如何讓所有無線終端都能快速,安全的接入企業無線網絡將成為一個挑戰,對于大部分行業客戶的 IT 管理員來說更是難以接受的挑戰。電信提供的 802.1x 認證一鍵配置,讓安全和方便同時兼得。

(c)賬號與手機號綁定

為了提高Portal認證的安全性及靈活性,賬號首次登陸時需要綁定手機號并輸入短信驗證碼,后續無需輸入短信驗證碼,當用戶賬號被他人使用或者被盜,在新終端登陸時,同樣需要輸入短信驗證碼,解決員工web認證的安全問題。

同時,綁定手機號碼的用戶,可以自助重置密碼和修改密碼,無需通過IT管理員


f83a4d7078f9b0eeac19006dbb76add.png



2.2.2?訪客接入認證方式

企業常用的認證方式主要為二維碼認證,二維碼認證安全快捷。此外電信提供技術還有短信認證,免認證,臨時訪客認證等方式。

訪客是開放的企業每天都會面對的群體,供應商、客戶、商業伙伴、相關領導來到公司參觀,都需要便捷的接入無線網絡。電信提供了更簡潔的認證方式,來訪客人只需要連接該公司無線網絡,然后打開瀏覽器自動出現二維碼,內部接待員工用自己的終端掃一掃即可認證通過。二維碼認證技術經過公安部認證,且針對訪客行為可追溯。



c5d8b9d7e3aca9b5f3f401d511d1d89.png


2.2.3?portal服務器

若用戶已經購買過第三方的無線,那么本次可以通過電信提供的無線控制器,進行統一認證。電信提供的無線控制器能夠支持給第三方的無線設備做認證,包含:國內外主流廠家(支持portal2.0)的無線設備。實現的認證方式有:賬號密碼認證、短信認證、臨時訪客認證。網絡拓撲如下:

ac80753697077dd1ae9f2a77b8a93cd.png

2.3?企業用戶上網行為管理控制

網絡應用極其豐富,尤其隨著大量社交型網絡應用的出現,用戶將個人網絡行為帶入辦公場所,由此引發各種管理和安全問題。??

?2.3.1員工上網權限控制

全面的應用識別幫助管理員透徹了解網絡應用現狀和用戶行為,保障管理效果。本次建設無線控制器擁有國內最大的應用識別庫,可以精準識別2000種以上網絡主流應用,并且有專業的研發團隊定期維護更新,保證庫處于最新狀態,提高應用識別準確率。

除了精準的應用識別庫,還提供豐富的、靈活的控制策略,企業可以針對不同的用戶、不同的接入位置、不同的時間段進行員工的上網訪問權限控制,通過基于應用層的訪問控制,靈活控制員工的上網權限,每一個員工都只能訪問已授權訪問的系統,防止非法的、未經授權的越權訪問,相比于傳統的基于MAC、IP地址、端口的ACL訪問控制策略更精準、更強大。


ceb60d835130249aa870521b93b81bd.png

2.3.2允許訪問指定網站

在企業辦公時,往往會對研發部門進行網絡限制,不允許其上外網,但是呢,研發很多時候都需要在網絡上搜索資料,這時就可以里訪問控制策略中配置全局排除地址,如設置域名 baidu.com,這樣就允許研發進行百度資料查詢??梢允褂迷谠诙喾N無線部署時,用戶終端接入無線網絡,在認證前不允許上網,但是可以配置官網排除地址,允許用戶瀏覽客戶官方網站或者允許上某個網絡等的場景。

2.3.3員工上網行為審計

提供技術上網審計功能, 支持對有線用戶和無線用戶的網絡行為和內容進行審計,
包括但不限于 HTTP 外發內容、訪問的網站和下載、郵件、 FTP、 TELNET、其它已識別和未識別的網絡應用、網頁內容、 ACL 拒絕行為、以及審計用戶訪問應用的流量與時長。通過配置審計策略,在角色中引用相應用審計策略,并給用戶分配相應的角色,即可實現對用戶的審計。 并支持排除審計應用、開啟審計和關閉審計功能。
從此,上網用戶看過什么、做過什么,您全知道。且完全滿足公安部令第82號令。

2.3.4數據中心報表功能

針對企業有線無線網絡完成用戶的接入、認證,同時對用戶的網絡行為和內容進行審計,審計的結果保存于數據中心。本次建設無線支持內置數據中心和外置數據中心兩種保留方式。其中內置的數據中心可以配置日志保留天數、磁盤預警百分比。除了將審計的結果保存于數據中心之外,我們還提供多種類型的報表,這些報表可以更好的幫助客戶分析網絡狀態,為客戶提供更方便、快捷的的管理維護方法,以及更深層次的挖掘上網用戶價值,助無線增值一臂之力。

2.4信息安全保障

隨著無線網絡的發展,越來越多的公司允許員工用個人或公司配發的移動設備辦公,處理業務數據, BYOD(Bring Your Own Device)成為一種移動辦公的趨勢。由于無線的開放性,以及 BYOD 接入終端的多樣特性,導致接入到無線企業網中的終端的合法性、安全性無法得到保障。比如員工自帶的設備多種多樣,尤其是Android 終端的開放性,導致其比較容易受到攻擊從而嵌入木馬、黑客工具等,這樣的終端接入到企業網絡中后就可能導致內部業務數據的泄漏,雖然可以通過訪問控制策略對接入的終端做精細化的權限劃分,但一個健壯的安全解決方案,首先應該在接入層面就能過濾掉絕大部分的攻擊。

2.4.1綁定終端的安全準入

1、用戶 MAC 綁定,用戶在首次接入無線網絡時輸入用戶名、密碼就能直接綁定終端的 MAC 地址, IT 管理員無需介入,既保障了接入設備的可信性,也減輕了 IT 管理員的負擔。若是用戶名、密碼被盜用,綁定了非法終端的 MAC 地址,用戶在正常接入時就能發現問題, IT 管理員可及時強制下線非法終端加入黑名單,并人工綁定合法終端的MAC 地址,黑客用竊取的用戶名、密碼也無法登陸,因為其 MAC 地址不對。

2、若是認為 MAC 地址容易串改,本次建設無線提供了更安全的證書認證方式,并且內建了 CA 證書服務器,無需第三方的證書服務器的支持。企業通過郵件或移動存儲設備分發證書給信任的移動終端(手機、 PAD、筆記本),用戶安裝了證書后,需要與控制器進行加密的雙向證書認證,才能通過驗證,用戶只需要在第一次連接網絡時輸入自己的用戶、密碼,再次連接企業網絡時,可以直接連接上網。這樣即使泄漏了用戶、密碼,黑客也由于沒有證書,而無法接入到無線網絡,達到了更高的安全性。


3、MAC 地址白名單,對于配發移動智能終端的企業,可以批量采集配發終端的 MAC地址,只有在這個白名單中的終端才能接入無線網絡,預防非法終端的接入

2.4.2終端類型的安全準入

本次建設無線,基于其強大的終端類型識別,通過 OUI 識別、 DNS 指紋特征等技術,無需安全第三方應用程序到設備上,在設備接入時就能準確識別出類型,識別出設備類型后,可以只允許 IOS 終端接入,禁止其他類型終端接入到企業內網中。甚至可以結合訪問控制策略,也可以靈活設置,對于安全級別高的資源,只允許 IOS類型的終端訪問,有安全隱患類型的終端類型只允許訪問公共資源。以上的安全準入方法可以結合使用,只有用戶名、密碼正確,用戶名 MAC 地址綁定正確,且安裝了證書能夠通過雙向證書認證,且是允許的安全類型終端才能夠接入到企業無線,訪問內部資源。通過多的安全保障,在接入層過濾掉大部分的攻擊,減少 BYOD對企業帶來的安全隱患。

2.4.3防釣魚WIFI

所謂釣魚 WiFi,就是黑客或不良分子在公共場所搭建“免費”WiFi,或者搭建與原無線網絡相似或相同的無線網絡(SSID), 誘使無線客戶端訪問虛假的無線接入點,從而達到截獲其賬號、密碼等信息的目的。

電信提供除了具備強大的行為管理、應用控制外,也具備無線入侵檢測系統( wIDS)、無線入侵預防系統(wIPS),它是通過軟、硬件,對網絡、系統的運行狀況進行監視,盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果,以保證網絡系統資源的機密性、完整性和可用性。利用 wIPS 技術,可以對非法接入點進行檢測以及反制,可以對具備某些特性,如特定SSID(與原網絡相同或相似)、非法 AP 的 MAC(物理地址)或者非無線控制器所管理的AP 發射出的無線信號,進行時時掃描、檢測,對檢測到的釣魚 WiFi 后可對其進行反制,引導無線終端不接入釣魚 WiFi。反制后的結果就是:釣魚WiFi 對于用戶來說,就是沒用。

2.4.4?無線空中加密技術

無線數據在空中傳輸,承載者企業各種業務數據,需要高效且可靠的加密機制來避免數據被暴力破解或篡改。電信提供技術支持國際標準的多種數據加密方式,保證了企業業務數據在傳輸過程中既安全又可靠。主要體現在以下3方面:

一、保證數據的安全性。WPA2密鑰長度為128 位,解決了傳統密鑰過短、容易被第三者惡意截獲的問題,且在WPA2中定義了一個具有更高安全性的加密標準CCMP,旨在給用戶提供了一個完整的認證機制,無線熱點根據用戶的認證結果決定是否允許其接入無線網絡中,認證前與用戶身份數據庫中的認證信息進行比對檢查,以確認是否具有權限并向客戶端動態分發用加密密鑰,認證成功后可以根據多種方式(傳輸數據包的多少、用戶接入網絡的時間等)動態地改變每個接入用戶的加密密鑰。另外,對用戶在無線中傳輸的數據包進行MIC編碼,確保用戶數據不會被其他用戶更改。

二、無線熱點和控制器之間的數據包進行RC4加密,高效且安全。

三、提供技術同時支持WAPI標準,進一步保障數據的機密性和完整性。


8540bc4e209823467fc3c46757d0886.png


2.4.5?VLAN池

在無線網絡接入的環境下,移動終端間可以進行相互通信,存在較大安全隱患。例如部署用于公眾上網的無線網絡中: 終端之間傳輸大量文件損耗 AP 有限的帶寬資源,
降低了無線網絡性能; 終端之間的任意互訪有可能導致的數據被竊取的惡意行為,存在安全隱患,甚至還有可能存在某些感染了病毒的終端傳播病毒的風險。本次建設無線在無
線網絡部署時,啟用此 VLAN 內用戶隔離功能選項, 禁止同一 VLAN 內的用戶之間相互通信,可以減少同一個 VLAN 內無線終端間的廣播報文,提高了無線網絡性能,同時提高了安全性。還有避免某些感染了病毒的終端傳播病毒的風險,最大限度地確保辦公安全,高辦公效率,保障用戶無線體驗。

2.4.6?射頻控制策略

企業在晚上凌晨以后,正常情況都是沒有人使用無線網絡的,那么本次建設無線網絡能自動關閉射頻信號,一方面能節省電,另一方面又能防止非法用戶利用深夜時間入侵無線網絡,做一些非法入侵的操作,保障企業無線數據的安全,另外為了更加人性化,還增加了設置基于SSID的例外無線網絡,可以選擇性的關閉SSID。

2.5流量管控

2.5.1借用空閑帶寬

空閑帶寬有以下兩種情況:保證通道中,此刻還沒有使用的保證帶寬。線路上,還沒有分配的保證帶寬??臻e帶寬可以被其它通道借用。某個通道,所能借用到的空閑帶寬,取決于該通道的保證帶寬數值,以及通道的優先級。分配方法為:不同優先級的通道競爭流量時,較高優先級的通道能優先獲得全部空閑帶寬,相同優先級的通道競爭流量時,按各自保證帶寬數值的比率進行帶寬保障。

2.5.2寬智能平均帶寬

如果同時有多個不同用戶(不同 IP)在使用同一個帶寬通道,不同用戶間的帶寬是采取“平均分配”的方式進行分配的。這里說的“平均分配”并不是絕對的平均分配,而是采取一種最優的方式進行分配,具體效果如下:帶寬在此刻有流量經過設備的用戶間進行分配,如果此刻用戶沒有流量,則不參與分配帶寬逐步分配給此刻有流量經過的用戶,如果某個用戶的帶寬需求已經得到滿足,則會忽略該用戶,繼續給有需要的用戶分配帶寬,直到帶寬分配完為止。

2.5.3流量控制

通過禁止使用降低工作效率和高帶寬消耗的應用,提高辦公效率和上網體驗。從一方面講,一定程度上可以保障辦公應用的帶寬,但是對于需要使用迅雷下載、在線視頻或 Web 流媒體一些高帶寬消耗應用的場景,或者用戶有需求—要求不對任何應用進行限制使用,又要保障關鍵辦公業務應用的帶寬,電信提供擁有豐富、強大的流量管理策略,可以有效地解決上訴場景的痛點。流量管理策略有三種方式,分別是: 1、基于用戶的流量限速策略; 2、基于 WLAN 的帶寬保障;3、基于應用的帶寬保障

2.5.4應用的策略控制

現如今,每個人都帶有智能終端,有了無線網絡后,他們可以放肆的使用各種應用,比如看視頻、狂刷微博、貼吧等,嚴重影響工作效率,有時候甚至因為時間耽擱而導致工作失職,造成經濟損失!為了保證員工辦公效率,我們應該對上網人員進行訪問控制。禁止使用降低工作效率的應用以及使用高帶寬消耗的應用

2.5.5空口的流量管控

常說的流量管控,幾乎都是針對外網數據流量進行控制,目的是為了保證重要業務產生的上網流量能夠在有限的運營商帶寬資源下優先通行,電信提供可以基于用戶、終端類型、接入 AP 位置進行上下行帶寬限制,粒度精細到 1kbps。值得注意的是,對于無線網絡來說,僅僅對上網流量進行限速是遠遠不夠的。在無線網絡中,AP的吞吐量是有一個限制的,而且,因環境的不同,實際有效的吞吐量也是不同的。

如今, 2.4G 網絡環境中充斥著大量的干擾,包括 WLAN 2.4G 自身的同鄰頻干擾、非 WLAN 2.4G 同頻設備以及利用電磁波工作的高功率設備或空氣傳輸介質, 環境干擾越大,無線的空口帶寬資源越小,隨著接入人數的增加,整體吞吐量將進一步降低,所以,每一個 AP無線空口資源都是很寶貴的。

2.5.6應用節流

企業中,往往經常會在互聯網上面去下載APP或者其他文件(視頻、辦公軟件等),那么無線控制器能夠緩存APP和文件,只要某用戶第一次下載過該文件過后,第二個用戶若要下載,直接從本地控制器上面取即可,無需到互聯網上面再次下載,不但節約了互聯網的帶寬,也能夠提升下載速度。

三、方案優化

3.1??一體化融合方案

設備采用強勁的X86架構,集無線控制器、用戶認證、營銷推送、客流分析、上網行為管理、流量控制、上網行為審計、防火墻、網絡管理于一體,大大簡化網絡結構,極大的降低了建設成本、運維成本。

具有豐富的用戶認證功能,支持802.1x、Portal、CA證書、微信、短信、APP、二維碼等認證方式;

高密優化、應用層加速技術、智能負載均衡、二三層無縫漫游等,全面保證用戶無線上網體驗;

基于應用、用戶、AP組進行流量通道劃分,保障關鍵業務的帶寬,配合動態流控,提高帶寬利用價值;

具有國內最大的應用識別庫,可精準識別1900多種網絡應用,并且根據用戶、用戶組、時間段、接入位置、終端類型等條件進行上網權限設置;

具有上網行為審計功能,可審計用戶訪問的URL、郵件、論壇發帖等內容,滿足公安部82號令;

內置AP熱點地圖,實時查看網絡運行狀態;支持控制器集群統一管理;IT/營銷分權、分級管理。

為企業訪客無線網絡提供O2O增值營銷功能,可以增加微信關注量,并具有客流分析、用戶偏好分析、人流密度熱力圖等功能;

3.2??完善的售后服務體系

廠商建立了完備的技術支持體系,主要由用戶呼叫中心、客戶服務中心、大客戶服務中心、用戶培訓中心、產品文檔中心以及相應的行政保證機構組成。

電信提供技術擁有專業的、獨立的WLAN服務體系支撐,目前擁有34個區域服務中心,300多名渠道認證工程師,50多名高級工程師以及豐富的無線網絡工程經驗,并提供24小時不間斷TAC平臺以及區域原廠工程師和服務總部400熱線24小時覆蓋。