园区WIFI办公解决方案Word文档下载推荐.docx
- 文档编号:20245455
- 上传时间:2023-01-21
- 格式:DOCX
- 页数:18
- 大小:1.88MB
园区WIFI办公解决方案Word文档下载推荐.docx
《园区WIFI办公解决方案Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《园区WIFI办公解决方案Word文档下载推荐.docx(18页珍藏版)》请在冰豆网上搜索。
这一趋势也推动越来越多的政府机关开始允许公务员使用智能设备访问政府内部应用,并在政府办公领域支持BYOD策略。
电子政务外网作为政府办公人员对外提供办公业务的网络,原有的电子政务外网的办公人员接入基本是PC终端通过有线的接入方式,实现业务办公,随着移动终端的普及,移动政务将是公务员现在及将来的迫切需求和电子政务发展的新趋势。
虽然其在我国的发展尚处于初级阶段,但随着移动用户数量的激增,互联网技术的广泛应用,以及各类公共服务需求的增加,移动电子政务将具有广阔的发展前景。
目前,移动电子政务具有传统电子政务不可比拟的优势:
(1)优化政府办公环境,保障机构间有效沟通;
(2)加快现有办公流程,节省政府机构的运营成本;
(3)提高政府、部门、各级领导的决策分析能力;
(4)促进企业、居民、政府间信息的通信,使政务办公真正面向社会公众;
(5)更好的灵活性和可扩充性;
(6)塑造更富弹性的服务型政府形象。
一.2面临挑战
✧无线信号要求办公区域全覆盖,高速上网
政府单位办公区域面积大,要求信号无死角覆盖,内部员工接入可实现无感知漫游,不断网。
满足会议室高密区域,用户稳定接入。
来访访客随时随地可接入,并办理业务咨询和反馈。
并且网络速度要快,民众体验要好。
特别是当前移动终端和应用的普及,利用电子终端随身办理业务成为了更多民众的选择,因此,政府单位内及政务大厅的免费WI-FI覆盖,成为了政府服务民众,做到政务便民的有效通道,甚至可以通过无线网络,打造便民信息发布的有效平台。
某政府机关便民服务平台民众留言
✧开放的无线网络,安全风险多样
(1)终端接入不可信。
移动终端在接入互联网时,存在非授权访问、非法接入等安全隐患,缺乏安全机制保障合法用户接人及接入终端后的安全性。
(2)数据通信遭威胁。
移动终端接人时采用链路认证机制、数据传输加密等保障机制,保障数据通信的合法性、安全性,有效防止信息的泄漏”。
(3)网络安全风险。
网络是移动办公系统信息传输的介质,网络的安全变得尤为重要,必须通过网络访问控制、包过滤和隔离等方式,保障网络的安全。
(4)应用安全风险。
移动终端的应用系统数据要进行有效管理,防止因设备丢失造成数据泄密风险。
✧私搭乱建非法热点,难管控,风险高
政府部门的内部网络承载协同政务办公、档案管理、重要业务管理等重要系统,往往有大量重要的政务机密或敏感资料等信息,一旦出现网路安全事件,易造成无法估量的损失。
近年来,各政府部门的信息化系统经常采用数据大集中的方案,按照重要信息系统安全等级保护定级工作要求大多应定级为三级等保系统。
按照三级等保要求,这些系统需要配备终端设备的管控设备和措施。
但随着技术发展,无线WI-FI共享设备已经大量普及,例如360随身Wi-Fi、小米Wi-Fi等,这进一步催化了有线网络中私接无线Wi-Fi共享设备的安全隐患,导致原有的安全终端管控已经无法有效管控到无线终端设备。
工作人员经常接入Wi-Fi以方便手机、平板等移动设备接入,而往往由于对信息安全认知和防护有限,设置简单密码或者无密码接入,更有甚者,众多万能破解Wi-Fi以及共享Wi-Fi密码的APP也层出不穷。
对于政府机关的网路来说,大量私接Wi-Fi设备,相当于把内部网络公开暴露在外,不发分子便有机可乘,非法入侵、种植木马长期隐藏、伺机盗取内部机密资料和破坏网络,容易造成重大损失。
✧非法终端接入,占用正常办公带宽
如果大量用户通过非法热点或者合法无线接入网络,通过手机、平板电脑等设备下载与工作无关的文件,或者下载和在线观看视频等,容易占用正常的办公业务带宽,易发生邮件发送失败、上网查资料打不开网页、传输文件速度非常慢等影响政府机关工作效率的现象。
✧无线建设涉及系统和中间件多,存在重复建设和兼容性问题
在当前政务云建设的大潮下,采用传统的无线网络架构,存在着所需中间件多,系统间不兼容等问题,例如无线网络除了需要无线接入点和控制器等硬件设备外,还需专用的安全管控设备、内部员工认证平台软件、外部访客的认证平台软件、便民无线信息发布平台软件以及承载平台软件的服务器设备等,不同平台软硬件之间或多或少还存在兼容性问题。
因此,传统架构下的无线建设存在着不可避免的重复建设和兼容性问题。
二、建设目标
二.1建设目标
政府为提升自身的服务水平和办公效率,Wi-Fi覆盖已经成为必须的配备。
总体来说政府WLAN建设最大的需求在于提供办公效率,更好的业务运营。
(1)高性能无线硬件,无死角无线覆盖
无线硬件设备全部采用支持802.11ac以上协议的智能AP进行建设,通过合理实地勘查和点位设计,实现高速的无线网络,提高内部员工的办公效率,提升员工内部办公体验和办事民众的上网体验。
(2)打造政务便民信息发布平台
通过无线网络,辅助以微信公众号、短信方式,做到政府形象和便民事务的网路展示和传达,及时推送便民信息到民众,建立政府单位和人民群众的直达通道,打通政务便民的中间环节。
(3)做到无线网络的端到端安全防护
做严格的终端准入控制,保障非法终端无法接入无线网络。
对员工上网行为进行安全管控,不同部门岗位的员工分配不同的互联网及内网资源访问权限。
同时对所有员工的上网进行行为规范,上班时间只能访问业务相关应用和系统,禁止观看在线视频、炒股软件等,提供员工效率。
对员工外发文件进行审计记录,包括邮箱附件、HTTP上传、论坛微博发帖等内容,防止故意、不经意的造成的内部敏感数据信息被泄露。
对于民众开放的无线网络,记录无线接入用户身份等信息,做到事后痕迹可追溯,可实名。
同时,提供无线安全入侵检测和防御机制,主动感知和防御风险。
(4)反制非法AP,杜绝私搭乱建无线热点
通过技术手段,在无线热点设备上开启非法AP反制功能,彻底封杀私搭乱建的无线热点,保障网络安全可控。
(5)保护建设投资,无线兼容性强
无线网络采用先进的下一代架构,去除了多余的中间件,不需要服务器承载,同时无线控制器兼容性强,可对原有无线网络做平滑升级,有效保护前期建设投资成本。
二.2建设原则
信息化建设是一个系统工程,政府WIFI系统建设应按照“统一规划、统筹安排,统一标准、相互配套”的原则进行,依托政府信息化建设进程,服务国家总体的建设蓝图规划。
采用先进的“平台化”建设思想,避免重复投入、重复建设,充分考虑整体和局部的利益,坚持近期目标与远期目标相结合。
在进行信息化系统方案设计、规划时,应遵循以下原则:
❑整体安全原则
一个由许多块木板组成的木桶,如果组成木桶的这些木板长短不一,那么这个木桶的最大容量不取决于长的木板,而取决于最短的那块木板。
同样,一个由许多信息安全设备组成的信息安全防御系统,其信息安全防御水平取决于针对某种信息安全风险性能最低的信息安全设备。
❑积极防御原则
随着黑客技术的提高,对信息安全也提出更高的要求。
防御黑客除了传统的边界防御设备外,还需具备智能化、高度自动化、响应速度快的信息安全产品,配备技术力量雄厚、响应及时的本地化服务队伍,才能做好各种预防检测工作,达到防患于未然。
❑多重保护原则
任何安全防御措施都不是绝对安全的,都可能被攻破。
但是建立一个多重安全保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全,才能够有效抵御各种安全风险。
❑一致性原则
一致性原则主要是指信息安全问题应与整个网络的工作周期(或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。
安全的网络系统设计(包括初步或详细设计)及实施计划、网络验证、验收、运行等,都要有安全的内容及措施,实际上,在网络建设的开始就考虑信息安全对策,比在网络建设好后再考虑安全措施,不但容易,且花费也小得多。
❑易操作性原则
安全措施需要人去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。
其次,措施的采用不能影响系统的正常运行。
不能够违背信息化建设必须以应用系统为基础,满足业务高效、易操作的原则。
❑可扩展性原则
由于网络系统及其应用扩展范围广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。
一劳永逸地解决信息安全问题是不现实的。
同时由于实施信息安全措施需相当的费用支出。
因此充分考虑系统的可扩展性,根据资金情况分步实施,既可满足网络系统及信息安全的基本需求,亦可节省费用开支。
❑标准化原则
在软件、硬件、网络、安全和制度建设等方面都必须遵守国家和行业的相关法规、标准和规范。
充分考虑工作特点,补充和完善符合实际的组织业务信息标准。
三、解决方案
三.1整体网络建设框架
根据用户无线网络需求情况,结合产品自身技术特点,为了满足本次无线升级改造需求,构建一个高速、稳定、安全、可靠、易于管理的无线接入网络的需求,设计如下图所示的网络架构。
图2无线网络拓扑示意图
拓扑说明:
(1)采用瘦AP+AC的企业级组网方式,AC采用旁路部署模式,不影响原有网络拓扑结构,也不影响原有的无线网络;
(2)无线控制器内置网管平台、无线上网行为管理、无线安全准入平台,可实现对新建区域无线的高级别安全防护,做到基于无线用户的深度上网行为管理以及流量控制,同时无需额外增加建设成本;
(3)无线控制器集成信息发布平台,可通过微信、短信向特定民众自动推送便民信息;
(4)本次升级改造区域无线由我们无线控制器统一管理,原有无线AP统一更换成我们AP;
(5)我们无线控制器内置portal认证平台,可对原有无线覆盖楼层做统一portal认证,实现对外部访客的微信认证、临时访客认证等基于portal的认证方式(如果需要变更目前外部访客的PSK认证方式);
三.2客户需求
三.2.1现场分析
1.客户需求是全覆盖
2.上网行为统一审计
3.前期是免认证后期可能需要做微信认证
4.客户有线和无线分开来做,按照3级等保的规格来部署
根据现场初步勘测,本次建设覆盖主要有以下几个场景:
✧独立办公室
如领导办公室,
✧开放式办公区域
对于原有无线信号弱或者覆盖不到的区域,采用吸顶或者壁挂方式进行无线信号的补充覆盖。
为保证网络信号质量,不推荐将无线AP部署在走廊;
由于该区域已经有网线接口,因此,建议采用室内吸顶或者壁挂方式安装,采用双频无线AP覆盖,保证办公区域的网络体验。
✧中小型会议室+大厅
对于以下场景:
中型会议室(40-60人)、小型会议室(20-40人)、大厅,一般来说无线AP采用吸顶方式安装,安装后,AP可以在吊顶外部,也可以直接放置在吊顶上,从外部看不到无线AP。
✧电梯间及走廊等公共区域
对于楼层电梯间、卫生间等区域(尤其是领导所在层),如果目前信号覆盖不好,上网体验差,建议进行加点。
部署方式为吸顶即可,在原有点位基础上,进行加点部署。
5.客户需求是全覆盖
6.上网行为统一审计
7.前期是免认证后期可能需要做微信认证
8.客户有线和无线分开来做,按照3级等保的规格来部署
三.2.2AP点位部署分布设计
在原来基础上更换AP,如果需要加点按需修改即可。
三.3无缝信号覆盖保障上网体验
针对具体的无线用户,可以实现更为灵活的无线管控。
除了常规的静态流控、空口QoS策略、防终端粘滞、智能射频、AP智能负载均衡等技术外,无线控制器还提供更为强大的无线优化及控制策略,具体如下。
三.3.1智能射频优化干扰
在2.4GHz频段中,最多只能容下三个互不重叠的信道,一般选择1,6,11。
相同信道会造成同频干扰,重叠的不同信道之间会造成邻频干扰。
随着WLAN的热潮,越来越多的场所搭建无线网络,空气中充斥着无线信号,容易产生信道干扰,AP的智能射频可以很好的解决信号干扰问题。
●智能射频功率调整
当部署的AP功率太大会干扰到周围的其他无线设备,同时浪费电能和增加辐射;
当AP功率太小则会造成距离较远的终端接收困难、信号差,造成丢包,当丢包到达一定阈值,也即确定了AP的覆盖范围。
即太小的功率减小了AP的覆盖范围;
开启智能射频后,NAC对周围无线射频环境进行实时监控,如果环境出现变化,系统就会对AP的发射功率进行适当的调整。
●智能信道优化
智能信道优化即智能信道调整,NAC支持动态智能的信道优化功能,能定时或自动调整AP的工作信道,让相邻的AP信道错开,避免信道冲突。
●优先接5.8G频段
优先接5.8频段,使支持2.4G/5G双频的移动终端优先接入5GHz频段,平衡2.4G/5G网络利用率,提高终端用户的上网体验,实现价值最大化。
●接入点间负载均衡
根据AP当前的负载情况及其他条件(如:
接入人数、信道利用率等)控制终端的接入,达到AP间负载均衡,提高网络吞吐量和服务质量。
另外,还支持根据不同场景、不同的区域灵活的设置不同的负载均衡参数,以实现漫游、无线体验的最佳效果。
终端请求接入某个AP,NAC根据该AP与邻居AP的负载情况,决定是否允许新的客户端接入,终端可自动连接其他空闲AP,达到负载分担的效果。
●动态负载引导(防终端粘滞)
终端在不同区域间移动时,为了让终端接收到信号最佳的无线接入点,获得良好的上网体验。
无线防终端粘滞功能,可以根据实际情况,设置切换阈值,漫游效果更好。
当接入点识别出终端的信号强度小于设定的信号强度阈值,并且该终端的无线流量小于流量阈值时,接入点将主动让终端漫游。
三.3.2重要应用优先传输
常说的流量管控,几乎都是针对外网数据流量进行控制,目的是为了保证重要业务产生的上网流量能够在有限的运营商带宽资源下优先通行,我们可以基于用户、终端类型、接入AP位置进行上下行带宽限制,粒度精细到1kbps,尤其是可以基于应用进行流量管控,不仅可以保障重点办公业务,而且在例如大会议这样的场景,通过管控视频、P2P下载等流量,可以重点保障400多人的上网体验。
三.3.3无线用户动态流控
空闲带宽有以下两种情况:
保证通道中,此刻还没有使用的保证带宽。
线路上,还没有分配的保证带宽。
空闲带宽可以被其它通道借用。
某个通道,所能借用到的空闲带宽,取决于该通道的保证带宽数值,以及通道的优先级。
分配方法为:
不同优先级的通道竞争流量时,较高优先级的通道能优先获得全部空闲带宽,相同优先级的通道竞争流量时,按各自保证带宽数值的比率进行带宽保障。
三.3.4高密场景高速上网
对于XXXX的大型会务及其他会议场景,如会议室开会人数较多且密集,展厅访客多,终端分布密集,用户体验效果就会下降,然而在这有限的空间里部署过多AP的话,往往解决不了用户多的问题,反而会带来更多的干扰漫游问题。
高密优化功能针对终端分布密集的场景进行无线网络性能优化,降低由于终端低速率发送proberesponse(探测帧响应)消耗无线的性能空间,从而提升高密度场景用户的无线上网体验。
我们技术针对无线通信特点,通过对TCP/IP协议栈进行优化,开发出了广播优化的技术:
(1)ARP广播转单播;
(2)禁止DHCP请求的广播发往无线终端;
(3)智能提高广播速度。
广播优化后,可以减少不必要的“垃圾”报文在无线网络中传播,提高无线网络的整体容量,提高用户的上网体验,无线用户的并发数也将得到提高。
三.4全面安全防护保障上网安全
三.4.1无线网络安全框架
我们提供了从用户接入端到服务器端的全面的安全防护方案,包括多SSID、SSID隐藏、SSID定时射频关闭、虚拟VLAN划分、防钓鱼、精细无线用户权限管控、无线射频安全防护等。
三.4.2无线上网安全接入
传统的PSK认证方式,存在极大安全隐患,比如陌生访客如果终端安装“WIFI万能钥匙”等密码共享软件,即使是第一次进入XXXX办公大楼,也能轻松连接政府员工用网。
因此,一般政府办公采用较多的员工接入方式,有LDAP、AD域、Radius等用户身份数据库进行快速的身份校验以及基于portal的短信认证;
而针对外部访客,一般可以采用微信认证及免认证等方式。
当然,我们也提供PSK个人/企业认证方式,但不推荐用于政府办公场景。
三.4.3上网行为审计
上网行为审计,支持对无线用户和有线用户的网络行为和内容进行审计,包括但不限于:
HTTP外发内容、访问网站/下载、邮件、FTP、Telnet、网络应用行为、网络应用使用流量与时长,审计记录的内容保存在设备的数据中心。
我们使用的信锐NAC上网行为审计内容满足公安部令第82号,同时满足互联网公共上网服务(无线接入前端)(WIFI审计),具体内容如下。
HTTP外发内容
WebBBS发帖;
外发的Webmail邮件;
通过网页上传的附件(包括webmail附件);
通过网页上传的文本;
微博(可包含微博附件(图片、视频、音乐))
访问网站/下载
通过内置的千万级URL预分类库,可选择需要审计的URL类型,审计内容包括:
网页地址和标题;
网页内容;
下载文件的文件名(不支持URL类型过滤,即对所有URL类型产生的下载文件进行进行审计)
邮件
SMTP发送的邮件和POP3/IMAP接收的邮件正文内容和附件
FTP
通过FTP上传的文件(文件名及内容);
通过FTP下载的文件(仅文件名)
Telnet
通过Telnet执行的命令
网络应用
使用已识别的网络应用产生的用户行为;
未知的网络应用(记录地址及端口),
网络应用使用流量与时长
统计用户使用网络应用的流量以及时长
本地转发五元组审计:
本地转发五元组审计能实现基于本地转发的行为审计,审计的内容包括源IP地址,源端口,目的IP地址,目的端口和传输层协议,设备性能消耗相对较低,无需额外增加审计设备即可满足网监审计要求。
本地转发应用识别:
我们无线控制器支持本地转发的情况下,实现应用识别,从而能够解决本地转发情况下的上网行为审计。
本地转发应用识别并非由AP进行应用识别,而是在本地转发上网过程中,AP会将识别行为的包镜像到控制器,由控制器进行应用识别。
我们无线控制器支持本地转发的情况下,相比五元组审计更详细,可以审计到网络应用行为等,能够解决本地转发情况下网监的要求,无需额外增加审计设备。
注意事项
默认情况下,上网行为审计只审计用户访问网络的流量,包括有线用户和无线用户;
但不审计用户间的流量,即不审计内网流量。
若想要实现审计用户访问内网服务器的记录,则需要选择集中转发模式,并将内网服务器部署在控制器另一侧,使得用户访问内网服务器的流量经过无线控制器即可审计。
同时,需要注意的是,我们无线控制器融合了深信服上网行为管理大部分功能,但并不等同于深信服上网行为管理,不能审计到ssl加密、网络代理、VPN隧道的网络内容。
三.4.4规范无线上网行为
全面的应用识别帮助管理员透彻了解网络应用现状和用户行为,保障管理效果。
无线控制器拥有国内最大的应用识别库,可以精准识别2300种以上网络主流应用,并且有专业的研发团队定期维护更新,保证库处于最新状态,提高应用识别准确率。
除了精准的应用识别库,还提供丰富的、灵活的控制策略,可以针对不同的用户、不同的接入位置、不同的时间段进行员工的上网访问权限控制,通过基于应用层的访问控制,灵活控制员工的上网权限,每一个员工都只能访问已授权访问的系统,防止非法的、XX的越权访问,相比于传统的基于MAC、IP地址、端口的ACL访问控制策略更精准、更强大。
三.4.5杜绝私搭乱建热点
✧钓鱼接入点及随身WIFI检测
网络中XX或者有恶意的AP,它可以是私自接入到网络中的AP、未配置的AP、攻击者操作的AP。
这些AP上面部署了和无线控制上面有相同或是相似SSID的无线网络,终端用户接入这些SSID的无线网络之后,账号等一些隐私信息可能会被窃取。
✧AD-Hoc检测
把无线客户端的工作模式设置为Ad-hoc模式,Ad-hoc终端可以不需要任何设备支持而直接进行通讯。
✧邻居AP干扰检测
和钓鱼AP类似。
区别在于这一类AP通常不是恶意的,只是检测到的信号强度超过一定阀值(阀值可配置)。
无线控制器拥有WIDS/WIPS功能,通过WIPS,可以对非法接入点进行检测以及反制,可以对具备某些特性,如特定SSID(与原网络相同或相似)、非法AP的MAC(物理地址)或者非无线控制器所管理的AP发射出的无线信号,进行时时扫描、检测,对检测到的钓鱼WiFi后可对其进行反制,广播相关报文给用户终端,让其不接入到非法接入点。
目前XXXX政府大楼存在较多的私接热点现象。
开放性的热点接入信号,极大威胁了员工的办公用网安全,而非法AP反制功能可以有效解决该问题,从而杜绝安全隐患。
三.5便民信息发布打造服务通路
内置信息推送平台,支持网页、短信、微信等多种推送方式向接入无线网络的办事群众推送便民信息,如业务办理指南、流程注意事项等信息。
三.6削减中间环节简化无线运维
三.6.1超扁平化减少运维
我们采用信锐的产品,信锐作为下一代企业无线的领导者,拥有业内领先的“ALLINONE”产品解决方案,即在提供稳定、快速的无线网络基础上,为客户提供更多的应用层
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 园区 WIFI 办公 解决方案