网络发展历史中,从有线网络实现最基础的PC互联,到智能终端无线连接。企业有线网络、无线网络建设时间不同步,导致出现以下问题:
当前网络认证存在问题
1.维护复杂:不同的网络身份认证系统是单独的,不方便维护
2.认证方式不灵活:无法灵活适应企业网络内部员工和访客对认证方式的述求
铭冠网安提供了信锐有线无线一体化认证解决方案,一个网络控制器支持高达20+种认证方式,丰富多样、适应不同的应用场景。
无线认证接入
员工无线认证接入
针对企业使用无线网络的办公人员,推出内部员工使用的认证方式,并且通过逻辑隔离手段,使办公网络和访客网络分开。支持和企业内部的用户认证服务器进行身份认证,只需要在配置页面上配置对接信息即可以和LDAP、AD域、Radius等企业内部的用户身份数据库进行快速的身份校验,既安全且可靠。
企业认证支持本地内部数据库服务器,本地数据库支持认证终结到控制器上,可满足没有内部身份认证服务器的中小型企业。
首次连接无线网络认证时,用户名和终端可以实现自动绑定,帮助企业快速完成身份绑定,若用户拥有多个上网终端,管理员也可以灵活的手动审批后续新加入终端的绑定。因此企业可根据用户组织结构划分不同的访问权限,避免越权访问问题的发生。
802.1X认证
信锐支持802.1X WEP认证方式,并且为包头铝业集团提供企业级安全隧道认证方式,在保证认证安全的同时,在一些特殊场景,比如没有radius服务器的情况,信锐802.1X WEP 认证可以直接与AD域对接,用AD域里面的用户名直接认证,省去部署radius服务器的成本和麻烦。
使用802.1X认证,可以有效保证企业的信息安全,在用户认证和数据传输两个过程均进行加密,避免黑客通过无线抓包窃取用户名密码以及用户传输的机密数据信息。
控制器支持EAP终结,自带服务器证书,账号认证时,连接无线网络无须提前安装服务器证书,只需要提示是否信任无线网络时,点击连接即可,简化了802.1x的认证流程。
MDQ认证
MDQ认证是信锐在业内首家提出的将如口袋助理、钉钉、微信企业号等移动OA软件平台与Wi-Fi员工上网管理相结合做上网认证,实现对接口袋助理、钉钉、微信企业号做企业认证。这里的企业认证,我们可以简单理解为账号密码认证。
MDQ对接认证可以帮助企业省去人力物力搭建其他系统来管理员工、部署维护接入认证服务器,并且可以通过使用这些移动办公平台统一管理实现员工的上网信息,并实现接入认证。
Wi-Fi智能考勤
相比较于传统的指纹考勤、打卡考勤、有源RFID考勤等传统考勤系统来说,利用办公OA软件口袋助理适合考勤系统更加精准、人性化,而且无需排队;每天上班前口袋助理会准时提醒上班考勤打卡,员工只需要打开软件此时口袋助理会自动识别进行考勤打卡签到。
(1)点击APP签到考勤按钮,APP将终端WI-FI连接信息(连接的SSID、连接的AP位置名称、AP MAC地址、终端MAC地址等信息)传递给APP服务器。
(2)口袋助理联动无线控制器进行校对终端WI-FI连接信息,若校对成功则返回信息给终端“签到成功”;若信息不匹配则返回“请连接公司WI-FI进行签到”。
访客无线认证接入
微信连Wi-Fi
通过信锐无线提供的微信认证功能,访客进入企业展厅,接入无线网络,将被定向到指定提示页面,提示访客关注微信号然后即可获取上网权限,访客关注微信号即可上网,这样便大大增加了访客对企业的关注度,也便于企业广告、业务推送和宣传。也可对用户进行广告推送以及进行企业品牌展示。
NAC内置微信连Wi-Fi功能,无需通过云平台/外挂服务器即可实现微信连Wi-Fi,控制器支持配置多个微信连Wi-Fi的SSID。
微信连WI-FI功能为用户连接无线网络时提供了很大的方便,提高了用户的体验性。
信锐的微信连Wi-Fi一键上网将具有便捷、安全、营销能力强的优势:
1、 便捷
无需部署二维码,解决微信认证需要部署二维码的痛点,微信连Wi-Fi一键上网只需终端连上无线网络,点击portal页面的“微信连Wi-Fi上网”即可,
2、 安全
只有通过腾讯认证的厂商提供微信连Wi-Fi功能才具有“正在使用扫一扫Wi-Fi”的标识,对于非法钓鱼Wi-Fi以及其他Wi-Fi,均不会显示该标识,可以有效的预防钓鱼Wi-Fi,保证无线网络的安全性。
除此之外,采用微信连Wi-Fi,如果是用QQ、邮箱注册的微信号,在认证过程中,腾讯微信会检测是否绑定了手机号码(要求绑定手机号码),若用户未绑定手机号码,系统会提示用户需要绑定手机号码,否则认证不通过(这也是公安部对腾讯的要求),当用户认证上网后,设备会记录用户的微信openID、手机号码、手机MAC地址、IP地址、接入时间、访问时间等,满足审计要求。
二维码审核认证
二维码审核认证用于企业的访客无线网络认证,访客连接无线网络后打开浏览器,访问任意网站时,系统将页面重定向到认证页面,认证页面中会显示一个二维码,按照提示输入相关信息之后具备审批权限的内部接待人员,使用终端扫描访客的认证界面上的二维码,或者管理员直接在APP进行审核,访客即可上网。
认证选项中,可以设置访客的上网时长、流量配额以及访问权限。
简便快捷的二维码认证管理系统,有效解决了原有开放访客认证系统被蹭网的安全威胁,同时结合审计系统可以有效进行内容审计。
物联网终端认证接入
物联网被人们视为继计算机、互联网之后信息技术产业发展的第三次革命,智能家居、车联网、人工智能,这一切的背后正是物联网在加速落地、快速成熟,物联网时代的到来已经毋庸置疑。
而今年,震惊全球的美国断网事件,却仅仅是黑客通过操控网络摄像头及相关DVR录像机 发起物联网DDoS攻击测试所导致的。一时间,Twitter、Paypal、Spotify、Netflix、 Airbnb、Github、Reddit以及纽约时报等美国知名网站皆无法访问,满屏都是“404 错误”。
对于目前许多接入的移动扫码终端、手持云台、监控、标签读写器等设备,一些比较高端的移动终端设备,支持PSK密码认证,但是由于PSK密码较简单而且所有设备都使用一个同样的密码,一旦被用户破解了一个密码,那么整个网络中的物终端,很容易成为黑客控制的“肉机”,一旦“肉机”被黑客控制,将会导致非常严重的数据安全后果。
信锐推出业内独家的物联网安全技术:
(1)IOT安全接入认证技术
由于现在物联网设备像是监控、扫码枪、手持云台等,统一采用一个上网密码接入网络,也就意味着黑客能够侵入任何一个终端,就可以采取同样方式破解其他设备,给整个网络带来了危险。
信锐物联网安全接入认证,针对每一个终端的MAC地址特征,配置不同的上网密码,保障每一个物联网终端的上网的安全,防止出现黑客破解单一终端设备密码,从而控制整个网络终端设备的情况。
(2)IOT自动分类管理
大量的物联设备接入网络,如摄像头、传感器、扫码枪、手持云台、采集器等,接入的网络没有分组,不同的安全设备采用统一的策略管理,造成物联设备管理复杂,缺少分组和更精细化的管理。
信锐IOT分类管理,可以通过MAC和DHCP识别终端的类型,并且将终端进行分组,对不同的组别进行不同策略的下发,从而进行精细化的设备管理。
(3)物联云平台安全
采用云平台企业账号隔离,黑客攻破单一帐号不会造成平台其它帐号信息的泄漏;同时采用数据库备份、HTTPS加密访问,防止黑客暴力破解帐号。
信锐控制器结合智能交换机,对有线网络进行认证,支持Portal和Radius认证,兼容性强。
兼容第三方设备实现Portal/Radius认证
AC控制器内置Portal和Radius服务器,可对接友商设备实现Portal账号认证、微信、短信、临时访客等认证,也可以实现802.1X认证。
对于支持Portal2.0协议的友商(华为、华三、锐捷、ruckus等)设备,可将友商的AC控制器作为Portal/Radius客户端,信锐AC控制器作为Portal/Radius服务器,接管用户认证实现全网统一认证。
对于非Portal2.0协议的友商AP,则采用智能交换机作为Portal/Radius客户端,信锐AC控制器作为Portal/Radius服务器,或者通过控制器的有线Portal认证(流量需经过控制器),同样可以实现全网统一认证。
而有线端用户直接通过核心交换机与信锐AC控制器实现认证。
全网随性设计
传统的用户网络权限部署方式基于用户的ACL、Vlan进行权限管控,无法简单、便捷实现用户权限的管控:
存在问题
体验不一致:用户在使用不同的网络时候访问权限得不到一致的保障,降低办公效率
简化认证维护:信锐NAC网络控制器平台支持有线、无线一体化认证方式,减少多个认证系统的搭建,易于维护
解放方案
网络随行:基于SDN方案,搭配智能交换机与网络控制器整体交付,实现用户权限管控与网络、位置、时间解耦。
灵活调配:基于用户组,灵活适应业务快速变更的需求,实现新业务网络快速上线。
