企业WiFi办公安全设计

  1.精细化多角色授权

管理企业用户接入wifi网络后，wifi提供安全管家全面负责其用户权限的授权管理。丰富的权限分配表支持按用户属性、终端类型、接入区域、不同时间段来设置不同的角色，角色上搭建不同的访问控制策略，构建企业级防火墙，权限控制更全面和精细化。

  2.基于内网的服务和应用控制

wifi不仅支持传统的基于端口的防火墙控制策略， 同时内置了国内最大的应用识别库和URL库，管理员能够轻易识别出具体的应用和URL，灵活的设置网络访问策略，并且能够进行相应的精细化应用控制。

业界的防火墙控制主要是基于网关出口，只能限制内网用户访问外网资源，内网用户之间不能做到基于服务和应用控制。而wifi弥补了这块黑洞，独有的基于内网的服务和应用控制方案给业界带来新的突破和福音。企业网络和内部应用是非常复杂的如下图，企业内部既有有线网络也有wifi网络，既有用户之间互访、访问内部资源、移动小型设备接入和数据传递的需求，也有访问互联网资源、数据中心进行数据同步需求。在这种错综复杂的网络环境和应用环境中，传统的防火墙只能在网关出口控制内网用户对公网资源的访问，而忽略了内网这更为复杂的环境。

信线集成了有线无线一体化，在业界首次提出“用户”的概念，其访问控制策略结合强大的应用识别库搭配“用户”概念，完美实现了内网用户之间的控制以及对公网资源访问的外部控制，该方案针对有线或无线用户都适用，给企业一个干净和健康的网络环境。同时其策略配置更注重人性化，区别于传统的配置IP等复杂的方式，用户可选择应用、选择连接方向“用户发起”、“用户接收”，选择时间计划，选择动作“允许”或“拒绝”即可快速地实现访问控制。、

例如：企业员工上班时间只能访问内网的“企业内部业务系统”、不允许允许访问公网视频网站，研发人员不能访问市场人员的CRM系统，研发人员不能向市场人员发送邮件；访客手机终端之间不能传送文件，访客只能访问固定的网站，不能访问企业内部的研发和市场资源， 但不允许上微博发信息；针对与工作相关的即时通讯软件、下载软件不做应用的限制，而对下载速度做一定范围的限制。

  3. VLAN隔离

  同一vlan内、不同vlan间通讯的终端采用隔离技术，有效防止终端之间传输大量文件损耗AP有限的带宽资源，也防止终端之间的任意互访有可能导致的数据窃取、文件中毒等恶意行为，最大限度地确保办公安全，提高办公效率。

  4. 网络层防护

DHCP防御。只转发受信任的DHCP服务器响应，屏蔽非法的DHCP服务器，防止终端IP不合法。防止用户私设IP，有效保护网络避免存在大量冲突IP地址导致客户网络瘫痪。

DDOS防御。可根据用户最大并发数、新建连接速率、小包速率进行防护，一旦超限可自动加入动态黑名单，冻结处理，杜绝网络攻击。