結合用(yòng)戶無線網絡需求情況，結合尚弘産品自身技術特點，爲了(le)滿足用(yòng)戶構建一個(gè)高(gāo)速、穩定、安全、可(kě)靠、易于管理(lǐ)的(de)無線接入網絡的(de)需求，本設計方案按照(zhào)AP+AC的(de)結構化(huà)無線網絡解決方案進行設計。具體設計爲在總部設置總部AC,在大(dà)型分(fēn)支機構設置分(fēn)支AC與分(fēn)支AP，中型分(fēn)支機構設計二級，三級交換機，分(fēn)支AP。小微型分(fēn)支機構直接設置分(fēn)支AP。總部AC可(kě)以對(duì)大(dà)型分(fēn)支機構的(de)AC進行管理(lǐ)，當網點控制器采用(yòng)集中管理(lǐ)的(de)模式進入到中心端控制器時(shí)，會自動下(xià)載中心端的(de)公共配置，比如IP組、MAC地址庫、時(shí)間計劃、角色授權、認證頁面等 。總部AC也(yě)可(kě)以直接管理(lǐ)中小型分(fēn)支機構的(de)分(fēn)支AP，實現統一管理(lǐ)。

1、安全無線整體解決方案 接入前&接入時(shí)進行身份認證、尚弘安全無線網卡、賬号綁定（硬件碼+手機号），非法熱(rè)點檢測及防禦、網絡攻擊防護、射頻(pín)定時(shí)關閉及安全加固。接入後&上網時(shí)進行訪問權限控制。上網後進行上網行爲記錄。

2、上網用(yòng)戶身份實名認證 無線辦公網采用(yòng)802.1X/Portal/WAPI認證，外置AAA和(hé)RADIUS+AD用(yòng)于存儲用(yòng)戶賬号密碼。每個(gè)賬号對(duì)應一個(gè)員(yuán)工，包括姓名、部門、性别以及身份證、手機号等個(gè)人(rén)信息，保證每個(gè)上網的(de)賬号都是可(kě)尋的(de)，便于安全管理(lǐ)。用(yòng)戶輸入賬号密碼上網驗證時(shí)均采用(yòng)加密傳輸，防止黑(hēi)客空中攔截，竊取賬号密碼等數據。

3、上網賬号自動綁定終端 自動将賬号與終端的(de)硬件特征碼進行綁定，防止賬号被他(tā)人(rén)使用(yòng)或者被盜用(yòng)。每台設備的(de)硬件特征碼是唯一的(de)，無法通(tōng)過軟件修改，即使通(tōng)過軟件修改了(le)仍然可(kě)以識别原始的(de)MAC。每個(gè)賬号最多(duō)可(kě)以綁定5台終端，超過1台時(shí)需要管理(lǐ)員(yuán)審核。

4、上網賬号二次綁定手機号碼 賬号首次登陸時(shí)需要綁定手機号并輸入短信驗證碼，當用(yòng)戶賬号在新終端登陸時(shí)（換終端/被他(tā)用(yòng)/被盜），不僅需要輸入密碼，還(hái)需要輸入短信驗證碼，解決員(yuán)工賬号認證的(de)安全問題綁定手機号碼的(de)用(yòng)戶，可(kě)以自助重置密碼和(hé)修改密碼，無需通(tōng)過IT管理(lǐ)員(yuán)。

5、用(yòng)戶密碼管理(lǐ)及自助修改 無需通(tōng)過管理(lǐ)員(yuán)即可(kě)修改密碼，提高(gāo)效率及減輕管理(lǐ)員(yuán)工作壓力。通(tōng)過口袋助理(lǐ)、釘釘、企業号等手機MOA類APP軟件進行無線密碼修改。若賬号綁定了(le)手機号碼，可(kě)通(tōng)過手機驗證碼自助修改。

6、上網終端合法效驗 采用(yòng)尚弘安全無線網卡接入無線網絡，終端與AP熱(rè)點的(de)雙向驗證，提高(gāo)安全性。可(kě)以将無線網絡設置爲隻有安裝了(le)尚弘安全無線網卡的(de)終端才能接入無線網絡。支持設置安全無線網卡隻能連指定SSID無線網絡，無法連接非授權SSID。尚弘網卡與AP數據傳輸時(shí)自動進行數據加密，保證無線的(de)空口安全。

7、無線熱(rè)點掃描及非法熱(rè)點抑制 背景：黑(hēi)客在附近搭建一個(gè)一模一樣或者類似的(de)WIFI名稱，誘使用(yòng)戶連到虛假釣魚WIFI上，黑(hēi)客利用(yòng)分(fēn)析軟件從用(yòng)戶上網産生的(de)數據包中分(fēn)析提取用(yòng)戶隐私信息。我們通(tōng)過WIPS無線入侵防禦系統實時(shí)檢測周圍無線信号，當檢測出來(lái)的(de)信号BSSID、且AP源MAC地址不在授權列表中時(shí)，我們向對(duì)應的(de)AP和(hé)終端發送解除關聯幀，讓終端無法連上釣魚WIFI，7×24小時(shí)不間斷監測網絡。 8、典型無線網絡攻擊防護 對(duì)典型的(de)危險攻擊行爲進行檢測，當超過設定的(de)阈值後自動将攻擊者加入到黑(hēi)名單中，并凍結一定時(shí)間，即時(shí)發現網絡攻擊并進行防禦。檢測的(de)攻擊包括：DDOS防禦、ARP掃描、IP掃描、端口掃描防禦，禁止客戶端私設IP以及ARP、網關欺騙防禦、DHCP請求泛洪防禦。

9、無線射頻(pín)定時(shí)關閉開啓 通(tōng)過射頻(pín)關閉控制策略，可(kě)以指定某SSID網絡，定時(shí)自動關閉和(hé)開啓無線網絡的(de)射頻(pín)信号，晚上下(xià)班後自動關閉無線射頻(pín)信号。一方面可(kě)以節能減排、節省電費支出；另一方面又能防止非法用(yòng)戶利用(yòng)深夜時(shí)間入侵無線網絡，做(zuò)一些非法的(de)操作。

10、有線無線一體化(huà)管理(lǐ) 尚弘NAC的(de)有線無線一體化(huà)，支持對(duì)有線用(yòng)戶的(de)接入認證、訪問控制、流量管理(lǐ)、上網行爲審計等，并提供統一中文Web管理(lǐ)界面，一站式服務，極大(dà)的(de)降低網絡建設成本。