内部工作人员采用安全的认证方式,通过802.1X认证接入,下载自动配置工具一键完成下发配置,省去繁琐的配置流程;访客通过简单和安全的短信认证方式
接入网络,提供快捷的接入认证方式。
选型理由
1.无线采用 AC+FIT AP 模式;
2.边界部署两台防火墙 USG6000E,负责网络的出口与安全边界(与内网核心边界隔离);
3.安全互联,支持 IPSec 等 VPN 技术,支持国密算法;
4.万兆核心交换机 S5731S-H,堆叠后互为主备,接入部署 S5735S-L48P4X-A,万兆上行,扩大内网带宽
5.AP6052DN: 高带宽大并发 , 对时延敏感
6.Wi-Fi6 款型号 AirEngine 5760-10,Wi-Fi & IoT 设备融合部署;
网络安全
DDOS 防御
在出口防火墙外面部署全流量清洗的 DDOS异常流量清洗系统,避 免对院所网站的恶意DDOS 攻击 AI 防火墙
作为内网管控与安全隔离设备。出口部署提供基本防火墙的 IPS、防病毒等功能,基于规则的访问控制,防止非法访问;DMZ 区边界部署提供 AI 的边界威胁
检测,提供诱捕探针功能,实现 DMZ 区的入侵主动捕获;DMZ区同时部署 WAF 防火墙,检测 HTTP/HTTPS流量,防护 WEB 流量及网页篡改
CIS 态势感知
DMZ 区部署 CIS 流探针,采集区域流量和加密流量,并发给防火墙,发现威胁后引流至核心诱捕器,联动 SecoManager 管理平台管理执行器下发策略,进行
威胁阻断和隔离; 沙箱
作为防御未知执行代码文件类威胁,沙箱与防火墙进行联动,防火墙将可疑文件交给沙箱进行检测,发现内网潜伏的攻击、恶意扫描,渗透等;防范内网可疑文件传播、保护核心资产 办公室 - 多元化 Wi-Fi 6:端管协同的无感知漫游
视频会议 - 高并发场景
实验室 - 资产管理
客户价值
资产在线盘点
1.在线盘点,节省人力;
2.自动盘点,结果实时获取;
资产使用率可视化管理
1.实时统计,提升资产共享利用;
2.准确提供资产申购和审计量化依据;
电子围栏
限定资产流通范围,避免资产流失;
融合部署
IoT 与 WiFi 融合部署,统一规划,节省投资成本。 空口安全 -WIDS/WIPS 攻击检测
无线攻击检测
1.泛洪攻击检测
2.暴力 PSK 破解检测
3.Spoof 攻击检测
4.Weak IV 攻击检测 无线攻击报警上报
AP 上报攻击告警至 AC,AC 统计攻击类型,同时通过 trap 告警告知网管平台 动态黑名单
AC 将攻击设备放入黑名单,AP 丢弃该攻击设备的所有报文,防止对网络造成冲击。 空口安全 - 非法设备识别反制
Rouge AP 识别反制
使用 Rogue AP MAC 地址发送假广播解除认证帧、以及单播解除认证帧,阻止无线用户和Rogue AP 建立链接 Ad-Hoc 网络识别反制
使用 Ad-Hoc 的 BSSID、MAC 地址发送假的单播解除认证帧进行反制,阻止 Ad-Hoc 链接的建立 Rogue 终端识别反制
使 用 Rogue Client 的 BSSID、MAC地址发送假单播解除认证帧进行反制,阻止 Rogue 终端接入 AP
无线网桥识别
识别无线网桥链路及 WDS 网络 数据加密
AP 侧报文处理
将空口报文转换为 802.3有线报文,并 DTSL 加密封装到 CAPWAP 隧道中
AP AC 间报文传输
DTLS 加密报文封装在CAPWAP 封装中,穿越网络发送到 AC AC 侧报文处理
加 密CAPWAP报文在AC解封装后,重新封装成IPSEC 报文送往上行网络侧
AC 上行报文传输
AC 与上行设备建立 IPSEC隧道,用户报文通过 IPSEC发送到网络侧
用户报文从进入 AP 后,始终封装在加密管道中一直到达网络侧,保证了用数据穿越网络的安全
华为每一款 AP 都具备无委证书,即《无线电发射设备型号核准证》
第四十四条
1.除微功率短距离无线电发射设备外,生产或者进口在国内销 售、使用的其他无线电发射设备,应当向国家无线电管理机 构申请型号核准。无线电发射设备型
号核准目录由国家无线 电管理机构公布。
2.生产或者进口应当取得型号核准的无线电发射设备,除应当 符合本条例第四十三条的规定外,还应当符合无线电发射设 备型号核准证核定的技术指标,并在
设备上标注型号核准代 码。
第四十八条
销售依照本条例第四十四条的规定应当取得型号核准的无线 电发射设备,应当向省、自治区、直辖市无线电管理机构办 理销售备案。不得销售未依照本条例规
定标注型号核准代码 的无线电发射设备。 条例地址
057735/n3057748/c5975480/content.html 华为具有无线通信接入技术国家重点实验室资质证明