自从有了Wi-Fi以来,用户就不得不面对着密码被他人破解的风险,尤其是在“蹭网神器”大行其道的今天。虽然有一些高级安全防护手段,但因其建设成本非常高,并不适合中小微企业。于是,很多中小企业无线网都采用了“家用级”的PSK认证,不仅无法阻止“非法蹭网”的事件,更有可能带来数据泄密的安全隐患。面对这一现状,部署了锐捷灵活办公方案的鲁嘉涂料办公楼,通过“一人一机一密码”的方式,给企业无线办公网络的安全应用带来了诸多启发。
办公网上到底有没有“隔壁老王”?
鲁嘉涂料(福建)有限公司,是一家大型的涂料、涂装综合型企业,其总部位于福建福州,旗下拥有多个驰名品牌。为使产品结构更加合理,更具技术含量及市场竞争力,公司在建立ERP系统的同时,针对办公网络也进行了改建工作:在有线网络的基础上,公司购买了家用路由器,部署了支持移动办公应用的无线网。但是,公司领导一直有一个担忧,公司的无线网络是不是足够安全,会不会威胁到ERP系统?另外,在不断升级带宽之后,这张无线网却“时好时坏”,也让人怀疑是不是有人在蹭网。
图:鲁嘉涂料办公楼
确实,从无线专业角度来看,鲁嘉公司前期无线网络并不安全。一般购买家用路由器的企业,无线准入都是用家用级PSK(一个网络一个密码),然而现在大量涌现的Wi-Fi分享类APP早已使得PSK安全形同虚设。只要有一个员工没有网络安全意识,手机里安装了“功能较多钥匙”之类的APP,或者随意把密码分享出去,“隔壁老王”很容易就可通过无线接入到内部网络来,不仅可以下载视频、玩游戏,更会危及到产品配方、财务数据、销售数据,员工个人信息也十分容易泄露。
其次,鲁嘉涂料的办公楼一共有三层,每层约300平米,采用大功率家用AP部署。管理员经过反复调试,采用一层楼一个信号名称(SSID)的方式,保证每层楼可以接入到信号最好的AP上。但如果人员跨楼层活动,就需要重新断开原网络,关联新的楼层信号。此时如果没有关联到近处的AP,反而接入了远端的AP,终端的上网速率就会大幅下降。
灵活办公独创“一人一机一密码”
公司领导认为必须彻底排除网络安全隐患。无线虽小,牵扯却广。一套兼顾体验、运维和安全的无线建设,需要接入AP、控制器AC、认证系统、运维管理系统等各种组件,更需要配备专业技术人员。这对于鲁嘉涂料来说,将导致投资成本居高不下。为此,锐捷网络为鲁嘉涂料推荐了无线灵活办公方案,其中包含了锐捷独创的P-PSK(Personal Pre-Shared Key)准入认证,即可实现“一人一机一密码”的高安全无线防护。
但是,鲁嘉兼管网络的小陈却担心,部署P-PSK是否会带来后续维护的麻烦?对此,锐捷工程师通过深入沟通,详细讲解了P-PSK的实现方式。
首先,锐捷P-PSK认证具备802.1x级别的安全以及传统PSK的易用性。对于鲁嘉的使用者来说,使用习惯不变,和传统的PSK认证一致,但却杜绝了Wi-Fi共享密钥的弊端。其次,P-PSK只需要一个AC就可以实现,不需要增加认证服务器设备。最后,帐号添加与回收的工作非常容易,无网管经验也可以操作。除此之外,即将正式实施的《中华人民共和国网络安全法》要求,所有网络准入需提供身份信息,而P-PSK则是中小企业符合该法规的最好实践。
锐捷灵活办公解决方案的特点就是灵活简单,鲁嘉涂料采用锐捷RG-AP520-I实现了全楼办公区域的全覆盖,并用WIS对无线接入信号进行了优化调整,确保信号无死角,让每个员工接入后都能体验到极速上网的感受。值得一提的是,本次网络调整,从部署到优化,锐捷无线灵活办公方案落地只用了1个小时的时间。
方案升级后,员工满意老板放心
部署好后,负责网络的小陈在控制器的EWEB页面上,给所有的员工分配了P-PSK帐号,供员工接入认证。员工首次接入后,后台自动记录了终端的MAC地址和密码的对应关系,如下图所示。
图:自动记录“终端+MAC地址+密码”的对应关系
重新部署后的Wi-Fi网络实现了简单易行的高安全性接入,同时把上网体验不好的问题彻底解决。
对于新部署的锐捷灵活办公方案,小陈表示:“通过测试,当一台手机用‘功能较多Wi-Fi’分享密码后,其他获取到密码的手机也不能上网,这下我们老板就不会总是问我无线够不够安全了。”
总经理助理小孙也表示:“这套方案确实比原来的好用很多,在楼层之间移动,网络一直保持顺畅连接,特别便于我随时使用微信和同事沟通工作,由于只要输一次密码,使用起来也非常方便。“
“现在的网络解决了一直困扰公司的无线安全问题,让我放心把业务放在无线网络上,体验也提升了很多。总体部署成本不高、施工工期快,后续也没有什么运维成本,这个方案确实不错。” 鲁嘉公司总经理童总对应用体验的中肯评价,也为锐捷网络的新方案点下了最宝贵的一个“赞”。