訊息公告


解決方案:  airPASS 新一代版本有/無線Identity身分裝置認證

關鍵字: airPASS, 無線認證, 無線管理, 無線安全, iTaiwan, TANETroaming, EDUroaming, 802.1x認證, MAC認證, FB/LINE/WeChat/Google auth. 社群軟體認證, 無線漫遊, 無線網管, AAA認證

airPASS enPower by NOIA's網路營運智能架構 -  叢集運算佈署, 為一有/無線網路認證與管理產品, 主要支援企業或機關、學校邊際網路提供的無線網路服務, 能夠達到內網安全與方便維運的雙重目的。airPASS所涵蓋的功能簡要說明如下: 員工BYOD無線網路入網認證、BYOD設備建檔註冊管理、訪客臨時帳號管理、訪客iTaiwan, TANETroaming, EDUroaming, FB/LINE/WeChat/Google auth. 等漫遊認證介接、無線使用者上下網稽核紀錄、無線網路運作狀態監控拓樸圖、無線網路統計分析儀錶板、無線維運與使用報表等。

 

關鍵特色

airPASS具備多元的關鍵特色, 不僅支援認證或認證Proxy的功能, 還包括如不同佈署模式、多品牌的支援等等, 以下詳列airPASS產品主要特色:

  • 多品牌支援 – airPASS目前已經可以支援的無線控制器品牌, 包括: Extreme、Cisco、aruba、Ruckus、FortiNET甚至Fat AP以SNMP進行無線管理與整合。
  • Inline/SPAN旁路彈性佈署 – airPASS在inline* 模式下支援NAT與Bridge雙重模式或旁路佈署。與第三方authenticator搭配進行認證, 提供portal認證網頁、802.1x、proxy與AAA相關機制。
  • 無線認證、網路管理、稽核數據分析 – airPASS除具備完整AAA機制外, 亦提供拓樸圖等高級無線維運儀表板管理與使用者稽核報表 – 包括如上下網稽核紀錄、無線網路統計分析儀錶板、無線維運與使用分析報表。
  • 認證與授權彈性指派 – airPASS根據無線網路規劃SSID進行員工BYOD或訪客不同角色的無線網路入網認證, 系統使用AAA機制對不同角色與、BYOD設備建認證通過無線使用者, 進行不同權限的授權, 例如VLAN、QoS、ACL, 甚至頻寬限制、使用時間等*
  • 無線使用設備的管控 – airPASS不僅只有無線使用者進行帳號的認證, 亦對員工使用者BYOD進行設備註冊管理, airPASS內建資料庫可以管理BYOD帳號與多個使用設備列表, 對於單一帳號而有多個的設備的員工使用者提供”不必重複認證”的方便性, 增加系統的使用方便性。
  • 豐富的訪客管理機制 – 系統提供多方面訪客管理機制, 方便企業或機關學校不同的訪客情境。如每日臨時帳號產出、員工申辦大型訪客之管理、訪客iTaiwan, TANETroaming等漫遊認證介接等等。
  • 社群軟體認證 - 目前支援的社群軟體認證, 包括: FaceBook、LINE、WeChat、Google auth.

 

無線認證規劃佈署

一般企業或學校機關會依據不同的無線使用情境, 規劃不同SSID提供無線網路使用者使用, 為防止無線網路安全與稽核, 因此需求帳號認證的管理功能需求如下: (1) 第一組「XXXX-Web」SSID 提供無線使用者網頁認證,與單位已建置的 AD, LDAP, OpenID 等 的員工、職員、學生、老師帳號密碼無縫整合, 執行使用者身份認證。 (2) 第二、三組「Guest」或「iTaiwan/TANetRoaming」SSID 跨校漫遊網頁認證, 讓一般訪客可以臨時帳號 或 校園訪客使用者跨 校漫遊帳號密碼登入上網。 (3) 第四組「XXXX」隱藏SSID 針對單位特定已建置的 AD, LDAP, OpenID 等 的員工、職員、學生、老師帳號密碼,採用 IEEE802.1x 認證登入上網。

  • airPASS提供的認證架構有二, 分別是SPAN與inline模式, 下圖一是SPAN模式, 認證點(authenticator)在無線控制器(或核心交換器、防火牆), airPASS則進行後台AAA的配套管理, 包括:代認證、代漫遊認證、認證設備註冊與權限授權、使用量,登入,登出紀錄。

  • airPASS另一個認證架構是inline模式, 如下圖所示, 認證點(authenticator)在airPASS, airPASS執行認證的Policy enforcement也進行後台AAA的配套管理, 包括:代漫遊認證、認證設備註冊與權限授權、使用量,登入,登出紀錄。

  • 叢集運算佈署, 如下圖所示, airPASS 可以佈署為「邊緣運算」形成IT/OT智能營運叢集

 

IPAM 管理

airPASS提供IP與認證設備管理(白名單)功能, IP管理提供DHCP server與認證隔離區。

  • VLAN、網段、行政組織、 IP歷史
  • DHCPv4/v6 server - multi-subnet、DHCP 可支援多達10,000靜態與5,000動態IP pools
  • DHCP log – IP發放記錄、端點資訊學習、報表
  • Static IP – DHCP靜態IP綁定員工公有及自攜設備MAC
  • IPAM隔離區 – 未授權設備註冊與認證 (可允許單一帳號, 多個設備的管控)

 

認證與角色管理

airPASS支援 multi-method multi-role 認證與裝置管理(白名單)功能。

  • 網頁認證 - 支援無線控制器或網路設備重導網頁認證(SPAN mode)封包攔阻認證網頁彈跳(inline mode)。網頁支援客製化/中英文/RWD設計依據裝置螢幕解析度
  • multi-method認證角色策略 - 支援不同角色任政策, 如員工公幼設備與BYoDMAC認證、802.1x認證BYOD、訪客認證管理
  • 整合企業用戶目錄 - ADOpenLDAPOpenID、RADIUS、訪客臨時帳號等
  • ISP漫遊認證 - iTaiwan、TANETroaming、EDUroaming
  • 社群認證 - FaceBook、LINE、WeChat、Google auth. 2.0

 

裝置註冊與白名單

airPASS支援 裝置管理(白名單)與註冊功能。

  • 裝置白名單管理 - 除提供資料庫匯入/匯出功能之外, 使用ML機器學習技術針對 企業用戶 端點裝置建立白名單。包括: 裝置發現、辨識、納管造冊、授權回收生命週期管理
  • 裝置註冊 - 提供公有設備或BYoD即時性裝置註冊功能

 

無線管理

airPASS除了是無線認證平台之外, 也是一個具備豐富無線管理的無線管理平台, 如下圖所示, airPASS提供一個無線管理者的維運儀表板, 藉此維運儀表板, 管理員可以一目了然無線設備運作狀態與相關設備資訊的查詢, 簡易事件處理程序 詳述如下:

如上圖, airPASS提供拓樸圖功能, 企業或學校可以以美工設計底圖然後藉拓樸圖將無線設備及POE交換器標示於其上, 拓樸圖上的燈號將顯示無線基地台運作狀態或事件:

  1.  – 表示正常運作
  2. x - 表示故障無反應
  3.  – 表示該設備有事件(例如 偵測到無線攻擊…)
  4.  – 表示三小時內事件未處理
  • 管理員只要將游標移至燈號處, airPASS將顯示, 該設備相關資訊, 包括: 設備名稱, IP, 最近發生的事件, 事件發生日期時間, 設備位置, 目前維護廠商, 聯絡窗口, 報修網站, 採購年度等
  • 無線儀錶板: 內容包括無線使用人數日與月趨勢圖、AP使用人數排行、SSID rank排行、無線使用者使用量排行、AP基地台狀態統計、SNR排行、AP群組排行、AP狀態列表
  • 交換器儀錶板: 內容包括 交換器名稱、IP、位置、設備序號、設備版本、設備描述、CPU使用率、記憶體使用率、MAC列表

簡易事件處理程序: 事件處理程序分為無線設備維運事件 及 資安通報事件, 前者是系統內建功能, 管理員可以啟動或不啟動, 設備事件如果發生之後在一定時間需要處理, 否則事件燈號會從紅燈轉為黃燈, 管理員可以以批次方式結案, 燈號即從黃燈轉為綠燈, 當設備由故障狀態轉為恢復時, 系統自動結案燈號亦自動轉為綠燈。後者, 為資安通報客製化功能, 可為企業或學校/醫院提供無線等進行資安通報流程管理, 是選購的功能。

數據分析

提供自動報表生成與寄送工具, 報表內容包括:

  • 統計維運報表: 依據時間區間提供以無線使用者(帳號)、無線基地台、無線群組上網Top-N統計報表。統計內容包括: 上網次數/使用時間/上傳流量/下載流量排行/上網時段(1~24)等流量排行。
  • 上網稽核報表: 與無線網路基地台及控制閘道器等設備整合,記錄使用者上網裝 置所使用的 IP 位址及 MAC 位址,登入/登出時間、帳號,以供資訊安全 追蹤需求

採購資訊

  • Palm Guest edition
  • airPASS 企業版本