潍坊网通大楼无线网络方案建议书

潍坊网通大楼无线网络方案建议书内容摘要：

动互传有关无线电波的信息和调整电波的参数，直到 AP 之间达到了一个最优化的无线电波运行环境。 ARUBA 系统的 RF 智能控管可以自动调节网上所有 ARUBA AP 的电波特性。 ARUBA 无线控制器可以对整个无线网上的电波情况侦测和记录。 当某一覆盖范围内的无线电波改变，如出现干扰 AP 所发出的电波或其它应用所发出的电波等， ARUBA 无线 控制器就会把所获取的无线电波资料做分析，以确定是否需要调整这范围内 AP 的无线电波。 无线安全性设计 浙江贝尔 从网络设计者的角度来看，对于无线网络 的 部署 ，必须对无线网络的安全性加以重视。  集中的安全管理 ARUBA 无线系统的安全管理是将防火墙、 VPN、安全认证、防病毒、无线入侵监测 IDS以及 RF 电磁波管理等多项安全功能汇聚到 ARUBA 无线交换机上来完成的，解决了传统的无线网对安全的分散管理（ AP、 AC）和能力，给用户带来的不安全感，摆脱了对有线网安全的依赖性。 潍坊网通大楼 WLAN 无线网络方案建议书 浙江贝尔技术有限公司 杭州市西湖区西斗门路 6号 9 / 28  多种用户认证方式组合 在 ARUBA 无线系统中，一个无线用户进入无线网以后，只会拿到一个最基本的入网权限，这个权限不容许用户访问任何网段，只让用户通过 DHCP 获取 IP 地址、传送 DNS协议数据包，通过认证以后才可以接入无线网。 ARUBA 无线系统支持目前各种用户认证的方式（ 、 WEB 认证、 MAC、SSID 等）。  无线访问控制 用户状态防火墙是 ARUBA 无线交换机的独特功能，它本身就是针对无线接入的特性而设计。 传统的网络防火墙是没有用户这概念，它的保护只是基于 IP 地址或物理端口来制定防火墙策略，所以对于没 有固定接入点的无线终端，这种防火墙的功效是不大。 ARUBA 无线系统的防火墙功能则是与用户认证捆绑在一起，当无线用户成功通过认证后，他会获得一个预设的用户状态防火墙，不同的无线用户有不同的防火墙策略。  安全的 AP技术 ARUBA 无线系统和其它厂家在无线接入的认证和加密上最大的区别是前者不是通过 AP，而是在ARUBA 无线交换机上实现。 由于 ARUBA的 AP 是不储存任何网络配置（ IP 地址除外）和安全设置，因此 ARUBA 管理的 AP 是不能单独工作的，因此获得或接入 ARUBA的 AP，黑客也不会拿到无线网的网络和安全配置 参数和信息。  无线接入点安全侦测和保护 采用 ARUBA 无线系统的 RF侦测功能和保护机制可以实时监测校园无线网覆盖区域内的所有 AP接入情况 ,如相邻房间的 AP、设置错误的 AP 以及未经认可而连接到网络中的 AP。 通过 ARUBA 的网络安全管理系统，网络安全管理人员可以及时发现是否有非法的 AP 接入，发现后可以开启自动保护机制，阻止无线终端通过非法 AP 联接到无线网中。  无线网络入侵侦测 IDS 目前 绝大部分的无线局域网都没有侦测无线入侵的功能，所以当受到像无线 DOS 攻击时，就会误以为是无线电波的信号受干扰或 AP 出现不稳 定情况。 这些攻击在 HotSpot 会导致用户的无线连接断线，但网管中心仍然不知，用户则误以为是网络问题，间接影响无线网系统的品质。 ARUBA 无线系统的特点是交换机由专有的网络处理器和加密处理器组成，且内置一个无线入侵模式库，实时检测异常的无线数据包，当 ARUBA 无线系统侦测出有入侵时，它会记录和显示入侵的格式，并对入侵做 潍坊网通大楼 WLAN 无线网络方案建议书 浙江贝尔技术有限公司 杭州市西湖区西斗门路 6号 10 / 28 出自动保护响应。  无线接入的病毒防护 ARUBA 无线系统针对无线终端的病毒防护分为两个层面 ： 1） 无线终端的准入检查； 2） 对无线终端发出数据进行有效的检查和监控。 无线终端病毒防护的第一步是 准入检查，当无线终端连接到 ARUBA 无线系统中，试图访问网络，在用户认证之前，需要下载一个基于 JAVA 的程序，可以对无线终端的操作系统打补丁的情况、安装防病毒软件的情况、以及防病毒定义码升级的情况，做一个检查，如果不能通过检查，可以设定策略禁止其访问网络，也可设置成将无线用户重定向到一台升级服务器，打系统补丁、安装防病毒软件和升级病毒定义码，满足系统制定的安全策略以后，该无线终端才可以进入认证环节进行用户的认证。 当无线终端通过了准入检查，但是如何对无线终端发出数据进行有效的检查和监控是更加进一步的病毒防护 手段。 ARUBA 公司和第三方的防病毒墙厂家合作，在 ARUBA 无线交换机上可以设定策略，某些用户，以及某些可能沾染病毒的数据， ARUBA 交换机会将其重定向到防病毒墙上进行防病毒检查，检查完成后，才允许通过，否则会将数据丢弃。 无线网络的安全保护和检测 由于无线终端接入是没有明确物理位置限制的，所以管理方极难用固定的网络防火墙设备来防范无线连接 （ 防火墙一般很少会设置在每一个接入层的数据链路上 ）。 并且网络防火墙是不能防止无线终端之间的通信，所以万一有无线终端被病毒感染或黑客在无线发起攻击的话，它都很会 容易散播到其它的无线终端及整个传输网络内的其它网点。 采用传统的网络防火墙来实现无线接入安全保护的最大问题是缺乏灵活性，因它本质上不是设计来做内部的安全保护，而是用来确保外来数据进入企业内网是安全可靠的，所以一般都会设置在企业因特网的连接口。 从因特网进入学校内网和校园内部的无线接入的最大区别在于后者是可对用户做认证，但前者是不可能实现。 由于不能确认用户的身份，所以防火墙的检查或策略只可按端口和 IP 原地址来制定，不管用户是谁。 这种模式在企业内部署会对用户的内网访问有很多限制，缺乏灵活性，所以是很难被用户广泛 接受，只可在小范围或小规模的情况下实现。 要做到实施和维护简单方便，亦可根据用户身份来制定安全访问策略， ARUBA 的无线解决方案就可以彻底解决这些问题。 潍坊网通大楼 WLAN 无线网络方案建议书 浙江贝尔技术有限公司 杭州市西湖区西斗门路 6号 11 / 28 ARUBA和其它厂家在认证和加密上的最大区别在于 ARUBA的解决方案都不是通过 AP来实现的，而是在 ARUBA 交换机上实现。 这种结构称为集中加密方式，不但比在 AP 上做加密更安全，且大大简化了用户认证设置和管理。 而且在采用 ，能够更快更好的做到用户漫游切换。 试想当用户透过加密方式进入无线网络后，一旦发生用户在 AP 之间的漫游，传统解决方案必须在 AP 之间通过控制器交换密钥，这样就造成了用户漫游时间过长的问题。 而由于 ARUBA 的解决方案所有的密钥均存储于 ARUBA 无线控制器中，因此在用户在 AP 之间漫游，根本无需交换密钥，从而加速了加密用户的漫游速度。 检测 和定位 通过 ARUBA 交换机的 WEB 界面或中心化网管界面，网管中心便可查看到是否有非法 AP 在传输网内。 网管人员亦可开启自动保护机制，阻止无线终端通过非法 AP 连接到传输网内。 这些非法的无线连接会被周边最接近的 ARUBA AP 透过所发出的 DeAuth 包所切断。 DeAuth 包会不停地发出直到在线的无线终端的无线连接被打断为止。 若要寻查非法 AP 的位置所在，只需在 WEB界面按 “定位 ”这按钮，非法 AP 的位置就会显示在校园办公室的图纸上（用户必须预先把无线网络的结构图输入 ARUBA 交换机内的 RF Planning 系统），网络管理人员就可根据图表显示的位置找到这AP。 ARUBA 的自动保护系统是市场上最卓越和最全面的无线网络安全保护工具。 要做到一个真正自动的保护机制就必须能正确识别所有在企业范围内检测出来的 AP 身份。 如果把隔壁公 司所安装和使用的 AP 视为非法 AP 的话，很容易就会把它们正常的无线连接打断，间接变成 DOS攻击其它企业的网络。 ARUBA 还有一个独特的无线射频特性是可跟踪在无线网络内所有 WiFi终端的位置，如 PDA, WiFi手机，和笔记本等。 当安装 ARUBA 无线系统的时候，网管人员可把部署的图纸输入到 ARUBA无线交换机内的 RF Planning 系统，然后把 AP 安装的物理位置输入到图纸上的座标或具体的位置上。 当在这个系统环境中寻找带有无线终端的 人员 的所在位置时，例如非法 AP 或 WiFi 手机，在交换机内无线终端的 记录表内找到了终端的网络地址后，可按 “定位 ”这按钮，则网管界面会弹出在 RF Planning 上终端在图纸中的物理位置。 潍坊网通大楼 WLAN 无线网络方案建议书 浙江贝尔技术有限公司 杭州市西湖区西斗门路 6号 12 / 28 图 三角定位 这种无线定位模式称为三角定位，它的准确性可达到 米以内，先决条件是所寻找的无线终端附近须有最小三个 ARUBA 的 AP 在范围内。 这是传统无线网络所不能做的。 图 无线入侵检测与 定位 在 ARUBA 无线系统中，可以在多个层面对系统构筑安全防护，其安全性设计如下：  多 SSID 可以根据需要，如用户的种类、应用的种类，在 ARUBA 无线系 统中设置多个 SSID，不同的 SSID采用不同的安全策略，这样可以对不同的用户及应用进行区分服务。 另外 SSID 还可以选择隐藏的方 潍坊网通大楼 WLAN 无线网络方案建议书 浙江贝尔技术有限公司 杭州市西湖区西斗门路 6号 13 / 28 式，该 SSID 不广播，用户无法看到，防止非法用户的连接企图。 SSID 还可以选择在某些 AP 上出现，某些 AP 上不出现，限制 SSID 出现的范围也是实现安全性的一种手段。  加密 ARUBA 无线系统支持多种加密的方式，二层的加密支持静态 WEP、动态 WEP、 TKIP、 WPA、 多种加密方式，三层的加密支持 IPSec VPN加密，这样使得加密的方式更加的灵活，可以 根据实际需求进行选择。  用户认证提供二种方式： WPAPSK＋ captive portal； 加密方式采用 WPAPSK，不建议采用静态 WEP，因为有安全隐患。 采用 captive portal 的认证方式，认证服务器的选择比较灵活，可以使用 RADIUS, LDAP, Windows NT, ActiveDirectory, TACACS，甚至是 ARUBA 交换机内置的帐户数据库。 WPA+ 加密方式尽量采用 WPA，如果客户端不支持也可采用动态 WEP，认证方式采用，认证服务器选择 RADIUS。  用户的 Role（角色） 每一类用户可以建立一个相关的 Role，每个 Role有一个用户状态防火墙的设定和带宽控制的设定，这样我们就可以将设定的安全策略加载到每个用户身上。  用户状态防火墙 用户通过认证以后，会有一个基于这个用户的状态防火墙，可以根据每个用户设置他的访问控制策略，比如可以访问 Inter,不能访问图书馆的服务器，只能访问 WEB 网页和收发邮件，不能运行P2P 的软件等。  带宽控制 可以对每个用户设定其可以使用的带宽，一方面可以限制其对网络资源的占。