【正文】 對(duì)移動(dòng)終端提供 端到端的數(shù)據(jù)安全 數(shù)據(jù)在移動(dòng)終端與 APP 服務(wù)器之間傳輸時(shí)，采用 SSL VPN 技術(shù)。擦除數(shù)據(jù)時(shí)可以細(xì)分終端全部數(shù)據(jù)和企業(yè) APP 數(shù)據(jù)；刪除配置時(shí)可以細(xì)分終端的全部配置 和網(wǎng)絡(luò)配置。該設(shè)備是傳統(tǒng)的 PC、筆記本還是智能手機(jī)、平板電腦等移動(dòng)智能設(shè)備。用戶只要安裝一張證書就可在覆蓋 WLAN 的不同地區(qū)漫游，方便用戶使用。而且 40 位的鑰匙在今天很容易被破解 。 在 移動(dòng) IT 環(huán)境 下， WiFi 作為接入層重要技術(shù)，它的安全防護(hù)需要重新檢視。 能夠 提供設(shè)備 無線入侵檢測(cè)和防護(hù)的 配置管理、信息檢測(cè)、安全事件查看、虛擬安全域管理、攻擊檢測(cè)策略管理等功能。 以華三公司無線網(wǎng)絡(luò)質(zhì)量評(píng)估功能截圖為例： XXX 電力公司變電站無線內(nèi)網(wǎng)建設(shè)方案 31 / 57 射頻 覆蓋及無線網(wǎng)絡(luò)規(guī)劃 在實(shí)際無線環(huán)境的部署和維護(hù)中，需要關(guān)注無線設(shè)備的 RF 范圍、覆蓋管理以及無線網(wǎng)絡(luò)規(guī)劃擴(kuò)容問題。 其中， d 為傳播路徑，單位為 m， n 為衰減因子。 H3C AP 在發(fā)送每個(gè)報(bào)文時(shí)，都會(huì)根據(jù) Client 的RF 狀態(tài)調(diào)整當(dāng)前報(bào)文的發(fā)送功率。接收靈敏度是指要求到達(dá) WLAN 接收機(jī)的 RF 信號(hào)強(qiáng)度不能低于一定值，才能被正確接收。即對(duì)整個(gè)網(wǎng)絡(luò)中的各個(gè) AP進(jìn)行功率優(yōu)化和信道優(yōu)化； ? 頻譜分析 ； ? 信道復(fù)用 ； ? 頻譜導(dǎo)航 ；即將雙頻用戶盡量引導(dǎo)到 5G頻段上，降低 負(fù)荷。如 3G 基站 ，當(dāng)和 WLAN 共存于一個(gè)機(jī)架，或者共用室內(nèi)饋路系統(tǒng)時(shí)。 XXX 電力公司變電站無線內(nèi)網(wǎng)建設(shè)方案 20 / 57 左圖： AP1 給 client發(fā)送數(shù)據(jù)， AP2 不能感知，同時(shí)也發(fā)送數(shù)據(jù)，導(dǎo)致在AP1 的 client 處沖突。因此這樣的結(jié)構(gòu)適合在走廊中布置 AP，來覆蓋兩邊的房間區(qū)域；并且根據(jù)實(shí)現(xiàn)工程勘測(cè)情況來確定室內(nèi)走廊部分采用吸頂天線的方式進(jìn)行部署還是內(nèi)置天線部署。 AP 下接入 station 的通信服務(wù)不會(huì)受到任何影響。 無線網(wǎng)絡(luò)拓?fù)? 基于網(wǎng)絡(luò)的先進(jìn)性考慮，本次電力 公司 無線網(wǎng)絡(luò)采用目前主流的AC + Fit AP 的架構(gòu)，在實(shí)現(xiàn)對(duì)無線信號(hào)無縫覆蓋的同時(shí)，又能夠?qū)崿F(xiàn)對(duì)無線網(wǎng)絡(luò)的靈活管理配置，提高網(wǎng)絡(luò)維護(hù)效率。 ? 實(shí)現(xiàn)室內(nèi)無線網(wǎng)絡(luò)的合理分布，考慮室內(nèi)實(shí)現(xiàn)無線網(wǎng)絡(luò)的不同情況和特點(diǎn)以及目前用戶移動(dòng)終端數(shù)量日益增多的情況，應(yīng)采取合理的組網(wǎng)技術(shù)滿足現(xiàn)在以及未來發(fā)展的需要。系統(tǒng)采用符合信息技術(shù)發(fā)展趨勢(shì)的先進(jìn)技術(shù)。 XXX省電力公司 綜合數(shù)據(jù)網(wǎng)的建成極大提高辦公效率 ， 基本覆蓋了所有的機(jī)關(guān)單位和各級(jí)變電站， 目前的用戶接入方式主要是采用有線網(wǎng)絡(luò)， 只能夠滿足辦公室場(chǎng)所等室內(nèi)辦公。用戶在地市層面僅能通過二層 VPN訪問到地市電業(yè)局的無線控制器 。 ? 無線 AP 必須支持 Multi SSID 功能， AP 自身具備為不同 SSID WLAN用戶接入有線網(wǎng)絡(luò)或互聯(lián)網(wǎng)絡(luò)提供不同身份認(rèn)證策略的功能。 AP 與 AC 關(guān)聯(lián)時(shí)，會(huì)選擇與優(yōu)先級(jí)值高的 AC 關(guān)聯(lián)為主用。 無線覆蓋類型 無線覆蓋設(shè)計(jì)基本上可以歸納為三大類： 室外開闊空間覆蓋 、 AP室內(nèi)無障礙覆蓋、 AP 室內(nèi)穿越障礙覆蓋，下面則對(duì)這三類覆蓋分別進(jìn)行描述： ? 室外開闊空間覆蓋： 主要應(yīng)用于室外開闊區(qū)域，在室外開闊空間中 AP 的覆蓋能力比室內(nèi)半開闊空間要遠(yuǎn)，但為了保證效果通常是添加室外天線使用。對(duì)某些國(guó)家或地區(qū)來說，僅有 。 WLAN 網(wǎng)絡(luò)應(yīng)首先避免自身的鄰頻干擾，所有設(shè)備建議部署在不重疊的信道上，并且設(shè)備之間避免過近。集成方式的網(wǎng)絡(luò)相比較獨(dú)立方式的網(wǎng)絡(luò)來說，具有能夠統(tǒng)一管理、充分利用接入網(wǎng)絡(luò)的資源、檢測(cè)和定位方便等特點(diǎn)。頻譜分析還能監(jiān)控整個(gè)網(wǎng)絡(luò)的空口性能的情況，并適時(shí)發(fā)出告警。 報(bào)文發(fā)送速率調(diào)整就是動(dòng)態(tài)計(jì)算每個(gè)報(bào)文發(fā)送速率。 POE交換機(jī)適合大量 AP統(tǒng)一供電的情況，根據(jù)目前實(shí)際情況，每個(gè) 變電站 需要部署的 AP 數(shù)目較少，采用 POE交換機(jī)的性價(jià)比不高，因此推薦采用 POE適配器供電的方式。網(wǎng)絡(luò)資源通過多種視圖進(jìn)行查看，視圖內(nèi)分組管理，將規(guī)模巨大的無線接入設(shè)備有效組織，便于管理員維護(hù)。通過 對(duì) AC 以及 AP 進(jìn)行頻譜防護(hù)相關(guān)功能進(jìn)行配置， 可以 定制頻譜防護(hù)功能。 入侵檢測(cè)主要為了及時(shí)發(fā)現(xiàn) WLAN 網(wǎng)絡(luò)中的有意或者無意的攻擊，通過記錄信息或者日志方式通知網(wǎng)絡(luò)管理者。 無線入侵 主要有以下幾類主要功能： （ 1）檢測(cè)并禁用非法設(shè)備； （ 2）檢測(cè)并規(guī)避 DOS 攻擊； （ 3）檢測(cè)并規(guī)避表項(xiàng)攻擊； （ 4）檢測(cè)并反制仿冒攻擊； 基于 pattern的匹配（ Signature）：對(duì)報(bào)文進(jìn)行預(yù)定義的 pattern匹配，并執(zhí)行預(yù)定義的動(dòng)作； WLAN 環(huán)境監(jiān)控：可監(jiān)控 WLAN 各個(gè)信道上的無線設(shè)備，以及各種WLAN 管理報(bào)文、控制報(bào)文及數(shù)據(jù)報(bào)文的速率。 WPA 還追加了防止數(shù)據(jù)中途被篡改的功能和認(rèn)證功能。用戶如果要訪問信息內(nèi)網(wǎng)的業(yè)務(wù)服務(wù)器必須要通過嚴(yán)格的用戶準(zhǔn)入系統(tǒng)。網(wǎng)絡(luò)管理員可以利用 準(zhǔn)入 系統(tǒng)提供的接入策略引擎，實(shí)現(xiàn)合適的人、使用合適的設(shè)備、合適的網(wǎng)絡(luò)、在合適的地點(diǎn)和時(shí)間，獲得合適的網(wǎng)絡(luò)訪問權(quán)限，最大限度的保證企業(yè)網(wǎng)絡(luò)和資源的安全。 XXX 電力公司變電站無線內(nèi)網(wǎng)建設(shè)方案 53 / 57 WLAN接入控制策略用于控制終端允許接入的 SSID和禁止接入的SSID。 提供數(shù)萬終端同時(shí)運(yùn)行和管理的能力， 滿足了 電力公司 高容量的要求，也 可以提供 防止單點(diǎn)失敗的 高可靠 能力。合規(guī)檢查包括： ? 系統(tǒng)檢查：越獄 /ROOT狀態(tài)、廠商、類型、操作系統(tǒng) ? 功能檢查：攝像頭、截屏、網(wǎng)絡(luò)接口、外設(shè)使用情況 ? 安全檢查：系統(tǒng)弱密碼、數(shù)據(jù)加密 ? APP 檢查： APP 黑白名單、必裝名單 ? 其他檢查：地理位置、綁定 SIM 卡 XXX 電力公司變電站無線內(nèi)網(wǎng)建設(shè)方案 52 / 57 軟件控制策略用于檢查終端哪些軟件可以安裝、哪些不可以安裝，哪些必須安裝。 XXX 電力公司變電站無線內(nèi)網(wǎng)建設(shè)方案 49 / 57 用戶的接入權(quán)限，不再僅由用戶的身份決定。這樣用戶從任何一個(gè)無線 AP 接入 無線內(nèi)網(wǎng) 也只能訪問中的 無線內(nèi)網(wǎng) 中的設(shè)備和省公司的 安全準(zhǔn)入 網(wǎng)關(guān)，確保在無線網(wǎng)絡(luò)被攻破的情況，依然無法訪問到后臺(tái)的業(yè)務(wù)服務(wù)器，保證 信息內(nèi) 網(wǎng)業(yè)務(wù)的安全性。通過這種處理，所有客戶端的所有分組信息所交換的數(shù)據(jù)將由各不相同的密鑰加密而成。 無線 入侵防御系統(tǒng) 用于應(yīng)對(duì)各種各樣的 WLAN 攻擊。 無線 入侵檢測(cè) 無線入侵檢測(cè) 目前主要包括下面三個(gè) 方面 ： ? 非法設(shè)備檢測(cè)； ? 入侵檢測(cè)； ? 無線用戶接入控制（黑名單和白名單）； 通過在 WLAN網(wǎng)絡(luò)中部署非法設(shè)備檢測(cè)功能，可以對(duì)整個(gè) WLAN 網(wǎng)絡(luò)中的異常設(shè)備進(jìn)行監(jiān)視，并且可以根據(jù)需要對(duì)非法的設(shè)備進(jìn)行防攻擊處理 ，如 啟動(dòng)防攻擊功能， 阻止非法的設(shè)備提供服務(wù)或者接入到無線網(wǎng)絡(luò) 。 以華三公司相關(guān)功能截圖為例： XXX 電力公司變電站無線內(nèi)網(wǎng)建設(shè)方案 33 / 57 無線終端查看和漫游記錄審計(jì) 能夠 直接在拓?fù)鋱D中對(duì)移動(dòng)終端的信息進(jìn)行查看，包括 MAC 地址、信號(hào)強(qiáng)度、在線時(shí)長(zhǎng)、流量、發(fā)射速率集、協(xié)商速率、 RSSI、 SSID、使用信道、所在 AC 設(shè)備、所在 AP 設(shè)備等，并能查看各移動(dòng)終端的全部漫游記錄，使管理員隨時(shí)了解最終接入用戶的情況，并對(duì)其接入軌跡進(jìn)行審計(jì)。 室外型 AP 覆蓋的半徑無阻擋空間一般在 50 米左右效果較好。因此通過抑制低速率用戶占用的空口時(shí)間，降低其對(duì)空口的影響，從而提高整個(gè)網(wǎng)絡(luò)的吞吐性能 。這些技術(shù)特點(diǎn)從 WLAN整網(wǎng)協(xié)調(diào)等細(xì)節(jié)上進(jìn)一步完善整個(gè)網(wǎng)絡(luò)，降低相互干擾，對(duì)提高 WLAN 網(wǎng)絡(luò)性能也有很好的效果。 發(fā)送功率調(diào)整后，兩個(gè)同頻 AP不再干擾 2. 頻譜分析 頻譜分析能夠及時(shí)、全面地檢測(cè)出來自周圍環(huán)境的非 WLAN 干擾。這些設(shè)備會(huì)將從空口監(jiān)控到的數(shù)據(jù)發(fā)給服務(wù)器，進(jìn)行分析、保存和處理。即使對(duì)不重疊的相鄰信道（如 的 6 信道， 11a 的 16162 信道），如果兩個(gè)設(shè)備之間距離過近且發(fā)送功率比較大，也會(huì)產(chǎn)生影響。按照來源劃分，可分為 WLAN 網(wǎng)絡(luò)自身的互干擾和網(wǎng)絡(luò)外的干擾 1. WLAN 網(wǎng)絡(luò)自身的同頻干擾 同頻干擾是指兩個(gè)工作在相同頻率上的 WLAN 設(shè)備之間的相互干擾。 AP 通過 CAPWAP 收到 configuration update request message報(bào)文，知道 “peer down event” 后，將 Slave AC切換為 Master AC,并向新 Master AC 發(fā)送數(shù)據(jù)。?；顖?bào)文的交互是基于毫秒（ ms）級(jí)的。 ? 無線接入點(diǎn)（ AP）必須至少支持 、 、 四種無線傳輸協(xié)議，在保證高速無線接入的同時(shí)對(duì)老舊無線網(wǎng)卡的支持。無線內(nèi)網(wǎng)的所有設(shè)備與現(xiàn)有的地市數(shù)據(jù)通信網(wǎng) 是嚴(yán)格隔離的，無線內(nèi)網(wǎng)的設(shè)備 以及用戶的 IP 地址完全不參與數(shù)據(jù)通信網(wǎng)的路由計(jì)算，確保無線內(nèi)網(wǎng)與數(shù)據(jù)通信網(wǎng)的隔離，在無線內(nèi)網(wǎng)被惡意攻擊的情況也無法入侵?jǐn)?shù)據(jù)通信網(wǎng)。 目前，國(guó)網(wǎng)公司物資、營(yíng)銷、運(yùn)檢、基建等環(huán)節(jié)已開展了 21 類無線公網(wǎng)業(yè)務(wù)應(yīng)用，覆蓋終端 ，在無線辦公方面具備了較多的時(shí)間 。 2. 經(jīng)濟(jì)性：秉持經(jīng)濟(jì)實(shí)用的原則，在滿足有關(guān)要求的前提下，充分利用現(xiàn)有設(shè)備，節(jié)省投資。 ? 無線局域網(wǎng)與有線網(wǎng)絡(luò)能夠無縫融合， 在現(xiàn)有的綜合數(shù)據(jù)網(wǎng)上通過邏輯隧道進(jìn)行分隔，確保業(yè)務(wù)安全性。這樣 即使惡意用戶破解無線網(wǎng)絡(luò)接入到電力 無線內(nèi)網(wǎng) 中，也無法訪問到數(shù)據(jù)通信網(wǎng)。 AP通過 CAPWAP協(xié)議發(fā)現(xiàn)主 AC。其中 3具不重疊的信道，針對(duì) 5個(gè)不重疊信道，但由于網(wǎng)絡(luò)用戶具有一定的不確定性，故網(wǎng)絡(luò)覆蓋時(shí)所需要的WLAN 網(wǎng)絡(luò)空間都要進(jìn)行 與 的頻率覆蓋，從網(wǎng)絡(luò)規(guī)劃的角度出發(fā)，主要考慮 二個(gè)頻段的覆蓋設(shè)計(jì)，針對(duì) 的頻率的信號(hào)衰減模型主要采用如下： PathLoss(dB) = 46 +10* n*LoGHz D（ m），而對(duì)于 ： PathLoss(dB) = +20*lGHz f[MHz]+ 20*lGHzd[KM] +a * d[KM]，以上述信號(hào)衰減模型進(jìn)行網(wǎng)絡(luò)的設(shè)計(jì)，到具體網(wǎng)絡(luò)實(shí)施時(shí)要進(jìn)行工勘與優(yōu)化。 隱藏節(jié)點(diǎn)和暴露節(jié)點(diǎn)會(huì)產(chǎn)生兩個(gè)方面的問題，其一是報(bào)文發(fā)送時(shí)需要退避或不斷重傳；其二是由于報(bào)文重傳時(shí)會(huì)降低報(bào)文發(fā)送的物理速率，導(dǎo)致同一 AP 的影響范圍擴(kuò)大，也使得報(bào)文發(fā)送占用更多的空口時(shí)長(zhǎng)，沖突幾率加大，引起更多的重傳。對(duì)無線干擾的檢測(cè)和消減既可以利用提供接入服務(wù)的 AP 來掃描，也可以通過專門的設(shè)備組成的網(wǎng)絡(luò)來進(jìn)行，甚至還可以配合專門的手持 RF 設(shè)備來進(jìn)行干擾定位。 1. RRM RRM 是 WLAN 網(wǎng)絡(luò)的頻譜資源管理模塊，負(fù)責(zé)空口噪聲、網(wǎng)絡(luò)外的 WLAN 干擾、空口利用率，以及 AP 和 Client 的流量交互等信息的監(jiān)控和分析，并根據(jù)這些信息動(dòng)態(tài)調(diào)整 AP 的信道，選擇最佳信道進(jìn)行傳輸。 當(dāng)接收靈敏度降低時(shí)，將會(huì)縮小 AP 的覆蓋范圍，但同時(shí)能夠忽略同信道的鄰居 AP 信號(hào)，從而不影響各自范圍內(nèi)的接收。 智能負(fù)載均衡技術(shù)不同于簡(jiǎn)單的負(fù)載均衡技術(shù)，無線控制器會(huì)根據(jù) Client 的位置進(jìn)行判斷，只有處于兩個(gè) AP重疊區(qū)域的 Client 才啟動(dòng)均衡，讓其 Client 接入到負(fù)載輕的 AP 上。在自由空間中，路徑衰減 與距離的平方成正比，即衰減因子為 2。通過障礙物的設(shè)置，用戶可以更加精確的查看由于遮擋對(duì)信號(hào)衰減的情況。 提供 無線統(tǒng)計(jì)報(bào)表查詢和定制功能，以幫助管理員對(duì)網(wǎng)絡(luò)進(jìn)行綜合而全面的管理。對(duì)于 WiFi 的傳送模式，物理層的頻譜安全防護(hù)（ L1）和鏈路層的無線攻擊防護(hù)（ L2），以及如何將 L1L7 實(shí)現(xiàn)有線無線的聯(lián)動(dòng)，會(huì)成為移動(dòng)安全重 要的關(guān)注點(diǎn)。目前為了提高安全性，建議采用 128位加密鑰匙。 AP 設(shè)置好證書后，無須再對(duì)后臺(tái)的 AAA 服務(wù)器進(jìn)行設(shè)置，安裝、組網(wǎng)便捷，易于擴(kuò)展，可滿足家庭、企業(yè)、運(yùn)營(yíng)商等多種應(yīng)用模式。 XXX 電力公司變電站無線內(nèi)網(wǎng)建設(shè)方案 48 / 57 ? 當(dāng)前終端設(shè)備識(shí)別技術(shù) 主要通過 DHCP 指紋識(shí)別、 Http Agent識(shí)別和 MAC OUI識(shí)別 這 三種具有較高識(shí)別度和可靠性的終端設(shè)備類型識(shí)別方式。 在線實(shí)時(shí)合規(guī)檢查不符合要求時(shí)，終端脫離 系統(tǒng) 管理時(shí)，都可以針對(duì)性的采取控制手段 。同時(shí) SSL VPN網(wǎng)關(guān)隔離了 APP 和 APP 服務(wù)器，保證了 APP服務(wù)器的安全。 對(duì)移動(dòng)終端進(jìn)行 集團(tuán)化的管理 能夠 通過標(biāo)簽分組管理移動(dòng)設(shè)備， 通過 標(biāo)簽分組可以 批量對(duì) 終端進(jìn)行 策略 下發(fā)和授權(quán) ，可以 實(shí)現(xiàn) 終端的 批量管理 工作 減少維護(hù)難度 ；XXX 電力公司變電站無線內(nèi)網(wǎng)建設(shè)方案 55 / 57 管理員通過標(biāo)簽分組還可分權(quán)管理移動(dòng)設(shè)備，有效的保證管理的安全性。安全檢查包括APP檢查、地理位置檢查、系統(tǒng)檢查、硬件 檢查、弱密碼檢查等等。 XXX 電力公司變電站無線內(nèi)網(wǎng)建設(shè)方案 47 / 57 安 全 防 護(hù) 區(qū)安 全 準(zhǔn) 入網(wǎng) 關(guān)