【文章內(nèi)容簡介】 動(dòng)互傳有關(guān)無線電波的信息和調(diào)整電波的參數(shù)，直到 AP 之間達(dá)到了一個(gè)最優(yōu)化的無線電波運(yùn)行環(huán)境。 ARUBA 系統(tǒng)的 RF 智能控管可以自動(dòng)調(diào)節(jié)網(wǎng)上所有 ARUBA AP 的電波特性。 ARUBA 無線控制器可以對整個(gè)無線網(wǎng)上的電波情況偵測和記錄。當(dāng)某一覆蓋范圍內(nèi)的無線電波改變，如出現(xiàn)干擾 AP 所發(fā)出的電波或其它應(yīng)用所發(fā)出的電波等， ARUBA 無線 控制器就會(huì)把所獲取的無線電波資料做分析，以確定是否需要調(diào)整這范圍內(nèi) AP 的無線電波。 無線安全性設(shè)計(jì) 浙江貝爾 從網(wǎng)絡(luò)設(shè)計(jì)者的角度來看，對于無線網(wǎng)絡(luò) 的 部署 ，必須對無線網(wǎng)絡(luò)的安全性加以重視 。 ? 集中的安全管理 ARUBA 無線系統(tǒng)的安全管理是將防火墻、 VPN、安全認(rèn)證、防病毒、無線入侵監(jiān)測 IDS以及 RF 電磁波管理等多項(xiàng)安全功能匯聚到 ARUBA 無線交換機(jī)上來完成的，解決了傳統(tǒng)的無線網(wǎng)對安全的分散管理（ AP、 AC）和能力，給用戶帶來的不安全感，擺脫了對有線網(wǎng)安全的依賴性。 濰坊網(wǎng)通大樓 WLAN 無線網(wǎng)絡(luò)方案建議書 浙江貝爾技術(shù)有限公司 杭州市西湖區(qū)西斗門路 6號 9 / 28 ? 多種用戶認(rèn)證方式組合 在 ARUBA 無線系統(tǒng)中，一個(gè)無線用戶進(jìn)入無線網(wǎng)以后，只會(huì)拿到一個(gè)最基本的入網(wǎng)權(quán)限，這個(gè)權(quán)限不容許用戶訪問任何網(wǎng)段，只讓用戶通過 DHCP 獲取 IP 地址、傳送 DNS協(xié)議數(shù)據(jù)包，通過認(rèn)證以后才可以接入無線網(wǎng)。 ARUBA 無線系統(tǒng)支持目前各種用戶認(rèn)證的方式（ 、 WEB 認(rèn)證、 MAC、SSID 等）。 ? 無線訪問控制 用戶狀態(tài)防火墻是 ARUBA 無線交換機(jī)的獨(dú)特功能，它本身就是針對無線接入的特性而設(shè)計(jì)。傳統(tǒng)的網(wǎng)絡(luò)防火墻是沒有用戶這概念，它的保護(hù)只是基于 IP 地址或物理端口來制定防火墻策略，所以對于沒 有固定接入點(diǎn)的無線終端，這種防火墻的功效是不大。 ARUBA 無線系統(tǒng)的防火墻功能則是與用戶認(rèn)證捆綁在一起，當(dāng)無線用戶成功通過認(rèn)證后，他會(huì)獲得一個(gè)預(yù)設(shè)的用戶狀態(tài)防火墻，不同的無線用戶有不同的防火墻策略 。 ? 安全的 AP技術(shù) ARUBA 無線系統(tǒng)和其它廠家在無線接入的認(rèn)證和加密上最大的區(qū)別是前者不是通過 AP，而是在ARUBA 無線交換機(jī)上實(shí)現(xiàn)。由于 ARUBA的 AP 是不儲存任何網(wǎng)絡(luò)配置（ IP 地址除外）和安全設(shè)置，因此 ARUBA 管理的 AP 是不能單獨(dú)工作的，因此獲得或接入 ARUBA的 AP，黑客也不會(huì)拿到無線網(wǎng)的網(wǎng)絡(luò)和安全配置 參數(shù)和信息。 ? 無線接入點(diǎn)安全偵測和保護(hù) 采用 ARUBA 無線系統(tǒng)的 RF偵測功能和保護(hù)機(jī)制可以實(shí)時(shí)監(jiān)測校園無線網(wǎng)覆蓋區(qū)域內(nèi)的所有 AP接入情況 ,如相鄰房間的 AP、設(shè)置錯(cuò)誤的 AP 以及未經(jīng)認(rèn)可而連接到網(wǎng)絡(luò)中的 AP。通過 ARUBA 的網(wǎng)絡(luò)安全管理系統(tǒng)，網(wǎng)絡(luò)安全管理人員可以及時(shí)發(fā)現(xiàn)是否有非法的 AP 接入，發(fā)現(xiàn)后可以開啟自動(dòng)保護(hù)機(jī)制，阻止無線終端通過非法 AP 聯(lián)接到無線網(wǎng)中。 ? 無線網(wǎng)絡(luò)入侵偵測 IDS 目前 絕大部分的無線局域網(wǎng)都沒有偵測無線入侵的功能，所以當(dāng)受到像無線 DOS 攻擊時(shí)，就會(huì)誤以為是無線電波的信號受干擾或 AP 出現(xiàn)不穩(wěn) 定情況。這些攻擊在 HotSpot 會(huì)導(dǎo)致用戶的無線連接斷線，但網(wǎng)管中心仍然不知，用戶則誤以為是網(wǎng)絡(luò)問題，間接影響無線網(wǎng)系統(tǒng)的品質(zhì)。 ARUBA 無線系統(tǒng)的特點(diǎn)是交換機(jī)由專有的網(wǎng)絡(luò)處理器和加密處理器組成，且內(nèi)置一個(gè)無線入侵模式庫，實(shí)時(shí)檢測異常的無線數(shù)據(jù)包，當(dāng) ARUBA 無線系統(tǒng)偵測出有入侵時(shí)，它會(huì)記錄和顯示入侵的格式，并對入侵做 濰坊網(wǎng)通大樓 WLAN 無線網(wǎng)絡(luò)方案建議書 浙江貝爾技術(shù)有限公司 杭州市西湖區(qū)西斗門路 6號 10 / 28 出自動(dòng)保護(hù)響應(yīng)。 ? 無線接入的病毒防護(hù) ARUBA 無線系統(tǒng)針對無線終端的病毒防護(hù)分為兩個(gè)層面 ： 1） 無線終端的準(zhǔn)入檢查； 2） 對無線終端發(fā)出數(shù)據(jù)進(jìn)行有效的檢查和監(jiān)控。 無線終端病毒防護(hù)的第一步是 準(zhǔn)入檢查，當(dāng)無線終端連接到 ARUBA 無線系統(tǒng)中，試圖訪問網(wǎng)絡(luò)，在用戶認(rèn)證之前，需要下載一個(gè)基于 JAVA 的程序，可以對無線終端的操作系統(tǒng)打補(bǔ)丁的情況、安裝防病毒軟件的情況、以及防病毒定義碼升級的情況，做一個(gè)檢查，如果不能通過檢查，可以設(shè)定策略禁止其訪問網(wǎng)絡(luò)，也可設(shè)置成將無線用戶重定向到一臺升級服務(wù)器，打系統(tǒng)補(bǔ)丁、安裝防病毒軟件和升級病毒定義碼，滿足系統(tǒng)制定的安全策略以后，該無線終端才可以進(jìn)入認(rèn)證環(huán)節(jié)進(jìn)行用戶的認(rèn)證。 當(dāng)無線終端通過了準(zhǔn)入檢查，但是如何對無線終端發(fā)出數(shù)據(jù)進(jìn)行有效的檢查和監(jiān)控是更加進(jìn)一步的病毒防護(hù) 手段。 ARUBA 公司和第三方的防病毒墻廠家合作，在 ARUBA 無線交換機(jī)上可以設(shè)定策略，某些用戶，以及某些可能沾染病毒的數(shù)據(jù)， ARUBA 交換機(jī)會(huì)將其重定向到防病毒墻上進(jìn)行防病毒檢查，檢查完成后，才允許通過，否則會(huì)將數(shù)據(jù)丟棄。 無線網(wǎng)絡(luò)的安全保護(hù)和檢測 由于無線終端接入是沒有明確物理位置限制的，所以管理方極難用固定的網(wǎng)絡(luò)防火墻設(shè)備來防范無線連接 （ 防火墻一般很少會(huì)設(shè)置在每一個(gè)接入層的數(shù)據(jù)鏈路上 ） 。并且網(wǎng)絡(luò)防火墻是不能防止無線終端之間的通信，所以萬一有無線終端被病毒感染或黑客在無線發(fā)起攻擊的話，它都很會(huì) 容易散播到其它的無線終端及整個(gè)傳輸網(wǎng)絡(luò)內(nèi)的其它網(wǎng)點(diǎn)。 采用傳統(tǒng)的網(wǎng)絡(luò)防火墻來實(shí)現(xiàn)無線接入安全保護(hù)的最大問題是缺乏靈活性，因它本質(zhì)上不是設(shè)計(jì)來做內(nèi)部的安全保護(hù)，而是用來確保外來數(shù)據(jù)進(jìn)入企業(yè)內(nèi)網(wǎng)是安全可靠的，所以一般都會(huì)設(shè)置在企業(yè)因特網(wǎng)的連接口。從因特網(wǎng)進(jìn)入學(xué)校內(nèi)網(wǎng)和校園內(nèi)部的無線接入的最大區(qū)別在于后者是可對用戶做認(rèn)證，但前者是不可能實(shí)現(xiàn)。由于不能確認(rèn)用戶的身份，所以防火墻的檢查或策略只可按端口和 IP 原地址來制定，不管用戶是誰。這種模式在企業(yè)內(nèi)部署會(huì)對用戶的內(nèi)網(wǎng)訪問有很多限制，缺乏靈活性，所以是很難被用戶廣泛 接受，只可在小范圍或小規(guī)模的情況下實(shí)現(xiàn)。要做到實(shí)施和維護(hù)簡單方便，亦可根據(jù)用戶身份來制定安全訪問策略， ARUBA 的無線解決方案就可以徹底解決這些問題。 濰坊網(wǎng)通大樓 WLAN 無線網(wǎng)絡(luò)方案建議書 浙江貝爾技術(shù)有限公司 杭州市西湖區(qū)西斗門路 6號 11 / 28 ARUBA和其它廠家在認(rèn)證和加密上的最大區(qū)別在于 ARUBA的解決方案都不是通過 AP來實(shí)現(xiàn)的，而是在 ARUBA 交換機(jī)上實(shí)現(xiàn)。這種結(jié)構(gòu)稱為集中加密方式，不但比在 AP 上做加密更安全，且大大簡化了用戶認(rèn)證設(shè)置和管理。而且在采用 ，能夠更快更好的做到用戶漫游切換。 試想當(dāng)用戶透過加密方式進(jìn)入無線網(wǎng)絡(luò)后，一旦發(fā)生用戶在 AP 之間的漫游，傳統(tǒng)解決方案必須在 AP 之間通過控制器交換密鑰，這樣就造成了用戶漫游時(shí)間過長的問題。而由于 ARUBA 的解決方案所有的密鑰均存儲于 ARUBA 無線控制器中，因此在用戶在 AP 之間漫游，根本無需交換密鑰，從而加速了加密用戶的漫游速度。 檢測 和定位 通過 ARUBA 交換機(jī)的 WEB 界面或中心化網(wǎng)管界面，網(wǎng)管中心便可查看到是否有非法 AP 在傳輸網(wǎng)內(nèi)。網(wǎng)管人員亦可開啟自動(dòng)保護(hù)機(jī)制，阻止無線終端通過非法 AP 連接到傳輸網(wǎng)內(nèi)。這些非法的無線連接會(huì)被周邊最接近的 ARUBA AP 透過所發(fā)出的 DeAuth 包所切斷。 DeAuth 包會(huì)不停地發(fā)出直到在線的無線終端的無線連接被打斷為止。若要尋查非法 AP 的位置所在，只需在 WEB界面按 “定位 ”這按鈕，非法 AP 的位置就會(huì)顯示在校園辦公室的圖紙上（用戶必須預(yù)先把無線網(wǎng)絡(luò)的結(jié)構(gòu)圖輸入 ARUBA 交換機(jī)內(nèi)的 RF Planning 系統(tǒng)），網(wǎng)絡(luò)管理人員就可根據(jù)圖表顯示的位置找到這AP。 ARUBA 的自動(dòng)保護(hù)系統(tǒng)是市場上最卓越和最全面的無線網(wǎng)絡(luò)安全保護(hù)工具。要做到一個(gè)真正自動(dòng)的保護(hù)機(jī)制就必須能正確識別所有在企業(yè)范圍內(nèi)檢測出來的 AP 身份。如果把隔壁公 司所安裝和使用的 AP 視為非法 AP 的話，很容易就會(huì)把它們正常的無線連接打斷，間接變成 DOS攻擊其它企業(yè)的網(wǎng)絡(luò)。 ARUBA 還有一個(gè)獨(dú)特的無線射頻特性是可跟蹤在無線網(wǎng)絡(luò)內(nèi)所有 WiFi終端的位置，如 PDA, WiFi手機(jī)，和筆記本等。當(dāng)安裝 ARUBA 無線系統(tǒng)的時(shí)候，網(wǎng)管人員可把部署的圖紙輸入到 ARUBA無線交換機(jī)內(nèi)的 RF Planning 系統(tǒng)，然后把 AP 安裝的物理位置輸入到圖紙上的座標(biāo)或具體的位置上。當(dāng)在這個(gè)系統(tǒng)環(huán)境中尋找?guī)в袩o線終端的 人員 的所在位置時(shí)，例如非法 AP 或 WiFi 手機(jī)，在交換機(jī)內(nèi)無線終端的 記錄表內(nèi)找到了終端的網(wǎng)絡(luò)地址后，可按 “定位 ”這按鈕，則網(wǎng)管界面會(huì)彈出在 RF Planning 上終端在圖紙中的物理位置。 濰坊網(wǎng)通大樓 WLAN 無線網(wǎng)絡(luò)方案建議書 浙江貝爾技術(shù)有限公司 杭州市西湖區(qū)西斗門路 6號 12 / 28 圖 三角定位 這種無線定位模式稱為三角定位，它的準(zhǔn)確性可達(dá)到 米以內(nèi)，先決條件是所尋找的無線終端附近須有最小三個(gè) ARUBA 的 AP 在范圍內(nèi)。這是傳統(tǒng)無線網(wǎng)絡(luò)所不能做的。 圖 無線入侵檢測與 定位 在 ARUBA 無線系統(tǒng)中，可以在多個(gè)層面對系統(tǒng)構(gòu)筑安全防護(hù)，其安全性設(shè)計(jì)如下： ? 多 SSID 可以根據(jù)需要，如用戶的種類、應(yīng)用的種類，在 ARUBA 無線系 統(tǒng)中設(shè)置多個(gè) SSID，不同的 SSID采用不同的安全策略，這樣可以對不同的用戶及應(yīng)用進(jìn)行區(qū)分服務(wù)。另外 SSID 還可以選擇隱藏的方 濰坊網(wǎng)通大樓 WLAN 無線網(wǎng)絡(luò)方案建議書 浙江貝爾技術(shù)有限公司 杭州市西湖區(qū)西斗門路 6號 13 / 28 式，該 SSID 不廣播，用戶無法看到，防止非法用戶的連接企圖。 SSID 還可以選擇在某些 AP 上出現(xiàn)，某些 AP 上不出現(xiàn)，限制 SSID 出現(xiàn)的范圍也是實(shí)現(xiàn)安全性的一種手段。 ? 加密 ARUBA 無線系統(tǒng)支持多種加密的方式，二層的加密支持靜態(tài) WEP、動(dòng)態(tài) WEP、 TKIP、 WPA、 多種加密方式，三層的加密支持 IPSec VPN加密，這樣使得加密的方式更加的靈活，可以 根據(jù)實(shí)際需求進(jìn)行選擇。 ? 用戶認(rèn)證提供二種方式： WPAPSK＋ captive portal； 加密方式采用 WPAPSK，不建議采用靜態(tài) WEP，因?yàn)橛邪踩[患。采用 captive portal 的認(rèn)證方式，認(rèn)證服務(wù)器的選擇比較靈活，可以使用 RADIUS, LDAP, Windows NT, ActiveDirectory, TACACS，甚至是 ARUBA 交換機(jī)內(nèi)置的帳戶數(shù)據(jù)庫。 WPA+ 加密方式盡量采用 WPA，如果客戶端不支持也可采用動(dòng)態(tài) WEP，認(rèn)證方式采用，認(rèn)證服務(wù)器選擇 RADIUS。 ? 用戶的 Role（角色） 每一類用戶可以建立一個(gè)相關(guān)的 Role，每個(gè) Role有一個(gè)用戶狀態(tài)防火墻的設(shè)定和帶寬控制的設(shè)定，這樣我們就可以將設(shè)定的安全策略加載到每個(gè)用戶身上。 ? 用戶狀態(tài)防火墻 用戶通過認(rèn)證以后，會(huì)有一個(gè)基于這個(gè)用戶的狀態(tài)防火墻，可以根據(jù)每個(gè)用戶設(shè)置他的訪問控制策略，比如可以訪問 Inter,不能訪問圖書館的服務(wù)器，只能訪問 WEB 網(wǎng)頁和收發(fā)郵件，不能運(yùn)行P2P 的軟件等。 ? 帶寬控制 可以對每個(gè)用戶設(shè)定其可以使用的帶寬，一方面可以限制其對網(wǎng)絡(luò)資源的占