【文章內(nèi)容簡(jiǎn)介】 動(dòng)互傳有關(guān)無(wú)線電波的信息和調(diào)整電波的參數(shù)，直到 AP 之間達(dá)到了一個(gè)最優(yōu)化的無(wú)線電波運(yùn)行環(huán)境。 ARUBA 系統(tǒng)的 RF 智能控管可以自動(dòng)調(diào)節(jié)網(wǎng)上所有 ARUBA AP 的電波特性。 ARUBA 無(wú)線控制器可以對(duì)整個(gè)無(wú)線網(wǎng)上的電波情況偵測(cè)和記錄。當(dāng)某一覆蓋范圍內(nèi)的無(wú)線電波改變，如出現(xiàn)干擾 AP 所發(fā)出的電波或其它應(yīng)用所發(fā)出的電波等， ARUBA 無(wú)線 控制器就會(huì)把所獲取的無(wú)線電波資料做分析，以確定是否需要調(diào)整這范圍內(nèi) AP 的無(wú)線電波。 無(wú)線安全性設(shè)計(jì) 浙江貝爾 從網(wǎng)絡(luò)設(shè)計(jì)者的角度來(lái)看，對(duì)于無(wú)線網(wǎng)絡(luò) 的 部署 ，必須對(duì)無(wú)線網(wǎng)絡(luò)的安全性加以重視 。 ? 集中的安全管理 ARUBA 無(wú)線系統(tǒng)的安全管理是將防火墻、 VPN、安全認(rèn)證、防病毒、無(wú)線入侵監(jiān)測(cè) IDS以及 RF 電磁波管理等多項(xiàng)安全功能匯聚到 ARUBA 無(wú)線交換機(jī)上來(lái)完成的，解決了傳統(tǒng)的無(wú)線網(wǎng)對(duì)安全的分散管理（ AP、 AC）和能力，給用戶(hù)帶來(lái)的不安全感，擺脫了對(duì)有線網(wǎng)安全的依賴(lài)性。 濰坊網(wǎng)通大樓 WLAN 無(wú)線網(wǎng)絡(luò)方案建議書(shū) 浙江貝爾技術(shù)有限公司 杭州市西湖區(qū)西斗門(mén)路 6號(hào) 9 / 28 ? 多種用戶(hù)認(rèn)證方式組合 在 ARUBA 無(wú)線系統(tǒng)中，一個(gè)無(wú)線用戶(hù)進(jìn)入無(wú)線網(wǎng)以后，只會(huì)拿到一個(gè)最基本的入網(wǎng)權(quán)限，這個(gè)權(quán)限不容許用戶(hù)訪問(wèn)任何網(wǎng)段，只讓用戶(hù)通過(guò) DHCP 獲取 IP 地址、傳送 DNS協(xié)議數(shù)據(jù)包，通過(guò)認(rèn)證以后才可以接入無(wú)線網(wǎng)。 ARUBA 無(wú)線系統(tǒng)支持目前各種用戶(hù)認(rèn)證的方式（ 、 WEB 認(rèn)證、 MAC、SSID 等）。 ? 無(wú)線訪問(wèn)控制 用戶(hù)狀態(tài)防火墻是 ARUBA 無(wú)線交換機(jī)的獨(dú)特功能，它本身就是針對(duì)無(wú)線接入的特性而設(shè)計(jì)。傳統(tǒng)的網(wǎng)絡(luò)防火墻是沒(méi)有用戶(hù)這概念，它的保護(hù)只是基于 IP 地址或物理端口來(lái)制定防火墻策略，所以對(duì)于沒(méi) 有固定接入點(diǎn)的無(wú)線終端，這種防火墻的功效是不大。 ARUBA 無(wú)線系統(tǒng)的防火墻功能則是與用戶(hù)認(rèn)證捆綁在一起，當(dāng)無(wú)線用戶(hù)成功通過(guò)認(rèn)證后，他會(huì)獲得一個(gè)預(yù)設(shè)的用戶(hù)狀態(tài)防火墻，不同的無(wú)線用戶(hù)有不同的防火墻策略 。 ? 安全的 AP技術(shù) ARUBA 無(wú)線系統(tǒng)和其它廠家在無(wú)線接入的認(rèn)證和加密上最大的區(qū)別是前者不是通過(guò) AP，而是在ARUBA 無(wú)線交換機(jī)上實(shí)現(xiàn)。由于 ARUBA的 AP 是不儲(chǔ)存任何網(wǎng)絡(luò)配置（ IP 地址除外）和安全設(shè)置，因此 ARUBA 管理的 AP 是不能單獨(dú)工作的，因此獲得或接入 ARUBA的 AP，黑客也不會(huì)拿到無(wú)線網(wǎng)的網(wǎng)絡(luò)和安全配置 參數(shù)和信息。 ? 無(wú)線接入點(diǎn)安全偵測(cè)和保護(hù) 采用 ARUBA 無(wú)線系統(tǒng)的 RF偵測(cè)功能和保護(hù)機(jī)制可以實(shí)時(shí)監(jiān)測(cè)校園無(wú)線網(wǎng)覆蓋區(qū)域內(nèi)的所有 AP接入情況 ,如相鄰房間的 AP、設(shè)置錯(cuò)誤的 AP 以及未經(jīng)認(rèn)可而連接到網(wǎng)絡(luò)中的 AP。通過(guò) ARUBA 的網(wǎng)絡(luò)安全管理系統(tǒng)，網(wǎng)絡(luò)安全管理人員可以及時(shí)發(fā)現(xiàn)是否有非法的 AP 接入，發(fā)現(xiàn)后可以開(kāi)啟自動(dòng)保護(hù)機(jī)制，阻止無(wú)線終端通過(guò)非法 AP 聯(lián)接到無(wú)線網(wǎng)中。 ? 無(wú)線網(wǎng)絡(luò)入侵偵測(cè) IDS 目前 絕大部分的無(wú)線局域網(wǎng)都沒(méi)有偵測(cè)無(wú)線入侵的功能，所以當(dāng)受到像無(wú)線 DOS 攻擊時(shí)，就會(huì)誤以為是無(wú)線電波的信號(hào)受干擾或 AP 出現(xiàn)不穩(wěn) 定情況。這些攻擊在 HotSpot 會(huì)導(dǎo)致用戶(hù)的無(wú)線連接斷線，但網(wǎng)管中心仍然不知，用戶(hù)則誤以為是網(wǎng)絡(luò)問(wèn)題，間接影響無(wú)線網(wǎng)系統(tǒng)的品質(zhì)。 ARUBA 無(wú)線系統(tǒng)的特點(diǎn)是交換機(jī)由專(zhuān)有的網(wǎng)絡(luò)處理器和加密處理器組成，且內(nèi)置一個(gè)無(wú)線入侵模式庫(kù)，實(shí)時(shí)檢測(cè)異常的無(wú)線數(shù)據(jù)包，當(dāng) ARUBA 無(wú)線系統(tǒng)偵測(cè)出有入侵時(shí)，它會(huì)記錄和顯示入侵的格式，并對(duì)入侵做 濰坊網(wǎng)通大樓 WLAN 無(wú)線網(wǎng)絡(luò)方案建議書(shū) 浙江貝爾技術(shù)有限公司 杭州市西湖區(qū)西斗門(mén)路 6號(hào) 10 / 28 出自動(dòng)保護(hù)響應(yīng)。 ? 無(wú)線接入的病毒防護(hù) ARUBA 無(wú)線系統(tǒng)針對(duì)無(wú)線終端的病毒防護(hù)分為兩個(gè)層面 ： 1） 無(wú)線終端的準(zhǔn)入檢查； 2） 對(duì)無(wú)線終端發(fā)出數(shù)據(jù)進(jìn)行有效的檢查和監(jiān)控。 無(wú)線終端病毒防護(hù)的第一步是 準(zhǔn)入檢查，當(dāng)無(wú)線終端連接到 ARUBA 無(wú)線系統(tǒng)中，試圖訪問(wèn)網(wǎng)絡(luò)，在用戶(hù)認(rèn)證之前，需要下載一個(gè)基于 JAVA 的程序，可以對(duì)無(wú)線終端的操作系統(tǒng)打補(bǔ)丁的情況、安裝防病毒軟件的情況、以及防病毒定義碼升級(jí)的情況，做一個(gè)檢查，如果不能通過(guò)檢查，可以設(shè)定策略禁止其訪問(wèn)網(wǎng)絡(luò)，也可設(shè)置成將無(wú)線用戶(hù)重定向到一臺(tái)升級(jí)服務(wù)器，打系統(tǒng)補(bǔ)丁、安裝防病毒軟件和升級(jí)病毒定義碼，滿足系統(tǒng)制定的安全策略以后，該無(wú)線終端才可以進(jìn)入認(rèn)證環(huán)節(jié)進(jìn)行用戶(hù)的認(rèn)證。 當(dāng)無(wú)線終端通過(guò)了準(zhǔn)入檢查，但是如何對(duì)無(wú)線終端發(fā)出數(shù)據(jù)進(jìn)行有效的檢查和監(jiān)控是更加進(jìn)一步的病毒防護(hù) 手段。 ARUBA 公司和第三方的防病毒墻廠家合作，在 ARUBA 無(wú)線交換機(jī)上可以設(shè)定策略，某些用戶(hù)，以及某些可能沾染病毒的數(shù)據(jù)， ARUBA 交換機(jī)會(huì)將其重定向到防病毒墻上進(jìn)行防病毒檢查，檢查完成后，才允許通過(guò)，否則會(huì)將數(shù)據(jù)丟棄。 無(wú)線網(wǎng)絡(luò)的安全保護(hù)和檢測(cè) 由于無(wú)線終端接入是沒(méi)有明確物理位置限制的，所以管理方極難用固定的網(wǎng)絡(luò)防火墻設(shè)備來(lái)防范無(wú)線連接 （ 防火墻一般很少會(huì)設(shè)置在每一個(gè)接入層的數(shù)據(jù)鏈路上 ） 。并且網(wǎng)絡(luò)防火墻是不能防止無(wú)線終端之間的通信，所以萬(wàn)一有無(wú)線終端被病毒感染或黑客在無(wú)線發(fā)起攻擊的話，它都很會(huì) 容易散播到其它的無(wú)線終端及整個(gè)傳輸網(wǎng)絡(luò)內(nèi)的其它網(wǎng)點(diǎn)。 采用傳統(tǒng)的網(wǎng)絡(luò)防火墻來(lái)實(shí)現(xiàn)無(wú)線接入安全保護(hù)的最大問(wèn)題是缺乏靈活性，因它本質(zhì)上不是設(shè)計(jì)來(lái)做內(nèi)部的安全保護(hù)，而是用來(lái)確保外來(lái)數(shù)據(jù)進(jìn)入企業(yè)內(nèi)網(wǎng)是安全可靠的，所以一般都會(huì)設(shè)置在企業(yè)因特網(wǎng)的連接口。從因特網(wǎng)進(jìn)入學(xué)校內(nèi)網(wǎng)和校園內(nèi)部的無(wú)線接入的最大區(qū)別在于后者是可對(duì)用戶(hù)做認(rèn)證，但前者是不可能實(shí)現(xiàn)。由于不能確認(rèn)用戶(hù)的身份，所以防火墻的檢查或策略只可按端口和 IP 原地址來(lái)制定，不管用戶(hù)是誰(shuí)。這種模式在企業(yè)內(nèi)部署會(huì)對(duì)用戶(hù)的內(nèi)網(wǎng)訪問(wèn)有很多限制，缺乏靈活性，所以是很難被用戶(hù)廣泛 接受，只可在小范圍或小規(guī)模的情況下實(shí)現(xiàn)。要做到實(shí)施和維護(hù)簡(jiǎn)單方便，亦可根據(jù)用戶(hù)身份來(lái)制定安全訪問(wèn)策略， ARUBA 的無(wú)線解決方案就可以徹底解決這些問(wèn)題。 濰坊網(wǎng)通大樓 WLAN 無(wú)線網(wǎng)絡(luò)方案建議書(shū) 浙江貝爾技術(shù)有限公司 杭州市西湖區(qū)西斗門(mén)路 6號(hào) 11 / 28 ARUBA和其它廠家在認(rèn)證和加密上的最大區(qū)別在于 ARUBA的解決方案都不是通過(guò) AP來(lái)實(shí)現(xiàn)的，而是在 ARUBA 交換機(jī)上實(shí)現(xiàn)。這種結(jié)構(gòu)稱(chēng)為集中加密方式，不但比在 AP 上做加密更安全，且大大簡(jiǎn)化了用戶(hù)認(rèn)證設(shè)置和管理。而且在采用 ，能夠更快更好的做到用戶(hù)漫游切換。 試想當(dāng)用戶(hù)透過(guò)加密方式進(jìn)入無(wú)線網(wǎng)絡(luò)后，一旦發(fā)生用戶(hù)在 AP 之間的漫游，傳統(tǒng)解決方案必須在 AP 之間通過(guò)控制器交換密鑰，這樣就造成了用戶(hù)漫游時(shí)間過(guò)長(zhǎng)的問(wèn)題。而由于 ARUBA 的解決方案所有的密鑰均存儲(chǔ)于 ARUBA 無(wú)線控制器中，因此在用戶(hù)在 AP 之間漫游，根本無(wú)需交換密鑰，從而加速了加密用戶(hù)的漫游速度。 檢測(cè) 和定位 通過(guò) ARUBA 交換機(jī)的 WEB 界面或中心化網(wǎng)管界面，網(wǎng)管中心便可查看到是否有非法 AP 在傳輸網(wǎng)內(nèi)。網(wǎng)管人員亦可開(kāi)啟自動(dòng)保護(hù)機(jī)制，阻止無(wú)線終端通過(guò)非法 AP 連接到傳輸網(wǎng)內(nèi)。這些非法的無(wú)線連接會(huì)被周邊最接近的 ARUBA AP 透過(guò)所發(fā)出的 DeAuth 包所切斷。 DeAuth 包會(huì)不停地發(fā)出直到在線的無(wú)線終端的無(wú)線連接被打斷為止。若要尋查非法 AP 的位置所在，只需在 WEB界面按 “定位 ”這按鈕，非法 AP 的位置就會(huì)顯示在校園辦公室的圖紙上（用戶(hù)必須預(yù)先把無(wú)線網(wǎng)絡(luò)的結(jié)構(gòu)圖輸入 ARUBA 交換機(jī)內(nèi)的 RF Planning 系統(tǒng)），網(wǎng)絡(luò)管理人員就可根據(jù)圖表顯示的位置找到這AP。 ARUBA 的自動(dòng)保護(hù)系統(tǒng)是市場(chǎng)上最卓越和最全面的無(wú)線網(wǎng)絡(luò)安全保護(hù)工具。要做到一個(gè)真正自動(dòng)的保護(hù)機(jī)制就必須能正確識(shí)別所有在企業(yè)范圍內(nèi)檢測(cè)出來(lái)的 AP 身份。如果把隔壁公 司所安裝和使用的 AP 視為非法 AP 的話，很容易就會(huì)把它們正常的無(wú)線連接打斷，間接變成 DOS攻擊其它企業(yè)的網(wǎng)絡(luò)。 ARUBA 還有一個(gè)獨(dú)特的無(wú)線射頻特性是可跟蹤在無(wú)線網(wǎng)絡(luò)內(nèi)所有 WiFi終端的位置，如 PDA, WiFi手機(jī)，和筆記本等。當(dāng)安裝 ARUBA 無(wú)線系統(tǒng)的時(shí)候，網(wǎng)管人員可把部署的圖紙輸入到 ARUBA無(wú)線交換機(jī)內(nèi)的 RF Planning 系統(tǒng)，然后把 AP 安裝的物理位置輸入到圖紙上的座標(biāo)或具體的位置上。當(dāng)在這個(gè)系統(tǒng)環(huán)境中尋找?guī)в袩o(wú)線終端的 人員 的所在位置時(shí)，例如非法 AP 或 WiFi 手機(jī)，在交換機(jī)內(nèi)無(wú)線終端的 記錄表內(nèi)找到了終端的網(wǎng)絡(luò)地址后，可按 “定位 ”這按鈕，則網(wǎng)管界面會(huì)彈出在 RF Planning 上終端在圖紙中的物理位置。 濰坊網(wǎng)通大樓 WLAN 無(wú)線網(wǎng)絡(luò)方案建議書(shū) 浙江貝爾技術(shù)有限公司 杭州市西湖區(qū)西斗門(mén)路 6號(hào) 12 / 28 圖 三角定位 這種無(wú)線定位模式稱(chēng)為三角定位，它的準(zhǔn)確性可達(dá)到 米以?xún)?nèi)，先決條件是所尋找的無(wú)線終端附近須有最小三個(gè) ARUBA 的 AP 在范圍內(nèi)。這是傳統(tǒng)無(wú)線網(wǎng)絡(luò)所不能做的。 圖 無(wú)線入侵檢測(cè)與 定位 在 ARUBA 無(wú)線系統(tǒng)中，可以在多個(gè)層面對(duì)系統(tǒng)構(gòu)筑安全防護(hù)，其安全性設(shè)計(jì)如下： ? 多 SSID 可以根據(jù)需要，如用戶(hù)的種類(lèi)、應(yīng)用的種類(lèi)，在 ARUBA 無(wú)線系 統(tǒng)中設(shè)置多個(gè) SSID，不同的 SSID采用不同的安全策略，這樣可以對(duì)不同的用戶(hù)及應(yīng)用進(jìn)行區(qū)分服務(wù)。另外 SSID 還可以選擇隱藏的方 濰坊網(wǎng)通大樓 WLAN 無(wú)線網(wǎng)絡(luò)方案建議書(shū) 浙江貝爾技術(shù)有限公司 杭州市西湖區(qū)西斗門(mén)路 6號(hào) 13 / 28 式，該 SSID 不廣播，用戶(hù)無(wú)法看到，防止非法用戶(hù)的連接企圖。 SSID 還可以選擇在某些 AP 上出現(xiàn)，某些 AP 上不出現(xiàn)，限制 SSID 出現(xiàn)的范圍也是實(shí)現(xiàn)安全性的一種手段。 ? 加密 ARUBA 無(wú)線系統(tǒng)支持多種加密的方式，二層的加密支持靜態(tài) WEP、動(dòng)態(tài) WEP、 TKIP、 WPA、 多種加密方式，三層的加密支持 IPSec VPN加密，這樣使得加密的方式更加的靈活，可以 根據(jù)實(shí)際需求進(jìn)行選擇。 ? 用戶(hù)認(rèn)證提供二種方式： WPAPSK＋ captive portal； 加密方式采用 WPAPSK，不建議采用靜態(tài) WEP，因?yàn)橛邪踩[患。采用 captive portal 的認(rèn)證方式，認(rèn)證服務(wù)器的選擇比較靈活，可以使用 RADIUS, LDAP, Windows NT, ActiveDirectory, TACACS，甚至是 ARUBA 交換機(jī)內(nèi)置的帳戶(hù)數(shù)據(jù)庫(kù)。 WPA+ 加密方式盡量采用 WPA，如果客戶(hù)端不支持也可采用動(dòng)態(tài) WEP，認(rèn)證方式采用，認(rèn)證服務(wù)器選擇 RADIUS。 ? 用戶(hù)的 Role（角色） 每一類(lèi)用戶(hù)可以建立一個(gè)相關(guān)的 Role，每個(gè) Role有一個(gè)用戶(hù)狀態(tài)防火墻的設(shè)定和帶寬控制的設(shè)定，這樣我們就可以將設(shè)定的安全策略加載到每個(gè)用戶(hù)身上。 ? 用戶(hù)狀態(tài)防火墻 用戶(hù)通過(guò)認(rèn)證以后，會(huì)有一個(gè)基于這個(gè)用戶(hù)的狀態(tài)防火墻，可以根據(jù)每個(gè)用戶(hù)設(shè)置他的訪問(wèn)控制策略，比如可以訪問(wèn) Inter,不能訪問(wèn)圖書(shū)館的服務(wù)器，只能訪問(wèn) WEB 網(wǎng)頁(yè)和收發(fā)郵件，不能運(yùn)行P2P 的軟件等。 ? 帶寬控制 可以對(duì)每個(gè)用戶(hù)設(shè)定其可以使用的帶寬，一方面可以限制其對(duì)網(wǎng)絡(luò)資源的占