【文章內(nèi)容簡(jiǎn)介】 。用戶狀態(tài)防火墻是ARUBA無(wú)線交換機(jī)的獨(dú)特功能，它本身就是針對(duì)無(wú)線接入的特性而設(shè)計(jì)。傳統(tǒng)的網(wǎng)絡(luò)防火墻是沒(méi)有用戶這概念，它的保護(hù)只是基于IP地址或物理端口來(lái)制定防火墻策略，所以對(duì)于沒(méi)有固定接入點(diǎn)的無(wú)線終端，這種防火墻的功效是不大。ARUBA無(wú)線系統(tǒng)的防火墻功能則是與用戶認(rèn)證捆綁在一起，當(dāng)無(wú)線用戶成功通過(guò)認(rèn)證后，他會(huì)獲得一個(gè)預(yù)設(shè)的用戶狀態(tài)防火墻，不同的無(wú)線用戶有不同的防火墻策略，例如賓館的管理人員和工作人員可以使用更多的服務(wù)，而旅客只可以瀏覽網(wǎng)頁(yè)或者收發(fā)Email等，這樣可以極大方便賓館的用戶的安全管理。例如賓館的領(lǐng)導(dǎo)可以通過(guò)無(wú)線網(wǎng)絡(luò)訪問(wèn)賓館所有的管理、財(cái)務(wù)、人員、航班信息，賓館工作人員可以通過(guò)無(wú)線網(wǎng)絡(luò)訪問(wèn)航班、旅客、行李信息，旅客可以通過(guò)網(wǎng)絡(luò)訪問(wèn)航班信息、天氣信息，接機(jī)和送機(jī)的客人可以通過(guò)無(wú)線網(wǎng)絡(luò)訪問(wèn)賓館的公眾網(wǎng)站，了解航班到達(dá)和起飛的具體情況?；谏矸莸脑L問(wèn)原則很好的保護(hù)賓館的網(wǎng)絡(luò)安全，同時(shí)也提供了不同等級(jí)的訪問(wèn)權(quán)限。（如下圖）由于無(wú)線終端接入是沒(méi)有明確物理位置限制的，所以管理方極難用固定的網(wǎng)絡(luò)防火墻設(shè)備來(lái)防范無(wú)線連接(防火墻一般很少會(huì)設(shè)置在每一個(gè)接入層的數(shù)據(jù)鏈路上)。并且網(wǎng)絡(luò)防火墻是不能防止無(wú)線終端之間的通信，所以萬(wàn)一有無(wú)線終端被病毒感染或黑客在無(wú)線發(fā)起攻擊的話，它都很會(huì)容易散播到其它的無(wú)線終端及整個(gè)傳輸網(wǎng)絡(luò)內(nèi)的其它網(wǎng)點(diǎn)。有一些單位為了安全就采用一刀切的方法，把所有無(wú)線接入?yún)R聚到一個(gè)DMZ內(nèi)，再通過(guò)一網(wǎng)絡(luò)防火墻的過(guò)濾才讓無(wú)線數(shù)據(jù)進(jìn)入企業(yè)內(nèi)網(wǎng)。這種方式在具體實(shí)施時(shí)有一定的困難，只能局限在傳輸網(wǎng)內(nèi)的某些范圍，因無(wú)線用戶/終端必需集中在一VLAN上處理，否則的話很難把它們匯聚到一個(gè)DMZ內(nèi)。如果不是經(jīng)過(guò)DMZ的話，則可能威脅到內(nèi)網(wǎng)的安全，但要把在不同接入點(diǎn)AP的無(wú)線用戶/終端和有線用戶(在同一接入點(diǎn))完全分隔開(kāi)而設(shè)置到DMZ上的同一個(gè)VLAN則需在現(xiàn)有的局域網(wǎng)做很多改動(dòng)。且未來(lái)如要增加多一些AP接入點(diǎn)的話，亦同樣需要在局域網(wǎng)的接入層，匯聚層做很多改動(dòng)。采用傳統(tǒng)的網(wǎng)絡(luò)防火墻來(lái)實(shí)現(xiàn)無(wú)線接入安全保護(hù)的最大問(wèn)題是缺乏靈活性，因它本質(zhì)上不是設(shè)計(jì)來(lái)做內(nèi)部的安全保護(hù)，而是用來(lái)確保外來(lái)數(shù)據(jù)進(jìn)入企業(yè)內(nèi)網(wǎng)是安全可靠的，所以一般都會(huì)設(shè)置在企業(yè)因特網(wǎng)的連接口。從因特網(wǎng)進(jìn)入企業(yè)內(nèi)網(wǎng)和企業(yè)內(nèi)部的無(wú)線接入的最大區(qū)別在于后者是可對(duì)用戶做認(rèn)證，但前者是不可能實(shí)現(xiàn)。由于不能確認(rèn)用戶的身份，所以防火墻的檢查或策略只可按端口和IP 原地址來(lái)制定，不管用戶是誰(shuí)。這種模式在企業(yè)內(nèi)部署會(huì)對(duì)用戶的內(nèi)網(wǎng)訪問(wèn)有很多限制，缺乏靈活性，所以是很難被用戶廣泛接受，只可在小范圍或小規(guī)模的情況下實(shí)現(xiàn)。要做到實(shí)施和維護(hù)簡(jiǎn)單方便，亦可根據(jù)用戶身份來(lái)制定安全訪問(wèn)策略，ARUBA的無(wú)線解決方案就可以徹底解決這些問(wèn)題。采用ARUBA 無(wú)線系統(tǒng)的RF偵測(cè)功能和保護(hù)機(jī)制可以實(shí)時(shí)監(jiān)測(cè)大廈無(wú)線網(wǎng)覆蓋區(qū)域內(nèi)的所有AP接入情況,如相鄰房間的AP、設(shè)置錯(cuò)誤的AP以及未經(jīng)認(rèn)可而連接到網(wǎng)絡(luò)中的AP。通過(guò)ARUBA 的網(wǎng)絡(luò)安全管理系統(tǒng)，網(wǎng)絡(luò)安全管理人員可以及時(shí)發(fā)現(xiàn)是否有非法的AP接入，發(fā)現(xiàn)后可以開(kāi)啟自動(dòng)保護(hù)機(jī)制，阻止無(wú)線終端通過(guò)非法AP聯(lián)接到無(wú)線網(wǎng)中。在賓館網(wǎng)絡(luò)中，如果某位賓館工作人員或合作單位的人員私下安裝了無(wú)線的AP，提供了直接連接賓館內(nèi)網(wǎng)的接入，ARUBA無(wú)線安全管理的功能可以及時(shí)的發(fā)現(xiàn)這個(gè)非法的AP，并且可以通知管理人員斷掉非法AP的網(wǎng)絡(luò)連接，顯示非法AP接入的大致方位。今天已經(jīng)有很多的無(wú)線入侵和攻擊的工具可從網(wǎng)站下載，這些工具的普及對(duì)賓館和運(yùn)營(yíng)商的無(wú)線網(wǎng)的安全構(gòu)成很大的威脅。今天絕大部分的無(wú)線局域網(wǎng)都沒(méi)有偵測(cè)無(wú)線入侵的功能，所以當(dāng)受到像無(wú)線DOS攻擊時(shí)，就會(huì)誤以為是無(wú)線電波的信號(hào)受干擾或AP出現(xiàn)不穩(wěn)定情況。這些攻擊在HotSpot會(huì)導(dǎo)致用戶的無(wú)線連接斷線，但網(wǎng)管中心仍然不知，用戶則誤以為是網(wǎng)絡(luò)問(wèn)題，間接影響無(wú)線網(wǎng)系統(tǒng)的品質(zhì)。ARUBA 無(wú)線系統(tǒng)的特點(diǎn)是交換機(jī)由專有的網(wǎng)絡(luò)處理器和加密處理器組成，且內(nèi)置一個(gè)無(wú)線入侵模式庫(kù)，實(shí)時(shí)檢測(cè)異常的無(wú)線數(shù)據(jù)包，當(dāng)ARUBA 無(wú)線系統(tǒng)偵測(cè)出有入侵時(shí)，它會(huì)記錄和顯示入侵的格式，并對(duì)入侵做出自動(dòng)保護(hù)響應(yīng)。，后端還需要Radius服務(wù)器支持。一方面用戶的技術(shù)水平參差不齊，客戶端的操作系統(tǒng)多種多樣，以及系統(tǒng)可能出現(xiàn)的軟件沖突等，另一方面，后端的數(shù)據(jù)庫(kù)只能使用Radius，不能使用其他類型的認(rèn)證數(shù)據(jù)庫(kù)，在適應(yīng)性上也比較差，這些對(duì)于大規(guī)模推廣和使用都是極大的阻礙。考慮到客戶所使用的設(shè)備安全認(rèn)證的多樣性，我們認(rèn)為將來(lái)的的接入方式可以多種選擇，賓館的工作人員可能通過(guò)手持PDA設(shè)備查詢客房信息，旅客可以通過(guò)賓館提供的PC機(jī)查詢信息，賓館的工作人員和賓館的合作單位可以通過(guò)筆記本電腦上網(wǎng)，賓館同時(shí)可以考慮提供WiFi手機(jī)提供語(yǔ)音的服務(wù)。在ARUBA無(wú)線系統(tǒng)中，一個(gè)無(wú)線用戶進(jìn)入無(wú)線網(wǎng)以后，只會(huì)拿到一個(gè)最基本的入網(wǎng)權(quán)限，這個(gè)權(quán)限不容許用戶訪問(wèn)任何網(wǎng)段，只讓用戶通過(guò)DHCP獲取IP地址、傳送DNS協(xié)議數(shù)據(jù)包，通過(guò)認(rèn)證以后才可以接入無(wú)線網(wǎng)。ARUBA無(wú)線系統(tǒng)支持目前各種用戶認(rèn)證的方式（、WEB認(rèn)證、MAC、SSID、VPN等），賓館用戶可以根據(jù)需要方便選擇。我們可以考慮賓館的工作人員和賓館的管理人員可以通過(guò)身份認(rèn)證的方式登陸到賓館內(nèi)網(wǎng)，旅客可以通過(guò)WEB界面訪問(wèn)賓館的公眾服務(wù)器，遠(yuǎn)程的賓館員工可以通過(guò)VPN的方式訪問(wèn)賓館內(nèi)網(wǎng)。WiFi手機(jī)的用戶可以事先設(shè)置好登陸的方式。ARUBA無(wú)線系統(tǒng)和其它廠家在無(wú)線接入的認(rèn)證和加密上最大的區(qū)別是前者不是通過(guò)AP，而是在ARUBA無(wú)線交換機(jī)上實(shí)現(xiàn)。由于ARUBA的AP是不儲(chǔ)存任何網(wǎng)絡(luò)配置（IP地址除外）和安全設(shè)置，因此ARUBA 管理的AP是不能單獨(dú)工作的，因此獲得和接入進(jìn)ARUBA AP，黑客也不會(huì)拿到無(wú)線網(wǎng)的網(wǎng)絡(luò)和安全配置參數(shù)。但一個(gè)破壞者通過(guò)其他的手段（偷盜和竊?。┕テ屏诉吘壍慕尤刖W(wǎng)絡(luò)，他也無(wú)法破譯ARUBA 無(wú)線網(wǎng)絡(luò)建立起的加密通道，無(wú)法竊取網(wǎng)絡(luò)的真實(shí)信息。在Aruba無(wú)線系統(tǒng)中，一個(gè)無(wú)線用戶進(jìn)入無(wú)線網(wǎng)絡(luò)以后，只會(huì)拿到一個(gè)最基本的入網(wǎng)權(quán)限，這個(gè)權(quán)限不容許用戶訪問(wèn)任何網(wǎng)段，只讓用戶通過(guò)DHCP獲取IP地址、傳送DNS協(xié)議數(shù)據(jù)包，通過(guò)認(rèn)證以后才可以接入無(wú)線網(wǎng)絡(luò)。Aruba無(wú)線系統(tǒng)支持目前各種用戶認(rèn)證的方式（、WEB認(rèn)證、MAC、SSID、VPN等），無(wú)線網(wǎng)絡(luò)用戶可以根據(jù)需要方便選擇。 獨(dú)特的無(wú)線訪問(wèn)控制用戶狀態(tài)防火墻是Aruba無(wú)線交換機(jī)的獨(dú)特功能，它本身就是針對(duì)無(wú)線接入的特性而設(shè)計(jì)。傳統(tǒng)的網(wǎng)絡(luò)防火墻是沒(méi)有用戶這概念，它的保護(hù)只是基于IP地址或物理端口來(lái)制定防火墻策略，所以對(duì)于沒(méi)有固定接入點(diǎn)的無(wú)線終端，這種防火墻的功效是不大。Aruba無(wú)線系統(tǒng)的防火墻功能則是與用戶認(rèn)證捆綁在一起，當(dāng)無(wú)線用戶成功通過(guò)認(rèn)證后，他會(huì)獲得一個(gè)預(yù)設(shè)的用戶狀態(tài)防火墻，不同的無(wú)線用戶有不同的防火墻策略，例如單位的工作人員可以使用更多的服務(wù)，而來(lái)訪人員只可以瀏覽網(wǎng)頁(yè)、收發(fā)Email等，這樣可以極大方便無(wú)線網(wǎng)絡(luò)用戶的安全管理。Aruba無(wú)線系統(tǒng)和其它廠家在無(wú)線接入的認(rèn)證和加密上最大的區(qū)別是前者不是通過(guò)AP，而是在Aruba無(wú)線交換機(jī)上實(shí)現(xiàn)。由于Aruba的AP是不儲(chǔ)存任何網(wǎng)絡(luò)配置（IP地址除外）和安全設(shè)置，因此Aruba 管理的AP是不能單獨(dú)工作的，因此獲得和接入進(jìn)Aruba AP，黑客也不會(huì)拿到無(wú)線網(wǎng)絡(luò)的網(wǎng)絡(luò)和安全配置參數(shù)。采用Aruba 無(wú)線系統(tǒng)的RF偵測(cè)功能和保護(hù)機(jī)制可以實(shí)時(shí)監(jiān)測(cè)無(wú)線網(wǎng)絡(luò)覆蓋區(qū)域內(nèi)的所有AP接入情況,如相鄰房間的AP、設(shè)置錯(cuò)誤的AP以及未經(jīng)認(rèn)可而連接到網(wǎng)絡(luò)中的AP。通過(guò)Aruba 的網(wǎng)絡(luò)安全管理系統(tǒng)，網(wǎng)絡(luò)安全管理人員可以及時(shí)發(fā)現(xiàn)是否有非法的AP接入，發(fā)現(xiàn)后可以開(kāi)啟自動(dòng)保護(hù)機(jī)制，阻止無(wú)線終端通過(guò)非法AP聯(lián)接到無(wú)線網(wǎng)絡(luò)中。今天已經(jīng)有很多的無(wú)線入侵和攻擊的工具可從網(wǎng)站下載，這些工具的普及對(duì)用戶的無(wú)線網(wǎng)絡(luò)的安全構(gòu)成很大的威脅。今天絕大部分的無(wú)線局域網(wǎng)都沒(méi)有偵測(cè)無(wú)線入侵的功能，所以當(dāng)受到像無(wú)線DOS攻擊時(shí)，就會(huì)誤以為是無(wú)線電波的信號(hào)受干擾或AP出現(xiàn)不穩(wěn)定情況。這些攻擊在HotSpot會(huì)導(dǎo)致用戶的無(wú)線連接斷線，但網(wǎng)管中心仍然不知，用戶則誤以為是網(wǎng)絡(luò)問(wèn)題，間接影響無(wú)線網(wǎng)絡(luò)系統(tǒng)的品質(zhì)。Aruba 無(wú)線系統(tǒng)的特點(diǎn)是交換機(jī)由專有的網(wǎng)絡(luò)處理器和加密處理器組成，且內(nèi)置一個(gè)無(wú)線入侵模式庫(kù)，實(shí)時(shí)檢測(cè)異常的無(wú)線數(shù)據(jù)包，當(dāng)Aruba 無(wú)線系統(tǒng)偵測(cè)出有入侵時(shí)，它會(huì)記錄和顯示入侵的格式，并對(duì)入侵做出自動(dòng)保護(hù)響應(yīng)。Aruba無(wú)線系統(tǒng)針對(duì)無(wú)線終端的病毒防護(hù)分為兩個(gè)層面，一、無(wú)線終端的準(zhǔn)入檢查；二、對(duì)無(wú)線終端發(fā)出數(shù)據(jù)進(jìn)行有效的檢查和監(jiān)控。無(wú)線終端病毒防護(hù)的第一步是準(zhǔn)入檢查，當(dāng)無(wú)線終端連接到Aruba無(wú)線系統(tǒng)中，當(dāng)試圖訪問(wèn)網(wǎng)絡(luò)，在用戶認(rèn)證之前，需要下載一個(gè)基于JAVA的程序，可以對(duì)無(wú)線終端的操作系統(tǒng)打補(bǔ)丁的情況、安裝防病毒軟件的情況、以及防病毒定義碼升級(jí)的情況，做一個(gè)檢查，如果不能通過(guò)檢查，可以設(shè)定策略禁止其訪問(wèn)網(wǎng)絡(luò)，也可設(shè)置成將無(wú)線用戶重定向到一臺(tái)升級(jí)服務(wù)器，打系統(tǒng)補(bǔ)丁、安裝防病毒軟件和升級(jí)病毒定義碼，滿足系統(tǒng)制定的安全策略以后，該無(wú)線終端才可以進(jìn)入認(rèn)證環(huán)節(jié)進(jìn)行用戶的認(rèn)證。當(dāng)無(wú)線終端通過(guò)了準(zhǔn)入檢查，但是如何對(duì)無(wú)線終端發(fā)出數(shù)據(jù)進(jìn)行有效的檢查和監(jiān)控是更加進(jìn)一步的病毒防護(hù)手段。Aruba公司和第三方的防病毒墻廠家合作，在Aruba無(wú)線交換機(jī)上可以設(shè)定策略，某些用戶，以及某些可能沾染病毒的數(shù)據(jù)，Aruba交換機(jī)會(huì)將其重定向到防病毒墻上進(jìn)行防病毒檢查，檢查完成后，才允許通過(guò)，否則會(huì)將數(shù)據(jù)丟棄?；谏鲜鰞蓚€(gè)層面，Aruba無(wú)線局域網(wǎng)系統(tǒng)對(duì)無(wú)線終端進(jìn)行有效和方便的病毒防護(hù)。無(wú)線終端定位是ARUBA系統(tǒng)的一大特色功能。此功能亦被稱為“三角定位”，是指當(dāng)一個(gè)無(wú)線終端同時(shí)被三個(gè)以上的AP信號(hào)覆蓋著，即可跟蹤和定出無(wú)線終端的位置。，與無(wú)線終端使用者無(wú)關(guān)，諸如無(wú)線接入的電腦、PDA和 WiFi手機(jī)等，只要附近范圍內(nèi)存在最少三個(gè)ARUBA的AP即可，這也是傳統(tǒng)無(wú)線局域網(wǎng)所不能做的。在賓館內(nèi)常常采用了三角無(wú)線定位技術(shù)來(lái)資產(chǎn)管理追蹤，找尋地勤人員，以及定位找出非法入侵的AP和無(wú)線終端。三、XX酒店Aruba無(wú)線局域網(wǎng)系統(tǒng)實(shí)現(xiàn)AP放置于相應(yīng)的位置，用于覆蓋走廊以及房間內(nèi)。根據(jù)XX酒店的實(shí)際測(cè)量配置Aruba無(wú)線交換機(jī)與無(wú)線接入點(diǎn)Aruba 41 AP數(shù)量。估算AP書(shū)量見(jiàn)下頁(yè)AP分布表。AP上聯(lián)方式：以樓層為單位，在每個(gè)需要布放AP的位置拉放網(wǎng)線，AP連接在樓層的配線間中，使用POE供電設(shè)備給AP供電。ARUBA無(wú)線交換機(jī)放置XX酒店的網(wǎng)絡(luò)中心機(jī)房?jī)?nèi)，并與核心交換機(jī)直接連接。Aruba交換機(jī)可進(jìn)行堆疊式的管理，有很高的擴(kuò)展性，可將其中的一臺(tái)Aruba6000設(shè)置成Master，用于無(wú)線局域網(wǎng)系統(tǒng)的集中控管和AP的接入，其他Aruba交換機(jī)配置成Local，用于AP的接入，并可以接受Master的管理。由此可見(jiàn)Aruba無(wú)線系統(tǒng)擴(kuò)展十分方便，而且不改變集中管理的模式，所以使用Aruba組建無(wú)線網(wǎng)絡(luò)，是對(duì)用戶的投資保護(hù)，隨著無(wú)線網(wǎng)絡(luò)規(guī)模的擴(kuò)展，原有的設(shè)備都可以繼續(xù)使用。AP的選擇：Aruba61 是單射頻多波段 ( a/b/g) 瘦接入點(diǎn)。 Aruba 61 有一個(gè)內(nèi)部天線，可以通過(guò)墻上插孔在用戶空間中部署。 它通過(guò)符合標(biāo)準(zhǔn)的 PoE（以太網(wǎng)供電）來(lái)供電。 Aruba 61是為天花板下面的經(jīng)濟(jì)型應(yīng)用設(shè)計(jì)的，是在服