【文章內(nèi)容簡介】 個放裝型AP，部署在多媒體室，閱覽室及綜合樓的人員密集區(qū)域。使用了34個分布式AP和114根天線，覆蓋到每一個教室及主要辦公室，提高完善的網(wǎng)絡覆蓋范圍。在注意覆蓋范圍的同時需考慮覆蓋的用戶總數(shù)，由于AP的處理能力有限，所以建議每個AP下下掛的用戶數(shù)量不超過25個，在一些樓層用戶較多的區(qū)域，需考慮用戶數(shù)上限的問題，如綜合樓的2樓和4樓，用戶數(shù)超過70，這些樓層建議配置4個AP進行覆蓋，以達到較好的用戶體驗 無線局域網(wǎng)拓撲本次設計采用集中式構架，通過AC統(tǒng)一對下級的AP進行管理和維護，AC采用旁掛的方式進行組網(wǎng)，通過本地轉發(fā)的方式進行數(shù)據(jù)傳輸。本次無線的拓撲結構如下：本次方案采用瘦AP方式實現(xiàn)大樓的無線覆蓋，便于進行集中配置和統(tǒng)一管理,在實際工作中，無線控制器AC連接到核心交換機，與eSight網(wǎng)管系統(tǒng)的WLAN管理模塊協(xié)同工作，實現(xiàn)對全網(wǎng)AP的自動配置下發(fā)、射頻管理、信道分配、安全接入控制等等無線網(wǎng)絡配置和運維管理功能。本次配置采用AC+AP集中式管理的無線組網(wǎng)方案，各大樓根據(jù)工勘結果部署相應AP，通過千兆電口連接到相應樓層無線接入交換機，無線接入交換機提供POE功能，通過POE技術對AP供電，簡化布線。無線POE交換機通過兩條千兆鏈路連接到核心交換機。核心交換機旁掛一臺無線控制器AC,通過千兆電口互聯(lián)，采用集中式組網(wǎng)方式對無線AP進行統(tǒng)一管理和控制，推薦配置如下：序號設備類別設備型號數(shù)量備注1盒式ACAC6605164個AP許可2室內(nèi)放裝型AP（11bgn）AP6010SN8POE供電3室內(nèi)分布式APAP6310SN344全向天線1145POE交換機S570028CPWRSI5每樓宇一臺 無線VLAN規(guī)劃VLAN規(guī)劃的原則：l 管理VLAN和業(yè)務VLAN分離l 業(yè)務VLAN應根據(jù)實際業(yè)務需要與SSID匹配映射關系（1:1/1:N/N:1/N:N）管理VLAN對于瘦AP，管理VLAN是指AC與AP之間控制報文所帶VLAN?？刂茍笪陌ˋP上線時的報文（DHCP等）以及建立CAPWAP控制隧道后的控制隧道報文。由于在實際應用中，AC需要按VLAN選擇DHCP SERVER，或RELAY還是透傳，因此管理VLAN和業(yè)務VLAN必須分離，以便滿足不同DHCP應用的需求。如果AC/AP間經(jīng)過三層轉發(fā)，中間三層設備必須支持DHCP RELAY；同樣要注意區(qū)分管理VLAN和業(yè)務VLAN，使之采用不同的RELAYGATEWAY，以便AC區(qū)別不同DHCP請求。業(yè)務VLAN業(yè)務VLAN主要用于區(qū)分不同的業(yè)務類型或用戶群體，在WLAN中SSID也同樣可以承擔相應的工作。因此，在業(yè)務VLAN的規(guī)劃中必須綜合考慮VLAN與SSID的映射關系。業(yè)務VLAN與SSID有如下四種映射關系：l SSID:VLAN=1:1部署：例如對北京市西城區(qū)“金融大街”和“中央音樂學院”進行WLAN覆蓋，都是北京聯(lián)通WLAN網(wǎng)絡的覆蓋區(qū)域， 所以希望用戶搜索到的WLAN只有一個SSID，如“北京聯(lián)通”；VLAN也只需要規(guī)劃一個，如1000；l SSID:VLAN=1:N部署：雖然北京市西城區(qū)“金融大街”和“中央音樂學院”都是北京聯(lián)通WLAN網(wǎng)絡的覆蓋區(qū)域，用戶搜索到的WLAN只有一個SSID “北京聯(lián)通”，但希望規(guī)劃不同的VLAN標識不同的場點，如1000、1001，這個場景中，SSID：VLAN＝1:N；l SSID:VLAN=N:1部署：雖然都是北京聯(lián)通的覆蓋區(qū)域，但希望用戶搜索到WLAN就知道自己在什么地方了，因此需要兩個SSID，如“金融大街”和“中央音樂學院”，由于都是北京聯(lián)通的場所，VLAN只想規(guī)劃一個，如1000；SSID:VLAN=N:N部署：雖然都是北京聯(lián)通覆蓋區(qū)域，但希望用戶搜索到WLAN就知道自己在什么地方了，并希望通過不同的VLAN精細控制流量，因此需要兩個SSID，如“金融大街”和“中央音樂學院”， 同時VLAN也要規(guī)劃兩個，如1000和10014. 無線網(wǎng)絡應用無線網(wǎng)擴展了有線網(wǎng)的覆蓋范圍，將網(wǎng)絡應用延伸到學生向往的空間。這意味著可以在任何便于工作的地方，如在報告廳、自助餐廳、實驗室、辦公室以及在校園休閑場地享受學習的自由和靈活性。學生在上述無線覆蓋的區(qū)域可以收發(fā)電子郵件，點播流媒體節(jié)目，學習Web課程，利用WebQuest探討問題，利用MSN或QICQ與他人（同學、老師或家人）協(xié)作交流思想和學習等。這要歸功于可以傳輸實時信息的各種手持終端和筆記本電腦。在其他行業(yè)中，無線局域網(wǎng)日益被看作是一種創(chuàng)新的、可負擔的工具，用以補充有線網(wǎng)絡，而不是取代它。3 統(tǒng)一身份認證平臺統(tǒng)一身份認證平臺采用華為TSM實現(xiàn)：1) 背景隨著網(wǎng)絡技術的發(fā)展，學校廣泛采用協(xié)同辦公或通過遠程、移動和互聯(lián)網(wǎng)接入等方式辦公。上述工作方式的應用在帶來更多資訊和更高生產(chǎn)效率的同時，也給企業(yè)辦公網(wǎng)絡帶來更多的安全問題。面臨如下風險：216。 遠程接入或移動辦公會導致網(wǎng)絡漏洞越來越多學校的終端用戶、遠程辦公的終端用戶、合作伙伴、來訪客戶等多種終端用戶接入總局或其他學校網(wǎng)絡，網(wǎng)絡接入點和接入方式增多，導致網(wǎng)絡漏洞成倍增加。216。 非法終端用戶接入外來人員在未經(jīng)許可的情況下，能夠輕易接入并訪問公司的網(wǎng)絡。216。 合法終端用戶越權訪問因未對企業(yè)中的網(wǎng)絡資源進行嚴格的訪問權限控制，導致合法終端用戶能夠隨意訪問企業(yè)中的機密信息。216。 終端用戶濫用資源 在未經(jīng)許可的情況下，終端用戶隨意使用撥號上網(wǎng)設備連接Internet。216。 Microsoft Windows操作系統(tǒng)存在越來越多的安全漏洞 因終端主機未及時安裝補丁，可能招致黑客和惡意用戶的攻擊。216。 病毒泛濫因未安裝防病毒軟件，終端用戶在上網(wǎng)時容易感染病毒，并且容易在企業(yè)網(wǎng)中蔓延和傳播。216。 黑客惡意破壞黑客會利用Microsoft Windows的某些系統(tǒng)服務固有的缺陷或通過暴力破解長期未使用的賬號入侵終端主機，再蓄意破壞企業(yè)中的IT系統(tǒng)。216。 隨意共享目錄導致安全隱患和信息泄密 因共享目錄的權限設置不當導致機密文件泄密，并容易感染病毒。216。 安全策略不能及時落實 管理員缺乏監(jiān)督手段，不能敦促未安裝補丁的終端用戶安裝補丁或未更新病毒庫的終端用戶更新病毒庫。216。 終端用戶的違規(guī)行為得不到監(jiān)控管理員無法檢查終端用戶是否在上班時間訪問與工作無關的網(wǎng)站，最重要的是缺少取證手段。216。 上網(wǎng)無法進行計費學校無法對學生的上網(wǎng)進行計費、計天、包月、流量計費、時長計費、自定義周期計費、自定義計費策略、本周起不使用不扣費、一次付費分段開通、分地區(qū)計費等2) 接入控制方案在內(nèi)網(wǎng)中，基于交換機實現(xiàn)的IP的訪問控制不僅配置管理不夠靈活，而且還存在IP被仿冒等安全風險，無法徹底解決非法接入和越權訪問的問題。TSM系統(tǒng)終端用戶的身份認證，通過基于用戶角色的網(wǎng)絡訪問權限管理，加強內(nèi)網(wǎng)的網(wǎng)絡訪問控制，防止非法接入和非授權訪問，保證企業(yè)內(nèi)網(wǎng)的安全。通過硬件安全網(wǎng)關進行準入控制3) 身份認證方案TSM系統(tǒng)建立了完善的接入用戶身份認證機制，支持系統(tǒng)內(nèi)置賬號和外部數(shù)據(jù)源方式。系統(tǒng)內(nèi)置賬號包括普通賬號、MAC賬號，外部數(shù)據(jù)源賬號支持從AD賬號、LDAP賬號和CA賬號等第三方的用戶系統(tǒng)中同步賬號，實現(xiàn)終端的網(wǎng)絡準入前的身份認證過程。TSM系統(tǒng)中，終端用戶是以終端角色來進行安全策略和網(wǎng)絡訪問權限管理的，終端只有完成身份認證才能接入企業(yè)內(nèi)網(wǎng)，因此本次實施方案需完成終端用戶的認證賬號配置。TSM系統(tǒng)參考現(xiàn)有企業(yè)的組織和管理結構，采用樹狀結構的多級管理方式，賬號數(shù)據(jù)源支持系統(tǒng)內(nèi)置賬號和外部數(shù)據(jù)源方式。系統(tǒng)內(nèi)置賬號包括普通賬號、MAC賬號，外部數(shù)據(jù)源賬號支持從AD賬號、LDAP賬號和CA賬號等第三方用戶系統(tǒng)中同步賬號，完成TSM系統(tǒng)的接入認證。4) 設備自發(fā)現(xiàn)現(xiàn)網(wǎng)網(wǎng)絡規(guī)模較大，接入內(nèi)網(wǎng)的設備較多，管理員很難及時動態(tài)滴了解網(wǎng)絡設備的接入情況。建議啟用TSM系統(tǒng)的自動網(wǎng)絡掃描功能，掃描并自動分類網(wǎng)絡中的接入設備，如交換路由設備、PC設備、服務器、IP電話、網(wǎng)絡打印機等，同時保證能夠及時發(fā)現(xiàn)網(wǎng)絡中出現(xiàn)的新設備，對未安裝TSM代理的外來終端的接入行為進行告警，方便管理員了解網(wǎng)絡終端的接入情況。5) 終端加固管理企業(yè)內(nèi)網(wǎng)終端眾多，員工的計算機水平和信息安全意思參差不齊，由于操作系統(tǒng)安全設置不當而引起的安全風險越來越明顯，僅通過目前行政管理手段無法保證所有終端的安全性，建議加強對操作系統(tǒng)的安全加固管理，具體管理方案如下：6) 防病毒軟件安全策略內(nèi)網(wǎng)的辦公終端絕大多數(shù)已經(jīng)安裝了防病毒軟件，但由于強制檢查，導致終端長期不更新病毒庫和病毒引擎版本，使得防病毒軟件形同虛設，沒有發(fā)揮其重要的終端保護能力。因此，建議通過TSM系統(tǒng)的防病毒管理策略實現(xiàn)終端的安全防護，TSM配合企業(yè)自身的防病毒軟件，通過檢查終端是否安裝、運行狀態(tài)以及防病毒軟件的更新狀態(tài)，作為判斷終端當前安全狀態(tài)的一個依據(jù)，阻止或提示沒有部署殺毒軟件的終端或者殺毒軟件長期不更新的終端接入網(wǎng)絡。保證企業(yè)內(nèi)網(wǎng)運行的終端殺毒軟件能夠及時更新并且有效運行，減少病毒感染和擴散的風險。7) 強化補丁安裝加強操作系統(tǒng)和應用程序的安全漏洞檢查，把補丁的檢查作為一個重要的檢查項，檢查操作系統(tǒng)補丁、IE的SP補丁、OFFICE的SP補丁等，當檢查到終端沒有部署必須的補丁的時候，TSM系統(tǒng)能夠協(xié)助終端快速完成補丁的修復。8) 超時自動鎖屏通過屏幕保護策略檢查終端的屏幕保護是否啟用，屏幕保護程序密碼是否設置以及屏幕保護啟動時間是否符合企業(yè)安全要求的安全檢查，保證終端在空閑一定時間后屏幕保護程序自啟動的安全要求，滿足企業(yè)終端桌面管理規(guī)范。當終端屏幕保護設置不符合規(guī)范時，進行自修復。9) 注冊表配置管理通過對系統(tǒng)注冊表鍵值檢查，完成終端注冊表鍵值存在與否的安全性檢查。支持對終端的自動修復功能，對于要求存在的鍵值，如果該鍵值不存在，則添加該鍵值；對于不允許存在的鍵值，如果該鍵值存在，則刪除該鍵值。10) 冗余賬號檢查通過檢查系統(tǒng)冗余賬號，TSM系統(tǒng)能夠協(xié)助管理員發(fā)現(xiàn)終端長期未使用的臨時賬號，降低企業(yè)終端安全管理風險。11) 檢查賬號安全通過賬號的弱口令檢查、賬號群組檢查、本地密碼策略包括密碼長度最小值，密碼最長存留期屬性檢查等，保證終端操作系統(tǒng)賬號的安全；12) 檢查端口策略通過檢查終端口策略，有效保證對于接入網(wǎng)絡的終端，及時提醒個人用戶關掉無用端口，保證無用服務的最小化使用原則；13) 網(wǎng)絡共享管理Window操作系統(tǒng)默認情況下對共享文件夾和共享打印機設置為Everyone權限，如果終端用戶安全意識不高的情況下，就會帶來較大的安全隱患。一方面，網(wǎng)絡內(nèi)任意終端可能在未獲得授權的情況下直接竊取共享信息；另一方面，公開的共享目錄也給病毒的傳播提供了溫床。TSM的系統(tǒng)安全管理功能，能夠及時協(xié)助終端用戶發(fā)現(xiàn)并且清理不安全的共享賬號。14) 監(jiān)控非法應用和服務通過檢查終端的軟件安裝情況和監(jiān)控終端軟件程序的運行情況，阻止終端安裝和運行非法應用程序。如果發(fā)現(xiàn)安裝或使用了非法軟件、進程和服務，可以通過與準入控制設備的聯(lián)動提示或阻止該終端接入網(wǎng)絡，也可以攔截非法軟件、進程和服務的使用，規(guī)范員工的行為。同時，管理員可通過審計軟件的安裝和使用情況，從而及時了解安全狀態(tài)。15) 終端行為管理法律規(guī)定了很多網(wǎng)站是非法的，比如有色情、迷信和犯罪相關的等等。使用寬帶接入互聯(lián)網(wǎng)后，企業(yè)內(nèi)部網(wǎng)絡某種程度上成了一種“公共”上網(wǎng)場所，很多與法律相違背的行為都有可能發(fā)生在內(nèi)部網(wǎng)中。這些事情難以追查，給企業(yè)帶來的法律法規(guī)方面的風險。因此，建議對員工的網(wǎng)絡訪問行為進行管理，具體管理方案如下：16) 監(jiān)控網(wǎng)站訪問通過對WEB訪問的監(jiān)控，記錄終端用戶的WEB網(wǎng)站訪問信息，由管理員進行統(tǒng)一管理和審計。通過這樣的手段，一方面可以管理員工的上網(wǎng)行為，上班時間屏蔽一些與工作無關的網(wǎng)站；另一方面，提供審計和責任追溯的途徑。17) 軟件安裝標準化通過軟件黑白名單檢查，檢查終端安裝軟件的列表，可以定義軟件黑名單的違規(guī)軟件列表和軟件白名單的合法的軟件列表，也可以通過檢查軟件黑白名單規(guī)定只能安裝列表中的軟件或者必須安裝的軟件，加強企業(yè)桌面軟件統(tǒng)一安裝的標準性。18) IP訪問和網(wǎng)絡應用程序監(jiān)控通過對終端的IP訪問控制和網(wǎng)絡應用程序訪問控制功能，對于一些安全性要求比較高的業(yè)務系統(tǒng)，允許定義基于時間段的IP訪問規(guī)則，允許配置特定用戶群在下班時間后不能訪問一些關鍵的業(yè)務系統(tǒng)，防止對這些關鍵服務器可能造成的危害。允許定義網(wǎng)絡應用程序訪問規(guī)則，控制IM等聊天工具在上班時間的使用。此外，提供網(wǎng)絡流量監(jiān)控功能，能夠協(xié)助管理員發(fā)現(xiàn)流量異常的終端。19) 終端入網(wǎng)審計提供終端登錄內(nèi)部網(wǎng)絡的日志上下線記錄，管理員可以通過日志及時查詢哪些用戶在什么時間登錄的企業(yè)內(nèi)網(wǎng)安全網(wǎng)絡，同時對長期沒有登錄的賬號也提供檢索查詢；20) 信息防泄密管理目前企業(yè)辦公終端數(shù)量較多，員工的辦公終端里存儲大量涉及企業(yè)機密的敏感信息，時常發(fā)生員工通過終端外設，如刻錄光盤、U盤拷貝、打印等方式將敏感信息外泄，目前通過人工管理方式不僅耗時費力，而且效果并不明顯。針對此種狀況，建議加強對終端外設接口的監(jiān)控，具體管理方案如下：21) 外設接口管理關閉終端上不需要光驅、刻錄機、軟驅、打印機等外部設備以及串口、并口、紅外、藍牙、PCMCIA卡、139SD/MMC控制器等計算機外設接口，通過關閉不必要的外設和接口，從而在一定程度上防范信息泄漏。22) 監(jiān)控USB設備使用在不影響USB鼠標/鍵盤的情況下， 對USB設備的管理支持放行、監(jiān)控、禁用、只讀和寫加密四種狀態(tài)。216。 USB監(jiān)控屬性：對USB存儲設備的文件操作進行監(jiān)控，識別和記錄創(chuàng)建文件、拷入U盤、拷出U盤、內(nèi)部復制、刪除文件等操作的審計記錄；216。 USB禁用屬性：禁止終端使用USB設備；216。 USB只讀屬性：對USB存儲設備進行只讀控制，防止終端用戶將本地硬盤上的數(shù)據(jù)拷貝