【文章內(nèi)容簡(jiǎn)介】 不能防止無(wú)線終端之間的通信，所以萬(wàn)一有無(wú)線終端被病毒感染或黑客在無(wú)線發(fā)起攻擊的話，它都很會(huì)容易散播到其它的無(wú)線終端及整個(gè)傳輸網(wǎng)絡(luò)內(nèi)的其它網(wǎng)點(diǎn)。有一些單位為了安全就采用一刀切的方法，把所有無(wú)線接入?yún)R聚到一個(gè)DMZ內(nèi)，再通過(guò)一網(wǎng)絡(luò)防火墻的過(guò)濾才讓無(wú)線數(shù)據(jù)進(jìn)入企業(yè)內(nèi)網(wǎng)。這種方式在具體實(shí)施時(shí)有一定的困難，只能局限在傳輸網(wǎng)內(nèi)的某些范圍，因無(wú)線用戶/終端必需集中在一VLAN上處理，否則的話很難把它們匯聚到一個(gè)DMZ內(nèi)。如果不是經(jīng)過(guò)DMZ的話，則可能威脅到內(nèi)網(wǎng)的安全，但要把在不同接入點(diǎn)AP的無(wú)線用戶/終端和有線用戶(在同一接入點(diǎn))完全分隔開而設(shè)置到DMZ上的同一個(gè)VLAN則需在現(xiàn)有的局域網(wǎng)做很多改動(dòng)。且未來(lái)如要增加多一些AP接入點(diǎn)的話，亦同樣需要在局域網(wǎng)的接入層，匯聚層做很多改動(dòng)。采用傳統(tǒng)的網(wǎng)絡(luò)防火墻來(lái)實(shí)現(xiàn)無(wú)線接入安全保護(hù)的最大問(wèn)題是缺乏靈活性，因它本質(zhì)上不是設(shè)計(jì)來(lái)做內(nèi)部的安全保護(hù)，而是用來(lái)確保外來(lái)數(shù)據(jù)進(jìn)入企業(yè)內(nèi)網(wǎng)是安全可靠的，所以一般都會(huì)設(shè)置在企業(yè)因特網(wǎng)的連接口。從因特網(wǎng)進(jìn)入企業(yè)內(nèi)網(wǎng)和企業(yè)內(nèi)部的無(wú)線接入的最大區(qū)別在于后者是可對(duì)用戶做認(rèn)證，但前者是不可能實(shí)現(xiàn)。由于不能確認(rèn)用戶的身份，所以防火墻的檢查或策略只可按端口和IP 原地址來(lái)制定，不管用戶是誰(shuí)。這種模式在企業(yè)內(nèi)部署會(huì)對(duì)用戶的內(nèi)網(wǎng)訪問(wèn)有很多限制，缺乏靈活性，所以是很難被用戶廣泛接受，只可在小范圍或小規(guī)模的情況下實(shí)現(xiàn)。要做到實(shí)施和維護(hù)簡(jiǎn)單方便，亦可根據(jù)用戶身份來(lái)制定安全訪問(wèn)策略，ARUBA的無(wú)線解決方案就可以徹底解決這些問(wèn)題。采用ARUBA 無(wú)線系統(tǒng)的RF偵測(cè)功能和保護(hù)機(jī)制可以實(shí)時(shí)監(jiān)測(cè)大廈無(wú)線網(wǎng)覆蓋區(qū)域內(nèi)的所有AP接入情況,如相鄰房間的AP、設(shè)置錯(cuò)誤的AP以及未經(jīng)認(rèn)可而連接到網(wǎng)絡(luò)中的AP。通過(guò)ARUBA 的網(wǎng)絡(luò)安全管理系統(tǒng)，網(wǎng)絡(luò)安全管理人員可以及時(shí)發(fā)現(xiàn)是否有非法的AP接入，發(fā)現(xiàn)后可以開啟自動(dòng)保護(hù)機(jī)制，阻止無(wú)線終端通過(guò)非法AP聯(lián)接到無(wú)線網(wǎng)中。在賓館網(wǎng)絡(luò)中，如果某位賓館工作人員或合作單位的人員私下安裝了無(wú)線的AP，提供了直接連接賓館內(nèi)網(wǎng)的接入，ARUBA無(wú)線安全管理的功能可以及時(shí)的發(fā)現(xiàn)這個(gè)非法的AP，并且可以通知管理人員斷掉非法AP的網(wǎng)絡(luò)連接，顯示非法AP接入的大致方位。今天已經(jīng)有很多的無(wú)線入侵和攻擊的工具可從網(wǎng)站下載，這些工具的普及對(duì)賓館和運(yùn)營(yíng)商的無(wú)線網(wǎng)的安全構(gòu)成很大的威脅。今天絕大部分的無(wú)線局域網(wǎng)都沒(méi)有偵測(cè)無(wú)線入侵的功能，所以當(dāng)受到像無(wú)線DOS攻擊時(shí)，就會(huì)誤以為是無(wú)線電波的信號(hào)受干擾或AP出現(xiàn)不穩(wěn)定情況。這些攻擊在HotSpot會(huì)導(dǎo)致用戶的無(wú)線連接斷線，但網(wǎng)管中心仍然不知，用戶則誤以為是網(wǎng)絡(luò)問(wèn)題，間接影響無(wú)線網(wǎng)系統(tǒng)的品質(zhì)。ARUBA 無(wú)線系統(tǒng)的特點(diǎn)是交換機(jī)由專有的網(wǎng)絡(luò)處理器和加密處理器組成，且內(nèi)置一個(gè)無(wú)線入侵模式庫(kù)，實(shí)時(shí)檢測(cè)異常的無(wú)線數(shù)據(jù)包，當(dāng)ARUBA 無(wú)線系統(tǒng)偵測(cè)出有入侵時(shí)，它會(huì)記錄和顯示入侵的格式，并對(duì)入侵做出自動(dòng)保護(hù)響應(yīng)。，后端還需要Radius服務(wù)器支持。一方面用戶的技術(shù)水平參差不齊，客戶端的操作系統(tǒng)多種多樣，以及系統(tǒng)可能出現(xiàn)的軟件沖突等，另一方面，后端的數(shù)據(jù)庫(kù)只能使用Radius，不能使用其他類型的認(rèn)證數(shù)據(jù)庫(kù)，在適應(yīng)性上也比較差，這些對(duì)于大規(guī)模推廣和使用都是極大的阻礙?？紤]到客戶所使用的設(shè)備安全認(rèn)證的多樣性，我們認(rèn)為將來(lái)的的接入方式可以多種選擇，賓館的工作人員可能通過(guò)手持PDA設(shè)備查詢客房信息，旅客可以通過(guò)賓館提供的PC機(jī)查詢信息，賓館的工作人員和賓館的合作單位可以通過(guò)筆記本電腦上網(wǎng)，賓館同時(shí)可以考慮提供WiFi手機(jī)提供語(yǔ)音的服務(wù)。在ARUBA無(wú)線系統(tǒng)中，一個(gè)無(wú)線用戶進(jìn)入無(wú)線網(wǎng)以后，只會(huì)拿到一個(gè)最基本的入網(wǎng)權(quán)限，這個(gè)權(quán)限不容許用戶訪問(wèn)任何網(wǎng)段，只讓用戶通過(guò)DHCP獲取IP地址、傳送DNS協(xié)議數(shù)據(jù)包，通過(guò)認(rèn)證以后才可以接入無(wú)線網(wǎng)。ARUBA無(wú)線系統(tǒng)支持目前各種用戶認(rèn)證的方式（、WEB認(rèn)證、MAC、SSID、VPN等），賓館用戶可以根據(jù)需要方便選擇。我們可以考慮賓館的工作人員和賓館的管理人員可以通過(guò)身份認(rèn)證的方式登陸到賓館內(nèi)網(wǎng)，旅客可以通過(guò)WEB界面訪問(wèn)賓館的公眾服務(wù)器，遠(yuǎn)程的賓館員工可以通過(guò)VPN的方式訪問(wèn)賓館內(nèi)網(wǎng)。WiFi手機(jī)的用戶可以事先設(shè)置好登陸的方式。ARUBA無(wú)線系統(tǒng)和其它廠家在無(wú)線接入的認(rèn)證和加密上最大的區(qū)別是前者不是通過(guò)AP，而是在ARUBA無(wú)線交換機(jī)上實(shí)現(xiàn)。由于ARUBA的AP是不儲(chǔ)存任何網(wǎng)絡(luò)配置（IP地址除外）和安全設(shè)置，因此ARUBA 管理的AP是不能單獨(dú)工作的，因此獲得和接入進(jìn)ARUBA AP，黑客也不會(huì)拿到無(wú)線網(wǎng)的網(wǎng)絡(luò)和安全配置參數(shù)。但一個(gè)破壞者通過(guò)其他的手段（偷盜和竊?。┕テ屏诉吘壍慕尤刖W(wǎng)絡(luò)，他也無(wú)法破譯ARUBA 無(wú)線網(wǎng)絡(luò)建立起的加密通道，無(wú)法竊取網(wǎng)絡(luò)的真實(shí)信息。在Aruba無(wú)線系統(tǒng)中，一個(gè)無(wú)線用戶進(jìn)入無(wú)線網(wǎng)絡(luò)以后，只會(huì)拿到一個(gè)最基本的入網(wǎng)權(quán)限，這個(gè)權(quán)限不容許用戶訪問(wèn)任何網(wǎng)段，只讓用戶通過(guò)DHCP獲取IP地址、傳送DNS協(xié)議數(shù)據(jù)包，通過(guò)認(rèn)證以后才可以接入無(wú)線網(wǎng)絡(luò)。Aruba無(wú)線系統(tǒng)支持目前各種用戶認(rèn)證的方式（、WEB認(rèn)證、MAC、SSID、VPN等），無(wú)線網(wǎng)絡(luò)用戶可以根據(jù)需要方便選擇。用戶狀態(tài)防火墻是Aruba無(wú)線交換機(jī)的獨(dú)特功能，它本身就是針對(duì)無(wú)線接入的特性而設(shè)計(jì)。傳統(tǒng)的網(wǎng)絡(luò)防火墻是沒(méi)有用戶這概念，它的保護(hù)只是基于IP地址或物理端口來(lái)制定防火墻策略，所以對(duì)于沒(méi)有固定接入點(diǎn)的無(wú)線終端，這種防火墻的功效是不大。Aruba無(wú)線系統(tǒng)的防火墻功能則是與用戶認(rèn)證捆綁在一起，當(dāng)無(wú)線用戶成功通過(guò)認(rèn)證后，他會(huì)獲得一個(gè)預(yù)設(shè)的用戶狀態(tài)防火墻，不同的無(wú)線用戶有不同的防火墻策略，例如單位的工作人員可以使用更多的服務(wù)，而來(lái)訪人員只可以瀏覽網(wǎng)頁(yè)、收發(fā)Email等，這樣可以極大方便無(wú)線網(wǎng)絡(luò)用戶的安全管理。Aruba無(wú)線系統(tǒng)和其它廠家在無(wú)線接入的認(rèn)證和加密上最大的區(qū)別是前者不是通過(guò)AP，而是在Aruba無(wú)線交換機(jī)上實(shí)現(xiàn)。由于Aruba的AP是不儲(chǔ)存任何網(wǎng)絡(luò)配置（IP地址除外）和安全設(shè)置，因此Aruba 管理的AP是不能單獨(dú)工作的，因此獲得和接入進(jìn)Aruba AP，黑客也不會(huì)拿到無(wú)線網(wǎng)絡(luò)的網(wǎng)絡(luò)和安全配置參數(shù)。采用Aruba 無(wú)線系統(tǒng)的RF偵測(cè)功能和保護(hù)機(jī)制可以實(shí)時(shí)監(jiān)測(cè)無(wú)線網(wǎng)絡(luò)覆蓋區(qū)域內(nèi)的所有AP接入情況,如相鄰房間的AP、設(shè)置錯(cuò)誤的AP以及未經(jīng)認(rèn)可而連接到網(wǎng)絡(luò)中的AP。通過(guò)Aruba 的網(wǎng)絡(luò)安全管理系統(tǒng)，網(wǎng)絡(luò)安全管理人員可以及時(shí)發(fā)現(xiàn)是否有非法的AP接入，發(fā)現(xiàn)后可以開啟自動(dòng)保護(hù)機(jī)制，阻止無(wú)線終端通過(guò)非法AP聯(lián)接到無(wú)線網(wǎng)絡(luò)中。今天已經(jīng)有很多的無(wú)線入侵和攻擊的工具可從網(wǎng)站下載，這些工具的普及對(duì)用戶的無(wú)線網(wǎng)絡(luò)的安全構(gòu)成很大的威脅。今天絕大部分的無(wú)線局域網(wǎng)都沒(méi)有偵測(cè)無(wú)線入侵的功能，所以當(dāng)受到像無(wú)線DOS攻擊時(shí)，就會(huì)誤以為是無(wú)線電波的信號(hào)受干擾或AP出現(xiàn)不穩(wěn)定情況。這些攻擊在HotSpot會(huì)導(dǎo)致用戶的無(wú)線連接斷線，但網(wǎng)管中心仍然不知，用戶則誤以為是網(wǎng)絡(luò)問(wèn)題，間接影響無(wú)線網(wǎng)絡(luò)系統(tǒng)的品質(zhì)。Aruba 無(wú)線系統(tǒng)的特點(diǎn)是交換機(jī)由專有的網(wǎng)絡(luò)處理器和加密處理器組成，且內(nèi)置一個(gè)無(wú)線入侵模式庫(kù)，實(shí)時(shí)檢測(cè)異常的無(wú)線數(shù)據(jù)包，當(dāng)Aruba 無(wú)線系統(tǒng)偵測(cè)出有入侵時(shí)，它會(huì)記錄和顯示入侵的格式，并對(duì)入侵做出自動(dòng)保護(hù)響應(yīng)。Aruba無(wú)線系統(tǒng)針對(duì)無(wú)線終端的病毒防護(hù)分為兩個(gè)層面，一、無(wú)線終端的準(zhǔn)入檢查；二、對(duì)無(wú)線終端發(fā)出數(shù)據(jù)進(jìn)行有效的檢查和監(jiān)控。無(wú)線終端病毒防護(hù)的第一步是準(zhǔn)入檢查，當(dāng)無(wú)線終端連接到Aruba無(wú)線系統(tǒng)中，當(dāng)試圖訪問(wèn)網(wǎng)絡(luò)，在用戶認(rèn)證之前，需要下載一個(gè)基于JAVA的程序，可以對(duì)無(wú)線終端的操作系統(tǒng)打補(bǔ)丁的情況、安裝防病毒軟件的情況、以及防病毒定義碼升級(jí)的情況，做一個(gè)檢查，如果不能通過(guò)檢查，可以設(shè)定策略禁止其訪問(wèn)網(wǎng)絡(luò)，也可設(shè)置成將無(wú)線用戶重定向到一臺(tái)升級(jí)服務(wù)器，打系統(tǒng)補(bǔ)丁、安裝防病毒軟件和升級(jí)病毒定義碼，滿足系統(tǒng)制定的安全策略以后，該無(wú)線終端才可以進(jìn)入認(rèn)證環(huán)節(jié)進(jìn)行用戶的認(rèn)證。當(dāng)無(wú)線終端通過(guò)了準(zhǔn)入檢查，但是如何對(duì)無(wú)線終端發(fā)出數(shù)據(jù)進(jìn)行有效的檢查和監(jiān)控是更加進(jìn)一步的病毒防護(hù)手段。Aruba公司和第三方的防病毒墻廠家合作，在Aruba無(wú)線交換機(jī)上可以設(shè)定策略，某些用戶，以及某些可能沾染病毒的數(shù)據(jù)，Aruba交換機(jī)會(huì)將其重定向到防病毒墻上進(jìn)行防病毒檢查，檢查完成后，才允許通過(guò)，否則會(huì)將數(shù)據(jù)丟棄?；谏鲜鰞蓚€(gè)層面，Aruba無(wú)線局域網(wǎng)系統(tǒng)對(duì)無(wú)線終端進(jìn)行有效和方便的病毒防護(hù)。無(wú)線終端定位是ARUBA系統(tǒng)的一大特色功能。此功能亦被稱為“三角定位”，是指當(dāng)一個(gè)無(wú)線終端同時(shí)被三個(gè)以上的AP信號(hào)覆蓋著，即可跟蹤和定出無(wú)線終端的位置。，與無(wú)線終端使用者無(wú)關(guān)，諸如無(wú)線接入的電腦、PDA和 WiFi手機(jī)等，只要附近范圍內(nèi)存在最少三個(gè)ARUBA的AP即可，這也是傳統(tǒng)無(wú)線局域網(wǎng)所不能做的。在賓館內(nèi)常常采用了三角無(wú)線定位技術(shù)來(lái)資產(chǎn)管理追蹤，找尋地勤人員，以及定位找出非法入侵的AP和無(wú)線終端。第二部分 華貿(mào)酒店WiFi工程現(xiàn)場(chǎng)測(cè)試報(bào)告一、 勘測(cè)目的，同時(shí)還考慮到酒店的主要應(yīng)用為WiFi手機(jī)的前提下，確定：室內(nèi)AP位置；天線的類型及位置；各個(gè)AP所覆蓋的范圍。二、 工具 測(cè)試AP（室內(nèi)） 測(cè)試網(wǎng)卡（2個(gè)cisco,netgear） 測(cè)試移動(dòng)終端（筆記本,PDA，WiFi電話） 天線（內(nèi)置，外置） 測(cè)試用電纜 （T568A 5類雙絞線）測(cè)試軟件（Airmagnet Surveyor, NetStumbler）POE 交換機(jī)（Netgear）三、 勘測(cè)指導(dǎo)AP及天線部署為了能夠使用戶能夠在任意位置訪問(wèn)無(wú)線網(wǎng)絡(luò)，在設(shè)計(jì)時(shí)，室內(nèi)最大距離10~25米，室外最大距離50~100米。為了能夠保證用戶帶寬和數(shù)據(jù)語(yǔ)音通信質(zhì)量，建議每個(gè)AP下連接10～15個(gè)站點(diǎn)或5～7個(gè)WiFi電話用戶為益，在用戶量多的熱點(diǎn)地區(qū)建議通過(guò)增加AP接入點(diǎn)數(shù)量減小蜂窩大小，來(lái)保證用戶接入數(shù)和帶寬等需求，以防止AP超負(fù)載工作而帶來(lái)的低帶寬和低速率。然后需要注意，無(wú)線信號(hào)通過(guò)墻壁、天花板和其它物品數(shù)量將限制信號(hào)傳輸?shù)姆秶?。典型范圍的多樣性依賴于客房、公共區(qū)域和辦公區(qū)等的材料類型和射頻噪音背景。（1）、當(dāng)確定為獨(dú)立AP布點(diǎn)覆蓋時(shí)的AP布放位置與綜合覆蓋時(shí)的天線布放位置，宜參考以下幾個(gè)原則： 室外與室內(nèi)空曠區(qū)域總體宜以蜂窩狀布局，包括水平方向與垂直方向，將信號(hào)均勻分布，控制每個(gè)AP天線覆蓋區(qū)域的重疊區(qū)域； AP天線應(yīng)布放在高處，以增大網(wǎng)卡接收面積，減少人員走動(dòng)等環(huán)境變化對(duì)信號(hào)傳播的影響，改善AP的接收性能； AP/天線方向可調(diào)，安裝時(shí)應(yīng)確保天線主波束方向正對(duì)覆蓋目標(biāo)區(qū)域，保證良好的覆蓋效果； AP天線安裝位置需遠(yuǎn)離電子設(shè)備或者必要時(shí)對(duì)干擾源加以屏蔽，例如微波爐、無(wú)繩電話。 在選擇AP布放位置時(shí)應(yīng)注意潛在的可能影響無(wú)線射頻信號(hào)傳播的障礙物，如金屬架、金屬屏風(fēng)等物體。（2）、天線選擇選擇天線型號(hào)時(shí)應(yīng)根據(jù)現(xiàn)場(chǎng)環(huán)境考慮如下因素：增益、視覺(jué)效果（尺寸、外形、重量）。l 增益當(dāng)規(guī)劃覆蓋范圍較小，安裝位置距重點(diǎn)覆蓋區(qū)域也很近時(shí)，天線增益可以低一些。當(dāng)天線置于樓頂，目標(biāo)為覆蓋周圍地區(qū)較大面積時(shí)，選擇增益較大的天線為益。在本次測(cè)試中。l 全向天線在本次環(huán)境中，AP采用的是全向天線。5DBi的外置全向天線大小合適，易于安裝。無(wú)線信號(hào)的干擾無(wú)線信號(hào)干擾主要包括如下方面：l 物理環(huán)境對(duì)于WiFi無(wú)線信號(hào)的干擾各障礙物射頻信號(hào)衰減度可參考下表： 障礙物射頻信號(hào)衰減度參考表RF障礙物相對(duì)衰減度范例木材低辦公室分區(qū)塑料低內(nèi)墻合成材料低辦公室分區(qū)石棉低天花板玻璃低窗戶磚中內(nèi)墻和外墻大理石中內(nèi)墻混凝土高樓板和外墻金屬很高辦公分區(qū)、防火門開闊地帶有利于無(wú)線信號(hào)的傳輸，而建筑內(nèi)的不同物質(zhì)會(huì)對(duì)WiFi無(wú)線信號(hào)產(chǎn)生不同的干擾和影響。干燥的墻壁，鋼鐵材料對(duì)信號(hào)的吸收少；而潮濕和水性物質(zhì)，有色玻璃，植物，人體等將會(huì)大大吸收信號(hào)，降低無(wú)線信號(hào)強(qiáng)度，從而降低WiFi信號(hào)覆蓋范圍，減少無(wú)線傳輸速率。所以，在部署AP時(shí)，需要在無(wú)線信號(hào)容易受到干擾的環(huán)境增強(qiáng)AP覆蓋的密度。同時(shí)，為了減少信號(hào)傳輸?shù)亩嗦窂絾?wèn)題，應(yīng)該消除或者減少信號(hào)傳輸路徑上的障礙物。l 其他ISM無(wú)線設(shè)備的信號(hào)干擾，因此能夠被工作在同樣頻段的無(wú)線設(shè)備如無(wú)繩電話，藍(lán)牙網(wǎng)絡(luò)設(shè)備等的干擾，影響WiFi網(wǎng)絡(luò)設(shè)備之間的信號(hào)傳輸。所以，AP的部署應(yīng)該遠(yuǎn)離這些干擾源，或者增強(qiáng)AP覆蓋的密度?？梢詾锳P設(shè)備選擇配置不同的天線來(lái)克服無(wú)線信號(hào)干擾帶來(lái)的不良影響，如多極全向天線能夠減少信號(hào)傳輸?shù)亩嗦窂絾?wèn)題；當(dāng)需要增加信號(hào)強(qiáng)度時(shí)，可以使用高增益天線；也可以使用定向天線來(lái)滿足適合特定形狀的覆蓋要求。WiFi無(wú)線信道規(guī)劃 WiFi收發(fā)信機(jī)采用ISM頻段。ISM頻段專用于工業(yè)、科學(xué)和醫(yī)藥領(lǐng)域，頻率范圍：2400～2484MHZ。通信帶寬84MHZ。載頻間隔為5MHz。共14個(gè)頻點(diǎn)，序號(hào)（ARFCN）為1～14，頻率與序號(hào)（n）的關(guān)系為：f1（n）＝2412＋（n－1）5MHz，推薦使用11頻點(diǎn)進(jìn)行復(fù)用。ISM