【導(dǎo)讀】xx酒店Aruba無線網(wǎng)絡(luò)系統(tǒng)。xx酒店無線網(wǎng)絡(luò)接入系統(tǒng)技術(shù)建議書

　　

【正文】 的安全，許多客戶把所有無線流量拒之于防火墻（從 DMZ區(qū)接入）之外，用戶不得不繞道進入單位網(wǎng)絡(luò)（如下圖）。從安全性方面看，這是個好方法，但卻使網(wǎng)絡(luò)設(shè)計達不到最優(yōu)狀態(tài)而且導(dǎo)致性能劣化，因為 WAN 級別的防火墻突然之間要被迫應(yīng)付許許多多以無線局域網(wǎng)速度訪問的接入點。這種技術(shù)由于“統(tǒng)一尺碼”的訪問控制方法而不夠靈活，因為它賦予所有無線用戶相同的網(wǎng)絡(luò)權(quán)限。如果不采用上述的解決方案，而是將無線系統(tǒng)直接連接到樓層交換機，這樣用戶連接至 AP 以后，所有的訪問都將無從控制，對客戶的網(wǎng)絡(luò)安全更是極大的威脅。在賓 館的網(wǎng)絡(luò)環(huán)境中，由于來往的人員多，流動性很大，如果只是靠內(nèi)網(wǎng)和外網(wǎng)的隔離，不能很好的提供服務(wù)給不同身份的用戶。假設(shè)賓館工作人員需要查詢酒店管理信息及旅客信息而使用隨身攜帶的 PDA，如果只是簡單的在內(nèi)網(wǎng)中部署 WLAN（無線局域網(wǎng)），旅客很容易通過自己的 PDA 和筆記本電腦登陸到酒店的內(nèi)部網(wǎng)絡(luò)，造成內(nèi)網(wǎng)絡(luò)的安全漏洞。如果部署酒店全范圍內(nèi)的 WLAN，傳統(tǒng)的無線局域網(wǎng)面臨無縫漫游和用戶管理的難題。 Aruba 無線系統(tǒng)的安全管理是將防火墻、 VPN、安全認證、防病毒、無線入 侵監(jiān)測以及 RF 電磁波管理等多項安全功能匯聚到 Aruba 無線交換機上來完成的，解決了傳統(tǒng)的無線網(wǎng)絡(luò)對安全的分散管理（ AP、 AC）和能力，給用戶帶來的不安全感，擺脫了對有線網(wǎng)安全的依賴性。 無線用戶網(wǎng)絡(luò)接入的安全管理 用戶狀態(tài)防火墻是 ARUBA 無線交換機的獨特功能，它本身就是針對無線接入的特性而設(shè)計。傳統(tǒng)的網(wǎng)絡(luò)防火墻是沒有用戶這概念，它的保護只是基于 IP地址或物理端口來制定防火墻策略，所以對于沒有固定接入點的無線終端，這種防火墻的功效是不大。 ARUBA 無線系統(tǒng)的防火墻功能則是與用戶認證捆綁在一起，當(dāng)無線用 戶成功通過認證后，他會獲得一個預(yù)設(shè)的用戶狀態(tài)防火墻，不同的無線用戶有不同的防火墻策略，例如 賓館 的管理人員和工作人員可以使用更多的服務(wù)，而旅客只可以瀏覽網(wǎng)頁或者收發(fā) Email 等，這樣可以極大方便 賓館 的用戶的安全管理。例如 賓館 的領(lǐng)導(dǎo)可以通過無線網(wǎng)絡(luò)訪問 賓館 所有的管理、財務(wù)、人員、航班信息， 賓館 工作人員可以通過無線網(wǎng)絡(luò)訪問航班、旅客、行李信息，旅客可以通過網(wǎng)絡(luò)訪問航班信息、天氣信息，接機和送機的客xx 酒店無線網(wǎng)絡(luò)接入系統(tǒng)技術(shù)建議書 第 25 頁 共 43 頁 人可以通過無線網(wǎng)絡(luò)訪問 賓館 的公眾網(wǎng)站，了解航班到達和起飛的具體情況?；谏矸莸脑L問原則很好的保護賓館 的網(wǎng)絡(luò)安全，同時也 提供了不同等級的訪問權(quán)限。（如下圖） 無線網(wǎng)絡(luò)的安全防護和監(jiān)控 由于無線終端接入是沒有明確物理位置限制的，所以管理方極難用固定的網(wǎng)絡(luò)防火墻設(shè)備來防范無線連接 (防火墻一般很少會設(shè)置在每一個接入層的數(shù)據(jù)鏈路上 )。并且網(wǎng)絡(luò)防火墻是不能防止無線終端之間的通信，所以萬一有無線終端被病毒感染或黑客在無線發(fā)起攻擊的話，它都很會容易散播到其它的無線終端及整個傳輸網(wǎng)絡(luò)內(nèi)的其它網(wǎng)點。有一些單位為了安全就采用一刀切的方法，把所有無線接入?yún)R聚到一個 DMZ內(nèi)，再通過一網(wǎng)絡(luò)防火墻的過濾才讓無線數(shù)據(jù)進入企業(yè)內(nèi)網(wǎng)。這種方式在 具體實施時有一定的困難，只能局限在傳輸網(wǎng)內(nèi)的某些范圍，因無線用戶 /終端必需集中在一 VLAN 上處理，否則的話很難把它們匯聚到一個 DMZ 內(nèi)。如果不是經(jīng)過 DMZ的話，則可能威脅到內(nèi)網(wǎng)的安全，但要把在不同接入點 AP 的無線用戶 /終端和有線用戶 (在同一接入點 )完全分隔開而設(shè)置到 DMZ 上的同一個 VLAN 則需在現(xiàn)有的局域網(wǎng)做很多改動。且未來如要增加多一些 AP 接入點的話，亦同樣需要在局域網(wǎng)的接入層，匯聚層做很多改動。 xx 酒店無線網(wǎng)絡(luò)接入系統(tǒng)技術(shù)建議書 第 26 頁 共 43 頁 采用傳統(tǒng)的網(wǎng)絡(luò)防火墻來實現(xiàn)無線接入安全保護的最大問題是缺乏靈活性，因它本質(zhì)上不是設(shè)計來做內(nèi)部的安全保護，而 是用來確保外來數(shù)據(jù)進入企業(yè)內(nèi)網(wǎng)是安全可靠的，所以一般都會設(shè)置在企業(yè)因特網(wǎng)的連接口。從因特網(wǎng)進入企業(yè)內(nèi)網(wǎng)和企業(yè)內(nèi)部的無線接入的最大區(qū)別在于后者是可對用戶做認證，但前者是不可能實現(xiàn)。由于不能確認用戶的身份，所以防火墻的檢查或策略只可按端口和 IP 原地址來制定，不管用戶是誰。這種模式在企業(yè)內(nèi)部署會對用戶的內(nèi)網(wǎng)訪問有很多限制，缺乏靈活性，所以是很難被用戶廣泛接受，只可在小范圍或小規(guī)模的情況下實現(xiàn)。要做到實施和維護簡單方便，亦可根據(jù)用戶身份來制定安全訪問策略， ARUBA 的無線解決方案就可以徹底解決這些問題。 采用 ARUBA 無線系統(tǒng)的 RF 偵測功能和保護機制可以實時監(jiān)測大廈無線網(wǎng)覆蓋區(qū)域內(nèi)的所有 AP 接入情況 ,如相鄰房間的 AP、設(shè)置錯誤的 AP以及未經(jīng)認可而連接到網(wǎng)絡(luò)中的 AP。通過 ARUBA 的網(wǎng)絡(luò)安全管理系統(tǒng)，網(wǎng)絡(luò)安全管理人員可以及時發(fā)現(xiàn)是否有非法的 AP接入，發(fā)現(xiàn)后可以開啟自動保護機制，阻止無線終端通過非法 AP聯(lián)接到無線網(wǎng)中。在 賓館 網(wǎng)絡(luò)中，如果某位 賓館 工作人員或合作單位的人員私下安裝了無線的 AP，提供了直接連接 賓館 內(nèi)網(wǎng)的接入， ARUBA 無線安全管理的功能可以及時的發(fā)現(xiàn)這個非法的 AP，并且可以通知管理人員斷掉非法 AP的網(wǎng)絡(luò) 連接，顯示非法 AP接入的大致方位。 今天已經(jīng)有很多的無線入侵和攻擊的工具可從網(wǎng)站下載，這些工具的普及對 賓館 和運營商的無線網(wǎng)的安全構(gòu)成很大的威脅。今天絕大部分的無線局域網(wǎng)都沒有偵測無線入侵的功能，所以當(dāng)受到像無線 DOS 攻擊時，就會誤以為是無線電波的信號受干擾或 AP 出現(xiàn)不穩(wěn)定情況。這些攻擊在 HotSpot 會導(dǎo)致用戶的無線連接斷線，但網(wǎng)管中心仍然不知，用戶則誤以為是網(wǎng)絡(luò)問題，間接影響無線網(wǎng)系統(tǒng)的品質(zhì)。 ARUBA 無線系統(tǒng)的特點是交換機由專有的網(wǎng)絡(luò)處理器和加密處理器組成，且內(nèi)置一個無線入侵模式庫，實時檢測異常 的無線數(shù)據(jù)包，當(dāng) ARUBA 無線系統(tǒng)偵測出有入侵時，它會記錄和顯示入侵的格式，并對入侵做出自動保護響應(yīng)。 無線局域網(wǎng)的認證與加密 傳統(tǒng)的無線局域網(wǎng)解決方案中用戶認證主要依賴于 ，這種認證方法需要用戶安裝 客戶端程序，后端還需要 Radius 服務(wù)器支持。一方面用戶的技術(shù)水平參差不齊，客戶端的操作系統(tǒng)多種多樣，以及系統(tǒng)可能出現(xiàn)的軟件沖突等，對 客戶端的安裝造成極大障礙，另一方面，后端的數(shù)據(jù)庫只能使用 Radius，不能xx 酒店無線網(wǎng)絡(luò)接入系統(tǒng)技術(shù)建議書 第 27 頁 共 43 頁 使用其他類型的認證數(shù)據(jù)庫，在適應(yīng)性上也比較差，這些對于大規(guī)模推 廣和使用都是極大的阻礙?？紤]到客戶所使用的設(shè)備安全認證的多樣性，我們認為將來的的接入方式可以多種選擇， 賓館 的工作人員可能通過手持 PDA設(shè)備查詢 客房 信息，旅客可以通過 賓館 提供的 PC 機查詢 信息， 賓館的工作人員和賓館 的合作單位可以通過筆記本電腦上網(wǎng)， 賓館 同時可以考慮提供 WiFi 手機提供語音的服務(wù)。在 ARUBA 無線系統(tǒng)中，一個無線用戶進入無線網(wǎng)以后，只會拿到一個最基本的入網(wǎng)權(quán)限，這個權(quán)限不容許用戶訪問任何網(wǎng)段，只讓用戶通過 DHCP 獲取IP 地址、傳送 DNS 協(xié)議數(shù)據(jù)包，通過認證以后才可以接入無線網(wǎng)。 ARUBA 無線系統(tǒng)支 持目前各種用戶認證的方式（ 、 WEB 認證、 MAC、 SSID、 VPN 等）， 賓館用戶可以根據(jù)需要方便選擇。我們可以考慮賓館的工作人員和賓館 的管理人員可以通過身份認證的方式登陸到 賓館 內(nèi)網(wǎng)，旅客可以通過 WEB界面訪問 賓館 的公眾服務(wù)器，遠程的 賓館 員工可以通過 VPN 的方式訪問 賓館 內(nèi)網(wǎng)。 WiFi 手機的用戶可以事先設(shè)置好登陸的方式。 ARUBA 無線系統(tǒng)和其它廠家在無線接入的認證和加密上最大的區(qū)別是前者不是通過 AP，而是在 ARUBA 無線交換機上實現(xiàn)。由于 ARUBA 的 AP是不儲存任何網(wǎng)絡(luò)配置（ IP 地址除外）和安全設(shè) 置，因此 ARUBA 管理的 AP是不能單獨工作的，因此獲得和接入進 ARUBA AP，黑客也不會拿到無線網(wǎng)的網(wǎng)絡(luò)和安全配置參數(shù)。但一個破壞者通過其他的手段（偷盜和竊?。┕テ屏诉吘壍慕尤刖W(wǎng)絡(luò)，他也無法破譯 ARUBA 無線網(wǎng)絡(luò)建立起的加密通道，無法竊取網(wǎng)絡(luò)的真實信息。 多種用戶認證方式 在 Aruba 無線系統(tǒng)中，一個無線用戶進入無線網(wǎng)絡(luò)以后，只會拿到一個最基本的入網(wǎng)權(quán)限，這個權(quán)限不容許用戶訪問任何網(wǎng)段，只讓用戶通過 DHCP 獲取 IP 地址、傳送 DNS 協(xié)議數(shù)據(jù)包，通過認證以后才可以接入無線網(wǎng)絡(luò)。 Aruba 無線系統(tǒng)支 持目前各種用戶認證的方式（ 、 WEB 認證、 MAC、 SSID、 VPN 等），無線網(wǎng)絡(luò)用戶可以根據(jù)需要方便選擇。 獨特的無線訪問控制 用戶狀態(tài)防火墻是 Aruba 無線交換機的獨特功能，它本身就是針對無線接入的特性而設(shè)計。傳統(tǒng)的網(wǎng)絡(luò)防火墻是沒有用戶這概念，它的保護只是基于 IP地址或物理端口來制定防火墻策略，所以對于沒有固定接入點的無線終端，這種防火墻的功效是不大。 Aruba 無線系統(tǒng)的防火墻功能則是與用戶認證捆綁在一起，當(dāng)無線用戶成功通過認證后，他會獲得一個預(yù)設(shè)的用戶狀態(tài)防火墻，不同的無線用戶有不同的防火 墻策略，例如單位的工作人員可以使用更多的服務(wù)，而來訪人員只可以瀏覽網(wǎng)頁、收發(fā) Email 等，這樣可以極大方便無線網(wǎng)絡(luò)用戶的安全管理。 安全的 AP技術(shù) Aruba 無線系統(tǒng)和其它廠家在無線接入的認證和加密上最大的區(qū)別是前者不是通過 AP，而是在 Aruba 無線交換機上實現(xiàn)。由于 Aruba 的 AP 是不儲存任何網(wǎng)絡(luò)配置（ IP 地址除外）和安全設(shè)置，因此 Aruba 管理的 AP 是不能單獨工作的，因此獲得和接入進 Aruba AP，黑客也不會拿到無線網(wǎng)絡(luò)的網(wǎng)絡(luò)和安全配置參數(shù)。 無線接入點安全偵測和保護 采用 Aruba 無線系統(tǒng) 的 RF 偵測功能和保護機制可以實時監(jiān)測無線網(wǎng)絡(luò)覆蓋區(qū)域內(nèi)的所有 AP 接入情況 ,如相鄰房間的 AP、設(shè)置錯誤的 AP以及未經(jīng)認可而連接到網(wǎng)絡(luò)中的 AP。通過 Aruba 的網(wǎng)絡(luò)安全管理系統(tǒng)，網(wǎng)絡(luò)安全管理人員可以及時發(fā)現(xiàn)是否有非法的 AP 接入，發(fā)現(xiàn)后可以開啟自動保護機制，阻止無線終端通過非法 AP聯(lián)接到無線網(wǎng)絡(luò)中。 xx 酒店無線網(wǎng)絡(luò)接入系統(tǒng)技術(shù)建議書 第 28 頁 共 43 頁 無線網(wǎng)絡(luò)入侵偵測 今天已經(jīng)有很多的無線入侵和攻擊的工具可從網(wǎng)站下載，這些工具的普及對用戶的無線網(wǎng)絡(luò)的安全構(gòu)成很大的威脅。今天絕大部分的無線局域網(wǎng)都沒有偵測無線入侵的功能，所以當(dāng)受到像無線 DOS 攻擊時，就會誤以 為是無線電波的信號受干擾或 AP 出現(xiàn)不穩(wěn)定情況。這些攻擊在 HotSpot 會導(dǎo)致用戶的無線連接斷線，但網(wǎng)管中心仍然不知，用戶則誤以為是網(wǎng)絡(luò)問題，間接影響無線網(wǎng)絡(luò)系統(tǒng)的品質(zhì)。 Aruba 無線系統(tǒng)的特點是交換機由專有的網(wǎng)絡(luò)處理器和加密處理器組成，且內(nèi)置一個無線入侵模式庫，實時檢測異常的無線數(shù)據(jù)包，當(dāng) Aruba 無線系統(tǒng)偵測出有入侵時，它會記錄和顯示入侵的格式，并對入侵做出自動保護響應(yīng)。 無線接入的病毒防護 Aruba 無線系統(tǒng)針對無線終端的病毒防護分為兩個層面，一、無線終端的準入檢查；二、對無線終端發(fā)出數(shù)據(jù)進 行有效的檢查和監(jiān)控。 無線終端病毒防護的第一步是準入檢查，當(dāng)無線終端連接到 Aruba 無線系統(tǒng)中，當(dāng)試圖訪問網(wǎng)絡(luò)，在用戶認證之前，需要下載一個基于 JAVA 的程序，可以對無線終端的操作系統(tǒng)打補丁的情況、安裝防病毒軟件的情況、以及防病毒定義碼升級的情況，做一個檢查，如果不能通過檢查，可以設(shè)定策略禁止其訪問網(wǎng)絡(luò)，也可設(shè)置成將無線用戶重定向到一臺升級服務(wù)器，打系統(tǒng)補丁、安裝防病毒軟件和升級病毒定義碼，滿足系統(tǒng)制定的安全策略以后，該無線終端才可以進入認證環(huán)節(jié)進行用戶的認證。 當(dāng)無線終端通過了準入檢查，但是如何對無線 終端發(fā)出數(shù)據(jù)進行有效的檢查和監(jiān)控是更加進一步的病毒防護手段。 Aruba 公司和第三方的防病毒墻廠家合作，在 Aruba 無線交換機上可以設(shè)定策略，某些用戶，以及某些可能沾染病毒的數(shù)據(jù)， Aruba 交換機會將其重定向到防病毒墻上進行防病毒檢查，檢查完成后，才允許通過，否則會將數(shù)據(jù)丟棄。 基于上述兩個層面， Aruba 無線局域網(wǎng)系統(tǒng)對無線終端進行有效和方便的病毒防護。 無線射頻終端的定位 無線終端定位是 ARUBA 系統(tǒng)的一大特色功能。此功能亦被稱為“三角定位”，是指當(dāng)一個無線終端同時被三個以上的 AP 信號覆蓋著，即可 跟蹤和定出無線終端的位置。 它的準確度可達到 ，與無線終端使用者無關(guān)，諸如無線接入的電腦、 PDA 和 WiFi手機等，只要附近范圍內(nèi)存在最少三個 ARUBA 的 AP即可，這也是傳統(tǒng)無線局域網(wǎng)所不能做的。 在 賓館 內(nèi)常常采用了三角無線定位技術(shù)來資產(chǎn)管理追蹤，找尋地勤人員，以及定位找出非法入侵的 AP和無線終端。 xx 酒店無線網(wǎng)絡(luò)接入系統(tǒng)技術(shù)建議書 第 29 頁 共 43 頁 xx 酒店 Aruba 無線局域網(wǎng)系統(tǒng) 實現(xiàn) 無線覆蓋設(shè)計實現(xiàn) AP放置于相應(yīng)的位置，用于覆蓋走廊以及房間內(nèi)。 無線組網(wǎng)實現(xiàn) 根據(jù) xx酒店的實際測量 配置 Aruba 無線 交換機 與無線接入點 Aruba 61 AP 數(shù)量 。 估算 AP數(shù) 量見下頁 AP分布表。 AP 上聯(lián)方式：以 樓層 為單位，在每個 需要布放 AP的 位置 拉放網(wǎng)線 ， AP連接在樓層的配線