无线网络安全接入
无线网络的便捷显而易见,其安全性也尤为重要,我公司采用世界顶尖设备和安全接入策略,达到只允许授权用户接入,保护网络安全的目的。
作为一个基于企业Intranet(企业内部网络)的信息管理和应用的网络系统,提供相应的各种服务。 网络上各种软、硬件资源能得到共享,并能快速、稳定地传输各种信息,提供有效的网络信息管理手段。 采用开放式、标准化的系统结构,以利于功能扩充和技术升级 能够与外界进行广域网的连接,提供、享用各种信息服务 具有完善的网络安全机制。 能够与原有的计算机局域网络和应用系统平滑地连接,调用原有各种计算机系统的信息。 企业无线网络的方案设计 1.无线网络组网 使用无线组网的技术,通过安装AP和PCMCIA无线网卡或USB无线网卡,就可以在公司内部架构起无线局域网,使得办公区、会议室、会客室、展示厅及休息区都可以移动上网,为移动办公创造了条件。 2.业务方案说明 用户隔离 由于无线用户的流动性和不确定性,需要对用户之间互访的进行隔离,首先必须要求AP具有二层隔离功能。但是,仅仅AP具有二层隔离功能,只能保证连接在同一个AP下的两个无线用户之间的隔离,而连接在不同AP下的用户之间却可以通过上一级交换机进行通讯,因此仅AP实现隔离不能从根本上解决用户之间隔离的问题。为此,必须在连接AP的上一级交换机上为交换机的每个端口配置VLAN,以保证连接在不同AP下的用户之间的隔离,同时在无线网络控制器上的也应设置为用户隔离状态,这样就可以从根本上利用不同的网络设备实现用户之间的访问隔离。 认证方式 用户认证采用WEB DHCP方式,即用户打开IE浏览器,输入一个URL,这时无线网络控制器将用户的浏览器重定向到认证页面,要求用户在认证页面提供用户名和密码,当用户成功认证后,AC(无线网络控制器)将用户浏览器重新带回刚才所键入的URL。基于WEB方式的认证,用户电脑设置简单,用户无须安装任何客户端软件,仅仅需要将用户网卡设为自动获得IP地址,无线网络控制器会自动为用户分配正确的IP;即使用户将无线网卡设置了固定的IP地址,也可利用AC中的即插即用功能。认证通过后,为了提高安全性,无线网络控制器对MAC地址、IP地址以及用户名三者实施了绑定策略。 用户权限和网络访问控制 根据业务模式和对用户权限管理的需要,需要对用户访问本地网络的权限进行控制。比如,公司员工允许通过WLAN访问本地网络资源,诸如文件服务器、打印服务器、MIS、视频服务等,同时允许访问INTERNET;对于来访人员,根据其不同身份级别,对其能否访问本地网络资源加以控制。根据这些需求,无线网络控制器有两个Internet的出口,用于让某些不允许访问本地网络资源的用户直接访问INTERNET。无线网络控制器的一个端口(出口2)和企业收敛交换机相连,用于提供给某些用户(比如访客)上网出口,因为这些用户不允许访问企业内部网络。而无线网络控制器的另一个端口(出口1)接企业内部局域网,这样,企业内部员工可以通过这条路由访问本地网络资源以及访问INTERNET,从而实现用户权限的控制和本地网络资源的控制。 此外,根据实际的业务需要,可增加MAC地址绑定方式,只有指定的MAC地址,并通过对应的用户名和密码进行认证,才能合法接入网络;或采用MAC地址验证方式,可根据不同的MAC地址为无线用户分配不同网段的IP地址,实现基于不同用户的业务策略和访问控制;也可根据无线网络控制器上不同的网口,对应交换机的VLAN分配不同网段的IP地址,实现基于不同区域的业务策略和访问控制。 无线网络设备管理 为了便于网络管理员对整个无线网络进行有效的管理,无线网络控制器上内建了一个基于WEB的管理平台,提供对无线接入控制服务器(AC)和无线接入点(AP)的管理。对AC的管理包括对AC运行等参数的配置,各模块运行状况监控等;对无线接入点的管理包括扫描指定网段的所有AP,实时报告所有AP运行状态,发现非法AP立即报警,群组更改AP的设置,如ESSID等,以便对所有AP进行集中化的管理。 用户管理 用户管理是一个基于WEB方式的管理员界面,也可以是一个客户端程序,在其中可以添加新用户,添加新的用户组别,修改用户属性以及修改用户组的属性,另外,可以对每个用户是否允许使用VPN、是否需要进行MAC地址的验证等内容进行设置。 无线网络控制器还可以记录用户上网日志,日志包括用户名、目的IP地址、访问时间、用户的主机IP地址、MAC地址、VLAN接入位置等信息。用户访问日志可以记录用户的整个网上活动过程,便于追查恶意用户的物理位置,实现网络的安全控制。