XXXX無線安全應用接入方案建議書

1、最新資料歡迎閱讀XXXX無線安全應用接入方案建議書方案建議書DateOctober,MOTOROLA需求則析八八則、八、議八八MOTOROLA安全應用接APMOTOROLA安全應用接、11最新資料歡迎閱讀1 MOTOROLA 無 線 安 全MOTOROLA 無 線 網(wǎng)章設備清1717*無線安全應用接入網(wǎng)絡方案建議書概述Motorola公司分高興有機會為*提供無線安全應用接入網(wǎng)絡方案建平臺的前期建用、擴展等多議,Motorola公司向來非常重視對于用戶無線安全應用接入網(wǎng)絡 設功能及管理需求的深入分析，并愿意從技術、管理、運營、應 方面為*提供完善的無線安全應用接入網(wǎng)絡平臺解決方案建統(tǒng)的穩(wěn)定性，安

2、全性，先進性及未來的擴展及多應用需求。1、1 Motorola企業(yè)移動事業(yè)部Motorola公司于上世紀80年代中葉開 始進行無線網(wǎng)絡產品的開發(fā)和研制，是無線網(wǎng)絡802、11標準的締造者之一。 從1989年推出全球第一套商業(yè)化的無線網(wǎng)絡起，便一直引領著無線網(wǎng)絡構架 的發(fā)展的潮流。參與制定了 IEEE802. 11無線網(wǎng)絡協(xié)議標準，擁有無線網(wǎng)絡的 VoIP專利技術，為客戶提供無線網(wǎng)絡功能的軟件升級實現(xiàn)，滿足了客戶對無線 安全應用接入網(wǎng)絡標準不斷更新發(fā)展的需求，擁有無線安全應用接入網(wǎng)絡交換 機的專利技術等等。Motorola依托于強大的企業(yè)移動解決方案，將無線安全應 用接入網(wǎng)絡成功地推入到各個行業(yè)

3、。我們的大客戶有：美國國防部DOD,沃爾 瑪集團，家樂福集團，UPS, FedEx, DHL,波音飛機制造公司，通用汽車公司， 奔馳汽車公司，紐約華爾街證券交易所，紐約肯尼迪國際機場，英國倫敦希斯 羅國際機場，法國巴黎戴高樂國際機場等等oMotorola公司提供的先進的技術, 品質優(yōu)異的產品以及完善的售后服務使之成為全球移動解決方案業(yè)界的絕對領 先者。年6月，Motorola公司憑借旗艦產品無線交換機RFS7000/ AP300/最新資料歡迎閱讀AP5181/AP5181優(yōu)秀的網(wǎng)絡性能成功贏得了北京全文結束奧運場館的WLAN 網(wǎng)絡覆蓋項目。M otorola公司的無線網(wǎng)絡產品廣泛應用在移動、聯(lián)

4、通、電信、 安利集團、中央電視臺、白云機場、南京郵電大學、浙江大學等等企業(yè)或高校 的無線安全應用接入網(wǎng)絡。第2章需求分析及設計原則2、1需求分析*總部辦公大樓的建設目標為：使用無線作為覆蓋， 以此為平臺為企業(yè)提供各種基于無線的應用及安全接入，并為企業(yè)員工、外來 訪客提供安全、方便、快捷的網(wǎng)絡接入，并為以后的發(fā)展留下足夠空間。因為無線網(wǎng)絡的信號散布在大氣中，其安全性存在著先天的缺陷，所以安全 性對于無線網(wǎng)絡而言，顯得優(yōu)為重要。因此在建設無線網(wǎng)絡的時候一定要具有 較高的安全性、并且對接入的無線用戶進行不同的分級、分類，不同的用戶設 定不同的訪問權限，來確保網(wǎng)絡的安全性。同時無線網(wǎng)絡還應當具備較髙的

5、無線安全防護、漏洞評估、復雜的入侵檢測 功能；并且從企業(yè)客戶的實際角度出發(fā)，創(chuàng)建符合企業(yè)自身實際需求的安全規(guī) 則，以及日志記錄、取證數(shù)據(jù)、事故調查等功能；且為方便企業(yè)對無線網(wǎng)絡 的 維護管理，以用戶為中心的角度出發(fā)，無線網(wǎng)絡還應當在高安全性的基礎上同 時具備端到端的排錯功能。隨著無線技術的發(fā)展，以及基于無線網(wǎng)絡平臺各種業(yè)務的大規(guī)模應用，所以 無線網(wǎng)絡應具有一定的前瞻性，能夠支持或融合未來的多種業(yè)務，如：wi-fi語 音、無線監(jiān)控、無線視頻等應用。2、2設計原則充分考慮到*公司對于無線網(wǎng)絡的需求，以及未來的 發(fā)展趨勢，因此本次無線網(wǎng)絡建設的總體原則是：一個安全的無線應用接入網(wǎng)絡無線網(wǎng)絡本身不僅僅

6、是一個應用接入平臺， 同時也應當具備非常高的安全性，如：高安全防護、漏洞評估、復雜的入侵檢 測功能；以及從企業(yè)客戶實際角度出發(fā)的，創(chuàng)建符合企業(yè)自身實際需求的安全最新資料歡迎閱讀規(guī)則、日志記錄、取證數(shù)據(jù)、事故調查等功能；同時以用戶為中心，為用戶提 供在高安全性的基礎上，一定要具備端到端的無線排錯功能，幫助用戶發(fā)現(xiàn)問 題所在，快速解決。統(tǒng)一的認證及用戶分級在很多時候客戶對于他們的無線網(wǎng)絡會提出更為細 致的要求，不僅僅只是希望網(wǎng)絡安全方面的要求，同時還希望對他們的接入用 戶進行不同的分類、分級，針對于不同類別的用戶提供不同的策略控制、訪問 權限、帶寬限制等，例如：對于外來訪客等臨時用戶在接入他們網(wǎng)絡

7、的時候， 只能接入internet和收發(fā)e-ma訂，而不能訪問公司內部網(wǎng)絡；而對于企業(yè)普 通內部員工、企業(yè)管理人員、企業(yè)其它分公司人員則可以擁有不同級別的、更 大的訪問權限，此外，還可以做到有線網(wǎng)絡和無線網(wǎng)絡更為有效的融合；無線 網(wǎng)絡不需要重新建立認證服務，只需要與有線網(wǎng)絡的認證服務器結合，就可以 對于所有接入的用戶進行認證。集中的控制管理對于無線網(wǎng)絡需要有一個中心化的管理，網(wǎng)管人員只需在 無線控制器上就可開通、管理、維護所有無線設備以及移動終端。RF管理無 線局域網(wǎng)是一個整體系統(tǒng)，AP之間必須相互協(xié)調工作，單獨改變一個AP參數(shù) 和配置會可能會引起AP之間的無線電波干擾，用戶漫游重認證和授權也

8、可能 會產生問題，所以針對我們的無線網(wǎng)絡就需要有強大的RF管理的功能，并且只 需要通過RF管理器就可以監(jiān)視整個無線網(wǎng)絡的運行狀況。第3章無線安全應用接入網(wǎng)絡方案建議3、1 Motorola無線安全應用接入方案建議根據(jù)*無線安全接入網(wǎng)絡 的要求、未來的發(fā)展以及應用網(wǎng)絡設計原則，結合Motorola無線、及安全產 品的技術特點，方案的建議為：采用集中式的控制管理結構，分布式的應用安 全接入來設計網(wǎng)絡，其示意圖如下所示：（本網(wǎng)絡拓撲為理想示意圖，實際網(wǎng)絡拓撲需進行實地勘察后做適當調整） 本方案中采用RFS7000控制器+ AP300 & AP650 + Airdefense來組建應 用安 全接入網(wǎng)絡

9、。采用了 ACAP構架，將密集型的無線網(wǎng)絡和安全處理功能轉移到 無線交換機中進行集中的控制管理。最新資料歡迎閱讀在安全防護方面，使用全球領先的、具有金融級的Airdefense無線安全接 入及防護系統(tǒng)；具有自動防護、清除惡意連接；漏洞評估、復雜的入侵檢測；自 定義符合企業(yè)實際需求的監(jiān)管政策，以及日志記錄、取證數(shù)據(jù)、事故調查、端 到端的無線排錯等功能，在網(wǎng)絡管理方面，Motorola無線網(wǎng)絡實現(xiàn)了真正的集 中控管，具有多SSID支持，對不同的用戶進行不同的分級，并賦予不同的訪問 權限、策略控制、帶寬管理；以及RF智能調控，自動恢復等功能，使無線網(wǎng) 絡可以動態(tài)自動調節(jié)到最佳應用效果；還可以實現(xiàn)遠端

10、AP狀態(tài)監(jiān)測，方便實 現(xiàn)對AP的管理；實現(xiàn)了對無線數(shù)據(jù)、語音和視頻的應用帶寬管理。3.2 Motorola無線AP的點位部署（因為沒有經(jīng)過實地的測試，此AP點 位部署為理想狀態(tài)下的部署，AP數(shù)量可能與實際數(shù)量有微小出入）注：1、802、1 In AP的覆蓋范圍是802、11 b/g AP覆蓋范圍的2倍左右，2、802、lln 雙頻 AP 自帶 Air defense sensor,而 802、11 b/g 需單 獨配 置 AP 作為 Air Defense sensor,3、此點位圖所標為802、lln AP的估計位置及數(shù)量，4、圖中為AP部署位置，一樓AP點位部署示意圖：需2 AP二樓AP

11、點位部署示意圖：需2 AP三樓AP點位部署圖：需5 AP四樓AP點位部署圖： 需5 AP五樓AP點位部署圖：需5 AP六樓AP點位部署圖：需3 AP七樓AP 點位部署圖：需2 AP,合計：共需要24個802、lln AP。3、3 Motorola無線安全應用接入方案優(yōu)點Motorola從網(wǎng)絡設計者的角 度來看，采用Motorola無線安全應用接入網(wǎng)絡建議方案的優(yōu)點主要表現(xiàn)在以 下幾個方面：最新資料歡迎閱讀3、3、1 Motorola無線安全接入管理自動檢測、定位、阻斷非法AP或 用戶的接入當發(fā)現(xiàn)非法AP和非法的用戶，自動檢測并找到該設備，并且從物 理上清除。如果非法設備和用戶不在公司內部Mot

12、orola Airdefense會對非法的AP 或非法用戶發(fā)送disassociate,從而實現(xiàn)阻斷，而且可以自動或者手動的對這 些非法AP或用戶進行阻斷。漏洞評估和入侵檢測Motorola Airdefense可以對無線網(wǎng)絡提前進行掃 描，從黑客的角度評估無線網(wǎng)絡的安全、模擬筆記本電腦測試一個或者多個AP 確定哪些無線設備最易受到攻擊、可以定期自動的進行遠程無線漏洞的掃描、 自動識別錯誤配置的接入點、探測臺等并且可以定期通過Email發(fā)送漏洞報 告。提供業(yè)界最豐富的無線安全威脅檢測無線網(wǎng)絡故障診斷Motorola Airdefense帶有的網(wǎng)絡性能故障排除工具是一款非常優(yōu)秀的工具。能夠提供端

13、 到端的故障診斷、排錯；具有無線連接的排障、快速定位網(wǎng)絡故障；對AP連 接性進行測試，從客戶端分析無線和有線網(wǎng)絡行為、自動測 試有線應用的接入。 并另外還具有以下特性：1、遠程故障排除通過LiveView查看遠程設備和信道身份連接性和處理 量問題實時解碼802、11幀執(zhí)行遠程幀捕捉2、網(wǎng)絡使用和性能確定使用過度的接入點和信道探查網(wǎng)絡阻塞查找?guī)?寬占用者分析可用性和阻塞趨勢3、可用性通知管理員接入點故障創(chuàng)建所有設備的庫存清單報告網(wǎng)絡上 缺失的設備保持無線服務的級別協(xié)議Secu re Serv er W AN DHCP Server Applies tion Server DATA CENTER

14、REMOTE LOCATION AP 連接性測試：L2 Connectivity Wireless Authentication and Encrypt ion L3 Basic DHCP and DNS最新資料歡迎閱讀L3 Advanced Network Routes, ACL, and Firewalls L4 Availability Wireless Applications are Running and Accepting Connections 網(wǎng)絡數(shù)據(jù)取證 隨著計 算機和網(wǎng)絡應用普及，我們在享受便捷的同時，以電腦、網(wǎng)絡為工具的髙科技 犯罪和計算機網(wǎng)絡犯罪也不可避免地侵害我們的

15、合法權益。這就對相關行業(yè)計 算機取證等技術也將提出更高要求，Motorola Aiidefense具有豐富的取證數(shù) 據(jù)，可以從系統(tǒng)中調用幾個月的歷史數(shù)據(jù)、每分鐘每個終端可有325多條統(tǒng)計 信息、終端連接和活動記錄、攻擊的嚴重性、使用哪個接入點進行攻擊、何時 出現(xiàn)破壞、暴露風險有多久、出現(xiàn)何種傳輸、數(shù)據(jù)的傳輸類型和方向。并且具有用于取證分析和達標聲明的準確記錄、判定攻擊的確切時間和影 響、無線網(wǎng)絡性能和連接問題記錄。頻譜分析目前越來越多的企業(yè)正在擴建無線網(wǎng)絡，當用戶在使用無線帶來 的便利時，經(jīng)常會發(fā)現(xiàn)不能連接網(wǎng)絡、網(wǎng)速非常慢、延時大等現(xiàn)象。Motorola Airdefense的頻譜分析模塊可以

16、對2、4GHz和5GHz波段的第一層進行分析、利用現(xiàn)有的傳感器偵測非802、 11干擾（如微波爐、藍牙、連續(xù)波干擾源）、支持遠程的實時頻譜分析。幫 助客戶對無線網(wǎng)絡進行問題解決。符合企業(yè)的監(jiān)管政策對于越來越多的無線網(wǎng)絡設備和用戶來說，每個企業(yè) 都需要針對自身的特 性，來制定一套符合自身的監(jiān)控政策。以便提髙網(wǎng)絡的穩(wěn) 定性。Motorola Airdefense帶有監(jiān)管能實現(xiàn)以下功能:定義監(jiān)控執(zhí)行定義企業(yè)和監(jiān)管政策監(jiān)控以確保設備正常運行對不合規(guī)性 設備執(zhí)行相關政策執(zhí)行有關合規(guī)性報告3、3、2 Motorola無線網(wǎng)絡的管理統(tǒng)一的認證Motorola無線網(wǎng)絡能夠 與現(xiàn)今市場上所有的認證服務器相結合（

17、如：LDAP、TACACS. RADIUS等），不需要無線網(wǎng)絡再重新建立認證服務器， 只要與現(xiàn)有的有線認證服務器相結合就可以為無線網(wǎng)絡用戶提供各種驗認。并 且可以針對接入無線網(wǎng)絡用戶不同而需要選擇不同的驗證方式（802.1XJVEB認 證、MA最新資料歡迎閱讀C、SSID 等）o無線接入用戶的分級權限管理Motorola無線對于接入用戶進行不同的分類、分級，針對于不同類別的接 入用戶賦予不同的策略控制、訪問權限、帶寬 限制等等，例如：對于外來訪客等臨時用戶在接入他們網(wǎng)絡的時候，只能接入internet 和收發(fā) e-mail,而不能訪問公司內部網(wǎng)絡；而對于企業(yè)普通內部員工、企業(yè)管理人員、企業(yè)其它分公司人員