XXXX無線安全應(yīng)用接入方案建議書

1、最新資料歡迎閱讀XXXX無線安全應(yīng)用接入方案建議書方案建議書DateOctober,MOTOROLA需求則析八八則、八、議八八MOTOROLA安全應(yīng)用接APMOTOROLA安全應(yīng)用接、11最新資料歡迎閱讀1 MOTOROLA 無 線 安 全MOTOROLA 無 線 網(wǎng)章設(shè)備清1717*無線安全應(yīng)用接入網(wǎng)絡(luò)方案建議書概述Motorola公司分高興有機(jī)會為*提供無線安全應(yīng)用接入網(wǎng)絡(luò)方案建平臺的前期建用、擴(kuò)展等多議,Motorola公司向來非常重視對于用戶無線安全應(yīng)用接入網(wǎng)絡(luò) 設(shè)功能及管理需求的深入分析，并愿意從技術(shù)、管理、運(yùn)營、應(yīng) 方面為*提供完善的無線安全應(yīng)用接入網(wǎng)絡(luò)平臺解決方案建統(tǒng)的穩(wěn)定性，安

2、全性，先進(jìn)性及未來的擴(kuò)展及多應(yīng)用需求。1、1 Motorola企業(yè)移動事業(yè)部Motorola公司于上世紀(jì)80年代中葉開 始進(jìn)行無線網(wǎng)絡(luò)產(chǎn)品的開發(fā)和研制，是無線網(wǎng)絡(luò)802、11標(biāo)準(zhǔn)的締造者之一。 從1989年推出全球第一套商業(yè)化的無線網(wǎng)絡(luò)起，便一直引領(lǐng)著無線網(wǎng)絡(luò)構(gòu)架 的發(fā)展的潮流。參與制定了 IEEE802. 11無線網(wǎng)絡(luò)協(xié)議標(biāo)準(zhǔn)，擁有無線網(wǎng)絡(luò)的 VoIP專利技術(shù)，為客戶提供無線網(wǎng)絡(luò)功能的軟件升級實現(xiàn)，滿足了客戶對無線 安全應(yīng)用接入網(wǎng)絡(luò)標(biāo)準(zhǔn)不斷更新發(fā)展的需求，擁有無線安全應(yīng)用接入網(wǎng)絡(luò)交換 機(jī)的專利技術(shù)等等。Motorola依托于強(qiáng)大的企業(yè)移動解決方案，將無線安全應(yīng) 用接入網(wǎng)絡(luò)成功地推入到各個行業(yè)

3、。我們的大客戶有：美國國防部DOD,沃爾 瑪集團(tuán)，家樂福集團(tuán)，UPS, FedEx, DHL,波音飛機(jī)制造公司，通用汽車公司， 奔馳汽車公司，紐約華爾街證券交易所，紐約肯尼迪國際機(jī)場，英國倫敦希斯 羅國際機(jī)場，法國巴黎戴高樂國際機(jī)場等等oMotorola公司提供的先進(jìn)的技術(shù), 品質(zhì)優(yōu)異的產(chǎn)品以及完善的售后服務(wù)使之成為全球移動解決方案業(yè)界的絕對領(lǐng) 先者。年6月，Motorola公司憑借旗艦產(chǎn)品無線交換機(jī)RFS7000/ AP300/最新資料歡迎閱讀AP5181/AP5181優(yōu)秀的網(wǎng)絡(luò)性能成功贏得了北京全文結(jié)束奧運(yùn)場館的WLAN 網(wǎng)絡(luò)覆蓋項目。M otorola公司的無線網(wǎng)絡(luò)產(chǎn)品廣泛應(yīng)用在移動、聯(lián)

4、通、電信、 安利集團(tuán)、中央電視臺、白云機(jī)場、南京郵電大學(xué)、浙江大學(xué)等等企業(yè)或高校 的無線安全應(yīng)用接入網(wǎng)絡(luò)。第2章需求分析及設(shè)計原則2、1需求分析*總部辦公大樓的建設(shè)目標(biāo)為：使用無線作為覆蓋， 以此為平臺為企業(yè)提供各種基于無線的應(yīng)用及安全接入，并為企業(yè)員工、外來 訪客提供安全、方便、快捷的網(wǎng)絡(luò)接入，并為以后的發(fā)展留下足夠空間。因為無線網(wǎng)絡(luò)的信號散布在大氣中，其安全性存在著先天的缺陷，所以安全 性對于無線網(wǎng)絡(luò)而言，顯得優(yōu)為重要。因此在建設(shè)無線網(wǎng)絡(luò)的時候一定要具有 較高的安全性、并且對接入的無線用戶進(jìn)行不同的分級、分類，不同的用戶設(shè) 定不同的訪問權(quán)限，來確保網(wǎng)絡(luò)的安全性。同時無線網(wǎng)絡(luò)還應(yīng)當(dāng)具備較髙的

5、無線安全防護(hù)、漏洞評估、復(fù)雜的入侵檢測 功能；并且從企業(yè)客戶的實際角度出發(fā)，創(chuàng)建符合企業(yè)自身實際需求的安全規(guī) 則，以及日志記錄、取證數(shù)據(jù)、事故調(diào)查等功能；且為方便企業(yè)對無線網(wǎng)絡(luò) 的 維護(hù)管理，以用戶為中心的角度出發(fā)，無線網(wǎng)絡(luò)還應(yīng)當(dāng)在高安全性的基礎(chǔ)上同 時具備端到端的排錯功能。隨著無線技術(shù)的發(fā)展，以及基于無線網(wǎng)絡(luò)平臺各種業(yè)務(wù)的大規(guī)模應(yīng)用，所以 無線網(wǎng)絡(luò)應(yīng)具有一定的前瞻性，能夠支持或融合未來的多種業(yè)務(wù)，如：wi-fi語 音、無線監(jiān)控、無線視頻等應(yīng)用。2、2設(shè)計原則充分考慮到*公司對于無線網(wǎng)絡(luò)的需求，以及未來的 發(fā)展趨勢，因此本次無線網(wǎng)絡(luò)建設(shè)的總體原則是：一個安全的無線應(yīng)用接入網(wǎng)絡(luò)無線網(wǎng)絡(luò)本身不僅僅

6、是一個應(yīng)用接入平臺， 同時也應(yīng)當(dāng)具備非常高的安全性，如：高安全防護(hù)、漏洞評估、復(fù)雜的入侵檢 測功能；以及從企業(yè)客戶實際角度出發(fā)的，創(chuàng)建符合企業(yè)自身實際需求的安全最新資料歡迎閱讀規(guī)則、日志記錄、取證數(shù)據(jù)、事故調(diào)查等功能；同時以用戶為中心，為用戶提 供在高安全性的基礎(chǔ)上，一定要具備端到端的無線排錯功能，幫助用戶發(fā)現(xiàn)問 題所在，快速解決。統(tǒng)一的認(rèn)證及用戶分級在很多時候客戶對于他們的無線網(wǎng)絡(luò)會提出更為細(xì) 致的要求，不僅僅只是希望網(wǎng)絡(luò)安全方面的要求，同時還希望對他們的接入用 戶進(jìn)行不同的分類、分級，針對于不同類別的用戶提供不同的策略控制、訪問 權(quán)限、帶寬限制等，例如：對于外來訪客等臨時用戶在接入他們網(wǎng)絡(luò)

7、的時候， 只能接入internet和收發(fā)e-ma訂，而不能訪問公司內(nèi)部網(wǎng)絡(luò)；而對于企業(yè)普 通內(nèi)部員工、企業(yè)管理人員、企業(yè)其它分公司人員則可以擁有不同級別的、更 大的訪問權(quán)限，此外，還可以做到有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)更為有效的融合；無線 網(wǎng)絡(luò)不需要重新建立認(rèn)證服務(wù)，只需要與有線網(wǎng)絡(luò)的認(rèn)證服務(wù)器結(jié)合，就可以 對于所有接入的用戶進(jìn)行認(rèn)證。集中的控制管理對于無線網(wǎng)絡(luò)需要有一個中心化的管理，網(wǎng)管人員只需在 無線控制器上就可開通、管理、維護(hù)所有無線設(shè)備以及移動終端。RF管理無 線局域網(wǎng)是一個整體系統(tǒng)，AP之間必須相互協(xié)調(diào)工作，單獨(dú)改變一個AP參數(shù) 和配置會可能會引起AP之間的無線電波干擾，用戶漫游重認(rèn)證和授權(quán)也

8、可能 會產(chǎn)生問題，所以針對我們的無線網(wǎng)絡(luò)就需要有強(qiáng)大的RF管理的功能，并且只 需要通過RF管理器就可以監(jiān)視整個無線網(wǎng)絡(luò)的運(yùn)行狀況。第3章無線安全應(yīng)用接入網(wǎng)絡(luò)方案建議3、1 Motorola無線安全應(yīng)用接入方案建議根據(jù)*無線安全接入網(wǎng)絡(luò) 的要求、未來的發(fā)展以及應(yīng)用網(wǎng)絡(luò)設(shè)計原則，結(jié)合Motorola無線、及安全產(chǎn) 品的技術(shù)特點(diǎn)，方案的建議為：采用集中式的控制管理結(jié)構(gòu)，分布式的應(yīng)用安 全接入來設(shè)計網(wǎng)絡(luò)，其示意圖如下所示：（本網(wǎng)絡(luò)拓?fù)錇槔硐胧疽鈭D，實際網(wǎng)絡(luò)拓?fù)湫柽M(jìn)行實地勘察后做適當(dāng)調(diào)整） 本方案中采用RFS7000控制器+ AP300 & AP650 + Airdefense來組建應(yīng) 用安 全接入網(wǎng)絡(luò)

9、。采用了 ACAP構(gòu)架，將密集型的無線網(wǎng)絡(luò)和安全處理功能轉(zhuǎn)移到 無線交換機(jī)中進(jìn)行集中的控制管理。最新資料歡迎閱讀在安全防護(hù)方面，使用全球領(lǐng)先的、具有金融級的Airdefense無線安全接 入及防護(hù)系統(tǒng)；具有自動防護(hù)、清除惡意連接；漏洞評估、復(fù)雜的入侵檢測；自 定義符合企業(yè)實際需求的監(jiān)管政策，以及日志記錄、取證數(shù)據(jù)、事故調(diào)查、端 到端的無線排錯等功能，在網(wǎng)絡(luò)管理方面，Motorola無線網(wǎng)絡(luò)實現(xiàn)了真正的集 中控管，具有多SSID支持，對不同的用戶進(jìn)行不同的分級，并賦予不同的訪問 權(quán)限、策略控制、帶寬管理；以及RF智能調(diào)控，自動恢復(fù)等功能，使無線網(wǎng) 絡(luò)可以動態(tài)自動調(diào)節(jié)到最佳應(yīng)用效果；還可以實現(xiàn)遠(yuǎn)端

10、AP狀態(tài)監(jiān)測，方便實 現(xiàn)對AP的管理；實現(xiàn)了對無線數(shù)據(jù)、語音和視頻的應(yīng)用帶寬管理。3.2 Motorola無線AP的點(diǎn)位部署（因為沒有經(jīng)過實地的測試，此AP點(diǎn) 位部署為理想狀態(tài)下的部署，AP數(shù)量可能與實際數(shù)量有微小出入）注：1、802、1 In AP的覆蓋范圍是802、11 b/g AP覆蓋范圍的2倍左右，2、802、lln 雙頻 AP 自帶 Air defense sensor,而 802、11 b/g 需單 獨(dú)配 置 AP 作為 Air Defense sensor,3、此點(diǎn)位圖所標(biāo)為802、lln AP的估計位置及數(shù)量，4、圖中為AP部署位置，一樓AP點(diǎn)位部署示意圖：需2 AP二樓AP

11、點(diǎn)位部署示意圖：需2 AP三樓AP點(diǎn)位部署圖：需5 AP四樓AP點(diǎn)位部署圖： 需5 AP五樓AP點(diǎn)位部署圖：需5 AP六樓AP點(diǎn)位部署圖：需3 AP七樓AP 點(diǎn)位部署圖：需2 AP,合計：共需要24個802、lln AP。3、3 Motorola無線安全應(yīng)用接入方案優(yōu)點(diǎn)Motorola從網(wǎng)絡(luò)設(shè)計者的角 度來看，采用Motorola無線安全應(yīng)用接入網(wǎng)絡(luò)建議方案的優(yōu)點(diǎn)主要表現(xiàn)在以 下幾個方面：最新資料歡迎閱讀3、3、1 Motorola無線安全接入管理自動檢測、定位、阻斷非法AP或 用戶的接入當(dāng)發(fā)現(xiàn)非法AP和非法的用戶，自動檢測并找到該設(shè)備，并且從物 理上清除。如果非法設(shè)備和用戶不在公司內(nèi)部Mot

12、orola Airdefense會對非法的AP 或非法用戶發(fā)送disassociate,從而實現(xiàn)阻斷，而且可以自動或者手動的對這 些非法AP或用戶進(jìn)行阻斷。漏洞評估和入侵檢測Motorola Airdefense可以對無線網(wǎng)絡(luò)提前進(jìn)行掃 描，從黑客的角度評估無線網(wǎng)絡(luò)的安全、模擬筆記本電腦測試一個或者多個AP 確定哪些無線設(shè)備最易受到攻擊、可以定期自動的進(jìn)行遠(yuǎn)程無線漏洞的掃描、 自動識別錯誤配置的接入點(diǎn)、探測臺等并且可以定期通過Email發(fā)送漏洞報 告。提供業(yè)界最豐富的無線安全威脅檢測無線網(wǎng)絡(luò)故障診斷Motorola Airdefense帶有的網(wǎng)絡(luò)性能故障排除工具是一款非常優(yōu)秀的工具。能夠提供端

13、 到端的故障診斷、排錯；具有無線連接的排障、快速定位網(wǎng)絡(luò)故障；對AP連 接性進(jìn)行測試，從客戶端分析無線和有線網(wǎng)絡(luò)行為、自動測 試有線應(yīng)用的接入。 并另外還具有以下特性：1、遠(yuǎn)程故障排除通過LiveView查看遠(yuǎn)程設(shè)備和信道身份連接性和處理 量問題實時解碼802、11幀執(zhí)行遠(yuǎn)程幀捕捉2、網(wǎng)絡(luò)使用和性能確定使用過度的接入點(diǎn)和信道探查網(wǎng)絡(luò)阻塞查找?guī)?寬占用者分析可用性和阻塞趨勢3、可用性通知管理員接入點(diǎn)故障創(chuàng)建所有設(shè)備的庫存清單報告網(wǎng)絡(luò)上 缺失的設(shè)備保持無線服務(wù)的級別協(xié)議Secu re Serv er W AN DHCP Server Applies tion Server DATA CENTER

14、REMOTE LOCATION AP 連接性測試：L2 Connectivity Wireless Authentication and Encrypt ion L3 Basic DHCP and DNS最新資料歡迎閱讀L3 Advanced Network Routes, ACL, and Firewalls L4 Availability Wireless Applications are Running and Accepting Connections 網(wǎng)絡(luò)數(shù)據(jù)取證 隨著計 算機(jī)和網(wǎng)絡(luò)應(yīng)用普及，我們在享受便捷的同時，以電腦、網(wǎng)絡(luò)為工具的髙科技 犯罪和計算機(jī)網(wǎng)絡(luò)犯罪也不可避免地侵害我們的

15、合法權(quán)益。這就對相關(guān)行業(yè)計 算機(jī)取證等技術(shù)也將提出更高要求，Motorola Aiidefense具有豐富的取證數(shù) 據(jù)，可以從系統(tǒng)中調(diào)用幾個月的歷史數(shù)據(jù)、每分鐘每個終端可有325多條統(tǒng)計 信息、終端連接和活動記錄、攻擊的嚴(yán)重性、使用哪個接入點(diǎn)進(jìn)行攻擊、何時 出現(xiàn)破壞、暴露風(fēng)險有多久、出現(xiàn)何種傳輸、數(shù)據(jù)的傳輸類型和方向。并且具有用于取證分析和達(dá)標(biāo)聲明的準(zhǔn)確記錄、判定攻擊的確切時間和影 響、無線網(wǎng)絡(luò)性能和連接問題記錄。頻譜分析目前越來越多的企業(yè)正在擴(kuò)建無線網(wǎng)絡(luò)，當(dāng)用戶在使用無線帶來 的便利時，經(jīng)常會發(fā)現(xiàn)不能連接網(wǎng)絡(luò)、網(wǎng)速非常慢、延時大等現(xiàn)象。Motorola Airdefense的頻譜分析模塊可以

16、對2、4GHz和5GHz波段的第一層進(jìn)行分析、利用現(xiàn)有的傳感器偵測非802、 11干擾（如微波爐、藍(lán)牙、連續(xù)波干擾源）、支持遠(yuǎn)程的實時頻譜分析。幫 助客戶對無線網(wǎng)絡(luò)進(jìn)行問題解決。符合企業(yè)的監(jiān)管政策對于越來越多的無線網(wǎng)絡(luò)設(shè)備和用戶來說，每個企業(yè) 都需要針對自身的特 性，來制定一套符合自身的監(jiān)控政策。以便提髙網(wǎng)絡(luò)的穩(wěn) 定性。Motorola Airdefense帶有監(jiān)管能實現(xiàn)以下功能:定義監(jiān)控執(zhí)行定義企業(yè)和監(jiān)管政策監(jiān)控以確保設(shè)備正常運(yùn)行對不合規(guī)性 設(shè)備執(zhí)行相關(guān)政策執(zhí)行有關(guān)合規(guī)性報告3、3、2 Motorola無線網(wǎng)絡(luò)的管理統(tǒng)一的認(rèn)證Motorola無線網(wǎng)絡(luò)能夠 與現(xiàn)今市場上所有的認(rèn)證服務(wù)器相結(jié)合（

17、如：LDAP、TACACS. RADIUS等），不需要無線網(wǎng)絡(luò)再重新建立認(rèn)證服務(wù)器， 只要與現(xiàn)有的有線認(rèn)證服務(wù)器相結(jié)合就可以為無線網(wǎng)絡(luò)用戶提供各種驗認(rèn)。并 且可以針對接入無線網(wǎng)絡(luò)用戶不同而需要選擇不同的驗證方式（802.1XJVEB認(rèn) 證、MA最新資料歡迎閱讀C、SSID 等）o無線接入用戶的分級權(quán)限管理Motorola無線對于接入用戶進(jìn)行不同的分類、分級，針對于不同類別的接 入用戶賦予不同的策略控制、訪問權(quán)限、帶寬 限制等等，例如：對于外來訪客等臨時用戶在接入他們網(wǎng)絡(luò)的時候，只能接入internet 和收發(fā) e-mail,而不能訪問公司內(nèi)部網(wǎng)絡(luò)；而對于企業(yè)普通內(nèi)部員工、企業(yè)管理人員、企業(yè)其它分公司人員