|
实际上,在无线管理方面可以借助的工具还有很多。比如Aruba具有ICSA认证的基于个人状态的防火墙(比传统ACL的安全性级别更高)、惠普ProCurve 基于IDM身份驱动的访问控制设备(如NAC800控制器)、Trapeze的SmartPass软件等,都是进行有线/无线网络管理的好助手。
警惕安全隐患
网络管理离不开安全问题,一旦WLAN在有线网络上启动和运行起来,就要定期审查整个网络的监测情况,未经许可的接入点或客户端都意为着安全漏洞。林涛表示,无线网络的瘦AP架构主要包括设备安全、设备间信息和协议交流的安全(包括AES加密等)、用户网络资源安全和无线安全几个方面。其中用户网络资源的安全主要包括对客户端安全完整性的检查功能、WEP和WPA等加密认证手段,以及有线与无线结合的情况下对网络资源的访问控制(通过用户名获得权限进而得到网络资源,可以在不同层次上实现安全控制)。而无线安全包括WIDS和WIPS等方式,通过对非法AP的监测、定位和反击,防止无线用户接入到非法AP上。
储斌着重强调了企业网安全管理的一致性,他表示,无线管理需要与有线的管理和调度相融合,看无线的扩展能否与原有的有线安全性相统一(不只是数据加密、日志、审计),如果做不到,来自用户的困惑和疑虑还是没有得到解决。实际上,各种用户口令造成的身份交叉是整个企业网最大的一个安全隐患。如果管理体系出现不一致,无疑是对整个企业网安全性的一个削弱。
无线嫁接实用手册
定义:
即在企业原有的有线网络基础上部署无线网络,构建带有移动性的相互融合的网络。
场所:
无线嫁接通常发生在原有有线网络扩展困难,或对无线移动性有需求的场所。
影响因素:
影响无线嫁接的因素主要是无线网络的前期规划和后期管理。其中无线规划包括AP部署规划、无线交换机部署规划和网络管理及控制等方面的内容,无线管理包括设备管理、用户管理、网络安全和控制等。
工具和方法:
无线网络规划首先要根据实际应用和场所进行初步设计,然后结合现场勘查的情况,根据业界计算空间损耗和覆盖范围的公式,或直接通过频谱分析仪和WLAN分析软件等工具进行实际的无线规划。特别要注意无线信号连通性和传输数据的Ping值,确定AP信号强度以及无线终端接入到有线网络当中的延迟和丢包率的情况。
网络管理主要是对企业员工或访客的身份管理,需要统一有线和无线的管理平台(包括认证方式和数据库等),确保用户权限在整个网络的一致性。同时,还要注意监测无线环境的变化,对无线接入点进行日常勘查和维护,确定无保护的接入点、新的RF干扰源,以及非法入侵AP等安全隐患。
案例一:北京师范大学一次性部署500个接入点
上个月,北京师范大学在校园原有的有线网络设施基础上,成功在教学楼和办公楼进行了无线网络的覆盖,弥补了这些场所有线扩展能力较差的不足。新的无线网络解决方案采用瘦AP架构,包含超过500台Trapeze智能WLAN接入点(MP-71接入点和MP-372接入点的结合),4台完全冗余的高性能MX-200RWLAN控制器。这不仅是教育行业中一次性采购AP数量最多的项目,并且在网络互联、认证计费、安全防御等方面与有线网络进行良好的兼容和互补,而对校园有线网络各部分主体结构内部不做任何变更。在AP实际部署上,北师大的案例采取“零配置”方式——即AP设备启动后插电即可直接工作,用户无须为每个AP配置IP地址、SSID和加密等参数。瘦AP架构给无线网络的规划和部署带来很大便利。
案例二:北京某运营商WLAN非法入侵检测
北京某运营商的无线网络中存在非法入侵AP,严重影响了公司WLAN网络的平稳运行。由于非法入侵设备位置隐蔽,因此需要借助灵敏度极高的定向(全向)天线,才能够实现精确定位。网络管理人员使用Fluke公司的EtherScope网络通设备(可定位最远515米,功率-100dBm的无线AP),根据定向天线的方向指示在房间漫游,通过读取非法入侵AP的功率变化,找到非法入侵AP的信号最强点,EtherScope发出“哔哔”声音指示确定非法入侵AP(包含WLAN和ad-hoc网络)的实际物理位置。原来,该非法入侵AP是在没有得到允许的情况下,由办公人员私自接入网络的。将无线网络成功部署到原有的有线基础上并非万事大吉,对于设备和网络的管理也比维护来得更加重要。 |
【收藏】【打印】【进入论坛】 |
|
|
|
|
|
|
|