企业无线部署与安全设计
2018-01-08李安邦
李安邦
摘要:随着我国网络技术不断的发展以及宽带接入成本不断的降低,无线局域网技术以其灵活的应用方式、高速数据传输等特点,使得无线覆盖成为许多网络工程的重要指标。该文以建设“为用户提供快速、安全上网服务”的无线网络为目标,探讨了企业无线局域网部署方法及其安全设计。
关键词:无线局域网;无线安全;AP;优化设计
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2017)36-0016-03
随着我国互联网基础设施的不断加强,使得互联网有线接入的带宽不断增加、资费不断下降,这为无线局域网的发展带来了机遇,WIFI已经被越来越多的人们使用和熟知。许多企业和单位已经部署或者准备部署无线局域网,它同时也为物联网的接入提供了方便的基础平台。
1 无线局域网建设应注意问题
随着智能手机、平板、笔记本电脑等智能设备的普及,移动智能终端已成为人们生活、工作、娱乐不可或缺的工具。越来越多的企事业单位、政府机关开始允许工作人员使用智能设备进行内部办公,这对办公领域支持BYOD策略提出了新的要求;与此同时,越来越多的公共场所被要求提供无线上网或办公服务。越来越多的企事业单位要求实现无线覆盖,同时也提出了新的要求,大致可以分为以下几个方面:
1.1 真正意义的全覆盖,高速的上网服务
企业的办公区域面积大,要求信号无死角;用户接入支持无感知漫游并且不断网;人员密集区域(如会议室)用户接入稳定;访客用户接入便捷,并且方便办理业务和反馈;接入用户上网体验好。
1.2 开放的无线网络带来安全隐患
移动终端在接入网络时,可能存在非授权访问、非法接入的用户,对合法用户接入后产生安全威胁;保障用户数据通信的合法性和安全性,防止信息的泄露;防范无线网络使用对企业骨干网络、内部重要数据带来的安全威胁;防止移动设备丢失对应用系统数据带来的安全威胁。
1.3 非法热点的管控
随着越来越多的设备支持无线热点、无线WIFI共享设备的普及,内部员工为方便设备接入私建热点,但由于信息安全知识和安全防护有限。所建立的热点易于被不法分子利用非法入侵、木马种植等手段,盗取内部资料和对企业网带来破坏。
1.4 正常带宽被占用
大量非法设备的接入、下载大型文件或观看在线视频等大流量网络应用、工作人员开启与工作无关的应用等等,易造成网页浏览、文件传输、办公系统应用等正常网络需求得不到快速响应,影响办公效率和用户上网体验。
1.5 兼容性和重复建设问题
无线专用的安全管控设备、内部员工认证平台、外部访客认证平台、信息发布平台等软件平台,以及支撑这些平台的网络设备或服务器等硬件,可能存在软、硬件兼容性问题,从而导致企业重复建设以及兼容性问题。
2 总体设计目标和原则
2.1 总体设计目标
(1) 高性能硬件
无线设备采用支持802.11a/c以上协议的智能AP,合理实地勘察和设计,实现高速无线网络。如建设规模较大,可考虑采用瘦AP+AC的企业级组网方式;如原有其他无线网络,考虑旁路部署模式,不影响原有网络。
(2) 合适的认证方式
根据不同的应用场景、安全要求、办公需求、商业需求,选用的不同的认证方式。目前无线认证主要有:无需认证、单一密码(用户)认证、验证码认证、短信认证码认证、原有系统平台和web集成认证、外部API认证、RADIUS认证、CAS/LDAP认证方式、软件/APP认证等。
(3) 合理的安全策略
做好终端的严格准入控制以及上网行为审计,做到痕迹可追溯性,可考虑实名。
对企业员工进行上网行为管控,上班时间只能访问业务相关应用和系统、禁止视频流量和炒股软件等;合理规划不同部门不同岗位员工互联网和内部资源访问权限。做好外发文件访问审计,如邮件、HTTP上传、论坛微博发帖等内容,防止敏感资料有意或不经意外泄。通过技术手段实现非法AP反制功能,封杀私设无线热点,增强网络可控性。如条件允许,部署IDS主动感知和防御风险。
(4) 系统兼容性
在建設无线网络之前,选用的软硬件要充分考虑现有网络设备和软件平台情况,既要考虑其兼容性,又要避免重复建设造成的资金浪费。
2.2 总体设计原则
在企业无线网设计规划时,应遵循以下原则:
(1) 整体安全原则
一个由众多设备构成的信息安全防御系统,其信息安全防御水平取决于某种信息安全风险性能最低的信息安全设备,要做好信息安全系统整体设计。
(2) 积极防御原则
传统的边界防御设备对信息安全起到一定保护作用,但其本身的特点诸如:“防内不防外”、不具备防止病毒传染和扩散、固定的策略配置等等,使其具有一定局限性。选择更安全、更智能、更快速,功能完善、强大的信息安全设备,配以专业的、及时响应的技术队伍。才能做好预防和检测工作,防患于未然。
(3) 多重保护原则
任何安全防御措施都不是绝对安全的,建立一个多重安全保护体系,各层保护相互补充。当其中一层防护被攻破时,其他保护仍可保护信息安全。这样可以大大提高抵御安全风险的能力。
(4) 一致性原则
在开始建设网络就考虑信息安全策略,不但比建好后再考虑成本更低,实现更容易。
一致性原则是指信息安全问题与整个网络的生命周期同时存在,制定的安全体系结构与网络安全需求相一致。从网络设计、部署实施、验证验收、运行维护,都要有安全的内容和措施。
(5) 易操作性原则
安全措施如果实施过于复杂,对人的要求过高,不利于实施这本身就降低其安全性。措施在执行时,不能对现有系统的正常运行造成影响,满足业务高效、易操作的原则。
(6) 可扩展性原则
随着网络应用增加、网络规模扩大,一劳永逸的解决所有问题不现实。充分考虑系统的可扩展性,按照实际需要和资金允许分步实施。这样,既能满足使用网络系统的基本要求,也可减少资金压力。
(7) 标准化原则
在软件、硬件、网络、安全和制度建设等方面都必须遵守国家和行业的相关法规、标准和规范。结合考虑自身特点,进行补充和完善。
3 AP选型与点位设计
AP在选型和点位设计前,需要实地现场进行勘察。根据目前企业出现较多的场景,可参考以下类型设计:
(1) 独立办公室
典型如领导办公室,由于该区域已经具备了网线入墙条件,故而推荐使用面板AP进行信号覆盖。如接入设备支持POE,则可直接替代原有入墙接线盒,安装方便且不影响美观,同时可保障房间信号好,上网体验佳。如图1所示。
(2) 开放式办公区域
对于信号覆盖不到的地方或信号较弱的地方,可考虑吸顶式或壁挂式AP,为保障办公区域内网络信号质量,不推荐走廊安装部署。在AP选型时,推荐使用双频无线AP,以保障该区域用户上网体验。如图2所示。
(3) 大型会议室
对于人员密集的大型会议室,高峰期容纳人员多,有的能容纳几百人,无线部署要重点考虑。建议采用室内定向天线方案部署,同时进行深度流量控制,从而保障整体上网体验。考虑到施工方便,建议采用壁挂方式,室内定向覆盖。
以下为大型会场定向AP部署示意图:
(4) 中小型会议室或大厅
一般按照会议室容纳的人数来进行划分,通常能容纳100人以上为大型会议室,容纳40-60人的为中型会议室,容纳20-40人的为小型会议室。一般可以将无线AP采用吸顶式安装。如果安装了吊顶,视情况决定是否露出吊顶上的AP天线。
在计算AP点数时,假设单台双频无线AP所接入的终端最大数量是60个。为了保证无线使用效果,100人的会议室按200个接入终端计算,每人一部手机一台笔记本。建议部署4台无线AP。如果考虑节约成本,可考虑部署3台无线AP,但可能会降低用户体验。(不推荐此方案)
对于中型会议室,按照以上计算方法,建议部署2台无线AP。
对于小型会议室,可以考虑采用放装方式,直接放在桌子下面空余空间即可,每个会议室部署1台无线AP。
(5) 电梯间、走廊等公共区域
对于重要的公共区域,如电梯间、卫生间、走廊,如果无线信号差,可考虑在原有点位的基础上加点,采用吸顶即可。
4 无线上网优化
为了保障无线为企业业务正常运行服务,提高用户的无线上网体验,除了企业网中常见的流量控制、QoS策略外,还通过防终端粘滞、智能射频、AP智能负载均衡等无线技術实现灵活的无线管控与优化。
4.1 智能射频优化干扰
在无线信号用到的2.4GHz频段中,最多只能容纳三个互不重叠的信道,一般选择1,6,11。相同的信道会造成同频干扰,重叠的不同信道之间会造成邻频干扰。随着无线局域网的普及,空气中随处都充斥着无线信号,这样很容易带来信道干扰,智能射频技术可以帮助解决这一问题。
(1) 智能功率调整
部署的AP功率太大会干扰附近其他无线设备,同时也浪费电、增加辐射。但是功率太小则可能导致较远距离的终端接入困难、信号差乃至丢包。当丢包达到一定阈值,即确定了AP的覆盖范围。即太小的AP工作功率造成AP的覆盖范围缩小。
开启智能射频后,NAC会对周围射频环境进行监控,如果周围环境发生变化,会对AP的功率进行调整。
(2) 智能信道优化
同理,当NAC监控到周围射频工作信道后,智能对信道进行调整,与相邻的AP错开,避免产生冲突。
(3) 频段优化
目前2.4GHz频段应用最为普遍,频带资源相对较为匮乏。使AP优先使用5GHz频段,平衡2.4G/5GHz利用率。
(4) 接入点负载均衡
根据当前AP接入人数以及信道利用率等条件控制终端的接入,以实现负载均衡,从而提高吞吐量和服务质量。此外,根据不同场景和区域灵活设置负载均衡参数,提高无线上网体验。
NAC根据相邻部署AP的负载情况,对接入终端进行控制。如负载较高,则拒绝终端接入;如AP相对较空闲,则允许连接,从而达到负载均衡的目的。
(5) 防终端粘滞
此功能是为终端在无线覆盖范围内漫游提供服务的。当终端在移动时,不同AP的信号强度会发生变化。当接入点识别终端的信号强度小于设定的信号强度阈值,并且该终端的无线流量小于流量阈值时,则主动让终端漫游。可以根据实际情况,合理设置切换阈值,使漫游达到较好效果。
4.2 QoS与流控
为了保障企业重要的业务流量能够使用网络优先通过,可以在支持流控的NAC以及企业网流控设备上进行配置。
对流量进行管控首先得对流量进行分类,常见分类方法一种是根据应用类型来进行设置:如视频、语音、P2P下载、网页、邮件、OA办公、文件传输等等,另一种是根据用户的特征来进行设置:如财务部、人事部、生产部、外来访客等等。
分类后可根据设备技术支持定义策略,通常有以下几种:(1)根据流量分类直接分配固定带宽,如给常用办公系统流量分配10Mbps带宽,其余采用竞争机制。(2)根绝分类分配带宽百分比,如A部门占20%,B部门占20%,C部门占30%,其余占30%。(3)根据分类给予不同的优先级,让优先级高的流量优先通过或获得定额保障带宽。
4.3 其他技术
针对人员密集区域(如大厅或大型会议室),由于部署AP过多,不但没解决好用户过多问题,反而可能会带来干扰和漫游信号切换问题。可以对该场景进行无线性能优化,降低终端低速发送探测帧相应消耗无线的性能空间,从而提高用户上网体验。
人员密集区域的无效广播也极大降低了网络性能,利用广播优化的技术,针对特定类型的广播帧。如ARP广播、DHCP广播请求等进行优化,从而达到增加设备使用效率,提高用户上网体验的目的。
参考文献:
[1] 刘辛酉.WIFI通信的安全分析[J].Information & Network,2009(4).
[2] 刘庆存.网络环境下信息安全策略分析[J].生产与安全技术,2017.11(下).
[3] 周辉.浅谈无线网络攻击技术与防范措施[J].电脑知识与技术,2014(8).