商业地产无线解决方案.pptx

商业地产无线组网方案 商业业地产产行业业的无线组线组网需求 无线线网络络在商业业地产产行业业的应应用 物业管理相关的应用 -物业管理网络 -IP多媒体通信 -无线安保系统 -车库停车管理 零售商铺相关的应用 -移动零售终端 -自助服务柜台 -实时库存管理 -无线视频广告 -顾客宽带上网 无线线物业业管理：提高效率，降低成本 移动的物业管理应用 -增强物业管理应用的实时性，提高用户满意度 基于WiFi的实时多媒体通信 -改善员工通信的效果，提高员工办事效率 灵活部署无线视频监控网络 -不需要重新开沟、布线，降低摄像头部署成本 提供定位功能的停车场管理 -利用无线网络快速对车辆进行定位 零售商铺应铺应用：扩扩大销销售，增加收入 为时间紧迫的顾客提供便捷的购物途径 灵活举办各类商家促销活动 Scan, Swipe, Sign, Print Queue Busting Scan, Learn, Load, Dock X-selling, Faster Checkouts 技术要求: 安全性: 数据加密、身份验证和授权访问 移动性: 快速漫游、延长电池使用时间 移动POS和自动售货机 零售商铺应铺应用：扩扩大销销售，增加收入 无线视频广告 基于无线技术的电子广告牌可以灵活摆放，区域扩大到整个商业街的上端空间， 不需要考虑对布线的要求 个性化的商家广告，比如针对性的广告发布、资料索取、联系方式以及电子折扣券 等等 基于位置的导购服务，根据客户的无线终端所在的位置，将预先设置绑定的网页推 送到观众的无线终端上 搜索某种商品在整个商圈的厂商的排名和销售额的评比以及购买客户的评价 零售商铺应铺应用：扩扩大销销售，增加收入 顾客宽带上网 吸引更多的顾客停留更多的时间， 凝聚商业圈的人气，创造更多的商 业销售机会 强制发布广告网页，匹配客户所在 位置精确定制，竞价排名 商业业地产产无线组线组网的实实施要点 必须满足PCI DSS v1.2安全准则 7.2: Role-based Access 10: Monitor Access Category 1 No WLAN Category 2 No cardholder data over WLAN Category 3 Cardholder data over WLAN 1.1.2: Inventory WLAN 1.2.3:Firewall WLAN 2.1.1:Dont Use Defaults 2.2: Standard Config 4.1.1:Better Than WEP 6.1:Get latest patches 9.1.3:Physical Security 11.1:Wireless IDS/IPS11.1:Wireless IDS/IPS 1.1.2: Inventory WLAN 1.2.3:Firewall WLAN 2.1.1:Dont Use Defaults 2.2: Standard Config 4.1.1:Better Than WEP 6.1:Get latest patches 9.1.3:Physical Security 11.1:Wireless IDS/IPS 500 Participating Organizations 安全威胁胁#1: 盗取敏感信息 无线攻击随时可能发生 -攻击者随时都在寻找安全漏洞和可能的攻击 目标 在安静模式下监听敏感信息 -用户帐号、密码、SNMP Community String WEP & WPA-PSK已经被破解 PCI DSS v1.2提出Requirement 1.1, 1.2.3, 2.1 & 4.1.1 WAN / LAN Stores Hacker OfficeMax, Boston Market, Barnes & Noble, Sports Authority, Forever 21, and DSW were also the victims of crime rings that used unprotected wireless networks as their points of entry. /document.asp?doc_id=160888 Requirement 1.2.3: Firewall For WLAN 无线局域网是一个多应用共享网络 无线局域网必须通过防火墙进行隔离 防火墙必须执行基于“状态”的检查 防火墙必须阻隔所有来自无线局域网的访问请求 - 除非是基于商业应用的需要 11 支付卡 应用环境 无线 局域网 外部 网络资源 ? Requirement 4.1.1: Encrypt Wireless 要求所有的无线网络必须满足，无论该网络 是否传输支付卡数据 对于新建网络，要求从2009年5月开始执行 对于已有网络，要求从2010年6月开始执行 WEP 选择 1 更换换每一个WEP终终端 更换所有在用的传统 硬件终端 升级在用的新的硬件 终端 选择 2 严严格控制每一个WEP终终端的访问权访问权限 Data Center 在WEP终端和数据 中心之间实施基于 用户角色的防火墙 策略 防火墙自动隔离非 授权的用户和网络 入侵者 安全威胁胁#2: 非授权权无线线网络络 内部员工可能连接非授权无线设备到企业 的有线网络 -家庭型无线AP -使企业网络在非授权状态下被随意扩展到 围墙以外 非授权无线设备也可能被用于恶意入侵企 业网络 PCI DSS v1.2提出Requirement 11以实 现对非授权无线设备的监视和控制 “We recently suffered an intrusion attempt on our internal network. We traced the source back to an unauthorized wireless router plugged into a live but unused network jack in a barely-accessible location. We have suspicion, but not actual certainty, that the router was placed by the same intruder as executed the network attacks.“ /archive/75/374672 Hacker WAN / LAN 商场 Rogue 数据中心 Requirement 11.1: Monitor All Wireless Devices 目标: 发现发现 & 定位 非授权 无线设备 意外的 错误连接 WEP 违反 安全策略 无线探测点 在每个地点安 装无线探测点 两种选择 LAN/WAN 服务器 在数据中心安 装分析服务器 定期到每个地点进行 无线安全检查和审计 人工自动 Wireless IDS Handheld Analyzer ARUBA提供全面符合PCI DSS v1.2的解决方案 系统日志+ 安全报表 服务器部署在总部，对所有位置进行安 全监控 监控非授权无线设备并自动生成报表 保留550天超长历史记录 无线局域网+ 无线防火墙+ 无线入侵保护 + 系统日志+ 安全报表 无线线控制器 混合模式 无线线接入点 服务器和控制器部署在总部 ARUBA AP工作在无线混合模式 发现和定位非授权无线网络设备、无线攻 击行为，并自动生成报表 内置状态防火墙对无线网络进行隔离 保护传统 (WEP-only) 终端投资 提供基于用户角色的安全策略 叠加在现有网络之上 无线入侵保护 + 系统日志 + 安全报表 无线线控制器 Airwave网管平台 专专用探测测器 服务器和控制器部署在总部 ARUBA AP工作在无线探测模式 实时探测企业网络的射频环境 不需要对现有的LAN和WAN进行调整 发现和定位非授权无线网络设备、无线 攻击行为，并自动生成报表 Airwave网管平台 Airwave网管平台 必须满足无线网络随企业同步扩展的需要 随着网络络的扩扩展，维护维护工作量不能增加 -随着AP的增加，系统配置管理的复杂程度不增加 -随着控制器的增加，系统配置管理的复杂程度不增加 -在实现室外覆盖时，不需要配置额外的独立系统 -在实现远程接入时，不需要配置额外的独立系统 随着网络络的扩扩展，网络络安全性不能降低 -中心化配置的无线接入和安全策略自动同步到所有的 控制和接入点 -无线接入参数包括频段/信道等射频参数和 SSID/加密方式等无线信号配置 -用户安全策略包括认证方式、用户角色、访问控 制策略、带宽管理策略等相关配置 随着网络络的扩扩展，网络络的应应用保持一致 -无论在任何地方，都能够满足各类企业应用需求（如访 问业务系统、IP电话系统、视频会议系统等） 项项目组组大型商场场 远远程控制器远远程接入点 Internet WAN 主控制器 数据中心 独特的控制器集群技术 MasterMaster 控制器控制器 LocalLocal 控制器控制器 LocalLocal 控制器控制器 LocalLocal 控制器控制器 配置自配置自动动同步同步 GREGRE隧道隧道 LocalLocal控制器故障控制器故障 时时,AP,AP自自动动倒倒换换到到 MasterMaster控制器控制器 企企业业网网 ARUBAARUBA APAP 分支分支节节点点1 1分支分支节节点点2 2分支分支节节点点n n 配置自动同步： 无线信号的配置 认证方式的选择 角色及安全策略 无线射频参数 N+1控制器冗余： Master控制器可 以作为冗余控制 器为Local控制器 提供N+1自动冗余 备份功能 先进的虚拟分支组网技术 无线网络 安全接入 有线网络 安全接入 图形化的实时管理 精细化的安全策略 （基于用户身份、终 端和应用） 策略路由 专线/ADSL/3G PEF 多样化安全连接分布式防火墙集中式管理 配置管理 性能管理 故障管理 分级管理 报表管理 定位追踪 IPsec加密 用户身份验证 分布式防火墙 无线频谱扫描 非法设备检测 射频资源管理 企业级 安全 分支网络 基于“零配置”的网络络部署方式 PEF 零配置/即插即用! 安全延展 企业网络 防火墙 1. 将RAP连接到任意网络上 2. 输入中心控制器的域名或地址 3. RAP自动建立到中心控制器的安全连接 4. 中心控制器自动更新并配置远程RAP 5. 安全的虚拟化分支网络自动建立 终端用户 专家诊断 x 1x “N”ARUBA RAP 虚拟化的专家级网络管理和维护 可视化的集中式管理 IT管理人员只需要管理一台设备 实时化的远程网络控制 基于每个用户的策略控制 基于每种应用的会话控制 所有配置更新实时生效 实时的无线入侵保护 软件版本管理 系统配置管理 IP地址和路由 固件升级 系统监测 配置变更 故障诊断 软件版本管理 系统配置管理 IP地址和路由 固件升级 系统监测 配置变更 故障诊断 x “N” 中心控制器 中心VPN网关 难以满足高速扩展的需要 每一台部署在分支网点的网络设 备都需要进行独立配置 难以保证企业网络的安全要求 不支持对用户的接入身份验证 不提供基于用户身份的策略控制 不能满足PCI标准对无线安全的 强制要求 VPN路由器 ARUBA虚拟拟分支组组网 传统传统VPN路由器解决方案 提供基于自助服务和智能广告的顾客上网服务 在大型商场提供顾客宽带上网 服务 商场顾客自助注册、自助服务 定制个性化认证页面，在注册 页面通过调查问卷收集顾客分 类信息 在顾客数据分析的基础上提供 智能广告业务 顾顾客上网帐帐号自助注册服务务 定制个性化企业风业风格页页面 基于顾顾客数据分析的智能广告服务务 详详尽的顾顾客上网行为统计报为统计报表 无线组线组网架构设计设计 无线组网整体架构 应用系统 ARUBA 控制器 ARUBA AP ARUBA AP ARUBA 控制器 ARUBA AP ARUBA RAP 总总总总部部 大型分支大型分支中型分支中型分支小型小型项项项项目目组组组组 ARUBA AirWave 综合网络管理系统 ARUBAARUBA AmigopodAmigopod 广域网/互联联网 ARUBA 控制器 大型分支系统配置 应用系统 ARUBA 控制器 ARUBA AP ARUBA AP 总总总总部部 大型分支大型分支 ARUBA AirWave 综合网络管理系统 ARUBAARUBA AmigopodAmigopod 广域网/互联联网 ARUBA 控制器 本地控制器，冗余热备配置，从总部主控制器自动 同步系统配置文件，提供本地无线接入和安全策 略控制 802.11N无线接入点，在分支区域提供符合PCI DSS v1.2的无线接入和入侵防范服务 访客认证、Portal页面和智能广告由位于总部的 ARUBA Amigopod服务器提供 中型分支系统配置 应用系统 ARUBA 控制器 ARUBA AP ARUBA 控制器 ARUBA AP 总总总总部部 中型分支中型分支 ARUBA AirWave 综合网络管理系统 ARUBAARUBA AmigopodAmigopod 广域网/互联联网 本地控制器，从总部主控制器 自动同步系统配置文件，提供 本地无线接入和安全策略控制 802.11N无线接入点，在分支 区域提供符合PCI DSS v1.2 的无线接