XXXX无线安全应用接入方案建议书

1、最新资料欢迎阅读XXXX无线安全应用接入方案建议书方案建议书DateOctober,MOTOROLA需求则析八八则、八、议八八MOTOROLA安全应用接APMOTOROLA安全应用接、11最新资料欢迎阅读1 MOTOROLA 无 线 安 全MOTOROLA 无 线 网章设备清1717*无线安全应用接入网络方案建议书概述Motorola公司分高兴有机会为*提供无线安全应用接入网络方案建平台的前期建用、扩展等多议,Motorola公司向来非常重视对于用户无线安全应用接入网络 设功能及管理需求的深入分析，并愿意从技术、管理、运营、应 方面为*提供完善的无线安全应用接入网络平台解决方案建统的稳定性，安

2、全性，先进性及未来的扩展及多应用需求。1、1 Motorola企业移动事业部Motorola公司于上世纪80年代中叶开 始进行无线网络产品的开发和研制，是无线网络802、11标准的缔造者之一。 从1989年推出全球第一套商业化的无线网络起，便一直引领着无线网络构架 的发展的潮流。参与制定了 IEEE802. 11无线网络协议标准，拥有无线网络的 VoIP专利技术，为客户提供无线网络功能的软件升级实现，满足了客户对无线 安全应用接入网络标准不断更新发展的需求，拥有无线安全应用接入网络交换 机的专利技术等等。Motorola依托于强大的企业移动解决方案，将无线安全应 用接入网络成功地推入到各个行业

3、。我们的大客户有：美国国防部DOD,沃尔 玛集团，家乐福集团，UPS, FedEx, DHL,波音飞机制造公司，通用汽车公司， 奔驰汽车公司，纽约华尔街证券交易所，纽约肯尼迪国际机场，英国伦敦希斯 罗国际机场，法国巴黎戴高乐国际机场等等oMotorola公司提供的先进的技术, 品质优异的产品以及完善的售后服务使之成为全球移动解决方案业界的绝对领 先者。年6月，Motorola公司凭借旗舰产品无线交换机RFS7000/ AP300/最新资料欢迎阅读AP5181/AP5181优秀的网络性能成功赢得了北京全文结束奧运场馆的WLAN 网络覆盖项目。M otorola公司的无线网络产品广泛应用在移动、联

4、通、电信、 安利集团、中央电视台、白云机场、南京邮电大学、浙江大学等等企业或高校 的无线安全应用接入网络。第2章需求分析及设计原则2、1需求分析*总部办公大楼的建设目标为：使用无线作为覆盖， 以此为平台为企业提供各种基于无线的应用及安全接入，并为企业员工、外来 访客提供安全、方便、快捷的网络接入，并为以后的发展留下足够空间。因为无线网络的信号散布在大气中，其安全性存在着先天的缺陷，所以安全 性对于无线网络而言，显得优为重要。因此在建设无线网络的时候一定要具有 较高的安全性、并且对接入的无线用户进行不同的分级、分类，不同的用户设 定不同的访问权限，来确保网络的安全性。同时无线网络还应当具备较髙的

5、无线安全防护、漏洞评估、复杂的入侵检测 功能；并且从企业客户的实际角度出发，创建符合企业自身实际需求的安全规 则，以及日志记录、取证数据、事故调查等功能；且为方便企业对无线网络 的 维护管理，以用户为中心的角度出发，无线网络还应当在高安全性的基础上同 时具备端到端的排错功能。随着无线技术的发展，以及基于无线网络平台各种业务的大规模应用，所以 无线网络应具有一定的前瞻性，能够支持或融合未来的多种业务，如：wi-fi语 音、无线监控、无线视频等应用。2、2设计原则充分考虑到*公司对于无线网络的需求，以及未来的 发展趋势，因此本次无线网络建设的总体原则是：一个安全的无线应用接入网络无线网络本身不仅仅

6、是一个应用接入平台， 同时也应当具备非常高的安全性，如：高安全防护、漏洞评估、复杂的入侵检 测功能；以及从企业客户实际角度出发的，创建符合企业自身实际需求的安全最新资料欢迎阅读规则、日志记录、取证数据、事故调查等功能；同时以用户为中心，为用户提 供在高安全性的基础上，一定要具备端到端的无线排错功能，帮助用户发现问 题所在，快速解决。统一的认证及用户分级在很多时候客户对于他们的无线网络会提出更为细 致的要求，不仅仅只是希望网络安全方面的要求，同时还希望对他们的接入用 户进行不同的分类、分级，针对于不同类别的用户提供不同的策略控制、访问 权限、带宽限制等，例如：对于外来访客等临时用户在接入他们网络

7、的时候， 只能接入internet和收发e-ma订，而不能访问公司内部网络；而对于企业普 通内部员工、企业管理人员、企业其它分公司人员则可以拥有不同级别的、更 大的访问权限，此外，还可以做到有线网络和无线网络更为有效的融合；无线 网络不需要重新建立认证服务，只需要与有线网络的认证服务器结合，就可以 对于所有接入的用户进行认证。集中的控制管理对于无线网络需要有一个中心化的管理，网管人员只需在 无线控制器上就可开通、管理、维护所有无线设备以及移动终端。RF管理无 线局域网是一个整体系统，AP之间必须相互协调工作，单独改变一个AP参数 和配置会可能会引起AP之间的无线电波干扰，用户漫游重认证和授权也

8、可能 会产生问题，所以针对我们的无线网络就需要有强大的RF管理的功能，并且只 需要通过RF管理器就可以监视整个无线网络的运行状况。第3章无线安全应用接入网络方案建议3、1 Motorola无线安全应用接入方案建议根据*无线安全接入网络 的要求、未来的发展以及应用网络设计原则，结合Motorola无线、及安全产 品的技术特点，方案的建议为：采用集中式的控制管理结构，分布式的应用安 全接入来设计网络，其示意图如下所示：（本网络拓扑为理想示意图，实际网络拓扑需进行实地勘察后做适当调整） 本方案中采用RFS7000控制器+ AP300 & AP650 + Airdefense来组建应 用安 全接入网络

9、。采用了 ACAP构架，将密集型的无线网络和安全处理功能转移到 无线交换机中进行集中的控制管理。最新资料欢迎阅读在安全防护方面，使用全球领先的、具有金融级的Airdefense无线安全接 入及防护系统；具有自动防护、清除恶意连接；漏洞评估、复杂的入侵检测；自 定义符合企业实际需求的监管政策，以及日志记录、取证数据、事故调查、端 到端的无线排错等功能，在网络管理方面，Motorola无线网络实现了真正的集 中控管，具有多SSID支持，对不同的用户进行不同的分级，并赋予不同的访问 权限、策略控制、带宽管理；以及RF智能调控，自动恢复等功能，使无线网 络可以动态自动调节到最佳应用效果；还可以实现远端

10、AP状态监测，方便实 现对AP的管理；实现了对无线数据、语音和视频的应用带宽管理。3.2 Motorola无线AP的点位部署（因为没有经过实地的测试，此AP点 位部署为理想状态下的部署，AP数量可能与实际数量有微小出入）注：1、802、1 In AP的覆盖范围是802、11 b/g AP覆盖范围的2倍左右，2、802、lln 双频 AP 自带 Air defense sensor,而 802、11 b/g 需单 独配 置 AP 作为 Air Defense sensor,3、此点位图所标为802、lln AP的估计位置及数量，4、图中为AP部署位置，一楼AP点位部署示意图：需2 AP二楼AP

11、点位部署示意图：需2 AP三楼AP点位部署图：需5 AP四楼AP点位部署图： 需5 AP五楼AP点位部署图：需5 AP六楼AP点位部署图：需3 AP七楼AP 点位部署图：需2 AP,合计：共需要24个802、lln AP。3、3 Motorola无线安全应用接入方案优点Motorola从网络设计者的角 度来看，采用Motorola无线安全应用接入网络建议方案的优点主要表现在以 下几个方面：最新资料欢迎阅读3、3、1 Motorola无线安全接入管理自动检测、定位、阻断非法AP或 用户的接入当发现非法AP和非法的用户，自动检测并找到该设备，并且从物 理上清除。如果非法设备和用户不在公司内部Mot

12、orola Airdefense会对非法的AP 或非法用户发送disassociate,从而实现阻断，而且可以自动或者手动的对这 些非法AP或用户进行阻断。漏洞评估和入侵检测Motorola Airdefense可以对无线网络提前进行扫 描，从黑客的角度评估无线网络的安全、模拟笔记本电脑测试一个或者多个AP 确定哪些无线设备最易受到攻击、可以定期自动的进行远程无线漏洞的扫描、 自动识别错误配置的接入点、探测台等并且可以定期通过Email发送漏洞报 告。提供业界最丰富的无线安全威胁检测无线网络故障诊断Motorola Airdefense带有的网络性能故障排除工具是一款非常优秀的工具。能够提供端

13、 到端的故障诊断、排错；具有无线连接的排障、快速定位网络故障；对AP连 接性进行测试，从客户端分析无线和有线网络行为、自动测 试有线应用的接入。 并另外还具有以下特性：1、远程故障排除通过LiveView查看远程设备和信道身份连接性和处理 量问题实时解码802、11帧执行远程帧捕捉2、网络使用和性能确定使用过度的接入点和信道探查网络阻塞查找带 宽占用者分析可用性和阻塞趋势3、可用性通知管理员接入点故障创建所有设备的库存清单报告网络上 缺失的设备保持无线服务的级别协议Secu re Serv er W AN DHCP Server Applies tion Server DATA CENTER

14、REMOTE LOCATION AP 连接性测试：L2 Connectivity Wireless Authentication and Encrypt ion L3 Basic DHCP and DNS最新资料欢迎阅读L3 Advanced Network Routes, ACL, and Firewalls L4 Availability Wireless Applications are Running and Accepting Connections 网络数据取证 随着计 算机和网络应用普及，我们在享受便捷的同时，以电脑、网络为工具的髙科技 犯罪和计算机网络犯罪也不可避免地侵害我们的

15、合法权益。这就对相关行业计 算机取证等技术也将提出更高要求，Motorola Aiidefense具有丰富的取证数 据，可以从系统中调用几个月的历史数据、每分钟每个终端可有325多条统计 信息、终端连接和活动记录、攻击的严重性、使用哪个接入点进行攻击、何时 出现破坏、暴露风险有多久、出现何种传输、数据的传输类型和方向。并且具有用于取证分析和达标声明的准确记录、判定攻击的确切时间和影 响、无线网络性能和连接问题记录。频谱分析目前越来越多的企业正在扩建无线网络，当用户在使用无线带来 的便利时，经常会发现不能连接网络、网速非常慢、延时大等现象。Motorola Airdefense的频谱分析模块可以

16、对2、4GHz和5GHz波段的第一层进行分析、利用现有的传感器侦测非802、 11干扰（如微波炉、蓝牙、连续波干扰源）、支持远程的实时频谱分析。帮 助客户对无线网络进行问题解决。符合企业的监管政策对于越来越多的无线网络设备和用户来说，每个企业 都需要针对自身的特 性，来制定一套符合自身的监控政策。以便提髙网络的稳 定性。Motorola Airdefense带有监管能实现以下功能:定义监控执行定义企业和监管政策监控以确保设备正常运行对不合规性 设备执行相关政策执行有关合规性报告3、3、2 Motorola无线网络的管理统一的认证Motorola无线网络能够 与现今市场上所有的认证服务器相结合（

17、如：LDAP、TACACS. RADIUS等），不需要无线网络再重新建立认证服务器， 只要与现有的有线认证服务器相结合就可以为无线网络用户提供各种验认。并 且可以针对接入无线网络用户不同而需要选择不同的验证方式（802.1XJVEB认 证、MA最新资料欢迎阅读C、SSID 等）o无线接入用户的分级权限管理Motorola无线对于接入用户进行不同的分类、分级，针对于不同类别的接 入用户赋予不同的策略控制、访问权限、带宽 限制等等，例如：对于外来访客等临时用户在接入他们网络的时候，只能接入internet 和收发 e-mail,而不能访问公司内部网络；而对于企业普通內部员工、企业管理人员、企业其它分公司人员