Fortinet安全解决方案-无线安全网络

Fortinet公司 PAGE6Fortinet无线网络安全解决方案1.概述Fortinet安全解决方案不仅仅是针对有线网络，而且也覆盖了无线网络。Fortinet新推出的瘦AP可以把FortiGate作为控制器，高速无线连接和内容层安全可以兼而得之。FortiAP是Fortinet公司在多年无线领域和安全领域经验积累上推出的产品。该设备对希望获得更多安全的无线用户来说是一个新的选择。通过该设备，无线用户可以选择从网络到应用层的各种安全功能，比如设置第七层的应用优先级，数据防泄漏和网络访问控制等等。无线平台控制（AC）模块被集成到各个FortiGate设备上，该控制模块可以对所有FortiAP进行集中管理和监控。所有的经过认证的无线数据都会被转发到作为控制平台的FortiGate，FortiGate通过防火墙策略和UTM安全功能对数据包进行处理，以发现不安全隐患。用户通过控制平台可以控制网络访问、迅速方便地升级策略和依据法律进行监控。专用的软硬件体系设计，使其保障网络安全的同时，不会成为网络速度的瓶颈。FortiAP-200系列可以以最小数量部署，而为用户提供高性能和多种安全保障。FortiGate和FortiAP组成了业内领先的安全、性能和可扩展的安全解决方案。Fortinet简化了设备价格体系，采用FortiGate作为通用管理平台，降低了用户总体拥有成本。FortiAP和FortiGate构成了无线网络安全解决方案：符合安全法规要求：检测和报告非法AP，细粒度地终端控制，审计式报告，专用的分析；降低总体拥有成本：灵活部署，充分发挥现有FortiGate，不需要单独采购集中控制器，所以能够有效地降低成本；FortiGate控制器比起竞争对手来说其扩展能力更为强大。2、简要拓扑结构在Fortinet的无线解决方案中，FortiGate作为无线的集中管理器，而FortiAP作为瘦AP的接入端，无线用户的认证和数据流转发均由FortiGate完成。简略的拓扑图如下：在FortiGate上可以集中管理FortiAP，并且设置无线接入的SSID，每个SSID均可以设置所跨越的FortiAP。这样无线用户的认证可以通过FortiGate完成，实现FortiAP之间的漫游。FortiAP不仅仅可以通过有线的方式与FortiGate互联，而且可以通过无线中继点接入FortiGate，远程用户可以通过Internet与FortiGate互联，接入到企业的无线网络。FortiAP和AC之间支持多种连接环境，包括直连、交换环境、路由环境，以及跨广域网的远程环境，FORTIAP与FORTIGATE（AC）可以工作在相同或不同IP网段，可以在同一局域网或广域网的不同地区，只要IP可达，即可正常工作。FortiAP和FORTIGATE（AC）之间使用标准的CAPWAP协议（无线接入点控制与配置协议），FortiAP仅作为一个无线信号接入点，不处理任何数据，透明地将无线设备（PC、PAD、手机等）的流量通过CAPWAP隧道传输到FORTIGATE（AC），由FORTIGATE（AC）统一处理，并由FORTIGATE（AC）负责进行网络层及应用层的安全过滤（包括防火墙访问控制、用户身份认证、入侵防御、病毒过滤、上网行为管理、内容过滤等）。CAPWAP协议的控制流量和数据流量均可以使用DTLS加密，保证通信内容不被窃取。一台FORTIGATE（AC）可以同时接入管理多台FortiAP，FORTIGATE（AC）可以把相同的SSID分发到所有FortiAP，使无线用户在不同FortiAP的覆盖范围内无缝漫游。3、FortiAP部署方式为保证型号覆盖及传输质量，应该将AP按照不超过20米的间隔进行蜂窝状部署，并考虑各种墙体对信号的屏蔽作用。FortiAP支持PoE供电，只要将其与支持PoE的交换机或网络设备相连，便可直接通过网线供电，无需连接外置电源。FortiAP支持多种部署方式，可以采用隧道模式，也可以支持透明模式。隧道模式如下图，所有的无线终端的IP地址均由FortiGate分配，所有的数据流汇总到FortiGate上。无线FortiAP与FortiGate之间建立数据传输的隧道，无线终端访问其他网段均由FortiGate来实现控制。透明模式如下图，所有的无线终端采用透明接入，无线客户端就直接由本地的路由器来分配IP，数据流直接转发到本地交换机上。FortiGate只是实现无线客户端的认证，不做数据流的汇总转发。在透明模式下，无线终端用户可以通过Radius用户的属性来分配到不同的VLAN上，直接转发到交换机的相应VLAN。4、FortiGate部署方式FortiGate支持网关、透明和旁路三种模式部署。网关模式下，FortiGate工作类似路由器，实现无线数据和普通数据流的路由转发。如下图所示，FortiGate的无线网络和有线网络是不同网段，在FortiGate上实现不同网段的路由转发。FortiGate同样可以工作于透明模式，将无线网络透明接入到有线网络。如下图所示，无线客户端的Ip地址和有线IP地址处于同一网段内。FortiGate在透明模式下也同样可以实现无线网络和有线网络之间的策略控制。FortiGate在部署上，可以在线式部署，也可以旁路式部署。旁路式部署方式如下图所示。所谓旁路方式部署实际上是单臂模式部署，无线用户通过FortiGate的转发与有线网络实现互通。5、无线通讯协议与加密无线上网用户（PC、PAD、手机等）使用标准的802.11无线协议族连接到AP，从而接入无线网络。FortiAP支持以下WIFI协议：IEEE802.11a(5-GHzBand)IEEE802.11b(2.4-GHzBand)IEEE802.11g(2.4-GHzBand)IEEE802.11n(5-GHz&2.4-GHzBand)Fortinet的无线方案支持ARRP（自动无线资源管理）功能，所有AP都会自动周期性地检查无线网络环境，选择最佳频道进行通信，减少网络干扰，获得最佳通信质量。Fortinet无线方案支持多种无线加密方式，包括：开放模式（不加密，不建议使用）；WEP（64bit或128bitRC4加密）；WPA（256bitTKIP或AES加密）；WPA2（256bitTKIP或AES加密，在WPA的基础上支持802.11i标准的安全要求）；从安全角度考虑，建议使用WPA2和AES加密方式。5、无线通讯协议与加密Fortinet无线方案能对无线用户接入网络后的访问权限进行控制，包括以下几种方式：使用不同的SSID将用户分组。例如内部员工使用employeeSSID，来宾使用guestSSID。这两个SSID使用不同的IP地址段，不能直接互访，必须经过FortiGate安全设备的过滤。本次部署的方案支持最多14个接入用的SSID。还可以为不同的AP分配不同的属性（APprofile），实现不同的部署。例如：AP1部署在会议室等公共区域，启用employee和guest两个SSID；AP2部署在办公区域，只启用employee一个SSID。防火墙访问控制。各组用户通过不同SSID接入无线网络后，无论互访还是访问网络其它区域（如生产网、办公网等），都要经过防火墙策略的控制。FortiGate可以对源/目的接口、源/目的IP地址、源/目的端口、时间、用户等进行过滤，从而使每一个无线用户都仅能访问他可以访