移动设备的日益普及和削减成本之需促进了无线LAN(WLAN)的采用。分析师预测企业WLAN设备的开支将从2011年的34亿美元攀升到2016年的79亿美元,复合年均增长率达18.4%。此外,各类公司、组织机构纷纷支持无线边界设计,进一步的促进与边界交换机和有线部署相关的成本削减。
IEEE 802.11n无线标准是更多的企业采纳无线部署方案的催化剂, 由于IEEE 802.11n新标准覆盖范围更广,比传统无线标准性能增强五倍,远优于有线高速以太网LAN。鉴于此,WLAN的采用更为普及, 从而引发了如WLAN网络管理和安全这样应用服务需求。
Fortinet所提供的无线部署方案涵盖了无线接入与无线安全,其中FortiGate设备作为无线控制器,管理与控制瘦AP,同时提供与有线网络同等的安全防御功能,包括BYOD认证与管理、IPS、AV、应用控制、VPN的且保持高速的无线网络性能;FortiAP作为瘦AP实现无线网络的覆盖。
以下我们将结合无线部署实现之前应考虑的关键因素与Fortinet所提供Secure WLAN无线解决方案对比来体验该方案的先进性与可扩展性。
覆盖范围与速度
诸多的无线AP厂商都宣称所提供的AP具有高功率的输出以及由此带来的大范围的无线覆盖面积。如果Wi-Fi通信是广播或是如同FM无线电基站的单向通信的话,这样的宣称是没有问题的。事实上,Wi-Fi通信流量是双向的,且无线覆盖的范围是由客户端与AP端双向性能所决定。故此,大部分启动无线的设备是基于电池供电的(举例说明例如笔记本以及其他移动设备),他们才是无线覆盖范围中的“短板”即最弱的连接,而不是AP。
Fortinet的无线解决方案中的FortiWiFi与FortiAP产品一般提供17dBm或50mW的功率输出,符合并超过能够完成无线网络中与客户双向通信所需要的功率级别。通常情况下的Wi-Fi覆盖范围还取决于障碍物与干扰源,但是,一般的经验是一个无线AP可以覆盖的半径是50到60码(约为15到18米)。AP以六边形或蜂巢的模式部署可以增加覆盖范围。
追溯历史原因,企业之所以没有采用WLAN的部署是因为与有线网络相比,无线网络的速度要慢一些。IEEE802.11n技术标准的采用使无线速度超越了有线的高速以太网。
Fortinet的FortiAP产品家族是802.11n标准并使用2x2MIMO技术,可对用户端提供300Mbps通讯速率。那么,FortiAP设备可以提供相比IEEE802.11a/b/g技术标准的5倍性能与2倍的覆盖范围。FortiAP设备的进阶信号处理能力使用了双天线,最大化信号保真与数据重建。
用户细分与访客访问
企业部署WLAN希望能够具有基于SSID以及用户角色细分用户的能力。基于角色的访问控制使连接相同SSID的用户具有不同的访问权限,这样减少了对机密信息或管制数据被内部人员未授权访问的风险。另外,基于角色的访问也可以保证访客、合同雇员以及临时雇员适时的访问公司的商业信息,而不占用公司正常流量。
Fortinet无线方案中的身份识别策略引擎就是将用户根据其授权信息映射到内部访问群组结构图。不同的策略应用到不同的群组。这一功能允许公司的IT部门基于业务架构与合规要求创建不同的访问规则对用户或用户使用的设备进行细分。
鉴于用户访问是基于相同的WLAN与LAN架构,承载着内部的流量;业务流量与访客流量应是各行其道,而不是相互侵占。无论使用何种终端验证,作为无线部署中AC控制器的FortiGate设备的防火墙策略引擎可以将用户组的用户与访客策略相结合,对访客流量速率进行设置管理,从而保证不对公司关键业务流量质量产生任何的影响。 恶意内容,诸如非法应用与病毒也通过FortiGate设备的应用控制功能与IPS引擎阻挡在访客网络之外。当然,作为AC的FortiGate设备还具有很多内嵌的其他安全技术,例如网页过滤、垃圾邮件过滤,都可以随需启动来保护访客流量的安全。 且对于访客网络的管理还可以细致到基于访问时间限制、带宽以及其他规则而实现。
稳固的认证与加密
WLAN是一种共享媒介,加密是需要着重考虑的。以下是被广泛采用与支持的认证与加密标准。
Open/WEP64/WEP128/Shared ——该标准主要在流量直接路由到互联网的人点与访客访问点使用。 这样的选择没有认证或链路加密。公开选项应只用于安全不是顾虑的流量,或在应用层使用SSL或VPN保护通信流量。
访客网页认证(Guest Cpatival Portal)——是业界网页认证形式的标准。在该模式下,用户可以连接到无线AP,类似与以上的公开配置形式,但是用户在打开一个网页浏览器认证前所有的流量都将被阻断直至通过认证。
WPA/WPA2802.11iPresharedkey —— Wi-FiProtectAccess WPA是向下兼容,但是所有的应用都应迁移到WPA2,因其提供了更安全的加密数据。预共享密钥可以允许一个密码在所有链接到无线LAN的用户共享。这样的安全类型适用于访客或者家用访问,但是公司或企业应该对雇员以及使用基于RADIUS认证的WPA2方式的提供唯一的用户名与密码。
基于Radius后台的WPA/WPA2802.11i —— 该模式下,用户与密码信息是从用户调用并经过 802.1x认证的后端Radius服务器验证。这是无线部署验证方式中最安全的一种,也是最典型的用法。
Fortinet无线产品支持所有的认证类型包括WPA,WPA2 与最新基于标准的加密类型,如适用于无线网络的AES,TKIP与WEP以及网页认证的SSL。 对于扩展认证协议(EAP:Extended Authentication Protocol),Fortinet支持与您公司用户数据库兼容的全部标准协议。通过Radius服务器进行的扩展用户认证是通过EAP-MD5,EAP-TLS,EAP-TTLS与PEAP保障安全的。FortiGate与FortiWiFi设备的FortiOS操作系统支持基于LDAP与活动目录的认证,无需任何额外的软件许可。
非法AP检测与在线关联
非法AP是潜在的带给内部网络威胁的隐患,恶意用户通过创建泄露点可窃取公司的机密信息、管控或专利数据。处于这样的原因,行业的政策与法案例如PCI-DSS规定要对可疑或未知AP进行定期的扫描。
FortiGate非法AP检测引擎的目的在于自动发起扫描操作并提供FortiWiFi与FortiAP系统管理员能够持续监控未知AP的能力,以及判断无线网络中是否存在未知AP。Fortinet的无线接入与安全解决方案中的非法AP检测支持以下功能:
专用或背景无线信号监测对未知AP与无线客户端流量进行扫描。
非法AP监测列表中提供未知AP的MAC地址、生产商与安全状态、速度、最后一次出现的时间以及在线状态。
“在线”状态监测引擎使用各种关联技术以识别未知AP是否连接着FortiWiFi或FortiAP无线LAN。 如果引擎查看到的结果是AP在LAN中,那么将生成实施日志消息通知管理员。
关联引擎会连续的将无线客户端的流量与有线客户端的流量对比来识别是否一个客户端正在使用未知AP通过FortiGate设备进行通信。无线安全设置以及加密与认证的级别怎样,该项技术可以检测一个AP是否运行在桥接模式。
另一项关联技术就是将无线与有线网络的MAC关联以检测三层AP,无论AP是怎样的安全设置与NAT配置。
管理员可以手动划分未知AP为受信任或未受信任种类。
灵活的部署选项
一个无线产品商提供的产品是否具有部署的灵活性来满足用户的需求很重要。 从云端的单个无线控制器进行集中管理的功能对于分布式的零售行业客户来讲会是非常有吸引力的;而相对企业用户来讲分布式控制器部署可达到的高速无线吞吐是比较被认可的。
Fortinet所提供的无线解决方案提供了多种部署方式来满足用户丰富的需求。
配线架部署: 该部署可以实现使流量在一进入网络之初便得到快速的服务响应。多台FortiGate控制器服务于无线流量,那么就允许更大的带宽流量。这样的部署情景下选择FortiGate-200-POE是最为理想的,因其可以使用内嵌的POE端口直接对最大8个AP供电。
网关部署:该部署选择的用户可以使用现有服务于WAN-LAN的FortiGate设备作为无线控制器。在部署模式下,每个FortiAP都将其流量经通道转至FortiGate设备进行策略处理与转发。参见图1:
图1:FortiGate与FortiAP设备的部署选项
数据中心或云端部署: 该部署模式允许远程客户端通过私网将流量转发到集中的FortiGate设备控制器。这样的模式适于零售商用户在各个终端地点无需运行独立的无线LAN控制器就可以实现远程非法AP的检测;同样也适用于没有FortiGate设备部 署的小型办公场所。
图2: FortiGate与FortiAP设备数据中心与云端部署选择
便捷的实施
规划无线网络部署时还要着重考虑实施的便捷性。IT部门需要一个安装快捷且部署成本低的解决方案,且与现有的网络架构能够兼容。
Fortinet提供了所有能够实现快速便捷WLAN部署的产品。首先,现有的FortiGate用户可以将在使的FortiGate设备升级到FortiOS 4.0 MR3,使其支持无线控制器功能。运行无线控制器功能无需任何额外的license费用,只需要添加一些FortiAP设备,就轻松实现无线网络部署的同时享受与有线网络同等完美安全防护。
其次, FortiAP的启动设置简化后,每个AP使用发现机制在所连接网络的第二或三层定位最近的FortiGate设备控制器。IT人员仅需要在FortiOS GUI界面中选择已检测到的AP,并配置相应的无线选项,这样就完成了!FortiAP将自动下载配置并启动作为无线监测器,或作为一个瘦AP广播SSID,或同时提供以上两种功能。
第三,每个配置的SSID显示作为一个虚拟网络接口,管理与策略配置与Fortinet设备中的物理接口相同。通过该接口的流量可以配置通过防火墙策略、IPS查看、反病毒扫描、基于用户细分的身份识别、应用控制、数据防泄漏检测,或配置通过VPN连接到其他网站,或网络访问控制。
最后,但同样重要的是,FortiAP-210/220B设置支持POE供电,消除了对于无线AP运行额外的AC插口的需要。这不仅削减了安装成本,且增加没有电源需要情形下移动AP的灵活性。FortiAP产品符合低成本设计的802.3af规格且可以使用现有的POE交换机或电源PoE注射器进行供电。
集中管理
任何对于公司与企业可行的无线管理解决方案中都应用具有管理胖瘦AP的能力。Fortinet无线解决方案中对FortiGate与FortiWiFi设备的集中管理是通过FortiManager提供的,不需要对每个离散的控制器与瘦AP进行配置,自建立冗余系统时减少了用户配置人为错误发生的机率;软件的升级也是可以通过集中管理实现的。
每台FortiGate设备同样可以对所控制的FortiAP进行集中管理并执行软件升级操作。 FortiGate 设备中基于选项的管理功能,IT管理员只需要简单的更改选项即可以实现对全部物理FortiAP的全局配置更改。也就是在整个企业或公司的无线部署范围内,认证设置、SSID或无线管理更改都可以统一无缝的实现,极大的降低了操作成本以及部署总成本。
图3:通过FortiGate实现的对AP配置选项的集中管理与升级
集中管理的另一方面是关于Fortinet无线解决方案中的FortiAnalyzer设备,实现数据挖掘与报告功能。FortiAnalyzer设备从FortiGate设备收集全部的日志,将日志以不同级别与分类呈仪表盘显示整个无线网络的健康度,以及查看信息追溯任何问题产生的根源。Fortinet无线方案中的该设备,主要协助服务提供商或大型企业,提供月度的状态报告以解决任何网络的连接性或安全性问题。