【廉环话】漫谈信息安全设计与治理之无线覆盖与管控设计

原创
安全 应用安全
上期和大家漫谈后,有热心的小伙伴私信廉哥这个所谓的“在不破坏原有架构和功能运作的条件下”,到底是几个意思呢?

【51CTO.com 原创】上期和大家漫谈后,有热心的小伙伴私信廉哥这个所谓的“在不破坏原有架构和功能运作的条件下”,到底是几个意思呢?

我想说:“原来你是这样的读者!你这样问,你家里人知道吗?你问得真漂亮!”我很赞赏这位朋友的“参与精神”。廉哥应该发扬互联网的“***思维”,把漫谈讲得更透彻些。的确,我上次说含糊了,这里给大家讲个明白吧。因为众多企业原有网络架构运作已久,不管是慢也好,脆弱也罢,它都形成了自身的nature balance和用户习惯性,所以说我们不能过于“任性”。增加设备要全面考量和深入测试,我们旨在把网络升级得strong and fluent而不是制造新的“掣肘”。另外用户体验是很重要的,这一点上我们可以参照“马斯洛需求层次金字塔”来理解,在满足了能用的基础上,用户当然会需要用的爽,而安全和效率有时候就是一对天生的矛盾体,因此这个balance的度的把握很重要。技术是死的,但人是活的,如何安全运营和维护的前提条件下既搞定用户又满足审计,是需要一定的interpersonal技巧了。不多说了,不然这里要改成职场鸡汤了。还好哥事先管这里叫的是“漫谈”,即什么都可以说。哥会尽量显得收发自如点。那么书接上回,赶紧、迅速、马上开讲。

[[170873]]

无线覆盖与管控设计

现在大部分企业都部署了无线网络吧。但是大家是否有过(or着)这样的感受?当年整了几个带有WAP2企业级认证模式的无线AP,本以为从此以后永别“地下工作者+梁上君子”的攀高爬低生活,和蜘蛛网线说Sayonara了,霸特the ugly truth is:

· 要么SSID各自为政,覆盖范围不不均或是存在死角、未实现全覆盖,大家发现虽然实现了无线“联通”但毫无“移动”可言。

· 要么由于密码固定,使得很多员工通过各种渠道获取了高权限密码后,越权肆意连接。

· 要么定期需要IT到每个无线设备上改密码,工作量浩大。或是一个台设备出现故障,IT人员不得不奔波过去,累成狗似得排查调试。

· 公司内部已建立健全Windows AD认证架构,但各位无线设备的认证体系始终无法纳入该体系内。除了另外维护一套无线认证的成本开销外,员工入职离职都会导致系统的不统一。

上述几种情况总有一款是读者您当前或者曾经遇到过的吧?没办法,自己架设的无线网,哭着也要维护好。

那么怎么破呢?远方传来一句:“切克闹! ID统一、扫除盲点和集中化管理”。对!正确的打开方式是:在拓扑结构上,我们可以采取以新添置的无线交换机为中心,将其分别连接到现有核心(三层)交换机、多个无线AP(接入点一般都是POE类型,省得再去迁就电源插座)、无线controller(中控设备)和新设防火墙上。而此防火墙则直连前文提到的第三条ISP线路上(如下图所示)。这是基本配置,大家可以根据实际需求,增加多个无线交换机等设备。

【廉环话】漫谈信息安全设计与治理之无线覆盖与管控设计

下面我们来看看引入无线controller(中控设备)这样新的无线组网方案的好处。

管理上

· 有了无线controller的设置,实现了运维人员通过服务界面,从接入设备、无线网络、来往数据以及认证流控四个方面,对用户设备的接入、授权和使用进行全程控制。

· 各个AP被统一管理和配置,其工作状态被实时监控。当某个区域的AP报告信号不足时,控制器可以动态改变该区域相关AP的发射频率;而当AP报告该区域内有相同的信道信号时,同样可以通过动态调整,以避开信道的重叠,并实现负载均衡的效果。

· 用户的无线终端在移动过程中能自动切换AP,保持其网络不断线,即实现了跨AP的二层快速漫游。

安全上

· 可以配置多个SSID并实现不同的SSID有不同的网络权限,网络资源相互隔离。进而实现根据是否为公司合规的移动设备来自动识别登录公司无线内网,还是一般外网获取简单上网浏览的权限。

· 用户移动设备进入无线网络后只需对众多AP的其中之一进行输入一次性WIFI密码的连网认证,无线controller并能将用户连网许可权限同步至范围内其他所有AP。

· 无线controller可以配置不同账号密码的生存期,并且实现密码按照既定策略自动的按周期进行变更。

· 通过与企业域管理系统的联动,在用户的登录方式上,可以结合企业portal服务器或认证服务器,并实现短信字符串认证,微信二维码等多种认证方式。

· 对于要求严格的企业甚至可以先认证,后分配IP地址,再通过radius服务器的数据统一计费。

随着BYOD(以后会重点聊)的盛行,无线网络设计与管理在当前企业的网络安全运维的比重越来越明显。它与有线互为补充,相得益彰。当你的老板也成为“低头一族”,而且是“根本停不下来”的时候,你还敢小觑WIFI对于企业运营乃至IT部门兴衰的重要性吗?用个小段子结束这次的漫谈吧。以前一个IT部的哥们曾经无比自信的对大家说:“给我一个网卡,我就能找到你硬盘里的神!”(素质,注意素质!)。我想在他的基础上补充一句,如今应该是“让我你单位地址,我就能在外面的‘探囊取物’了!”别问我怎么实现的,自己去静静的脑补吧。

【51CTO.com 原创稿件,转载请注明作者及出处。】

责任编辑:蓝雨泪 来源: 51CTO.com
相关推荐

2016-09-27 17:42:06

网络安全技术周刊

2016-09-29 10:56:32

信息安全人员治理安全管理

2016-12-15 09:46:15

信息安全资源治理廉环话

2016-12-08 10:14:23

信息安全变更管理廉环话

2016-12-22 08:28:26

IT核算预算信息安全

2016-11-09 21:42:14

信息安全廉环话

2017-01-12 08:51:41

2016-08-18 09:26:37

2016-11-24 08:25:41

2016-09-18 09:42:50

2016-11-17 10:16:37

2016-10-13 10:49:57

云平台选型信息安全

2016-09-08 09:25:40

BYOD信息安全

2016-08-11 09:58:39

2016-10-20 08:07:27

信息安全人员治理廉环话

2017-01-19 09:30:10

2016-12-29 10:06:43

IT管理信息安全

2016-09-22 08:55:31

信息安全备份廉环话

2016-12-01 09:17:30

2016-10-27 09:12:28

点赞
收藏

51CTO技术栈公众号