《无线网络安全应用解决方案V1.0》由会员分享,可在线阅读,更多相关《无线网络安全应用解决方案V1.0(46页珍藏版)》请在金锄头文库上搜索。
1、 无线网络安全应用解决方案目录一、 项目背景3二、 项目需求3三、 项目技术标准43.1 规范内容43.2 规范要求4四、 解决方案综述6五、 方案技术设计75.1 总体结构75.2 组网拓扑85.3 无线覆盖设计85.4 无线网络优化设计105.5 用户上网认证设计12六、 无线网络安全功能说明146.1 用户管理146.2 网络流量识别176.3 带宽资源管理196.4 强大的带宽管理功能206.5 上网行为管理216.6 统计与报表系统26七、 方案特点307.1高密度用户部署307.2优异的无缝漫游体验317.3领先的802.11n/ac产品支持317.4统一管理的无线网络架构327.
2、5易于安装的产品部署方式32八、 产品组成328.1室内双频吸顶AP 802.11n338.2室内双频吸顶AP 802.11ac338.3网络安全管理系统AA型号设备34九、 项目建设预算35十、 培训与售后服务3810.1系统培训3810.2售后服务方案40一、 项目背景如今,无线移动技术的不断发展以及信息化技术的广泛应用,推动了场所的无线网络建设。场所智能化管理系统运用移动互联网、云计算、物联网等技术,整合场所安防、管理和服务,形成各系统的信息交互,实现场所智慧化管理,为场所用户打造安全、便捷、规范的工作环境;为场所管理者提供高效、可靠的综合管理手段,从整体上提高场所形象,增加场所竞争力。
3、场所WLAN建设是智慧场所建设的关键,是基础设施依托,能够为场所的办公楼、宿舍楼、食堂、室外公共区域提高无线覆盖,为员工、方可提高高速、无缝漫游的无线网络,满足场所企业无线安全需求,实现无线办公的愿景。二、 项目需求根据资深行业专家与各场所市场部 /资讯部 /IT信息部等相关部门负责人交流、调研的结果,结合长期行业深耕的经验总结的数据表明,场所在考虑部署与运营无线网络时,主要会面临以下几方面的需求l 高速、稳定、连续覆盖需要解决楼层结构复杂,无线信号盲区多,覆盖不均匀且无线信号连续性差,客户上网体验不佳的问题;l 支持局部高并发需要解决场所内部分区域如课室、宿舍等特定区域人群集中,上网接入挤占
4、严重的问题;l 安全认证,满足合规审计需要解决接入认证安全机制、安全管控差,使场所管理方和员工遭受网络安全威胁的问题;三、 项目技术标准3.1 规范内容本技术规范适用于平台软件、硬件及平台集成,主要针对本次项目所需要的软件、硬件、及系统建设,以及各类服务提供,提出相应的技术规范要求。因此,本技术规范将给出项目所需要的软件、硬件、数据库及信息采集、系统建设在技术、性能、服务标准等方面应满足的各项指标要求。这些要求将在以后的各章节中列出,以供卖方编写方案建议书、设备配置、供货、服务提供及报价书之用。3.2 规范要求卖方所提供的系统、设备、软件及服务等,均应符合如下技术标准要求:(1)、国家发展改革
5、委、中编办、工业和信息化部等关于进一步加强政务部门信息共享建设管理的指导意见(发改高技2013733 号)(2)、国家新型城镇化规划(20142020 年)(3)、关于促进智慧城市健康发展的指导意见(发改高技20141770号)(4)、关于加快实施信息惠民工程有关工作的通知(发改高技【2014】46 号)(5)、中共中央办公厅、国务院办公厅关于转发的通知(中办发200217 号)(6)、中共中央办公厅、国务院办公厅关于国家信息化领导小组关于我国电子政务建设指导意见(中办发200217 号)(7)、中共中央办公厅、国务院办公厅关于加强信息资源开发利用工作的若干意见 (中办发200434 号)(8
6、)、国家电子政务总体框架(国信办【2006】2 号)(9)、全国企业基础信息共享实施要求(国信【2005】10 号文件)(10)、电子政务信息共享互联互通平台总体框架技术指南(国办秘函【2004】79 号)(11)、政务信息资源交换体系标准(GB/T 21062-2007)(12)、政务信息资源目录体系标准(GB/T 21063-2007)(13)、电子政务工程技术指南(国信办【2003】2 号)(14)、电子政务标准化指南总则(国标委高新【2002】42 号)(15)、电子政务标准化指南工程管理(国标委高新【2003】7 号)(16)、国家电子政务网络相关标准(17)、涉及国家秘密的计算机信
7、息系统安全保密方案设计指南,国家保密局(18)、涉及国家秘密的计算机信息系统安全保密技术要求,国家保密局(19)、中华人民共和国国家标准电磁辐射防护规定(国标GB8702-88)(20)、中国电信、中国移动、中国联通通信运营商相关WLAN 标准规范。(21)、计算机信息系统安全保护等级划分标准GB17859-1999,国家质量监督局(22)、计算机软件需求说明编制指南GB/T 9385-1988(23)、计算机软件开发规范(GB 856688)(24)、信息处理数据流程图、程序流程图、系统流程图、程序网络图、系统资源图的文件编制符号及约定GB/T 1526-1989卖方提供的各项设备、系统及服
8、务的功能、性能应完全符合买方指明的指标,并满足或高于买方指出的要求。对于本规范书中未能提出的系统性能指标,卖方应在建议书中加以补充和说明,并提供有关资料。四、 解决方案综述为了解决场所部署无线网络与后续运维面临的问题,无线网络整合完整的产品体系、结合公安审计要求、支持多种市场主流认证方式,提供完善的整体解决方案。l 设备品种门类齐全具备完整架构的无线产品。包括AP、交换机、云平台、Portal与Radius服务器。AP包括吸顶式、面板式(入墙式)、桌面式等802.11n AP,这些AP适合部署在办公区、公共场所等多种场景之下,提供统一的无线接入。l 支持多种认证方式场所无线网络能够为场所提供美
9、观精致、体验上佳的可定制Portal认证页,顾客在登录无线网络的同时,也将场所推广APP、场所活动等业务入口推至用户边界,大大提升了场所增创商业价值的能力。l 符合公安审计要求场所无线网络结合了NET110网络安全审计系统,采用审计模块嵌入模式,对网络结构无特别要求。审计系统升级采用后台升级模式,大大降低了维护的工作量,既方便新功能的更新,也避免了因上网数据不完整而导致的审计遗漏问题。网络安全审计系统符合公安82号令,满足公安对审计的要求。l 集中管控、远程运维集中管理系统、智能控制相集成的解决方案,通过统一无线网络架构,简化网络部署、运行和管理,从而降低了整体IT运营开支。从一个中央管理控制
10、平台方便地管理数个、数百乃至数千位于中央或远程地点的无线AP。l 扩容弹性高无线网络组网方案具有非常强的网络伸缩弹性,在第一期项目中可以只部署少量AP设备进行项目指定区域覆盖;在后期进行覆盖范围扩容时,叠加交换机、AP设备和平台管理License即可满足扩容需求。五、 方案技术设计5.1 总体结构场所整体WLAN网络规模较大,从项目整体来看,多期项目逐步建设完成之后,应该是完整的、独立的一张网络。整个网络应该具备三层结构,即是核心层、汇聚层、接入层。其中,核心层采用双冗余负载均衡设计,以保证整个无线网络的正常运营。汇聚层采用汇聚交换机,对各路接入交换机与AP、用户的数据进行汇聚交换,保障用户数
11、据高速转发。在最底层,利用无线AP设备实现用户终端与无线网的接入。无线AP由部署在公网的云AC平台集中管理和控制,终端认证由部署在公网的云认证服务器完成认证,客户无需担心AC和服务器硬件故障和维护,极大节省专人维护成本。由于无线网是面向场所内部员工与访客设计的,有一定的外来流动人口管控需求,因此必须要具备安全认证和行为内容审计,确保用户上网内容纳入公安机关的监控范围内,保证整体网络符合公安审计,满足公安部82号令要求。5.2 组网拓扑5.3 无线覆盖设计5.3.1室内无线AP覆盖在实际室内的覆盖应用中,会出现同一楼层内的覆盖布置、不同楼层之间的覆盖布置、同一楼层内宽敞空间的覆盖布置这三种场景。
12、以下对这3种场景进行分析:(1)同一楼层内的覆盖布置在同一楼层内,无线AP各点的子信道设置可以如上图,保证,AP点与AP点之间不会出现频率干扰,同时相互之间又存在一定的信号重叠,保证可以实现信号漫游。(1) 不同楼层之间的覆盖在不同楼层之间,实现无线AP信号覆盖的时候,如上图所示,原理与同一楼层的覆盖是一样的,不管是上下楼层还是同一楼层,只要保证各个相邻的信号之间有一定的重叠,同时频率相互错开,就能保证不会出现频率之间的干扰。(2) 同一楼层内宽敞空间的覆盖布置在比较宽敞的平面楼层内,无线AP的子信道设置如上图所示。一般来讲,该空间内布置7个无线AP点,中间的AP点设为信道1,周围的6个AP点
13、分别设为信道6和信道11相互错开。如果,空间更大的话,可以在这些无线AP的周围根据所需继续扩充,只要保证相邻的两个频率不会出现干扰同时信号又有一定重叠即可。5.3.2上网指标设计设计无线网络最大并发用户数500人,考虑室内日常并发用户数量不会太高,采用100M专线光纤接入出口路由器。路由器开启防火墙功能,对网络敏感应用提供安全防护和限制策略;由AP的嵌入式审计模块提供对整个无线网络所有上网应用内容、上网行为全面安全审计,提供审计信息实时上报功能,满足公安部82号令、网络安全法、反恐怖主义法、互联网安全保护技术措施规定、计算机信息网络国际互联网安全保护管理办法等相关规定。5.4 无线网络优化设计
14、5.4.1WLAN频段规划WLAN 802.11b/g/n工作在2.4GHz频段,频率范围为2.4002.4835GHz,共83.5M带宽,划分为13个子信道,每个子信道带宽为22MHz。子信道分配如图3-1所示。 WLAN 802.11b/g工作频段子信道分配WLAN 802.11a工作在5.8GHz频段,频率范围为5.725GHz5.850GHz,共125MHz带宽,划分为5个信道,每个信道带宽为20MHz。子信道分配如图3-2所示。WLAN 802.11a工作频段子信道分配 在使用2.4GHz频点时,为保证信道之间不相互干扰,要求两个信道之间间隔不低于25MHz。在一个覆盖区内,最多可以
15、提供3个不重叠的频点同时工作,通常采用1、6、11三个频点。5.4.2WLAN使用频段规划原则:1)在一个AP覆盖区内直序扩频技术最多可以提供3个不重叠的信道同时工作。考虑到制式的兼容性,相邻区域频点配置时宜选用1,6,11信道。2)频点配置时首先应对目标区域现场进行频率检测,对于覆盖区域内已有AP采用的信道,应尽量避免采用。3)室内AP覆盖区频点配置时,为了实现AP 的有效覆盖,避免信道间的相互干扰,在信道分配时宜引入移动通信系统的蜂窝覆盖原理。对1,6,11信道进行复用。4) 系统设计时应注意避免干扰源的影响。5.4.3WLAN漫游系统设计在WiFi网络中,用户终端通过关联AP广播的SSID进行WiFi接入。移动漫游过程中,用户终
