五、强调无线安全性
WLAN利用了不可见的公用媒介进行空中信号传播,安全问题是部署无线的巨大挑战,无线网络安全的复杂性一定程度上限制了企业部署无线。如何解决WLAN接入面临的安全问题,保证客户放心使用是一个重要问题。
仔细分析无线面临的安全挑战, 主要是防止非法AP接入、防止非法用户接入、防止ARP攻击、防止AP过载、防止不合理应用等。既要防范外部威胁,又要防范内部威胁,既要防范来自用户端的威胁,又要防范网络端的威胁。
首先是防范未授权AP,即Rouge 设备的接入。IEEE802.11网络很容易受到大量网络威胁的影响,如未经授权的AP用户、Ad-hoc网络、拒绝服务型攻击等,因此Rouge设备对于企业网络安全来说是一个很严重的威胁。这需要无线入侵检测(WIDS)功能来防范,通过WIDS对有恶意的用户攻击和入侵无线网络进行早期检测,检测WLAN网络中的rogue设备,上报管理中心,并对它们采取反制措施,最大程度地保护无线网络。
其次是防范非法用户,这主要通过认证技术及加密技术来保证。常用的认证方式包括802.1x认证、MAC地址认证、Portal认证等多种认证方式,保证无线用户身份的安全性, 结合WEP(64/128)、WPA、WPA2等多种加密方式保证无线用户的加密安全性。另外,通过用户身份认证结合AAA服务器上对用户组进行权限的配置和修改,网管人员可以轻松地对不同级别的人进行接入权限分配,实现精细的用户权限控制,从而大大增强了无线网络的可用度。
第三是防范ARP攻击。企业内部普遍存在ARP 攻击手段,通过伪造IP地址和无线交换机地址实现ARP欺骗,产生大量的ARP通信量使网络阻塞或者实现中间人攻击,严重的可以使网络不可用,危害企业应用。为了防止攻击者通过ARP报文实施"中间人"攻击,无线交换机需要具有ARP入侵检测功能,即通过对ARP报文进行合法性检测,转发合法的ARP报文,丢弃非法ARP报文,从而有效防御ARP欺骗。
第四是防范网络带宽滥用。这并不是直接的安全问题,但是会防碍企业内部正常网络应用,需要一些智能管理手段来解决这样的问题。在WLAN网络中,同一个无线AP下会同时接入多个无线终端,如果部分终端应用BT等下载应用,将占用所有的无线端口带宽,导致其它终端不能正常工作。为了避免上述问题,网络最好能支持智能带宽限速,限制终端使用固定带宽,或限制所有终端平均分享限定带宽,从而有效解决带宽占用的问题。
另外,为了避免无线网络中部分AP过载,部分AP闲置而影响网络使用,负载均衡功能也必不可少。智能负载分担方法可以动态地确定在当前时刻和当前位置下哪些AP可以彼此分担负载,通过控制无线客户端接入的AP,来实现这些AP间的负载分担。
在安全性方面,WX3024也是一把"好手"。其拥有802.1X、MAC地址、PORTAL等多种安全认证、AP的安全管理能力,提供防ARP攻击,无线入侵检测(WIDS),多种加密技术等安全技术,能够有效解决企业网络面临的安全挑战。综上所述,一款集成48个无线AP管理,具有千兆交换机性能,具备POE供电能力,并集成DHCP 服务器,PORTAL 认证服务器,RADIUS服务器及WEB管理等应用服务的有线无线一体化交换机,可以为企业网络体现最高的性能价格比。既能够带来网络的经济性、高效率、自由度,又不增加网络建设、维护使用的成本,是每一个网络建设者的追求。