烟草进修学院无线校园网解决方案
软件版本管理、配置文件管理、接入用户管理、用户认证管理等功能,并可对网络中的其它设备进行统一管理,真正实现有线无线一体化管理。 组件的主要功能和特点如下: 1. 无线有线一体化管理
H3C无线运营管理组件(WSM)作为iMC智能管理中心的无线业务管理核心,对于网络中的AC、FAT AP、FIT AP、移动终端等无线设备与有线设备进行一体化集中管理,全网设备信息和状态一目了然。网络资源通过多种视图进行查看,视图内分组管理,将规模巨大的无线接入设备有效组织,便于用户维护。
2. 多样化的拓扑管理
H3C无线运营管理组件(WSM)中的无线业务逻辑拓扑帮助用户直观了解网络部署情况及设备/链路当前状态。系统可根据不同的方式组织资源,有效进行拓扑分组、真实组织全网资源。物理位置视图中用户可根据需要创建多纬度、多层次的物理位置结构,并在指定建筑物底图上根据真实情况摆放设备,逼近真实网络环境。
无线有线一体化拓扑
3. 无线终端定位和漫游记录审计
11
烟草进修学院无线校园网解决方案
H3C无线运营管理组件(WSM)可以直接在拓扑图中对移动终端的信息进行查看,包括MAC地址、信号强度、发射速率集、RSSI、SSID、使用信道、所在AC设备、所在AP设备等,并能查看各移动终端的全部漫游记录,使用户随时了解最终接入用户的情况,并对其接入轨迹进行审计。
无线终端漫游记录审计
4. RF覆盖管理和无线网络规划
在实际无线环境的部署和维护中,需要关注无线设备的RF范围、覆盖管理以及无线网络规划扩容问题。H3C无线运营管理组件(WSM)可以用很直观的拓扑图表示出无线网络中的RF状况。
无线RF覆盖状况
5. 无线入侵检测和防护
12
烟草进修学院无线校园网解决方案
无线网络灵活多变,并且基础设施不可见,因此比有线网络更容易遭到越权使用。对于这类问题,H3C无线运营管理组件(WSM)提供了Rogue设备检测功能,可对无线入侵进行检测,可明确显示非法接入设备,并对其进行信息查询、加入黑名单及发起攻击等动作。
无线入侵检测和防护
6. 丰富的无线统计报表
对网络进行运营管理需要对网络进行全方位的监控,从网络各种性能指标、告警指标中进行智能的统计和分析,才能有效从整体对网络状况进行衡量。H3C无线运营管理组件(WSM)提供了丰富的无线统计报表查询和定制功能,以帮助管理员对网络进行综合而全面的管理。
13
烟草进修学院无线校园网解决方案
3.3 安全方案 3.3.1 防ARP病毒
ARP欺骗攻击不仅会造成联网不稳定,引发用户无法上网,或者企业断网导致重大生产事故,而且利用ARP欺骗攻击可进一步实施中间人攻击,以此非法获取到文件服务等系统的帐号和口令,对被攻击者造成利益上的重大损失。因此ARP欺骗攻击是一种非常恶劣的网络攻击行为。
无线局域网由于带宽相对较窄,而且同一个AP下的所有用户都共享带宽,所以一有用户中ARP病毒,频繁发送ARP报文,对网络的影响比有线更大。
针对无线网络的特点,H3C创新的在WLAN上提供防ARP病毒方案,首先同一个AP的同一个SSID下的用户缺省启动用户隔离,这样用户发送的ARP报文不会被转发给其他用户,其次H3C ARP攻击防御解决方案通过对客户端、接入交换机和网关三个控制点实施自上而下的“全面防御”,并且能够根据不同的网络环境和客户需求进行“模块定制”,为用户提供多样、灵活的ARP攻击防御解决方案。
H3C提供两类ARP攻击防御解决方案:监控方式,认证方式。监控方式主要适用于动态接入用户居多的网络环境,认证方式主要适用于认
14
烟草进修学院无线校园网解决方案
证方式接入的网络环境;实际部署时,建议分析网络的实际场景,选择合适的攻击防御解决方案。另外,结合H3C独有的iMC智能管理中心,可以非常方便、直观的配置网关绑定信息,查看网络用户和设备的安全状况,不仅有效的保障了网络的整体安全,更能快速发现网络中不安全的主机和ARP攻击源,并迅速做出反映。
3.3.2 无线入侵检测
H3C的WIDS目前主要包括下面三个特性: ? 非法设备检测; ? 入侵检测;
? 无线用户接入控制(黑名单和白名单);
非法设备检测比较适合于大型的WLAN网络。通过在已有的WLAN网络中部署非法设备检测功能,可以对整个WLAN网络中的异常设备进行监视,并且可以根据需要对非法的设备进行防攻击处理(在实际的网络应用中,可以启动防攻击功能,即WIDS会尽量阻止非法的设备提供服务或者接入到无线网络)。非法设备检测可以检测并且分类WLAN网络中的多种设备,例如非法AP,非法无线终端,非法无线网桥等等。
入侵检测主要为了及时发现WLAN网络中的有意或者无意的攻击,通过记录信息或者日志方式通知网络管理者。根据入侵检测的结果,网络管理者可以及时调整网络的配置,去除WLAN网络的不安全因素,保证WLAN网络不再受到攻击。目前H3C的入侵检测主要包括802.11报文Flood攻击检测、AP Spoof检测以及Weak IV检测,而且其中Flood攻击检测可以根据不同类型的报文进行攻击检测。
接入控制根据特定的属性实现了对无线客户端接入WLAN网络的权限控制。目前WIDS接入控制主要根据MAC地址进行规则控制,并且支持两种控制规则:黑名单和白名单。其中白名单只能通过手动进行配置;而黑名单同时支持手动配置方式和动态添加方式,入侵检测系统和非法设备检测模块检测到非法攻击,可以动态地将该非法设备添加到黑名单
15