Fortinet安全解決方案無(wú)線安全網(wǎng)絡(luò)

Fortinet安全解決方案無(wú)線安全網(wǎng)絡(luò)Fortinet無(wú)線網(wǎng)絡(luò)安全解決方案1.概述Fortinet安全解決方案不僅僅是針對(duì)有線網(wǎng)絡(luò)，而且也覆蓋了無(wú)線網(wǎng)絡(luò)。Fortinet新推出的瘦AP可以把FortiGate作為控制器，高速無(wú)線連接和內(nèi)容層安全可以兼而得之。FortiAP是Fortinet公司在多年無(wú)線領(lǐng)域和安全領(lǐng)域經(jīng)驗(yàn)積累上推出的產(chǎn)品。該設(shè)備對(duì)希望獲得更多安全的無(wú)線用戶來(lái)說(shuō)是一個(gè)新的選擇。通過(guò)該設(shè)備，無(wú)線用戶可以選擇從網(wǎng)絡(luò)到應(yīng)用層的各種安全功能，比如設(shè)置第七層的應(yīng)用優(yōu)先級(jí)，數(shù)據(jù)防泄漏和網(wǎng)絡(luò)訪問(wèn)控制等等。無(wú)線平臺(tái)控制（AC）模塊被集成到各個(gè)FortiGate設(shè)備上，該控制模塊可以對(duì)所有FortiAP進(jìn)行集中管理和監(jiān)控。所有的經(jīng)過(guò)認(rèn)證的無(wú)線數(shù)據(jù)都會(huì)被轉(zhuǎn)發(fā)到作為控制平臺(tái)的FortiGate，F(xiàn)ortiGate通過(guò)防火墻策略和UTM安全功能對(duì)數(shù)據(jù)包進(jìn)行處理，以發(fā)現(xiàn)不安全隱患。用戶通過(guò)控制平臺(tái)可以控制網(wǎng)絡(luò)訪問(wèn)、迅速方便地升級(jí)策略和依據(jù)法律進(jìn)行監(jiān)控。專用的軟硬件體系設(shè)計(jì)，使其保障網(wǎng)絡(luò)安全的同時(shí)，不會(huì)成為網(wǎng)絡(luò)速度的瓶頸。FortiAP-200系列可以以最小數(shù)量部署，而為用戶提供高性能和多種安全保障。FortiGate和FortiAP組成了業(yè)內(nèi)領(lǐng)先的安全、性能和可擴(kuò)展的安全解決方案。Fortinet簡(jiǎn)化了設(shè)備價(jià)格體系，采用FortiGate作為通用管理平臺(tái)，降低了用戶總體擁有成本。FortiAP和FortiGate構(gòu)成了無(wú)線網(wǎng)絡(luò)安全解決方案：符合安全法規(guī)要求：檢測(cè)和報(bào)告非法AP，細(xì)粒度地終端控制，審計(jì)式報(bào)告，專用的分析；降低總體擁有成本：靈活部署，充分發(fā)揮現(xiàn)有FortiGate，不需要單獨(dú)采購(gòu)集中控制器，所以能夠有效地降低成本；FortiGate控制器比起競(jìng)爭(zhēng)對(duì)手來(lái)說(shuō)其擴(kuò)展能力更為強(qiáng)大。2、簡(jiǎn)要拓?fù)浣Y(jié)構(gòu)在Fortinet的無(wú)線解決方案中，F(xiàn)ortiGate作為無(wú)線的集中管理器，而FortiAP作為瘦AP的接入端，無(wú)線用戶的認(rèn)證和數(shù)據(jù)流轉(zhuǎn)發(fā)均由FortiGate完成。簡(jiǎn)略的拓?fù)鋱D如下：FortinetFortinet安全解決方案無(wú)線安全網(wǎng)絡(luò)全文共6頁(yè)，當(dāng)前為第1頁(yè)。在FortiGate上可以集中管理FortiAP，并且設(shè)置無(wú)線接入的SSID，每個(gè)SSID均可以設(shè)置所跨越的FortiAP。這樣無(wú)線用戶的認(rèn)證可以通過(guò)FortiGate完成，實(shí)現(xiàn)FortiAP之間的漫游。FortiAP不僅僅可以通過(guò)有線的方式與FortiGate互聯(lián)，而且可以通過(guò)無(wú)線中繼點(diǎn)接入FortiGate，遠(yuǎn)程用戶可以通過(guò)Internet與FortiGate互聯(lián)，接入到企業(yè)的無(wú)線網(wǎng)絡(luò)。FortiAP和AC之間支持多種連接環(huán)境，包括直連、交換環(huán)境、路由環(huán)境，以及跨廣域網(wǎng)的遠(yuǎn)程環(huán)境，F(xiàn)ORTIAP與FORTIGATE（AC）可以工作在相同或不同IP網(wǎng)段，可以在同一局域網(wǎng)或廣域網(wǎng)的不同地區(qū)，只要IP可達(dá)，即可正常工作。FortiAP和FORTIGATE（AC）之間使用標(biāo)準(zhǔn)的CAPWAP協(xié)議（無(wú)線接入點(diǎn)控制與配置協(xié)議），F(xiàn)ortiAP僅作為一個(gè)無(wú)線信號(hào)接入點(diǎn)，不處理任何數(shù)據(jù)，透明地將無(wú)線設(shè)備（PC、PAD、手機(jī)等）的流量通過(guò)CAPWAP隧道傳輸?shù)紽ORTIGATE（AC），由FORTIGATE（AC）統(tǒng)一處理，并由FORTIGATE（AC）負(fù)責(zé)進(jìn)行網(wǎng)絡(luò)層及應(yīng)用層的安全過(guò)濾（包括防火墻訪問(wèn)控制、用戶身份認(rèn)證、入侵防御、病毒過(guò)濾、上網(wǎng)行為管理、內(nèi)容過(guò)濾等）。CAPWAP協(xié)議的控制流量和數(shù)據(jù)流量均可以使用DTLS加密，保證通信內(nèi)容不被竊取。一臺(tái)FORTIGATE（AC）可以同時(shí)接入管理多臺(tái)FortiAP，F(xiàn)ORTIGATE（AC）可以把相同的SSID分發(fā)到所有FortiAP，使無(wú)線用戶在不同F(xiàn)ortiAP的覆蓋范圍內(nèi)無(wú)縫漫游。3、FortiAP部署方式為保證型號(hào)覆蓋及傳輸質(zhì)量，應(yīng)該將AP按照不超過(guò)20米的間隔進(jìn)行蜂窩狀部署，并考慮各種墻體對(duì)信號(hào)的屏蔽作用。FortiAP支持PoE供電，只要將其與支持PoE的交換機(jī)或網(wǎng)絡(luò)設(shè)備相連，便可直接通過(guò)網(wǎng)線供電，無(wú)需連接外置電源。FortiAP支持多種部署方式，可以采用隧道模式，也可以支持透明模式。隧道模式如下圖，所有的無(wú)線終端的IP地址均由FortiGate分配，所有的數(shù)據(jù)流匯總到FortiGate上。無(wú)線FortiAP與FortiGate之間建立數(shù)據(jù)傳輸?shù)乃淼?，無(wú)線終端訪問(wèn)其他網(wǎng)段均由FortiGate來(lái)實(shí)現(xiàn)控制。FortinetFortinet安全解決方案無(wú)線安全網(wǎng)絡(luò)全文共6頁(yè)，當(dāng)前為第2頁(yè)。透明模式如下圖，所有的無(wú)線終端采用透明接入，無(wú)線客戶端就直接由本地的路由器來(lái)分配IP，數(shù)據(jù)流直接轉(zhuǎn)發(fā)到本地交換機(jī)上。FortiGate只是實(shí)現(xiàn)無(wú)線客戶端的認(rèn)證，不做數(shù)據(jù)流的匯總轉(zhuǎn)發(fā)。在透明模式下，無(wú)線終端用戶可以通過(guò)Radius用戶的屬性來(lái)分配到不同的VLAN上，直接轉(zhuǎn)發(fā)到交換機(jī)的相應(yīng)VLAN。4、FortiGate部署方式FortiGate支持網(wǎng)關(guān)、透明和旁路三種模式部署。網(wǎng)關(guān)模式下，F(xiàn)ortiGate工作類似路由器，實(shí)現(xiàn)無(wú)線數(shù)據(jù)和普通數(shù)據(jù)流的路由轉(zhuǎn)發(fā)。如下圖所示，F(xiàn)ortiGate的無(wú)線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)是不同網(wǎng)段，在FortiGate上實(shí)現(xiàn)不同網(wǎng)段的路由轉(zhuǎn)發(fā)。FortiGate同樣可以工作于透明模式，將無(wú)線網(wǎng)絡(luò)透明接入到有線網(wǎng)絡(luò)。如下圖所示，無(wú)線客戶端的Ip地址和有線IP地址處于同一網(wǎng)段內(nèi)。FortiGate在透明模式下也同樣可以實(shí)現(xiàn)無(wú)線網(wǎng)絡(luò)和有線網(wǎng)絡(luò)之間的策略控制。FortiGate在部署上，可以在線式部署，也可以旁路式部署。旁路式部署方式如下圖所示。所謂旁路方式部署實(shí)際上是單臂模式部署，無(wú)線用戶通過(guò)FortiGate的轉(zhuǎn)發(fā)與有線網(wǎng)絡(luò)實(shí)現(xiàn)互通。5、無(wú)線通訊協(xié)議與加密無(wú)線上網(wǎng)用戶（PC、PAD、手機(jī)等）使用標(biāo)準(zhǔn)的802.11無(wú)線協(xié)議族連接到AP，從而接入無(wú)線網(wǎng)絡(luò)。FortiAP支持以下WIFI協(xié)議：Fortinet安全解決方案無(wú)線安全網(wǎng)絡(luò)全文共6頁(yè)，當(dāng)前為第3頁(yè)。Fortinet安全解決方案無(wú)線安全網(wǎng)絡(luò)全文共6頁(yè)，當(dāng)前為第3頁(yè)。IEEE802.11b(2.4-GHzBand)IEEE802.11g(2.4-GHzBand)IEEE802.11n(5-GHz&2.4-GHzBand)Fortinet的無(wú)線方案支持ARRP（自動(dòng)無(wú)線資源管理）功能，所有AP都會(huì)自動(dòng)周期性地檢查無(wú)線網(wǎng)絡(luò)環(huán)境，選擇最佳頻道進(jìn)行通信，減少網(wǎng)絡(luò)干擾，獲得最佳通信質(zhì)量。Fortinet無(wú)線方案支持多種無(wú)線加密方式，包括：開(kāi)放模式（不加密，不建議使用）；WEP（64bit或128bitRC4加密）；WPA（256bitTKIP或AES加密）；WPA2（256bitTKIP或AES加密，在WPA的基礎(chǔ)上支持802.11i標(biāo)準(zhǔn)的安全要求）；從安全角度考慮，建議使用WPA2和AES加密方式。5、無(wú)線通訊協(xié)議與加密Fortinet無(wú)線方案能對(duì)無(wú)線用戶接入網(wǎng)絡(luò)后的訪問(wèn)權(quán)限進(jìn)行控制，包括以下幾種方式：使用不同的SSID將用戶分組。例如內(nèi)部員工使用employeeSSID，來(lái)賓使用guestSSID。這兩個(gè)SSID使用不同的IP地址段，不能直接互訪，必須經(jīng)過(guò)FortiGate安全設(shè)備的過(guò)濾。本次部署的方案支持最多14個(gè)接入用的SSID。還可以為不同的AP分配不同的屬性（APprofile），實(shí)現(xiàn)不同的部署。例如：AP1部署在會(huì)議室等公共區(qū)域，啟用employee和guest兩個(gè)SSID；AP2部署在辦公區(qū)域，只啟用employee一個(gè)SSID。防火墻訪問(wèn)控制。各組用戶通過(guò)不同SSID接入無(wú)線網(wǎng)絡(luò)后，無(wú)論互訪還是訪問(wèn)網(wǎng)絡(luò)其它區(qū)域（如生產(chǎn)網(wǎng)、辦公網(wǎng)等），都要經(jīng)過(guò)防火墻策略的控制。FortiGate可以對(duì)源/目的接口、源/目的IP地址、源/目的端口、時(shí)間、用戶等進(jìn)行過(guò)濾，從而使每一個(gè)無(wú)線用戶都僅能訪問(wèn)他可以訪問(wèn)的資源。Fortinet安全解決方案無(wú)線安全網(wǎng)絡(luò)全文共6頁(yè)，當(dāng)前為第4頁(yè)。Fortinet無(wú)線安全方案無(wú)縫集成了Fortinet公司領(lǐng)先業(yè)界的UTM（統(tǒng)一威脅管理）安全解決方案，除防火墻外，還可以直接使用VPN、入侵防御、網(wǎng)關(guān)防病毒、Web內(nèi)容過(guò)濾、應(yīng)用控制、EmailFortinet安全解決方案無(wú)線安全網(wǎng)絡(luò)全文共6頁(yè)，當(dāng)前為第4頁(yè)。FortinetFortinet安全解決方案無(wú)線安全網(wǎng)絡(luò)全文共6頁(yè)，當(dāng)前為第5頁(yè)。制度說(shuō)明制度說(shuō)明制度是以執(zhí)行力為保障的?！爸贫取敝钥梢詫?duì)個(gè)人行為起到約束的作用，是以有效的執(zhí)行力為前提的，即有強(qiáng)制力保證其執(zhí)行和實(shí)施，否則制度的約束力將無(wú)從實(shí)現(xiàn)，對(duì)人們的行為也將起不到任何的規(guī)范作用。只有通過(guò)執(zhí)行的過(guò)程制度才成為現(xiàn)實(shí)的制度，就像是一把標(biāo)尺，如果沒(méi)有被用來(lái)劃線、測(cè)量，它將無(wú)異于普通的木條或鋼板，只能是