公司内部无线局域网安全私自接入无线解决方案

公司内部,无线局域网,安全,私自接入
无线,解决方案
篇一：WIFI无线网络访问安全强化解决方案
WIFI无线网络访问安全强化解决方案
背景介绍：
WLAN作为一种无线技术，被越来越多的商业用户所采用。

在局域网组网方式下，最主流的选择就是通过各种交换机、路由器等构建有线的局域网，但是在实际特定的环境下却无法实现有线部署，就算有些环境采用有线部署也将带来更大的空间占用，比如学校中的图书馆、数字医疗、物流仓管系统等，为了更好的提升服务和效率，提出了WLAN的解决方案。

WLAN的解决方案确实为众多的商业用户提供了方便，在认证方面，一般都是采用WPE和WPA的方式进行认证，这种方便的认证方式使得在有线无法涉及的地方实现了更加快速便捷的接入。

但是在众多商业用户使用WLAN解决方案的过程中，也面临着众多的安全问题。

那么在WLAN的使用过程中我们到底面临哪些问题呢？
目前面临的问题：
正是由于WLAN本身所固有的安全机制WEP和WPA无法保证WLAN的接入安全，因此迫切需要一种更加安全的访问
控制解决方案，防止非法用户通过WLAN为突破口而进入到商业用户内部局域网，从而造成内部信息的泄漏。

（1）在实际的访问过程中，无论采用WEP或者WPA 都需要设定对应的密钥，密钥过于简单，网上流行的破解WEP 和WPA密码的方式非常多，因此单一的认证方式很容易造成密码泄漏，出现冒名登录，造成内部资源信息的泄漏（2）在WLAN的组网方案中，往往无线AP点众多，任意一点都可以作为接入点，如何对于众多的无线AP做统一的集中管理控制，防止非法用户接入访问。

（3）通过WLAN接入的电脑除了访问Internet外还需要访问内部众多的应用资源，因此对于接入访问内部资源的人员需要做接入访问控制
（4）通过WLAN接入的电脑一旦感染了木马、病毒，那么当用户通过WLAN接入内部网络的时候，这些木马、病毒等危险信息极有可能扩散的内部
深信服解决方案：
针对WLAN遇到的种种问题，为了有效的解决WLAN的非法接入问题，深信服提供SSL VPN的解决方案。

深信服解决方案拓扑：
深信服解决方案简述：
（1）为了有效防止WPE和WPA被破解而进入内部网络，可以通过SSL VPN来进行访问接入控制。

（2）为了防止无线WLAN单一的认证手段WPE和WPA 带来的风险，为了防止冒名登录，通过深信服的SSL VPN为每一位接入WLAN的用户提供对应的身份认证手段，从而有效标识每一位接入者，深信服提供多种多样的身份认证手段来加强身份认证
（3）对于从各个AP接入进来的用户都需要通过SSL VPN 来进行访问控制，即他们都有一个统一的认证窗口，对于访问Internet的认证过后直接放通，对于访问内网资源的按照SSL VPN流程进行访问
（4）对于需要访问内部资源的情况，深信服提供SSL VPN 的访问通道，并对每个接入人员提供细致的权限划分，从而保证访问内部资源的安全性
（5）深信服SSL VPN提供客户端安全检查，防止客户端所携带的木马病毒通过无线网络侵入到内部网络中带来的价值：
（1）杜绝非法用户，防止用户身份假冒：除了原有的WEP和WPA密钥外，还提供多种静态、动态密码，防止WLAN
的非法接入
（2）防止信息泄漏，保护信息安全：提供细致的权限划分，并提供SSL加密，保证数据的安全。

（3）提升对于WLAN接入用户的访问控制，提高接入安全性：提供多种认证手段，严格控制接入访问。

（4）极大降低管理和维护成本：由于SSL VPN无需安装客户端，仅依托于浏览器，所有配置集中进行配置。

案例介绍：
厦门国际银行
目前厦门国际银行办公主要集中在3-5层，每一层都有一个无线AP，因为楼层很多并且会有部分第三方人员来访问，因此为了防止第三方的非法接入或者破解WPE和WPA密码来接入，需要对于WLAN的接入做细致的访问控制，因此采用深信服SSL VPN来解决。

篇二：企业无线网络解决方案
企业无线网络解决方案
一、项目背景
从近几年无线网络在全球范围内的迅猛发展，不难发现国内外企业对无线网络的关注。

据统计，无线网络的家庭
市场比重将由XX年的%上升到XX年的%，企业用户的市场比重将由XX年的%上升到XX年的%。

随着无线网络的纵深发展，我们看到这样一个事实：无线网络不单纯是有线网络的延伸和补充，网络的未来趋势将是无线和有线的融合，这种融合将为企业运营乃至社会经济环境带来深刻的变化。

二、用户建网需求
这是一家贸易公司，公司整体环境包括接待大厅、各部门办公室和仓库三大部份[布局如下图]。

已有的有线网络可以满足各部门办公室的多台电脑进行Internet的访问，并建有小型的局域网以共享文件数据资料信息。

但是随着近一年来业务的飞速发展，销售人员常常需要在接待大厅接待客户的同时，向客户展示公司网页上的产品以及查看一些网上资讯，仓管人员在仓库时也需要访问公司的内部局域网进行库存数量的核对。

这些都使得原有的网络结构无法满足实际移动办公的需求，采用成熟的无线局域网技术是目前实现这一目标的最佳途径。

公司的整个区域要提供的无线宽带访问，在需要提供高性能，高扩展性Internet接入的同时，还提出了高安全性以及无线网络产品兼容性方面要求。

虽然无线局域网络架构简单灵活、投入成本低，易维护，但是如果想实现有线网络所能提供的例如文件共享、办公自动化，电子商务和ERP
等网络服务必须要考虑网络带宽的问题。

据公司网络负责人了解，市面上的无线网络产品供应商繁多，各个品牌的产品品质也有差别，但是很多无线网——————————————————————————————提供您高质量的系统集成类方案与资料
络产品的供应商并不是此无线网络产品的厂商，如果在使用过程中出现问题，技术支持和售后服务都很难保障。

高锐电子作为一家专业的无线网络设备提供商，提供的自有品牌的无线网络产品，产品性能高，兼容性好，稳定性强，售后技术支持服务方面也很完善。

最终公司网络负责人选择了高锐电子的无线网络产品作为其公司无线网络工程建设的首先设备。

三、技术解决方案 [方案布局见上图]
此公司规模在30人左右，占据所在的办公大厦的整个一层楼。

整个办公区域由电梯间分为两个部分，整个区域布局如下：
左侧为公司接待大厅，行政部办公室，市场部办公区域，总经理办公室（ADSL线路接入在此处），整体面积为600多平方米。

右侧区域为会议室，财务室，成品仓库。

300多平方米。

随着业务部门的扩大，需要上网的电脑越来越多，有几台给客户演示用的笔记本电脑也需要在接待大厅上网，行政部最近添置的一台台式电脑。

而财务室，会议室，成品仓库等各个部门对网络都有不同需求。

根据各个部门或者区域网络的规模、网络系统的复杂程度及其网络的应用程度，不同电脑的网络接口的不同，针对几个墙体相对较厚的独立办公室的实际信号测试，具体的AP布点和产品选型如下：——————————————————————————————提供您高质量的系统集成类方案与资料整个公司一共架设三台无线宽带路由器(890-56-300) [图1]:
一台在公司接待大厅中心的天花板上，这个点主要是覆盖接待大厅，行政部办公室和总经理办公室。

另外一台在放置是架设在市场部办公区域的中心位置上，主要是覆盖了整个市场部的办公区域。

最后一台放置在右侧财务室，这台除了可以覆盖财务室，还可以满足隔壁会议室和成品仓库的信号覆盖。

这款无线宽带路由器是基于标准设计的，带有4个高速以太网接口，可作为一个四口交换机使用。

并且使用的是中文的WEB的管理界面，公司网络管理人员更容易设置与维护网络。

所有的功能都能非常直观而有效的在互动的WEB界面里进行修改与调试。

由于公司网络管理员建议设置
公司的FTP和WEB服务器，而这款AP新增的国内网站(/retype/zoom/76ddf640b307e87100f69604?pn=3&x=0&y=8 6&raww=337&rawh=244&o=png_6_0_0_256_115_379_275__&t ype=pic&aimh=244&md5sum=3d4c6c5af53df56a0b4327853cc c585c&sign=8354046082&zoom=&png=101368-160774&jpg=0 -0" target="_blank">点此查看
在无线信号接收的终端上，分别采用了以下这几款无线网卡：
公司总经理办公室的一台笔记本电脑和业务部3台笔记本电脑上使用的是
+/G/B三模PCMCIA界面无线网卡(890-56-285) [上图2]，这款网卡采用CCK与OFDM调制技术可向下兼容一切通过Wi-Fi认证的产品，确保了标准化和不受品牌限制的兼容性。

配合无线宽带路由器(890-56-300) [上图1]最高可提供高达54Mbps 的传输速率为公司领导和业务人员提供了即时的、无缝结合的高速网络连接。

市场部办公区域的台式电脑使用的是高锐这款大功率USB无线网卡(U611-EU) [上图3]，发射功率高18dBm，这款USB无线可以算是市面上USB无线网卡功率最大的一款，而且由于天线面积大，信号接收尤其稳定，还可以通过调整USB 无线网卡的放置位置来获得最好的连接效果。

财务部和行政部的台式电脑使用的是/B+/B三模 PCI 无线网卡，这款无线网卡的功率17dBm(Max)±3dBm，具有可替换的天线形态，可以根据需要更换。

传输数据速度高达每秒54Mbps,完全可以满足财务部访问庞大数据库对高速宽带连接的需要。

四、方案总结
该公司的网络解决方案的拓扑结构为有线网络加无线网络相结合的方式，公司由于业务需要或者工作变更能够自由调整网络结构和随意增加减少工位，可以为来访客户提供随时随地的企业网络资源访问，提高办公的效率。

比如：在会议室开会时也可以使用现有的笔记本电脑在需要时对Internet进行访问。

本方案采用高锐无线网络系列产品,以时尚高速无线技术解决实际问题为主，结合有线构网为企业用户提供一个高性价比的解决方案，有效节约用户投资，使用户顺利地建好网络、使用好网络并管理好网络。

高锐公司将在中小企业无线网络建设的成功经验带给上海这家公司，并以其产品的优越性能可充分满足企业应用需求和良好的售后服务，使该项目迅速而顺利地成功实施，也同时丰富和延伸了CELL品牌无线网络产品在中小型企业中的典型应用。

目前这家公司的无线网络运行状况一切正常，公司各部门领导和员工对这
种无线网络连接方式也非常满意。

——————————————————————————————提供您高质量的系统集成类方案与资料篇三：XXXX无线安全应用接入方案建议书
******无线安全应用接入
方案建议书
Date October, XX
目录
第1章概述 ................................................ . (2)
MOTOROLA 企业移动事业部 ................................................ .. 2
第2章需求分析及设计原则 ................................................ . (3)
需求分析 ................................................
(3)
设计原则 ................................................ . (3)
第3章无线安全应用接入网络方案建议 (5)
MOTOROLA无线安全应用接入方案建议 (5)
无线AP的点位部署 ................................................ .. (6)
MOTOROLA无线安全应用接入方案优点 (10)
MOTOROLA无线安全接入管理 (10)
MOTOROLA无线网络的管理 (15)
第4章设备清单 ................................................
(16)
第5章产品资料 ................................................ . (16)
******无线安全应用接入网络方案建议书
第1章概述
Motorola公司十分高兴有机会为******提供无线安全应用接入网络方案建议，Motorola公司向来非常重视对于用户无线安全应用接入网络平台的前期建设功能及管理需求的深入分析，并愿意从技术、管理、运营、应用、扩展等多方面为******提供完善的无线安全应用接入网络平台解决方案建议。

并确保系统的稳定性，安全性，先进性及未来的扩展及多应用需求。

Motorola 企业移动事业部
Motorola公司于上世纪80年代中叶开始进行无线网络产品的开发和研制，是无线网络标准的缔造者之一。

从1989年推出全球第一套商业化的无线网络起，便一直引领着无线网络构架的发展的潮流。

参与制定了无线网络协议标准，拥有无线网络的VoIP专利技术，为客户提供无线网络功能的软件升级实现，满足了客户对无线安全应用接入网络标准不
断更新发展的需求，拥有无线安全应用接入网络交换机的专利技术等等。

Motorola依托于强大的企业移动解决方案，将无线安全应用接入网络成功地推入到各个行业。

我们的大客户有：美国国防部DOD，沃尔玛集团，家乐福集团，UPS，FedEx，DHL，波音飞机制造公司，通用汽车公司，奔驰汽车公司，纽约华尔街证券交易所，纽约肯尼迪国际机场，英国伦敦希斯罗国际机场，法国巴黎戴高乐国际机场等等。

Motorola公司提供的先进的技术，品质优异的产品以及完善的售后服务使之成为全球移动解决方案业界的绝对领先者。

XX年6月，Motorola公司凭借旗舰产品无线交换机RFS7000/ AP300/ AP5181/ AP5181优秀的网络性能成功赢得了北京XX奥运场馆的WLAN网络覆盖项目。

Motorola公司的无线网络产品广泛应用在移动、联通、电信、安利集团、中央电视台、白云机场、南京邮电大学、浙江大学等等企业或高校的无线安全应用接入网络。

第2章需求分析及设计原则
需求分析
******总部办公大楼的建设目标为：使用无线作为覆盖，以此为平台为企业提供各种基于无线的应用及安全接入，并为企业员工、外来访客提供安全、方便、快捷的网络接入，
并为以后的发展留下足够空间。

因为无线网络的信号散布在大气中，其安全性存在着先天的缺陷，所以安全性对于无线网络而言，显得优为重要。

因此在建设无线网络的时候一定要具有较高的安全性、并且对接入的无线用户进行不同的分级、分类，不同的用户设定不同的访问权限，来确保网络的安全性。

同时无线网络还应当具备较高的无线安全防护、漏洞评估、复杂的入侵检测功能；并且从企业客户的实际角度出发，创建符合企业自身实际需求的安全规则，以及日志记录、取证数据、事故调查等功能；且为方便企业对无线网络的维护管理，以用户为中心的角度出发，无线网络还应当在高安全性的基础上同时具备端到端的排错功能。

随着无线技术的发展，以及基于无线网络平台各种业务的大规模应用，所以无线网络应具有一定的前瞻性，能够支持或融合未来的多种业务，如：wi-fi语音、无线监控、无线视频等应用。

设计原则
充分考虑到******公司对于无线网络的需求，以及未来的发展趋势，因此本次无线网络建设的总体原则是：? 一个安全的无线应用接入网络
无线网络本身不仅仅是一个应用接入平台，同时也应当具备非常高的安全性，如：高安全防护、漏洞评估、复杂的入侵检测功能；以及从企业客户实际角度出发的，创建符合企业自身实际需求的安全规则、日志记录、取证数据、事故调查等功能；同时以用户为中心，为用户提供在高安全性的基础上，一定要具备端到端的无线排错功能，帮助用户发现问题所在，快速解决。

? 统一的认证及用户分级
在很多时候客户对于他们的无线网络会提出更为细致的要求，不仅仅只是希望网络安全方面的要求，同时还希望对他们的接入用户进行不同的分类、分级，针对于不同类别的用户提供不同的策略控制、访问权限、带宽限制等，例如：对于外来访客等临时用户在接入他们网络的时候，只能接入internet和收发e-mail，而不能访问公司内部网络；而对于企业普通内部员工、企业管理人员、企业其它分公司人员则可以拥有不同级别的、更大的访问权限，
此外，还可以做到有线网络和无线网络更为有效的融合；无线网络不需要重新建立认证服务，只需要与有线网络的认证服务器结合，就可以对于所有接入的用户进行认证。

? 集中的控制管理
对于无线网络需要有一个中心化的管理，网管人员只需在无线控制器上就可开通、管理、维护所有无线设备以及移动终端。

? RF管理
无线局域网是一个整体系统，AP之间必须相互协调工作，单独改变一个AP参数和配置会可能会引起AP之间的无线电波干扰，用户漫游重认证和授权也可能会产生问题，所以针对我们的无线网络就需要有强大的RF管理的功能，并且只需要通过RF管理器就可以监视整个无线网络的运行状况。