湖北中烟安全可移动网络接入解决方案20120215.ppt

,MobilezuoArubaNetworksFeb2012,ArubaMOVE安全可移动企业网络解决方案,Peoplemove.Networksmustfollow.,ArubaMOVE网络架构,ManageCostswithanIntegratedArchitecture,内置无线入侵保护和基于角色的防火墙,现有网络结构无需任何调整,中心化网络运维和策略管理,基于用户角色的可移动的网络基础架构,ArubaMOVE网络安全接入解决方案,ArubaMOVE网络服务,终端和用户的认证与授权,无线射频的自适应调整及可视化管理,全网统一运维管理,网络、用户和数据安全策略,无线射频的自适应调整及可视化管理,无线环境的复杂性,无线用户密度,各种各样的终端,不同的操作系统,复杂的无线应用,挑战动态射频环境在一定的覆盖范围，可以使用的工作信道并不是一成不变的，与环境中存在的干扰和用户密度、流量负载等有关,智能射频优化，提供高性能无线接入服务自动化信道、功率和门限调整智能化的频段和信道负载均衡客户化空中接口流量整形策略消除安全漏洞，保护网络免收外来威胁防范基于无线的拒绝服务、中间人和其它攻击行为自动防范企业内网用户到外部接入点的错误关联精确识别和压制非授权的无线终端和网络设备提供全面的频谱扫描和分析功能自动识别非WiFi的各类射频干扰源基于射频噪声水平的信道自动优化对射频干扰事件进行录制和回放与多功能接入点集成，降低部署成本Aruba所有的11n接入点都支持无线入侵保护和频谱分析功能不需要配置其它任何装置、探头和客户端软件,全方位的无线射频功能,ARM1.0:自动化的信道/功率调整,ARM2.0:多个层次的无线射频控制,自动化的信道调整：实时监测周边射频环境的干扰系数，动态调整AP工作信道自动化的功率调整：实施监测整个无线网络的覆盖系数，动态调整AP发信功率,基于频段的负载均衡：在2.4GHz和5.8GHz这两个频段之间进行负载均衡，尽可能使无线终端转移到信道更多、干扰更少的5.8GHz频段基于信道的负载均衡：在同一频段的多个无线信道之间进行负载均衡，避免终端过度集中在某个单一信道内基于终端的流量整形：在同一个信道内，对不同的终端进行流量整形，使无线信道资源在终端之间实现合理分配,采用ARM2.020%公平分配网络性能40%大幅降低干扰影响30%提升网络整体性能100超高密度用户接入,无线集中管理与自动优化,AirtimeFairness:TheProof,确保公平接入所有客户端,BeforeARM2.0,AfterARM2.0,对无线频谱环境进行实时扫描和分析,在扫描网络安全隐患的同时对非授权设备进行压制Tarpit无线压制对RogueAP进行仿冒攻击减少攻击过程中的资源消耗防范错误连接防止合法终端与外部的干扰AP进行关联基于有线的压制对RogueAP进行ARP攻击,对非授权无线设备进行识别和压制,终端和用户的认证与授权,灵活精细的用户接入控制技术,基于端口和VLAN的接入控制LimitedpolicyenforcementHardtoscaleatlargesitesToocostlytomanage,传统的接入控制,基于用户身份的接入控制RolebasedaccessPeruservisibilityEasytoscale,基于设备类型的接入控制DeviceenrollmentPerdevicepoliciesDeviceinventory,无线终端指纹识别,基于内容感知的接入控制,基于网络应用的接入控制PerapplicationQoSStatefulQoSforUCSupportshighdensity,无线用户身份识别,无线应用流量识别,无线控制器,企业内网,企业AD&IAS,用户管理系统,外来访客认证,内部员工认证,隧道,无线接入点,网络中心,访客管理Web认证,接入交换机,与AD结合实现计算机名和域帐号双重认证,智能终端接入实现方式,智能终端进行三因素身份认证：MAC认证只有指定MAC地址的终端才能发起802.1X认证。802.1X认证只有具备指定帐号的用户才能通过802.1X/EAP-PEAP认证，成功关联无线AP，并请求IP地址。智能终端识别对通过802.1X认证的终端进行识别，只有符合指纹特征的终端才能被识别为合法终端，并最终获得业务系统访问权限。,针对每个用户、终端的性能监测和客户化报表,企业活动目录,ArubaAmigopod,2.针对终端类型的指纹识别,4.提供基于内容的策略控制机制,3.iPad自助注册和部署终端证书,1.针对用户身份的指纹识别,Aruba移动控制器,802.11nAP,在企业环境中授权使用iPad终端,在工作环境中授权使用您的iPad智能终端,基于指纹的用户、终端和应用自动识别技术,IT零接触部署，基于内容的安全策略控制,访客无线上网实现方式,访客帐号自助注册实现方式：,通过用户管理系统提供LDAP_lookup功能，在创建访客帐号之前先对通过LDAP接口到VIP数据库中查询自助注册页面中的电话号码是否存在，如果存在则创建访客帐号，并通过短信网关以手机短信方式发送给VIP客户；如果在数据库中无法查询到该号码，则在自助注册页面返回错误提示信息。,先进的无线终端识别技术,网络、用户和数据安全策略,传统的无线网安全性,NormalEthernetpacket,Unencrypted,Encrypted,WLANApplianceorServer,Fat/FitAP,传统WirelessLAN(802.11)加密方式:只有Client至AP加密,AP至骨干网络之间成为安全漏洞,WEP802.1x/WPA/WPA2,只有Aruba提供端到端的安全传输,GREEncapsulation,Encrypted,GRETunnel,ArubaWirelessLAN加密方式:从客户端至无线交换器所连接的骨干网络之间皆为加密的802.11封包,ARUBA为集中式加密与解密,实现基于身份角色的策略控制,单一物理网络设施不同组或用户设定的不同QOS级别不同组或用户设定不同的路由策略不同组或用户设定不同访问控制策略不同用户设定不同的上下行带宽策略不同用户设定不同的会话数控制策略,INTERNET接入服务,访客,IP电话服务，QOS保证,语音,市场,财务,领导策略控制，QOS,财务策略控制，QOS,市场策略控制，QOS,Aruba的Firewall可以检测到ICMP,TCPSync,IPSession,IPSpoofing,RSTRelay,ARP等多种潜在网络攻击,并自动将攻击者放入黑名单,断开无线连接,把安全边界扩展到网络边缘,外置防火墙部署方式,ARUBA内置防火墙部署方式,企业网络,企业网络,支持防火墙策略与802.11无线层的联动，实时隔离不安全的无线终端在网络边界上实施安全策略，支持对整个网络的安全保护,防火墙与无线网络之间无法实现联动，只能被动丢弃非法报文防火墙部署在骨干网络入口，无法实现无线终端之间的访问控制,为什么我们需要无线攻击保护?,24,不可控的无线设备RogueAPsLaptopsactingasbridgesMisconfiguredlaptopsAd-Hocnetworks对无线网络的攻击DenialofService/floodingForgeddeauthenticate/disassociateMan-in-the-MiddleWEPcrackingWPA-PSKcracking,主要特性与WLAN基础设施集成恶意接入点检测、分类和定位跟踪任何无线设备到3-5米的精度自动恶意接入点控制第三方接入点监控拒绝服务攻击检测,非法AP,非法用户,WLAN入侵防御和非法用户定位,Master控制器,Local控制器,Local控制器,Local控制器,配置自动同步,GRE隧道,Local控制器故障时,AP自动倒换到Master控制器,Internet,ARUBAAP,分支节点1,分支节点2,分支节点n,配置自动同步：无线信号的配置认证方式的选择角色及安全策略无线射频参数N+1控制器冗余：Master控制器可以作为冗余控制器为Local控制器提供N+1自动冗余备份功能,基于Master-Local的控制器集群及冗余基于VRRP的主控制器冗余,备份Master控制器,基于Master-Local的控制器集群技术,RAP-2远程接入点,RAP-5WN远程接入点,Aruba620/650远程控制器,虚拟化的远端站点多业务安全接入,HomeOffices,远程无线接入点介绍,SmallBranches,15Users,Upto30Users,RAP-2wg2secureports802.11b/gWi-Fi,RAP-5wn5secureports802.11a/b/g/nUSB-WAN,临时无线环境快速部署,访客管理系统及全网的统一管理,ArubaAmigopod访客管理系统,访客上网帐号自助注册服务,定制个性化企业风格页面,详尽的访客上网行为统计报表,ArubaAirwave网络管理系统,集中配置不同厂商无线网络设备不同架构无线网络设备有线和无线网络设备,集中监控全网接入设备的历史和实时状态全网接入用户的历史和实时状态全网无线信号覆盖和接入速率,故障诊断用户故障的诊断和定位设备故障的定位和报警,分析报表报表内容客户化报表统计范围客户化报表统计区间客户化,在全网范围内提供可视化的设备、用户、位置和时间管理,对企业有线和无线网设备进行统一管理,以图形化的方式实现配置管理、性能管理、故障管理和安全管理等功能满足企业无线网发展的客观规律，提供多厂商无线网络的统一管理支持Aruba、Cisco、HP、Netgear等多厂商有线设备的统一管理,对企业网络接入用户进行统一管理,保存网络接入用户的历史联网记录，包括漫游记录、信号强度记录和带宽使用记录，可以帮助网管人员更好地了解用户对网络的使用特点提供深层次的故障诊断能力，包括专家建议，降低网络维护成本,为管理人员提供丰富的全网历史信息报告,提供丰富的企业无线网历史信息统计报表，为网管人员进行网络优化提供坚实可靠的决策依据支持手动和自动方式，通过Email发送到网管人员指定的信箱,湖北中烟网络架构,湖北中烟无线网络-统一部署、统一管理,Master,Local,Local,IPsec,网络冗余考虑之一,网络冗余考虑之二,Aruba公司及产品介绍,ARUBA公司简介,成立：2002年2月市场定位：企业安全移动无线网络(SecureMobileNetworks)市场