Fortinet安全解决方案无线安全网络

1、Fortinet 无线网络安全解决方案1. 概述Fortinet 安全解决方案不仅仅是针对有线网络，而且也覆盖了无线网络。 Fortinet 新推 出的瘦 AP 可以把 FortiGate 作为控制器， 高速无线连接和内容层安全可以兼而得之。 FortiAP 是 Fortinet 公司在多年无线领域和安全领域经验积累上推出的产品。该设备对希望获得更多安全的无线用户来说是一个新的选择。 通过该设备， 无线用户可 以选择从网络到应用层的各种安全功能， 比如设置第七层的应用优先级， 数据防泄漏和网络 访问控制等等。无线平台控制（ AC ）模块被集成到各个 FortiGate 设备上，该控制模块可以对

2、所有 FortiAP 进行集中管理和监控。所有的经过认证的无线数据都会被转发到作为控制平台的 FortiGate ， FortiGate 通过防火墙策略和 UTM 安全功能对数据包进行处理，以发现不安全 隐患。用户通过控制平台可以控制网络访问、迅速方便地升级策略和依据法律进行监控。专用的软硬件体系设计，使其保障网络安全的同时，不会成为网络速度的瓶颈。FortiAP-200 系列可以以最小数量部署，而为用户提供高性能和多种安全保障。 FortiGate 和 FortiAP 组成了业内领先的安全、性能和可扩展的安全解决方案。 Fortinet 简化了设备价 格体系，采用 FortiGate 作为通

3、用管理平台，降低了用户总体拥有成本。FortiAP 和 FortiGate 构成了无线网络安全解决方案： 符合安全法规要求：检测和报告非法AP ，细粒度地终端控制，审计式报告，专用的分析； 降低总体拥有成本：灵活部署，充分发挥现有 FortiGate ，不需要单独采购集中控 制器，所以能够有效地降低成本；FortiGate 控制器比起竞争对手来说其扩展能力更为强大。2、简要拓扑结构在 Fortinet 的无线解决方案中， FortiGate 作为无线的集中管理器，而 FortiAP 作为瘦 AP 的接入端，无线用户的认证和数据流转发均由 FortiGate 完成。简略的拓扑图如下：在 Fort

4、iGate 上可以集中管理 FortiAP ，并且设置无线接入的 SSID ，每个 SSID 均可以 设置所跨越的 FortiAP 。这样无线用户的认证可以通过 FortiGate 完成，实现 FortiAP 之间 的漫游。 FortiAP 不仅仅可以通过有线的方式与 FortiGate 互联，而且可以通过无线中继点 接入 FortiGate ，远程用户可以通过 Internet 与 FortiGate 互联，接入到企业的无线网络。FortiAP 和 AC 之间支持多种连接环境，包括直连、交换环境、路由环境，以及跨广域 网的远程环境， FORTIAP 与 FORTIGATE （AC ）可以工作

5、在相同或不同 IP 网段，可以在 同一局域网或广域网的不同地区，只要 IP 可达，即可正常工作。FortiAP 和 FORTIGATE （AC ）之间使用标准的 CAPWAP 协议（无线接入点控制与配 置协议），FortiAP仅作为一个无线信号接入点，不处理任何数据，透明地将无线设备（PC、PAD、手机等）的流量通过 CAPWAP 隧道传输到 FORTIGATE（ AC），由FORTIGATE（ AC） 统一处理，并由FORTIGATE （ AC ）负责进行网络层及应用层的安全过滤（包括防火墙访问控制、用户身份认证、入侵防御、病毒过滤、上网行为管理、内容过滤等）。CAPWAP 协议的控制流量和

6、数据流量均可以使用 DTLS 加密，保证通信内容不被窃取。一台FORTIGATE （ AC）可以同时接入管理多台 FortiAP，FORTIGATE （ AC）可以把 相同的 SSID 分发到所有 FortiAP ，使无线用户在不同 FortiAP 的覆盖范围内无缝漫游。3、FortiAP 部署方式为保证型号覆盖及传输质量，应该将 AP 按照不超过 20 米的间隔进行蜂窝状部署，并 考虑各种墙体对信号的屏蔽作用。FortiAP 支持 PoE 供电，只要将其与支持 PoE 的交换机或网络设备相连，便可直接通 过网线供电，无需连接外置电源。FortiAP 支持多种部署方式，可以采用隧道模式，也可以

7、支持透明模式。隧道模式如下 图，所有的无线终端的 IP 地址均由 FortiGate 分配，所有的数据流汇总到 FortiGate 上。无 线 FortiAP 与 FortiGate 之间建立数据传输的隧道，无线终端访问其他网段均由FortiGate来实现控制。透明模式如下图， 所有的无线终端采用透明接入， 无线客户端就直接由本地的路由器来 分配 IP ，数据流直接转发到本地交换机上。 FortiGate 只是实现无线客户端的认证，不做数 据流的汇总转发。在透明模式下，无线终端用户可以通过 Radius 用户的属性来分配到不同的 VLAN 上， 直接转发到交换机的相应 VLAN 。4、Fort

8、iGate 部署方式FortiGate 支持网关、透明和旁路三种模式部署。网关模式下， FortiGate 工作类似路由 器，实现无线数据和普通数据流的路由转发。如下图所示， FortiGate 的无线网络和有线网 络是不同网段，在 FortiGate 上实现不同网段的路由转发。FortiGate 同样可以工作于透明模式，将无线网络透明接入到有线网络。如下图所示， 无线客户端的 Ip 地址和有线 IP 地址处于同一网段内。 FortiGate 在透明模式下也同样可以 实现无线网络和有线网络之间的策略控制。FortiGate 在部署上，可以在线式部署，也可以旁路式部署。旁路式部署方式如下图所 示

9、。所谓旁路方式部署实际上是单臂模式部署，无线用户通过 FortiGate 的转发与有线网络 实现互通。5、无线通讯协议与加密无线上网用户(PC、PAD、手机等)使用标准的 802.11无线协议族连接到 AP，从而 接入无线网络。FortiAP 支持以下 WIFI 协议：? IEEE 802.11a (5-GHz Band)? IEEE 802.11b （2.4-GHz Band）? IEEE 802.11g （2.4-GHz Band）? IEEE 802.11n （5-GHz & 2.4-GHz Band）Fortinet 的无线方案支持 ARRP （自动无线资源管理）功能，所有 AP 都会

10、自动周期性 地检查无线网络环境，选择最佳频道进行通信，减少网络干扰，获得最佳通信质量。Fortinet 无线方案支持多种无线加密方式，包括：? 开放模式（不加密，不建议使用） ；? WEP （ 64bit 或 128bit RC4 加密）；? WPA （ 256bit TKIP 或 AES 加密）；? WPA2 （256bit TKIP 或 AES 加密，在 WPA 的基础上支持 802.11i 标准的安全要 求）；从安全角度考虑，建议使用 WPA2 和 AES 加密方式。5、无线通讯协议与加密Fortinet 无线方案能对无线用户接入网络后的访问权限进行控制，包括以下几种方式：? 使用不同的

11、 SSID 将用户分组。 例如内部员工使用 employee SSID ，来宾使用 guest SSID 。这两个 SSID 使用不同的 IP 地址段，不能直接互访，必须经过 FortiGate 安全设备的过滤。本次部署的方案支持最多 14 个接入用的 SSID 。还可以为不同的 AP 分配不同的属性（ AP profile ），实现不同的部署。例如： AP1 部署在会议室等公共区域，启用 employee 和 guest 两个 SSID ； AP2 部署在办公 区域，只启用 employee 一个 SSID 。? 防火墙访问控制。 各组用户通过不同 SSID 接入无线网络后， 无论互访还是访

12、问网 络其它区域（如生产网、办公网等） ，都要经过防火墙策略的控制。 FortiGate 可以 对源 /目的接口、源 /目的 IP 地址、源 /目的端口、时间、用户等进行过滤，从而使 每一个无线用户都仅能访问他可以访问的资源。Fortinet无线安全方案无缝集成了Fortinet公司领先业界的 UTM （统一威胁管理） 安全 解决方案，除防火墙外，还可以直接使用 VPN 、入侵防御、网关防病毒、 Web 内容过滤、 应用控制、 Email 过滤、数据泄漏防护等网络层及应用层安全功能，对无线用户的网络访问 进行全面的安全防护，使整个无线网络达到一个很高的安全水平。制度说明制度是以执行力为保障的。制度”之所以可以 对个人行为起到约束的作用，是以有效的执行 力为前提的，即有强制力保证其执行和实施， 否则制度的约束力将无从实现，对人们的行为 也将起不到任何的规范作用。只有通过执行的 过程制度才成为现实的制度，就像是一把标