企業(yè)無線部署與安全設(shè)計(jì)

李安邦

摘要：隨著我國(guó)網(wǎng)絡(luò)技術(shù)不斷的發(fā)展以及寬帶接入成本不斷的降低，無線局域網(wǎng)技術(shù)以其靈活的應(yīng)用方式、高速數(shù)據(jù)傳輸?shù)忍攸c(diǎn)，使得無線覆蓋成為許多網(wǎng)絡(luò)工程的重要指標(biāo)。該文以建設(shè)“為用戶提供快速、安全上網(wǎng)服務(wù)”的無線網(wǎng)絡(luò)為目標(biāo)，探討了企業(yè)無線局域網(wǎng)部署方法及其安全設(shè)計(jì)。

關(guān)鍵詞：無線局域網(wǎng)；無線安全；AP；優(yōu)化設(shè)計(jì)

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2017）36-0016-03

隨著我國(guó)互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的不斷加強(qiáng)，使得互聯(lián)網(wǎng)有線接入的帶寬不斷增加、資費(fèi)不斷下降，這為無線局域網(wǎng)的發(fā)展帶來了機(jī)遇，WIFI已經(jīng)被越來越多的人們使用和熟知。許多企業(yè)和單位已經(jīng)部署或者準(zhǔn)備部署無線局域網(wǎng)，它同時(shí)也為物聯(lián)網(wǎng)的接入提供了方便的基礎(chǔ)平臺(tái)。

1 無線局域網(wǎng)建設(shè)應(yīng)注意問題

隨著智能手機(jī)、平板、筆記本電腦等智能設(shè)備的普及，移動(dòng)智能終端已成為人們生活、工作、娛樂不可或缺的工具。越來越多的企事業(yè)單位、政府機(jī)關(guān)開始允許工作人員使用智能設(shè)備進(jìn)行內(nèi)部辦公，這對(duì)辦公領(lǐng)域支持BYOD策略提出了新的要求；與此同時(shí)，越來越多的公共場(chǎng)所被要求提供無線上網(wǎng)或辦公服務(wù)。越來越多的企事業(yè)單位要求實(shí)現(xiàn)無線覆蓋，同時(shí)也提出了新的要求，大致可以分為以下幾個(gè)方面：

1.1 真正意義的全覆蓋，高速的上網(wǎng)服務(wù)

企業(yè)的辦公區(qū)域面積大，要求信號(hào)無死角；用戶接入支持無感知漫游并且不斷網(wǎng)；人員密集區(qū)域（如會(huì)議室）用戶接入穩(wěn)定；訪客用戶接入便捷，并且方便辦理業(yè)務(wù)和反饋；接入用戶上網(wǎng)體驗(yàn)好。

1.2 開放的無線網(wǎng)絡(luò)帶來安全隱患

移動(dòng)終端在接入網(wǎng)絡(luò)時(shí)，可能存在非授權(quán)訪問、非法接入的用戶，對(duì)合法用戶接入后產(chǎn)生安全威脅；保障用戶數(shù)據(jù)通信的合法性和安全性，防止信息的泄露；防范無線網(wǎng)絡(luò)使用對(duì)企業(yè)骨干網(wǎng)絡(luò)、內(nèi)部重要數(shù)據(jù)帶來的安全威脅；防止移動(dòng)設(shè)備丟失對(duì)應(yīng)用系統(tǒng)數(shù)據(jù)帶來的安全威脅。

1.3 非法熱點(diǎn)的管控

隨著越來越多的設(shè)備支持無線熱點(diǎn)、無線WIFI共享設(shè)備的普及，內(nèi)部員工為方便設(shè)備接入私建熱點(diǎn)，但由于信息安全知識(shí)和安全防護(hù)有限。所建立的熱點(diǎn)易于被不法分子利用非法入侵、木馬種植等手段，盜取內(nèi)部資料和對(duì)企業(yè)網(wǎng)帶來破壞。

1.4 正常帶寬被占用

大量非法設(shè)備的接入、下載大型文件或觀看在線視頻等大流量網(wǎng)絡(luò)應(yīng)用、工作人員開啟與工作無關(guān)的應(yīng)用等等，易造成網(wǎng)頁瀏覽、文件傳輸、辦公系統(tǒng)應(yīng)用等正常網(wǎng)絡(luò)需求得不到快速響應(yīng)，影響辦公效率和用戶上網(wǎng)體驗(yàn)。

1.5 兼容性和重復(fù)建設(shè)問題

無線專用的安全管控設(shè)備、內(nèi)部員工認(rèn)證平臺(tái)、外部訪客認(rèn)證平臺(tái)、信息發(fā)布平臺(tái)等軟件平臺(tái)，以及支撐這些平臺(tái)的網(wǎng)絡(luò)設(shè)備或服務(wù)器等硬件，可能存在軟、硬件兼容性問題，從而導(dǎo)致企業(yè)重復(fù)建設(shè)以及兼容性問題。

2 總體設(shè)計(jì)目標(biāo)和原則

2.1 總體設(shè)計(jì)目標(biāo)

（1） 高性能硬件

無線設(shè)備采用支持802.11a/c以上協(xié)議的智能AP，合理實(shí)地勘察和設(shè)計(jì)，實(shí)現(xiàn)高速無線網(wǎng)絡(luò)。如建設(shè)規(guī)模較大，可考慮采用瘦AP+AC的企業(yè)級(jí)組網(wǎng)方式；如原有其他無線網(wǎng)絡(luò)，考慮旁路部署模式，不影響原有網(wǎng)絡(luò)。

（2） 合適的認(rèn)證方式

根據(jù)不同的應(yīng)用場(chǎng)景、安全要求、辦公需求、商業(yè)需求，選用的不同的認(rèn)證方式。目前無線認(rèn)證主要有：無需認(rèn)證、單一密碼（用戶）認(rèn)證、驗(yàn)證碼認(rèn)證、短信認(rèn)證碼認(rèn)證、原有系統(tǒng)平臺(tái)和web集成認(rèn)證、外部API認(rèn)證、RADIUS認(rèn)證、CAS/LDAP認(rèn)證方式、軟件/APP認(rèn)證等。

（3） 合理的安全策略

做好終端的嚴(yán)格準(zhǔn)入控制以及上網(wǎng)行為審計(jì)，做到痕跡可追溯性，可考慮實(shí)名。

對(duì)企業(yè)員工進(jìn)行上網(wǎng)行為管控，上班時(shí)間只能訪問業(yè)務(wù)相關(guān)應(yīng)用和系統(tǒng)、禁止視頻流量和炒股軟件等；合理規(guī)劃不同部門不同崗位員工互聯(lián)網(wǎng)和內(nèi)部資源訪問權(quán)限。做好外發(fā)文件訪問審計(jì)，如郵件、HTTP上傳、論壇微博發(fā)帖等內(nèi)容，防止敏感資料有意或不經(jīng)意外泄。通過技術(shù)手段實(shí)現(xiàn)非法AP反制功能，封殺私設(shè)無線熱點(diǎn)，增強(qiáng)網(wǎng)絡(luò)可控性。如條件允許，部署IDS主動(dòng)感知和防御風(fēng)險(xiǎn)。

（4） 系統(tǒng)兼容性

在建設(shè)無線網(wǎng)絡(luò)之前，選用的軟硬件要充分考慮現(xiàn)有網(wǎng)絡(luò)設(shè)備和軟件平臺(tái)情況，既要考慮其兼容性，又要避免重復(fù)建設(shè)造成的資金浪費(fèi)。

2.2 總體設(shè)計(jì)原則

在企業(yè)無線網(wǎng)設(shè)計(jì)規(guī)劃時(shí)，應(yīng)遵循以下原則：

（1） 整體安全原則

一個(gè)由眾多設(shè)備構(gòu)成的信息安全防御系統(tǒng)，其信息安全防御水平取決于某種信息安全風(fēng)險(xiǎn)性能最低的信息安全設(shè)備，要做好信息安全系統(tǒng)整體設(shè)計(jì)。

（2） 積極防御原則

傳統(tǒng)的邊界防御設(shè)備對(duì)信息安全起到一定保護(hù)作用，但其本身的特點(diǎn)諸如：“防內(nèi)不防外”、不具備防止病毒傳染和擴(kuò)散、固定的策略配置等等，使其具有一定局限性。選擇更安全、更智能、更快速，功能完善、強(qiáng)大的信息安全設(shè)備，配以專業(yè)的、及時(shí)響應(yīng)的技術(shù)隊(duì)伍。才能做好預(yù)防和檢測(cè)工作，防患于未然。

（3） 多重保護(hù)原則

任何安全防御措施都不是絕對(duì)安全的，建立一個(gè)多重安全保護(hù)體系，各層保護(hù)相互補(bǔ)充。當(dāng)其中一層防護(hù)被攻破時(shí)，其他保護(hù)仍可保護(hù)信息安全。這樣可以大大提高抵御安全風(fēng)險(xiǎn)的能力。

（4） 一致性原則

在開始建設(shè)網(wǎng)絡(luò)就考慮信息安全策略，不但比建好后再考慮成本更低，實(shí)現(xiàn)更容易。

一致性原則是指信息安全問題與整個(gè)網(wǎng)絡(luò)的生命周期同時(shí)存在，制定的安全體系結(jié)構(gòu)與網(wǎng)絡(luò)安全需求相一致。從網(wǎng)絡(luò)設(shè)計(jì)、部署實(shí)施、驗(yàn)證驗(yàn)收、運(yùn)行維護(hù)，都要有安全的內(nèi)容和措施。

（5） 易操作性原則

安全措施如果實(shí)施過于復(fù)雜，對(duì)人的要求過高，不利于實(shí)施這本身就降低其安全性。措施在執(zhí)行時(shí)，不能對(duì)現(xiàn)有系統(tǒng)的正常運(yùn)行造成影響，滿足業(yè)務(wù)高效、易操作的原則。

（6） 可擴(kuò)展性原則

隨著網(wǎng)絡(luò)應(yīng)用增加、網(wǎng)絡(luò)規(guī)模擴(kuò)大，一勞永逸的解決所有問題不現(xiàn)實(shí)。充分考慮系統(tǒng)的可擴(kuò)展性，按照實(shí)際需要和資金允許分步實(shí)施。這樣，既能滿足使用網(wǎng)絡(luò)系統(tǒng)的基本要求，也可減少資金壓力。

（7） 標(biāo)準(zhǔn)化原則

在軟件、硬件、網(wǎng)絡(luò)、安全和制度建設(shè)等方面都必須遵守國(guó)家和行業(yè)的相關(guān)法規(guī)、標(biāo)準(zhǔn)和規(guī)范。結(jié)合考慮自身特點(diǎn)，進(jìn)行補(bǔ)充和完善。

3 AP選型與點(diǎn)位設(shè)計(jì)

AP在選型和點(diǎn)位設(shè)計(jì)前，需要實(shí)地現(xiàn)場(chǎng)進(jìn)行勘察。根據(jù)目前企業(yè)出現(xiàn)較多的場(chǎng)景，可參考以下類型設(shè)計(jì)：

（1） 獨(dú)立辦公室

典型如領(lǐng)導(dǎo)辦公室，由于該區(qū)域已經(jīng)具備了網(wǎng)線入墻條件，故而推薦使用面板AP進(jìn)行信號(hào)覆蓋。如接入設(shè)備支持POE，則可直接替代原有入墻接線盒，安裝方便且不影響美觀，同時(shí)可保障房間信號(hào)好，上網(wǎng)體驗(yàn)佳。如圖1所示。

（2） 開放式辦公區(qū)域

對(duì)于信號(hào)覆蓋不到的地方或信號(hào)較弱的地方，可考慮吸頂式或壁掛式AP，為保障辦公區(qū)域內(nèi)網(wǎng)絡(luò)信號(hào)質(zhì)量，不推薦走廊安裝部署。在AP選型時(shí)，推薦使用雙頻無線AP，以保障該區(qū)域用戶上網(wǎng)體驗(yàn)。如圖2所示。

（3） 大型會(huì)議室

對(duì)于人員密集的大型會(huì)議室，高峰期容納人員多，有的能容納幾百人，無線部署要重點(diǎn)考慮。建議采用室內(nèi)定向天線方案部署，同時(shí)進(jìn)行深度流量控制，從而保障整體上網(wǎng)體驗(yàn)?？紤]到施工方便，建議采用壁掛方式，室內(nèi)定向覆蓋。

以下為大型會(huì)場(chǎng)定向AP部署示意圖：

（4） 中小型會(huì)議室或大廳

一般按照會(huì)議室容納的人數(shù)來進(jìn)行劃分，通常能容納100人以上為大型會(huì)議室，容納40-60人的為中型會(huì)議室，容納20-40人的為小型會(huì)議室。一般可以將無線AP采用吸頂式安裝。如果安裝了吊頂，視情況決定是否露出吊頂上的AP天線。

在計(jì)算AP點(diǎn)數(shù)時(shí)，假設(shè)單臺(tái)雙頻無線AP所接入的終端最大數(shù)量是60個(gè)。為了保證無線使用效果，100人的會(huì)議室按200個(gè)接入終端計(jì)算，每人一部手機(jī)一臺(tái)筆記本。建議部署4臺(tái)無線AP。如果考慮節(jié)約成本，可考慮部署3臺(tái)無線AP，但可能會(huì)降低用戶體驗(yàn)。（不推薦此方案）

對(duì)于中型會(huì)議室，按照以上計(jì)算方法，建議部署2臺(tái)無線AP。

對(duì)于小型會(huì)議室，可以考慮采用放裝方式，直接放在桌子下面空余空間即可，每個(gè)會(huì)議室部署1臺(tái)無線AP。

（5） 電梯間、走廊等公共區(qū)域

對(duì)于重要的公共區(qū)域，如電梯間、衛(wèi)生間、走廊，如果無線信號(hào)差，可考慮在原有點(diǎn)位的基礎(chǔ)上加點(diǎn)，采用吸頂即可。

4 無線上網(wǎng)優(yōu)化

為了保障無線為企業(yè)業(yè)務(wù)正常運(yùn)行服務(wù)，提高用戶的無線上網(wǎng)體驗(yàn)，除了企業(yè)網(wǎng)中常見的流量控制、QoS策略外，還通過防終端粘滯、智能射頻、AP智能負(fù)載均衡等無線技術(shù)實(shí)現(xiàn)靈活的無線管控與優(yōu)化。

4.1 智能射頻優(yōu)化干擾

在無線信號(hào)用到的2.4GHz頻段中，最多只能容納三個(gè)互不重疊的信道，一般選擇1，6，11。相同的信道會(huì)造成同頻干擾，重疊的不同信道之間會(huì)造成鄰頻干擾。隨著無線局域網(wǎng)的普及，空氣中隨處都充斥著無線信號(hào)，這樣很容易帶來信道干擾，智能射頻技術(shù)可以幫助解決這一問題。

（1） 智能功率調(diào)整

部署的AP功率太大會(huì)干擾附近其他無線設(shè)備，同時(shí)也浪費(fèi)電、增加輻射。但是功率太小則可能導(dǎo)致較遠(yuǎn)距離的終端接入困難、信號(hào)差乃至丟包。當(dāng)丟包達(dá)到一定閾值，即確定了AP的覆蓋范圍。即太小的AP工作功率造成AP的覆蓋范圍縮小。

開啟智能射頻后，NAC會(huì)對(duì)周圍射頻環(huán)境進(jìn)行監(jiān)控，如果周圍環(huán)境發(fā)生變化，會(huì)對(duì)AP的功率進(jìn)行調(diào)整。

（2） 智能信道優(yōu)化

同理，當(dāng)NAC監(jiān)控到周圍射頻工作信道后，智能對(duì)信道進(jìn)行調(diào)整，與相鄰的AP錯(cuò)開，避免產(chǎn)生沖突。

（3） 頻段優(yōu)化

目前2.4GHz頻段應(yīng)用最為普遍，頻帶資源相對(duì)較為匱乏。使AP優(yōu)先使用5GHz頻段，平衡2.4G/5GHz利用率。

（4） 接入點(diǎn)負(fù)載均衡

根據(jù)當(dāng)前AP接入人數(shù)以及信道利用率等條件控制終端的接入，以實(shí)現(xiàn)負(fù)載均衡，從而提高吞吐量和服務(wù)質(zhì)量。此外，根據(jù)不同場(chǎng)景和區(qū)域靈活設(shè)置負(fù)載均衡參數(shù)，提高無線上網(wǎng)體驗(yàn)。

NAC根據(jù)相鄰部署AP的負(fù)載情況，對(duì)接入終端進(jìn)行控制。如負(fù)載較高，則拒絕終端接入；如AP相對(duì)較空閑，則允許連接，從而達(dá)到負(fù)載均衡的目的。

（5） 防終端粘滯

此功能是為終端在無線覆蓋范圍內(nèi)漫游提供服務(wù)的。當(dāng)終端在移動(dòng)時(shí)，不同AP的信號(hào)強(qiáng)度會(huì)發(fā)生變化。當(dāng)接入點(diǎn)識(shí)別終端的信號(hào)強(qiáng)度小于設(shè)定的信號(hào)強(qiáng)度閾值，并且該終端的無線流量小于流量閾值時(shí)，則主動(dòng)讓終端漫游?？梢愿鶕?jù)實(shí)際情況，合理設(shè)置切換閾值，使漫游達(dá)到較好效果。

4.2 QoS與流控

為了保障企業(yè)重要的業(yè)務(wù)流量能夠使用網(wǎng)絡(luò)優(yōu)先通過，可以在支持流控的NAC以及企業(yè)網(wǎng)流控設(shè)備上進(jìn)行配置。

對(duì)流量進(jìn)行管控首先得對(duì)流量進(jìn)行分類，常見分類方法一種是根據(jù)應(yīng)用類型來進(jìn)行設(shè)置：如視頻、語音、P2P下載、網(wǎng)頁、郵件、OA辦公、文件傳輸?shù)鹊龋硪环N是根據(jù)用戶的特征來進(jìn)行設(shè)置：如財(cái)務(wù)部、人事部、生產(chǎn)部、外來訪客等等。

分類后可根據(jù)設(shè)備技術(shù)支持定義策略，通常有以下幾種：（1）根據(jù)流量分類直接分配固定帶寬，如給常用辦公系統(tǒng)流量分配10Mbps帶寬，其余采用競(jìng)爭(zhēng)機(jī)制。（2）根絕分類分配帶寬百分比，如A部門占20%，B部門占20%，C部門占30%，其余占30%。（3）根據(jù)分類給予不同的優(yōu)先級(jí)，讓優(yōu)先級(jí)高的流量?jī)?yōu)先通過或獲得定額保障帶寬。

4.3 其他技術(shù)

針對(duì)人員密集區(qū)域（如大廳或大型會(huì)議室），由于部署AP過多，不但沒解決好用戶過多問題，反而可能會(huì)帶來干擾和漫游信號(hào)切換問題?？梢詫?duì)該場(chǎng)景進(jìn)行無線性能優(yōu)化，降低終端低速發(fā)送探測(cè)幀相應(yīng)消耗無線的性能空間，從而提高用戶上網(wǎng)體驗(yàn)。

人員密集區(qū)域的無效廣播也極大降低了網(wǎng)絡(luò)性能，利用廣播優(yōu)化的技術(shù)，針對(duì)特定類型的廣播幀。如ARP廣播、DHCP廣播請(qǐng)求等進(jìn)行優(yōu)化，從而達(dá)到增加設(shè)備使用效率，提高用戶上網(wǎng)體驗(yàn)的目的。

參考文獻(xiàn)：

[1] 劉辛酉.WIFI通信的安全分析[J].Information & Network，2009（4）.

[2] 劉慶存.網(wǎng)絡(luò)環(huán)境下信息安全策略分析[J].生產(chǎn)與安全技術(shù)，2017.11（下）.

[3] 周輝.淺談無線網(wǎng)絡(luò)攻擊技術(shù)與防范措施[J].電腦知識(shí)與技術(shù)，2014（8）.