移動設(shè)備的日益普及和削減成本之需促進(jìn)了無線LAN(WLAN)的采用。分析師預(yù)測企業(yè)WLAN設(shè)備的開支將從2011年的34億美元攀升到2016年的79億美元，復(fù)合年均增長率達(dá)18.4%。此外，各類公司、組織機(jī)構(gòu)紛紛支持無線邊界設(shè)計，進(jìn)一步的促進(jìn)與邊界交換機(jī)和有線部署相關(guān)的成本削減。

IEEE 802.11n無線標(biāo)準(zhǔn)是更多的企業(yè)采納無線部署方案的催化劑， 由于IEEE 802.11n新標(biāo)準(zhǔn)覆蓋范圍更廣，比傳統(tǒng)無線標(biāo)準(zhǔn)性能增強(qiáng)五倍，遠(yuǎn)優(yōu)于有線高速以太網(wǎng)LAN。鑒于此，WLAN的采用更為普及， 從而引發(fā)了如WLAN網(wǎng)絡(luò)管理和安全這樣應(yīng)用服務(wù)需求。

Fortinet所提供的無線部署方案涵蓋了無線接入與無線安全，其中FortiGate設(shè)備作為無線控制器，管理與控制瘦AP,同時提供與有線網(wǎng)絡(luò)同等的安全防御功能，包括BYOD認(rèn)證與管理、IPS、AV、應(yīng)用控制、VPN的且保持高速的無線網(wǎng)絡(luò)性能;FortiAP作為瘦AP實現(xiàn)無線網(wǎng)絡(luò)的覆蓋。

以下我們將結(jié)合無線部署實現(xiàn)之前應(yīng)考慮的關(guān)鍵因素與Fortinet所提供Secure WLAN無線解決方案對比來體驗該方案的先進(jìn)性與可擴(kuò)展性。

覆蓋范圍與速度

諸多的無線AP廠商都宣稱所提供的AP具有高功率的輸出以及由此帶來的大范圍的無線覆蓋面積。如果Wi-Fi通信是廣播或是如同F(xiàn)M無線電基站的單向通信的話，這樣的宣稱是沒有問題的。事實上，Wi-Fi通信流量是雙向的，且無線覆蓋的范圍是由客戶端與AP端雙向性能所決定。故此，大部分啟動無線的設(shè)備是基于電池供電的(舉例說明例如筆記本以及其他移動設(shè)備)，他們才是無線覆蓋范圍中的“短板”即最弱的連接，而不是AP。

Fortinet的無線解決方案中的FortiWiFi與FortiAP產(chǎn)品一般提供17dBm或50mW的功率輸出，符合并超過能夠完成無線網(wǎng)絡(luò)中與客戶雙向通信所需要的功率級別。通常情況下的Wi-Fi覆蓋范圍還取決于障礙物與干擾源，但是，一般的經(jīng)驗是一個無線AP可以覆蓋的半徑是50到60碼(約為15到18米)。AP以六邊形或蜂巢的模式部署可以增加覆蓋范圍。

追溯歷史原因，企業(yè)之所以沒有采用WLAN的部署是因為與有線網(wǎng)絡(luò)相比，無線網(wǎng)絡(luò)的速度要慢一些。IEEE802.11n技術(shù)標(biāo)準(zhǔn)的采用使無線速度超越了有線的高速以太網(wǎng)。

Fortinet的FortiAP產(chǎn)品家族是802.11n標(biāo)準(zhǔn)并使用2x2MIMO技術(shù)，可對用戶端提供300Mbps通訊速率。那么，F(xiàn)ortiAP設(shè)備可以提供相比IEEE802.11a/b/g技術(shù)標(biāo)準(zhǔn)的5倍性能與2倍的覆蓋范圍。FortiAP設(shè)備的進(jìn)階信號處理能力使用了雙天線，最大化信號保真與數(shù)據(jù)重建。

用戶細(xì)分與訪客訪問

企業(yè)部署WLAN希望能夠具有基于SSID以及用戶角色細(xì)分用戶的能力。基于角色的訪問控制使連接相同SSID的用戶具有不同的訪問權(quán)限，這樣減少了對機(jī)密信息或管制數(shù)據(jù)被內(nèi)部人員未授權(quán)訪問的風(fēng)險。另外，基于角色的訪問也可以保證訪客、合同雇員以及臨時雇員適時的訪問公司的商業(yè)信息，而不占用公司正常流量。

Fortinet無線方案中的身份識別策略引擎就是將用戶根據(jù)其授權(quán)信息映射到內(nèi)部訪問群組結(jié)構(gòu)圖。不同的策略應(yīng)用到不同的群組。這一功能允許公司的IT部門基于業(yè)務(wù)架構(gòu)與合規(guī)要求創(chuàng)建不同的訪問規(guī)則對用戶或用戶使用的設(shè)備進(jìn)行細(xì)分。

鑒于用戶訪問是基于相同的WLAN與LAN架構(gòu)，承載著內(nèi)部的流量;業(yè)務(wù)流量與訪客流量應(yīng)是各行其道，而不是相互侵占。無論使用何種終端驗證，作為無線部署中AC控制器的FortiGate設(shè)備的防火墻策略引擎可以將用戶組的用戶與訪客策略相結(jié)合，對訪客流量速率進(jìn)行設(shè)置管理，從而保證不對公司關(guān)鍵業(yè)務(wù)流量質(zhì)量產(chǎn)生任何的影響。 惡意內(nèi)容，諸如非法應(yīng)用與病毒也通過FortiGate設(shè)備的應(yīng)用控制功能與IPS引擎阻擋在訪客網(wǎng)絡(luò)之外。當(dāng)然，作為AC的FortiGate設(shè)備還具有很多內(nèi)嵌的其他安全技術(shù)，例如網(wǎng)頁過濾、垃圾郵件過濾，都可以隨需啟動來保護(hù)訪客流量的安全。 且對于訪客網(wǎng)絡(luò)的管理還可以細(xì)致到基于訪問時間限制、帶寬以及其他規(guī)則而實現(xiàn)。

穩(wěn)固的認(rèn)證與加密

WLAN是一種共享媒介，加密是需要著重考慮的。以下是被廣泛采用與支持的認(rèn)證與加密標(biāo)準(zhǔn)。

Open/WEP64/WEP128/Shared ——該標(biāo)準(zhǔn)主要在流量直接路由到互聯(lián)網(wǎng)的人點與訪客訪問點使用。 這樣的選擇沒有認(rèn)證或鏈路加密。公開選項應(yīng)只用于安全不是顧慮的流量，或在應(yīng)用層使用SSL或VPN保護(hù)通信流量。

訪客網(wǎng)頁認(rèn)證(Guest Cpatival Portal)——是業(yè)界網(wǎng)頁認(rèn)證形式的標(biāo)準(zhǔn)。在該模式下，用戶可以連接到無線AP，類似與以上的公開配置形式，但是用戶在打開一個網(wǎng)頁瀏覽器認(rèn)證前所有的流量都將被阻斷直至通過認(rèn)證。

WPA/WPA2802.11iPresharedkey —— Wi-FiProtectAccess WPA是向下兼容，但是所有的應(yīng)用都應(yīng)遷移到WPA2，因其提供了更安全的加密數(shù)據(jù)。預(yù)共享密鑰可以允許一個密碼在所有鏈接到無線LAN的用戶共享。這樣的安全類型適用于訪客或者家用訪問，但是公司或企業(yè)應(yīng)該對雇員以及使用基于RADIUS認(rèn)證的WPA2方式的提供唯一的用戶名與密碼。

基于Radius后臺的WPA/WPA2802.11i —— 該模式下，用戶與密碼信息是從用戶調(diào)用并經(jīng)過 802.1x認(rèn)證的后端Radius服務(wù)器驗證。這是無線部署驗證方式中最安全的一種，也是最典型的用法。

Fortinet無線產(chǎn)品支持所有的認(rèn)證類型包括WPA,WPA2 與最新基于標(biāo)準(zhǔn)的加密類型，如適用于無線網(wǎng)絡(luò)的AES,TKIP與WEP以及網(wǎng)頁認(rèn)證的SSL。 對于擴(kuò)展認(rèn)證協(xié)議(EAP：Extended Authentication Protocol)，F(xiàn)ortinet支持與您公司用戶數(shù)據(jù)庫兼容的全部標(biāo)準(zhǔn)協(xié)議。通過Radius服務(wù)器進(jìn)行的擴(kuò)展用戶認(rèn)證是通過EAP-MD5,EAP-TLS,EAP-TTLS與PEAP保障安全的。FortiGate與FortiWiFi設(shè)備的FortiOS操作系統(tǒng)支持基于LDAP與活動目錄的認(rèn)證，無需任何額外的軟件許可。

非法AP檢測與在線關(guān)聯(lián)

非法AP是潛在的帶給內(nèi)部網(wǎng)絡(luò)威脅的隱患，惡意用戶通過創(chuàng)建泄露點可竊取公司的機(jī)密信息、管控或?qū)＠麛?shù)據(jù)。處于這樣的原因，行業(yè)的政策與法案例如PCI-DSS規(guī)定要對可疑或未知AP進(jìn)行定期的掃描。

FortiGate非法AP檢測引擎的目的在于自動發(fā)起掃描操作并提供FortiWiFi與FortiAP系統(tǒng)管理員能夠持續(xù)監(jiān)控未知AP的能力，以及判斷無線網(wǎng)絡(luò)中是否存在未知AP。Fortinet的無線接入與安全解決方案中的非法AP檢測支持以下功能：

專用或背景無線信號監(jiān)測對未知AP與無線客戶端流量進(jìn)行掃描。

非法AP監(jiān)測列表中提供未知AP的MAC地址、生產(chǎn)商與安全狀態(tài)、速度、最后一次出現(xiàn)的時間以及在線狀態(tài)。

“在線”狀態(tài)監(jiān)測引擎使用各種關(guān)聯(lián)技術(shù)以識別未知AP是否連接著FortiWiFi或FortiAP無線LAN。 如果引擎查看到的結(jié)果是AP在LAN中，那么將生成實施日志消息通知管理員。

關(guān)聯(lián)引擎會連續(xù)的將無線客戶端的流量與有線客戶端的流量對比來識別是否一個客戶端正在使用未知AP通過FortiGate設(shè)備進(jìn)行通信。無線安全設(shè)置以及加密與認(rèn)證的級別怎樣，該項技術(shù)可以檢測一個AP是否運(yùn)行在橋接模式。

另一項關(guān)聯(lián)技術(shù)就是將無線與有線網(wǎng)絡(luò)的MAC關(guān)聯(lián)以檢測三層AP，無論AP是怎樣的安全設(shè)置與NAT配置。

管理員可以手動劃分未知AP為受信任或未受信任種類。

靈活的部署選項

一個無線產(chǎn)品商提供的產(chǎn)品是否具有部署的靈活性來滿足用戶的需求很重要。 從云端的單個無線控制器進(jìn)行集中管理的功能對于分布式的零售行業(yè)客戶來講會是非常有吸引力的;而相對企業(yè)用戶來講分布式控制器部署可達(dá)到的高速無線吞吐是比較被認(rèn)可的。

Fortinet所提供的無線解決方案提供了多種部署方式來滿足用戶豐富的需求。

配線架部署： 該部署可以實現(xiàn)使流量在一進(jìn)入網(wǎng)絡(luò)之初便得到快速的服務(wù)響應(yīng)。多臺FortiGate控制器服務(wù)于無線流量，那么就允許更大的帶寬流量。這樣的部署情景下選擇FortiGate-200-POE是最為理想的，因其可以使用內(nèi)嵌的POE端口直接對最大8個AP供電。

網(wǎng)關(guān)部署：該部署選擇的用戶可以使用現(xiàn)有服務(wù)于WAN-LAN的FortiGate設(shè)備作為無線控制器。在部署模式下，每個FortiAP都將其流量經(jīng)通道轉(zhuǎn)至FortiGate設(shè)備進(jìn)行策略處理與轉(zhuǎn)發(fā)。參見圖1：

圖1：FortiGate與FortiAP設(shè)備的部署選項

數(shù)據(jù)中心或云端部署： 該部署模式允許遠(yuǎn)程客戶端通過私網(wǎng)將流量轉(zhuǎn)發(fā)到集中的FortiGate設(shè)備控制器。這樣的模式適于零售商用戶在各個終端地點無需運(yùn)行獨立的無線LAN控制器就可以實現(xiàn)遠(yuǎn)程非法AP的檢測;同樣也適用于沒有FortiGate設(shè)備部 署的小型辦公場所。

圖2： FortiGate與FortiAP設(shè)備數(shù)據(jù)中心與云端部署選擇

便捷的實施

規(guī)劃無線網(wǎng)絡(luò)部署時還要著重考慮實施的便捷性。IT部門需要一個安裝快捷且部署成本低的解決方案，且與現(xiàn)有的網(wǎng)絡(luò)架構(gòu)能夠兼容。

Fortinet提供了所有能夠?qū)崿F(xiàn)快速便捷WLAN部署的產(chǎn)品。首先，現(xiàn)有的FortiGate用戶可以將在使的FortiGate設(shè)備升級到FortiOS 4.0 MR3，使其支持無線控制器功能。運(yùn)行無線控制器功能無需任何額外的license費(fèi)用，只需要添加一些FortiAP設(shè)備，就輕松實現(xiàn)無線網(wǎng)絡(luò)部署的同時享受與有線網(wǎng)絡(luò)同等完美安全防護(hù)。

其次, FortiAP的啟動設(shè)置簡化后，每個AP使用發(fā)現(xiàn)機(jī)制在所連接網(wǎng)絡(luò)的第二或三層定位最近的FortiGate設(shè)備控制器。IT人員僅需要在FortiOS GUI界面中選擇已檢測到的AP，并配置相應(yīng)的無線選項，這樣就完成了!FortiAP將自動下載配置并啟動作為無線監(jiān)測器，或作為一個瘦AP廣播SSID，或同時提供以上兩種功能。

第三，每個配置的SSID顯示作為一個虛擬網(wǎng)絡(luò)接口，管理與策略配置與Fortinet設(shè)備中的物理接口相同。通過該接口的流量可以配置通過防火墻策略、IPS查看、反病毒掃描、基于用戶細(xì)分的身份識別、應(yīng)用控制、數(shù)據(jù)防泄漏檢測，或配置通過VPN連接到其他網(wǎng)站，或網(wǎng)絡(luò)訪問控制。

最后，但同樣重要的是，F(xiàn)ortiAP-210/220B設(shè)置支持POE供電，消除了對于無線AP運(yùn)行額外的AC插口的需要。這不僅削減了安裝成本，且增加沒有電源需要情形下移動AP的靈活性。FortiAP產(chǎn)品符合低成本設(shè)計的802.3af規(guī)格且可以使用現(xiàn)有的POE交換機(jī)或電源PoE注射器進(jìn)行供電。

集中管理

任何對于公司與企業(yè)可行的無線管理解決方案中都應(yīng)用具有管理胖瘦AP的能力。Fortinet無線解決方案中對FortiGate與FortiWiFi設(shè)備的集中管理是通過FortiManager提供的，不需要對每個離散的控制器與瘦AP進(jìn)行配置，自建立冗余系統(tǒng)時減少了用戶配置人為錯誤發(fā)生的機(jī)率;軟件的升級也是可以通過集中管理實現(xiàn)的。

每臺FortiGate設(shè)備同樣可以對所控制的FortiAP進(jìn)行集中管理并執(zhí)行軟件升級操作。 FortiGate 設(shè)備中基于選項的管理功能，IT管理員只需要簡單的更改選項即可以實現(xiàn)對全部物理FortiAP的全局配置更改。也就是在整個企業(yè)或公司的無線部署范圍內(nèi)，認(rèn)證設(shè)置、SSID或無線管理更改都可以統(tǒng)一無縫的實現(xiàn)，極大的降低了操作成本以及部署總成本。

圖3：通過FortiGate實現(xiàn)的對AP配置選項的集中管理與升級

集中管理的另一方面是關(guān)于Fortinet無線解決方案中的FortiAnalyzer設(shè)備，實現(xiàn)數(shù)據(jù)挖掘與報告功能。FortiAnalyzer設(shè)備從FortiGate設(shè)備收集全部的日志，將日志以不同級別與分類呈儀表盤顯示整個無線網(wǎng)絡(luò)的健康度，以及查看信息追溯任何問題產(chǎn)生的根源。Fortinet無線方案中的該設(shè)備，主要協(xié)助服務(wù)提供商或大型企業(yè)，提供月度的狀態(tài)報告以解決任何網(wǎng)絡(luò)的連接性或安全性問題。