企業無線部署與安全設計

李安邦

摘要：隨著我國網絡技術不斷的發展以及寬帶接入成本不斷的降低，無線局域網技術以其靈活的應用方式、高速數據傳輸等特點，使得無線覆蓋成為許多網絡工程的重要指標。該文以建設“為用戶提供快速、安全上網服務”的無線網絡為目標，探討了企業無線局域網部署方法及其安全設計。

關鍵詞：無線局域網；無線安全；AP；優化設計

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2017）36-0016-03

隨著我國互聯網基礎設施的不斷加強，使得互聯網有線接入的帶寬不斷增加、資費不斷下降，這為無線局域網的發展帶來了機遇，WIFI已經被越來越多的人們使用和熟知。許多企業和單位已經部署或者準備部署無線局域網，它同時也為物聯網的接入提供了方便的基礎平臺。

1 無線局域網建設應注意問題

隨著智能手機、平板、筆記本電腦等智能設備的普及，移動智能終端已成為人們生活、工作、娛樂不可或缺的工具。越來越多的企事業單位、政府機關開始允許工作人員使用智能設備進行內部辦公，這對辦公領域支持BYOD策略提出了新的要求；與此同時，越來越多的公共場所被要求提供無線上網或辦公服務。越來越多的企事業單位要求實現無線覆蓋，同時也提出了新的要求，大致可以分為以下幾個方面：

1.1 真正意義的全覆蓋，高速的上網服務

企業的辦公區域面積大，要求信號無死角；用戶接入支持無感知漫游并且不斷網；人員密集區域（如會議室）用戶接入穩定；訪客用戶接入便捷，并且方便辦理業務和反饋；接入用戶上網體驗好。

1.2 開放的無線網絡帶來安全隱患

移動終端在接入網絡時，可能存在非授權訪問、非法接入的用戶，對合法用戶接入后產生安全威脅；保障用戶數據通信的合法性和安全性，防止信息的泄露；防范無線網絡使用對企業骨干網絡、內部重要數據帶來的安全威脅；防止移動設備丟失對應用系統數據帶來的安全威脅。

1.3 非法熱點的管控

隨著越來越多的設備支持無線熱點、無線WIFI共享設備的普及，內部員工為方便設備接入私建熱點，但由于信息安全知識和安全防護有限。所建立的熱點易于被不法分子利用非法入侵、木馬種植等手段，盜取內部資料和對企業網帶來破壞。

1.4 正常帶寬被占用

大量非法設備的接入、下載大型文件或觀看在線視頻等大流量網絡應用、工作人員開啟與工作無關的應用等等，易造成網頁瀏覽、文件傳輸、辦公系統應用等正常網絡需求得不到快速響應，影響辦公效率和用戶上網體驗。

1.5 兼容性和重復建設問題

無線專用的安全管控設備、內部員工認證平臺、外部訪客認證平臺、信息發布平臺等軟件平臺，以及支撐這些平臺的網絡設備或服務器等硬件，可能存在軟、硬件兼容性問題，從而導致企業重復建設以及兼容性問題。

2 總體設計目標和原則

2.1 總體設計目標

（1） 高性能硬件

無線設備采用支持802.11a/c以上協議的智能AP，合理實地勘察和設計，實現高速無線網絡。如建設規模較大，可考慮采用瘦AP+AC的企業級組網方式；如原有其他無線網絡，考慮旁路部署模式，不影響原有網絡。

（2） 合適的認證方式

根據不同的應用場景、安全要求、辦公需求、商業需求，選用的不同的認證方式。目前無線認證主要有：無需認證、單一密碼（用戶）認證、驗證碼認證、短信認證碼認證、原有系統平臺和web集成認證、外部API認證、RADIUS認證、CAS/LDAP認證方式、軟件/APP認證等。

（3） 合理的安全策略

做好終端的嚴格準入控制以及上網行為審計，做到痕跡可追溯性，可考慮實名。

對企業員工進行上網行為管控，上班時間只能訪問業務相關應用和系統、禁止視頻流量和炒股軟件等；合理規劃不同部門不同崗位員工互聯網和內部資源訪問權限。做好外發文件訪問審計，如郵件、HTTP上傳、論壇微博發帖等內容，防止敏感資料有意或不經意外泄。通過技術手段實現非法AP反制功能，封殺私設無線熱點，增強網絡可控性。如條件允許，部署IDS主動感知和防御風險。

（4） 系統兼容性

在建設無線網絡之前，選用的軟硬件要充分考慮現有網絡設備和軟件平臺情況，既要考慮其兼容性，又要避免重復建設造成的資金浪費。

2.2 總體設計原則

在企業無線網設計規劃時，應遵循以下原則：

（1） 整體安全原則

一個由眾多設備構成的信息安全防御系統，其信息安全防御水平取決于某種信息安全風險性能最低的信息安全設備，要做好信息安全系統整體設計。

（2） 積極防御原則

傳統的邊界防御設備對信息安全起到一定保護作用，但其本身的特點諸如：“防內不防外”、不具備防止病毒傳染和擴散、固定的策略配置等等，使其具有一定局限性。選擇更安全、更智能、更快速，功能完善、強大的信息安全設備，配以專業的、及時響應的技術隊伍。才能做好預防和檢測工作，防患于未然。

（3） 多重保護原則

任何安全防御措施都不是絕對安全的，建立一個多重安全保護體系，各層保護相互補充。當其中一層防護被攻破時，其他保護仍可保護信息安全。這樣可以大大提高抵御安全風險的能力。

（4） 一致性原則

在開始建設網絡就考慮信息安全策略，不但比建好后再考慮成本更低，實現更容易。

一致性原則是指信息安全問題與整個網絡的生命周期同時存在，制定的安全體系結構與網絡安全需求相一致。從網絡設計、部署實施、驗證驗收、運行維護，都要有安全的內容和措施。

（5） 易操作性原則

安全措施如果實施過于復雜，對人的要求過高，不利于實施這本身就降低其安全性。措施在執行時，不能對現有系統的正常運行造成影響，滿足業務高效、易操作的原則。

（6） 可擴展性原則

隨著網絡應用增加、網絡規模擴大，一勞永逸的解決所有問題不現實。充分考慮系統的可擴展性，按照實際需要和資金允許分步實施。這樣，既能滿足使用網絡系統的基本要求，也可減少資金壓力。

（7） 標準化原則

在軟件、硬件、網絡、安全和制度建設等方面都必須遵守國家和行業的相關法規、標準和規范。結合考慮自身特點，進行補充和完善。

3 AP選型與點位設計

AP在選型和點位設計前，需要實地現場進行勘察。根據目前企業出現較多的場景，可參考以下類型設計：

（1） 獨立辦公室

典型如領導辦公室，由于該區域已經具備了網線入墻條件，故而推薦使用面板AP進行信號覆蓋。如接入設備支持POE，則可直接替代原有入墻接線盒，安裝方便且不影響美觀，同時可保障房間信號好，上網體驗佳。如圖1所示。

（2） 開放式辦公區域

對于信號覆蓋不到的地方或信號較弱的地方，可考慮吸頂式或壁掛式AP，為保障辦公區域內網絡信號質量，不推薦走廊安裝部署。在AP選型時，推薦使用雙頻無線AP，以保障該區域用戶上網體驗。如圖2所示。

（3） 大型會議室

對于人員密集的大型會議室，高峰期容納人員多，有的能容納幾百人，無線部署要重點考慮。建議采用室內定向天線方案部署，同時進行深度流量控制，從而保障整體上網體驗。考慮到施工方便，建議采用壁掛方式，室內定向覆蓋。

以下為大型會場定向AP部署示意圖：

（4） 中小型會議室或大廳

一般按照會議室容納的人數來進行劃分，通常能容納100人以上為大型會議室，容納40-60人的為中型會議室，容納20-40人的為小型會議室。一般可以將無線AP采用吸頂式安裝。如果安裝了吊頂，視情況決定是否露出吊頂上的AP天線。

在計算AP點數時，假設單臺雙頻無線AP所接入的終端最大數量是60個。為了保證無線使用效果，100人的會議室按200個接入終端計算，每人一部手機一臺筆記本。建議部署4臺無線AP。如果考慮節約成本，可考慮部署3臺無線AP，但可能會降低用戶體驗。（不推薦此方案）

對于中型會議室，按照以上計算方法，建議部署2臺無線AP。

對于小型會議室，可以考慮采用放裝方式，直接放在桌子下面空余空間即可，每個會議室部署1臺無線AP。

（5） 電梯間、走廊等公共區域

對于重要的公共區域，如電梯間、衛生間、走廊，如果無線信號差，可考慮在原有點位的基礎上加點，采用吸頂即可。

4 無線上網優化

為了保障無線為企業業務正常運行服務，提高用戶的無線上網體驗，除了企業網中常見的流量控制、QoS策略外，還通過防終端粘滯、智能射頻、AP智能負載均衡等無線技術實現靈活的無線管控與優化。

4.1 智能射頻優化干擾

在無線信號用到的2.4GHz頻段中，最多只能容納三個互不重疊的信道，一般選擇1，6，11。相同的信道會造成同頻干擾，重疊的不同信道之間會造成鄰頻干擾。隨著無線局域網的普及，空氣中隨處都充斥著無線信號，這樣很容易帶來信道干擾，智能射頻技術可以幫助解決這一問題。

（1） 智能功率調整

部署的AP功率太大會干擾附近其他無線設備，同時也浪費電、增加輻射。但是功率太小則可能導致較遠距離的終端接入困難、信號差乃至丟包。當丟包達到一定閾值，即確定了AP的覆蓋范圍。即太小的AP工作功率造成AP的覆蓋范圍縮小。

開啟智能射頻后，NAC會對周圍射頻環境進行監控，如果周圍環境發生變化，會對AP的功率進行調整。

（2） 智能信道優化

同理，當NAC監控到周圍射頻工作信道后，智能對信道進行調整，與相鄰的AP錯開，避免產生沖突。

（3） 頻段優化

目前2.4GHz頻段應用最為普遍，頻帶資源相對較為匱乏。使AP優先使用5GHz頻段，平衡2.4G/5GHz利用率。

（4） 接入點負載均衡

根據當前AP接入人數以及信道利用率等條件控制終端的接入，以實現負載均衡，從而提高吞吐量和服務質量。此外，根據不同場景和區域靈活設置負載均衡參數，提高無線上網體驗。

NAC根據相鄰部署AP的負載情況，對接入終端進行控制。如負載較高，則拒絕終端接入；如AP相對較空閑，則允許連接，從而達到負載均衡的目的。

（5） 防終端粘滯

此功能是為終端在無線覆蓋范圍內漫游提供服務的。當終端在移動時，不同AP的信號強度會發生變化。當接入點識別終端的信號強度小于設定的信號強度閾值，并且該終端的無線流量小于流量閾值時，則主動讓終端漫游。可以根據實際情況，合理設置切換閾值，使漫游達到較好效果。

4.2 QoS與流控

為了保障企業重要的業務流量能夠使用網絡優先通過，可以在支持流控的NAC以及企業網流控設備上進行配置。

對流量進行管控首先得對流量進行分類，常見分類方法一種是根據應用類型來進行設置：如視頻、語音、P2P下載、網頁、郵件、OA辦公、文件傳輸等等，另一種是根據用戶的特征來進行設置：如財務部、人事部、生產部、外來訪客等等。

分類后可根據設備技術支持定義策略，通常有以下幾種：（1）根據流量分類直接分配固定帶寬，如給常用辦公系統流量分配10Mbps帶寬，其余采用競爭機制。（2）根絕分類分配帶寬百分比，如A部門占20%，B部門占20%，C部門占30%，其余占30%。（3）根據分類給予不同的優先級，讓優先級高的流量優先通過或獲得定額保障帶寬。

4.3 其他技術

針對人員密集區域（如大廳或大型會議室），由于部署AP過多，不但沒解決好用戶過多問題，反而可能會帶來干擾和漫游信號切換問題。可以對該場景進行無線性能優化，降低終端低速發送探測幀相應消耗無線的性能空間，從而提高用戶上網體驗。

人員密集區域的無效廣播也極大降低了網絡性能，利用廣播優化的技術，針對特定類型的廣播幀。如ARP廣播、DHCP廣播請求等進行優化，從而達到增加設備使用效率，提高用戶上網體驗的目的。

參考文獻：

[1] 劉辛酉.WIFI通信的安全分析[J].Information & Network，2009（4）.

[2] 劉慶存.網絡環境下信息安全策略分析[J].生產與安全技術，2017.11（下）.

[3] 周輝.淺談無線網絡攻擊技術與防范措施[J].電腦知識與技術，2014（8）.