智慧校园WIFI覆盖解决方案

语言	格式	评分
中文（简体）	.pptx	3
概览
2 高校无线网络风险分析 4 高校典型案例分析 3 高校无线安全解决方案 CONTENT 高校无线建设背景 1 高校无线为广大师生工作、学习、生活提供准确、及时、有效的信息服务实现校园对外信息服务，创新高校教学新方法优化学校教学、科研和管理水平促进学校与其他学校之间的信息共享高校建设无线网络成为必然的趋势终端具备 RJ45 接口终端不到 30% 无线 WI FI 解决方案—市场需求终端市场的进化 —— 移动、无线、易用、富媒体、海量便携 Wi Fi 语音个人 / 商用 / 专用电脑 —— 三通两平台 • 宽带网络校校通 • 教学资源班班通 • 网络空间人人通 • 教育资源公共服务平台 • 教育管理信息系统平台宽带网络和计算机学生间的协作教师的鼓励和指导未来的教育——云教育中国教育现代化现在未来移动一卡通智能终端 PassBook 、 NFC 正在普及昨天传统一卡通畅想移动数字校园—移动一卡通未来基于位置的信息推送： • 报告楼有讲座！ • 主楼外装修，请绕行！现在基于 WLAN 定位的 Geo- Fancing 信息围栏昨天电子公告栏畅想移动数字校园—位置公告栏昨天点名现在基于 WLAN 定位的签到服务未来基于位置的考勤服务： • 大家究竟在上课还是在玩游戏？ •优秀选修课的客观评价。畅想移动数字校园—考勤与优秀课程评选昨天体检未来 • 普查高校学生体质。 • 分析学习、运动、喜好热点。 • 监督推荐健康生活习惯。畅想移动数字校园—德智体全面发展智能终端、穿戴设备、 WLAN 定位后台数据现在现在未来 • 网络学习空间 • 网络科研空间 • 多种协作手段基于社交网络、位置、移动的协作畅想移动数字校园—学习、科研协作昨天一个人攻关联合研究报告畅想移动数字校园—学习、科研协作体育系 • 手机拍摄媒体系 • 剪辑编辑医学系 • 分析研究现在传统教学、科研网络教学空间未来 • 延伸的教案 • 延伸的教室 • 延伸的图书馆 • 延伸的学校畅想移动数字校园—自学习昨天 2 高校无线网络风险分析 4 高校典型案例分析 3 高校无线安全解决方案 CONTENT 高校无线建设背景 1 l Portal 易遭受网页篡改、拒绝服务攻击等安全威胁 l AC 多采用 WEB 管理 , 易遭受 DDos 攻击 l AC 针对 AP 的 WLAN 划分不严格，易遭受 ARP 等泛洪攻击 , 造成网络带宽拥塞，性能瘫痪 l AC 作为用户分配 IP 地址的 DHCP Server ，易遭受泛洪 DoS 攻击 l WLAN 设备管理 IP 地址段与普通 WLAN 用户 IP 地址段未作有效隔离。 AC 公网地址访问策略不严格 l 管理 AC 设备未采用 S 加密形式，账号口令明文传输被窃听 l 设备自身存在安全漏洞、脆弱性，可被利用控制操作 l WLAN 认证计费系统与其他系统明文传送用户账号信息 l 维护人员可以方便得到用户账号密码信息 l WLAN 用户密码生成机制不严谨存在大量弱口令 l 不法分子私自架设 AP 钓鱼盗取用户账号密码 l 非法用户获得 AC 、 AP 、交换机等 WLAN 系统设备地址后，将终端设置为相同地址段 IP ，实现免费上网 l WLAN AC 对外访问策略控制不严格， DNS 端口可被利用实现免费上网网络滥用网络不可用用户账号密码盗用设备被利用高校无线网络运营风险服务器集群区域部署有无线网络，内部人员可以通过无线连接到服务器，不发分子可以通过密码破解，进入无线网络，直接访问内部数据。服务器区域工作人员如果为了方便搭建 AP ，或者电脑开启 AP 功能，外部人员可以通过 AP 访问内部网络，造成数据泄露。不法分子通过窃取密码，登录网络平台的无线网络，进入管理平台篡改网络信息，造成网络瘫痪或更严重后果。行政中心是学校行政工作人员区域，如有人私自登入该无线网络，可以窃取到行政部门的重要文件等信息。在教学楼、图书馆等人员密集区域容易存在钓鱼 AP ，上网者连接这些非法 AP 导致网银密码、邮件账号等被盗，给师生带来经济损失。无线网络相对开放，不法分子通过无线网络嗅探等进入网络植入木马进行破坏，更可以对无线网络进行攻击导致无线网络不可用，影响正常教学等工作。高校无线网络风险高校无线网络风险 1 2 3 4 5 6 2 高校无线网络风险分析 4 高校典型案例分析 3 高校无线安全解决方案 CONTENT 高校无线建设背景 1 第一代园区网在中心 2013 年平板电 s 脑发货量超过台式 s 电脑！下一代园区—网粘身边！ • 移动终端普及 • 空中接口速率提升 • 移动应用丰富 • 部署管理压力大 • 安全弹性要求高校园网演进至何方？代园区网房间墙 IPS 局域网通信 100Mb ps 11Mbp s 2000’ s 1000M bps 200 s 150000 100000 50000 0 1300M 1000Mbps bps 接入网速终端类型 100Mb ps 1995’ s 1996 1997 1998 1999 2000 2001 2002 •VLAN • 生成树 • 路由 • 三层交换 1990’ s 15000 10000 5000 0 • 防火 • VPN •IDS/ • 无线 • 融合 54Mbp s 5’ 第二代园区网到楼边 900Mb ps • 专用网络设备 1000M bps 第三进 PC 发货量智能手机平板电脑关键技术 10Mbp 2015’ 2010’ 2… 2… 2… 2… 2… 2… 2… 2… 2… s 万台万台海量应用更高网速安全下一代园区网挑战海量终端更好用户体验！性 ? 多神场最 ? 移动无线灵活安全感知高可用移动无缝覆盖性能管理数字化移动化校园集中管理认证自服务高弹性网络漫游切换无线定位一体化安全智能接入多业务部署高教解决方案解决方案高密度场景 · 组网控制图书馆教学楼 (fe) 宿舍楼 (fe) 宿舍场景 · 高带宽 · 环境感知 · 多业务 ·IT 自服务统一认证教学、科研场景 · 高带宽 · 环境感知 · 多业务 I T 自服务园区场景 · 环境适应强 · 广覆盖 · 移动性 ·QOS 回程室外高校多场景无线覆盖 AuteView 科研办公楼数据中心 ( e) (fe) 室外 AP ：智能终端接入无缝漫游： 2/3 层无缝漫游广覆盖： MRC/ML 、逐包功率控制易部署：支持 WBS ，视距内桥接 ISM 频段网桥：楼宇间互联最高 300Mbps 、最远 70KM 高 QoS 保障动态频率选择、多天线收发应用场景：岗亭、摄像头等不易布线接入速率：最高百兆接入距离：最远 3KM """ 点对多点 5G WLAN 基站 +CPE ：中距离接入室外园区场景摄像头 / 岗亭 / 实验室点对点楼道放装 AP ：楼道及易穿透墙体无线覆盖。优势：性能好、支持定位、双频面板式 AP ：宿舍、小办公室部署。优势：信号好、施工快，支持定位。大功率 + 天馈：楼道、楼梯无线覆盖。优势：信号好劣势：不支持定位、双频。密集覆盖：多媒体教室，电子书包多媒体视频应用。环境感知的室内无线接入——多手段应急灯 AP ：楼道不易布线区域无线覆盖。 80211a e 环境感知的室内无线接入——多径空口感知宿舍图书馆集中认证灵活转发模式选择集中管控、统一升级集中管理控制、灵活转发模式教学楼统一认证数据中心 AX 系列 AC N+1 冗余配置 AuteView 集中管理运营商 1 运营商 2 运营商 1 计费网关运营商 2 计费网关 POE 交换机 AP 运营商 2SSID 校园网运营商 1 SSID 拿 (EAP 网关）校园网认证无线控制器 l 提供运营商租赁服务 l 不同运营商广播不同 SSID ，独立认证计费 l 校园网用户，学生采用一卡通账户认证、计费宿舍区多业务接入校园网 SSID 办公学生 PEAP 多业务部署单一 AP 多 SSID 采用不同认证方式单 SSID 广播域隔离应用独立 VLAN 应用独立网段 QoS 带宽控制 AC 带宽应用 A 组应用 C 组应用 B 组多业务、多身份控制融合通信解决方案——端到端 QoS 保障！ • 无线有线网络 QoS 统一映射 802. 1p DSCP Payloa d 基于 ACL 的 DSCP/802.1p 修改 DSCP 802. 1p DSCP DSC P Paylo ad 802. 1p DSCP • AP 空口资源预留 • 高服务质量回程解决方案 L2/L3 L2/L3 CAPWAP 封装 802. 1p DSCP CAPWAP 封装 Payloa d Payloa d Payloa d Payloa d 802.11e DSCP 802.11e DSCP 宿舍基于位置的业务门户选择不同位置不同 Portal 和策略不同 SSID 不同 Portal 和策略图书馆图书馆教学区域学生 Portal 宿舍区域学生 Portal 认证 / 策略 / Portal 校园网教学楼认证因子 ID/CA/U key/ 业务互联网访问二级权限本地访问一级权限业务访问三级权限认证因子 ID/CA 认证因子 MAC MAC WPA/WP A2 Portal 接入控制层次化认证 ! 任意入口 ! ! ! 权限 MAC Portal 认证因子 MAC 有效时间 MAC Portal MAC • 先 MAC 后 Web （ Bypass) 权限认证因子 ID/CA/Ukey/ 业务接入控制认证因子 MAC • 一体化核心交换机集成无线控制器 • 多核 CPU+ FPGA+ ASIC 高性能 CAPWAP 处理引擎 • 支持 DSR N+1 冗余备份。 • 统一用户认证 • 统一安全策略业务策无线网无线业务策无线认证有线网认业务策略证心网络管理核心层汇聚层防火墙 IDS/IPS 接入层 CAPW AP 策略的管无线有线一体化组网第三代园区——补丁式组网性能不足：无线数据处理能力不足。割裂式组网安全性不足。对位置和移动应用关注不足。割裂式组网配置复杂。割裂式组网，弹性不足。 • 一体化核心交换机集成防火墙、 IPS • AC 内置 DPI ，深度业务识别、更安全、更智能。高无线转发性能：高性能 AC: 多核 CPU+ FPGA+ ASIC+ 模块化软件集成 CAPWAP 引擎一体化交换机，全网无线交换线速。立体化，多维度安全无线侧：支持 WAPI 、 WIDS 、 WIPS 有线侧：防火墙、 IPS/IDS 、 DPI 一体化：一体化安全策略第四代园区——无线有线一体化组网 • 集成 CAPWAP 引擎 • 分布式处理，无 CAPWAP 瓶颈关注人和应用、更灵动、更有弹性中心网络管理证无线有线一体化纵深安全技术要点平衡信道终端数量小区边界控制监控非法 AP 5G 优先组播优化广播域隔离地址翻译，减少地址消耗应用场景：最大用户数 (SSID/AP) 当前用户数 100 万并发 NAT 16 万新建多媒体教室，大教室和图书馆，体育馆、礼堂高密度覆盖边界阀值本地课件资源一体化交换机 AP 无线教室电子书包互动式教学，随时提问，随时检查教学效果多媒体示教丰富教学手段、更直观 …… 高密度场景——无线电子教室解决方案电子书包覆盖区域基于用户数量或覆盖范围划分覆盖区域，采用定向天线进行区域覆盖通过下倾角来控制覆盖区域的面积同时部署 2.4 GHz 和 5 GHz 场馆高密度部署—基于定向天线进行部署场馆高密度部署——分布式部署 AP 位于坐席位置下方，通过全向天线进行部署大教室、图书馆阅览室高密度部署 AP 位于四角，通过全向天线对中间区域进行覆盖 CUBE 优势：低于 50ms 切换支持语音、视频等移动应用认证、加密、 QoS 、安全配置不丢失应用 • 支持移动查房、检查、 PACS • 支持移动 VoIP 或视频会议漫游切换 n 二层三层的漫游切换 • 快速安全切换 • 用户策略切换 • 跨网段切换 VLAN I D 用户策略 SSID 教育 SSID 教育 SSID 教育二层、三层漫游切换 PMK 同步 Client 人员、设备定位 • 单一空间多 AP 覆盖 • 计算信号强度、配合定位系统 • 支持被动、主动定位被动：第三方标签主动： WLAN 终端 • 未来提供 XML 接口 ww 控制平面用于 CAPWAP 隧道倒换用户状态倒换网络服务倒换高可靠性部署 AC N+1 冗余部署生产、备份 AC 同时在线控制平面同步数据平面倒换 DHCP Portal 认证 /MAC 认证 /802.1x 认证无线核心侧高可靠性 DHCP 冗余 AC 集中管理 Portal 认证中心上网行为管理 WLAN 网络行为审计传输网 PTN/MSTP/PON 互联网中国电信互联网中国移动互联网中国联通教育科研网汇聚交换机 IPS 安全保障热点交换机 A P 热点交换机 A P WI DS/ W IPS 核心路由器热点 N 热点 1 漏扫 WAG A C A C BRAS Web 应用合规基于 URL 的访问控制 HTTP 协议合规敏感信息泄露防护文件上传下载控制 · web 表单关键字过滤网页防篡改 · 基于 URL 的流量控制 · web 应用加速多服务器负载均衡 Web 非授权访问防护 Web 恶意代码防护 Portal 防护 Web 攻击防护 Web 应用交付 web 恶意扫描防护 SQL 注入攻击防护 cookie 篡改防护应用层 DOS 防护 CSRF 攻击防护 webshell 防护 XSS 攻击防护网页挂马防护网站盗链防护 WAG 上网行为管防火墙多出口路由 /NAT HA 双机热备集中管理协议在线更新上网行为管理内容管理用户认证 IP 管理流量统计流量控制上网行为管理理对网络进行全面有效的脆弱性检查更准确更完善更迅速的漏扫技术对信息资产进行风险评估和管理为安全隐患的加固和修复提供指导提供合规性扫描方法和修改建议简单友好易用便捷的体验漏洞扫描 WLAN 边界安全未授权访问无加密、 WEP 、 WPS 无线嗅探、破解泄密流氓 AP 非法外联 Ad Hoc 带来的问题交叉连接，无法识别合法性移动接入（边界模糊）终端复杂网络交叉摆脱有线束缚（数据开放性无线安全隐患拒绝服务解除关联持续时间域欺骗射频干扰