NETGEAR无线网络安全解决方案.pdfVIP

NETGEAR 统一无线网络安全解决方案 一、融合整体网络的统一认证实现 针对于商业企业网络而言，无线网络本身就不是网络中完全独立的一部分，因为无线 网络的终端设备的身份认证和安全将直接涉及到整体网络的安全，我们这里所说的整 体网络安全是涵盖了有线网络/无线网络/互联网行为管理等基础网络的每一个部分； 但是目前并没有多少企业网络环境能真正有效的将自己的网络中的安全实现集中化管 理，形成网络基础化的架构，所以我们将无线方案融入整体网络安全接入方案中，不 再是单独的无线控制器内部认证那么简单了。 二. NETGEAR 统一身份认证解决方案 （如上图示意）NETGEAR 在网络核心层引入了 NETGEAR ProSafe ACS1000 统一身份认 证管理平台，它是一款针对于大，中/ 中小型商业企业市场开发的统一认证网关，它 为企业的有线，无线，VPN 网络终端设备提供了一个集中的，便捷的身份安全性校验 的管理平台，它内置了一个开放式的协议接口平台，可以兼容多种认证方式和数据 库，极大降低了与网络认证技术有关的复杂性问题，以及提供最大程度解决和降低在 网络实施和支持多种非同一性数据库中固有的复杂性和兼容性。 作为全局控制的统一身份认证，将有线网络/无线网络/互联网访问/VPN 远程接入等不 同的网络设备认证纳入到管理范畴内；让终端用户可以只持有一个帐号而跨越所有网 络设备的认证，也可以与现在大多数主流的认证协议或数据库对接，比如，兼容的第 三方外部认证服务包括: AD 域， Windows 域和标准 LDAP 系统；外部数据库包括: mySql 数据库， SQL Server 数据库， MSSQL 数据库， ORACLE 数据库， POSTGRESQL 数据库等. 通过集中的访问控管，可以基于每个帐号实施有效的策略绑定，比如帐号、MAC、 IP、时间段的控制策略.特别适合各种企业网络环境； 采用 NETGEAR 统一身份认证具有以下特点和优势： 性能 ACS1000 单台设备最大支持5000 个用户，大于150 次/每秒认证处理，高效率 高性能硬件架构，Liunx 核心开发平台，具备系统的高稳定性. 安全/认证 开放式认证平台，专为企业网络统一认证和管理而设计 同步支持多种认证方式的客户端认证，如 Web Portal ， 802.1x ，PPPoE 等 支持远程接入，VPN ，有线，无线等多种网络的集中的认证和帐号管理 标准 Radius 架构和协议，灵活部署，满足高并发和用户漫游； RADIUS Proxy 功能，兼容 POSTGRE/ORACLE/MYSQL/MSSQL/LDAP/AD 等数据 库； 安全控制策略，基于每个帐号身份的 MAC 地址，IP 和时间段的控制和绑定 管理 B/S 架构，方便管理 友好的 Web 配置界面，易操作和简单使用 方便的在线用户管理，包括详细的在线信息统计和强制下线管理 详细认证用户上网清单和相关用户统计信息 日志信息记录－基于 WEB 操作，详细日志信息保存，备份和恢复 三、NETGEAR全网统一认证和策略（安全策略解决方案） a）网络核心：在网络核心处由 NETGEAR 万兆核心网络交换机（XCM8810 ）+ 智能无 线控制器+ ACS1000 统一身份认证网 , 共同构筑了商业/企业核心层网络中心，核心层网络设备提供汇聚 层千兆主干连接和有线/无线工作组接入层交换机的全局交换，同时负责连接对外出 口路由器，统一身份认证设备，总体负责整个网络中所有10G 或千兆主干链路冗余连 接，全局路由策略和处理，核心层提供第一层的全局访问控制策略及应用经服务器或 互联网之间的数据交换。 作为核心层部署的 NETGEAR 智能无线控制器，将提供整个无线网络的安全准入，提 供基于全局的无线网络的入侵检测和安全策略的实施，配合全局 ACS1000 认证网关实 施统一集中身份认证；无线网络控制器本身也可以提供整个无线网络的入侵检测/ 防 御和防病毒攻击的安全防护，比如 RF 攻击和阻止，非法AP 检测，DdoS 攻击防御， ARP 攻击防御等，配合有线网络交换机一起实施全局的 ACL 访问策略等. b）网络汇聚：网络汇聚层由 NETGEAR 具有万兆或千兆性能的交换机组成， 汇聚层交换机负责连各区域内的建筑楼层内的接入层交换机（比如 GSM73