移動設備的日益普及和削減成本之需促進了無線LAN(WLAN)的采用。分析師預測企業(yè)WLAN設備的開支將從2011年的34億美元攀升到2016年的79億美元，復合年均增長率達18.4%。此外，各類公司、組織機構紛紛支持無線邊界設計，進一步的促進與邊界交換機和有線部署相關的成本削減。

IEEE 802.11n無線標準是更多的企業(yè)采納無線部署方案的催化劑， 由于IEEE 802.11n新標準覆蓋范圍更廣，比傳統(tǒng)無線標準性能增強五倍，遠優(yōu)于有線高速以太網(wǎng)LAN。鑒于此，WLAN的采用更為普及， 從而引發(fā)了如WLAN網(wǎng)絡管理和安全這樣應用服務需求。

Fortinet所提供的無線部署方案涵蓋了無線接入與無線安全，其中FortiGate設備作為無線控制器，管理與控制瘦AP,同時提供與有線網(wǎng)絡同等的安全防御功能，包括BYOD認證與管理、IPS、AV、應用控制、VPN的且保持高速的無線網(wǎng)絡性能;FortiAP作為瘦AP實現(xiàn)無線網(wǎng)絡的覆蓋。

以下我們將結合無線部署實現(xiàn)之前應考慮的關鍵因素與Fortinet所提供Secure WLAN無線解決方案對比來體驗該方案的先進性與可擴展性。

覆蓋范圍與速度

諸多的無線AP廠商都宣稱所提供的AP具有高功率的輸出以及由此帶來的大范圍的無線覆蓋面積。如果Wi-Fi通信是廣播或是如同F(xiàn)M無線電基站的單向通信的話，這樣的宣稱是沒有問題的。事實上，Wi-Fi通信流量是雙向的，且無線覆蓋的范圍是由客戶端與AP端雙向性能所決定。故此，大部分啟動無線的設備是基于電池供電的(舉例說明例如筆記本以及其他移動設備)，他們才是無線覆蓋范圍中的“短板”即最弱的連接，而不是AP。

Fortinet的無線解決方案中的FortiWiFi與FortiAP產品一般提供17dBm或50mW的功率輸出，符合并超過能夠完成無線網(wǎng)絡中與客戶雙向通信所需要的功率級別。通常情況下的Wi-Fi覆蓋范圍還取決于障礙物與干擾源，但是，一般的經(jīng)驗是一個無線AP可以覆蓋的半徑是50到60碼(約為15到18米)。AP以六邊形或蜂巢的模式部署可以增加覆蓋范圍。

追溯歷史原因，企業(yè)之所以沒有采用WLAN的部署是因為與有線網(wǎng)絡相比，無線網(wǎng)絡的速度要慢一些。IEEE802.11n技術標準的采用使無線速度超越了有線的高速以太網(wǎng)。

Fortinet的FortiAP產品家族是802.11n標準并使用2x2MIMO技術，可對用戶端提供300Mbps通訊速率。那么，F(xiàn)ortiAP設備可以提供相比IEEE802.11a/b/g技術標準的5倍性能與2倍的覆蓋范圍。FortiAP設備的進階信號處理能力使用了雙天線，最大化信號保真與數(shù)據(jù)重建。

用戶細分與訪客訪問

企業(yè)部署WLAN希望能夠具有基于SSID以及用戶角色細分用戶的能力。基于角色的訪問控制使連接相同SSID的用戶具有不同的訪問權限，這樣減少了對機密信息或管制數(shù)據(jù)被內部人員未授權訪問的風險。另外，基于角色的訪問也可以保證訪客、合同雇員以及臨時雇員適時的訪問公司的商業(yè)信息，而不占用公司正常流量。

Fortinet無線方案中的身份識別策略引擎就是將用戶根據(jù)其授權信息映射到內部訪問群組結構圖。不同的策略應用到不同的群組。這一功能允許公司的IT部門基于業(yè)務架構與合規(guī)要求創(chuàng)建不同的訪問規(guī)則對用戶或用戶使用的設備進行細分。

鑒于用戶訪問是基于相同的WLAN與LAN架構，承載著內部的流量;業(yè)務流量與訪客流量應是各行其道，而不是相互侵占。無論使用何種終端驗證，作為無線部署中AC控制器的FortiGate設備的防火墻策略引擎可以將用戶組的用戶與訪客策略相結合，對訪客流量速率進行設置管理，從而保證不對公司關鍵業(yè)務流量質量產生任何的影響。 惡意內容，諸如非法應用與病毒也通過FortiGate設備的應用控制功能與IPS引擎阻擋在訪客網(wǎng)絡之外。當然，作為AC的FortiGate設備還具有很多內嵌的其他安全技術，例如網(wǎng)頁過濾、垃圾郵件過濾，都可以隨需啟動來保護訪客流量的安全。 且對于訪客網(wǎng)絡的管理還可以細致到基于訪問時間限制、帶寬以及其他規(guī)則而實現(xiàn)。

穩(wěn)固的認證與加密

WLAN是一種共享媒介，加密是需要著重考慮的。以下是被廣泛采用與支持的認證與加密標準。

Open/WEP64/WEP128/Shared ——該標準主要在流量直接路由到互聯(lián)網(wǎng)的人點與訪客訪問點使用。 這樣的選擇沒有認證或鏈路加密。公開選項應只用于安全不是顧慮的流量，或在應用層使用SSL或VPN保護通信流量。

訪客網(wǎng)頁認證(Guest Cpatival Portal)——是業(yè)界網(wǎng)頁認證形式的標準。在該模式下，用戶可以連接到無線AP，類似與以上的公開配置形式，但是用戶在打開一個網(wǎng)頁瀏覽器認證前所有的流量都將被阻斷直至通過認證。

WPA/WPA2802.11iPresharedkey —— Wi-FiProtectAccess WPA是向下兼容，但是所有的應用都應遷移到WPA2，因其提供了更安全的加密數(shù)據(jù)。預共享密鑰可以允許一個密碼在所有鏈接到無線LAN的用戶共享。這樣的安全類型適用于訪客或者家用訪問，但是公司或企業(yè)應該對雇員以及使用基于RADIUS認證的WPA2方式的提供唯一的用戶名與密碼。

基于Radius后臺的WPA/WPA2802.11i —— 該模式下，用戶與密碼信息是從用戶調用并經(jīng)過 802.1x認證的后端Radius服務器驗證。這是無線部署驗證方式中最安全的一種，也是最典型的用法。

Fortinet無線產品支持所有的認證類型包括WPA,WPA2 與最新基于標準的加密類型，如適用于無線網(wǎng)絡的AES,TKIP與WEP以及網(wǎng)頁認證的SSL。 對于擴展認證協(xié)議(EAP：Extended Authentication Protocol)，F(xiàn)ortinet支持與您公司用戶數(shù)據(jù)庫兼容的全部標準協(xié)議。通過Radius服務器進行的擴展用戶認證是通過EAP-MD5,EAP-TLS,EAP-TTLS與PEAP保障安全的。FortiGate與FortiWiFi設備的FortiOS操作系統(tǒng)支持基于LDAP與活動目錄的認證，無需任何額外的軟件許可。

非法AP檢測與在線關聯(lián)

非法AP是潛在的帶給內部網(wǎng)絡威脅的隱患，惡意用戶通過創(chuàng)建泄露點可竊取公司的機密信息、管控或專利數(shù)據(jù)。處于這樣的原因，行業(yè)的政策與法案例如PCI-DSS規(guī)定要對可疑或未知AP進行定期的掃描。

FortiGate非法AP檢測引擎的目的在于自動發(fā)起掃描操作并提供FortiWiFi與FortiAP系統(tǒng)管理員能夠持續(xù)監(jiān)控未知AP的能力，以及判斷無線網(wǎng)絡中是否存在未知AP。Fortinet的無線接入與安全解決方案中的非法AP檢測支持以下功能：

專用或背景無線信號監(jiān)測對未知AP與無線客戶端流量進行掃描。

非法AP監(jiān)測列表中提供未知AP的MAC地址、生產商與安全狀態(tài)、速度、最后一次出現(xiàn)的時間以及在線狀態(tài)。

“在線”狀態(tài)監(jiān)測引擎使用各種關聯(lián)技術以識別未知AP是否連接著FortiWiFi或FortiAP無線LAN。 如果引擎查看到的結果是AP在LAN中，那么將生成實施日志消息通知管理員。

關聯(lián)引擎會連續(xù)的將無線客戶端的流量與有線客戶端的流量對比來識別是否一個客戶端正在使用未知AP通過FortiGate設備進行通信。無線安全設置以及加密與認證的級別怎樣，該項技術可以檢測一個AP是否運行在橋接模式。

另一項關聯(lián)技術就是將無線與有線網(wǎng)絡的MAC關聯(lián)以檢測三層AP，無論AP是怎樣的安全設置與NAT配置。

管理員可以手動劃分未知AP為受信任或未受信任種類。

靈活的部署選項

一個無線產品商提供的產品是否具有部署的靈活性來滿足用戶的需求很重要。 從云端的單個無線控制器進行集中管理的功能對于分布式的零售行業(yè)客戶來講會是非常有吸引力的;而相對企業(yè)用戶來講分布式控制器部署可達到的高速無線吞吐是比較被認可的。

Fortinet所提供的無線解決方案提供了多種部署方式來滿足用戶豐富的需求。

配線架部署： 該部署可以實現(xiàn)使流量在一進入網(wǎng)絡之初便得到快速的服務響應。多臺FortiGate控制器服務于無線流量，那么就允許更大的帶寬流量。這樣的部署情景下選擇FortiGate-200-POE是最為理想的，因其可以使用內嵌的POE端口直接對最大8個AP供電。

網(wǎng)關部署：該部署選擇的用戶可以使用現(xiàn)有服務于WAN-LAN的FortiGate設備作為無線控制器。在部署模式下，每個FortiAP都將其流量經(jīng)通道轉至FortiGate設備進行策略處理與轉發(fā)。參見圖1：

圖1：FortiGate與FortiAP設備的部署選項

數(shù)據(jù)中心或云端部署： 該部署模式允許遠程客戶端通過私網(wǎng)將流量轉發(fā)到集中的FortiGate設備控制器。這樣的模式適于零售商用戶在各個終端地點無需運行獨立的無線LAN控制器就可以實現(xiàn)遠程非法AP的檢測;同樣也適用于沒有FortiGate設備部 署的小型辦公場所。

圖2： FortiGate與FortiAP設備數(shù)據(jù)中心與云端部署選擇

便捷的實施

規(guī)劃無線網(wǎng)絡部署時還要著重考慮實施的便捷性。IT部門需要一個安裝快捷且部署成本低的解決方案，且與現(xiàn)有的網(wǎng)絡架構能夠兼容。

Fortinet提供了所有能夠實現(xiàn)快速便捷WLAN部署的產品。首先，現(xiàn)有的FortiGate用戶可以將在使的FortiGate設備升級到FortiOS 4.0 MR3，使其支持無線控制器功能。運行無線控制器功能無需任何額外的license費用，只需要添加一些FortiAP設備，就輕松實現(xiàn)無線網(wǎng)絡部署的同時享受與有線網(wǎng)絡同等完美安全防護。

其次, FortiAP的啟動設置簡化后，每個AP使用發(fā)現(xiàn)機制在所連接網(wǎng)絡的第二或三層定位最近的FortiGate設備控制器。IT人員僅需要在FortiOS GUI界面中選擇已檢測到的AP，并配置相應的無線選項，這樣就完成了!FortiAP將自動下載配置并啟動作為無線監(jiān)測器，或作為一個瘦AP廣播SSID，或同時提供以上兩種功能。

第三，每個配置的SSID顯示作為一個虛擬網(wǎng)絡接口，管理與策略配置與Fortinet設備中的物理接口相同。通過該接口的流量可以配置通過防火墻策略、IPS查看、反病毒掃描、基于用戶細分的身份識別、應用控制、數(shù)據(jù)防泄漏檢測，或配置通過VPN連接到其他網(wǎng)站，或網(wǎng)絡訪問控制。

最后，但同樣重要的是，F(xiàn)ortiAP-210/220B設置支持POE供電，消除了對于無線AP運行額外的AC插口的需要。這不僅削減了安裝成本，且增加沒有電源需要情形下移動AP的靈活性。FortiAP產品符合低成本設計的802.3af規(guī)格且可以使用現(xiàn)有的POE交換機或電源PoE注射器進行供電。

集中管理

任何對于公司與企業(yè)可行的無線管理解決方案中都應用具有管理胖瘦AP的能力。Fortinet無線解決方案中對FortiGate與FortiWiFi設備的集中管理是通過FortiManager提供的，不需要對每個離散的控制器與瘦AP進行配置，自建立冗余系統(tǒng)時減少了用戶配置人為錯誤發(fā)生的機率;軟件的升級也是可以通過集中管理實現(xiàn)的。

每臺FortiGate設備同樣可以對所控制的FortiAP進行集中管理并執(zhí)行軟件升級操作。 FortiGate 設備中基于選項的管理功能，IT管理員只需要簡單的更改選項即可以實現(xiàn)對全部物理FortiAP的全局配置更改。也就是在整個企業(yè)或公司的無線部署范圍內，認證設置、SSID或無線管理更改都可以統(tǒng)一無縫的實現(xiàn)，極大的降低了操作成本以及部署總成本。

圖3：通過FortiGate實現(xiàn)的對AP配置選項的集中管理與升級

集中管理的另一方面是關于Fortinet無線解決方案中的FortiAnalyzer設備，實現(xiàn)數(shù)據(jù)挖掘與報告功能。FortiAnalyzer設備從FortiGate設備收集全部的日志，將日志以不同級別與分類呈儀表盤顯示整個無線網(wǎng)絡的健康度，以及查看信息追溯任何問題產生的根源。Fortinet無線方案中的該設備，主要協(xié)助服務提供商或大型企業(yè)，提供月度的狀態(tài)報告以解決任何網(wǎng)絡的連接性或安全性問題。