现代化智能wifi覆盖方案.docx
《现代化智能wifi覆盖方案.docx》由会员分享,可在线阅读,更多相关《现代化智能wifi覆盖方案.docx(28页珍藏版)》请在冰豆网上搜索。
现代化智能wifi覆盖方案
现代化智能wifi覆盖
建
设
方
案
编制单位:
xxx科技有限公司
建设单位:
xxx科技有限公司
用户单位:
xxx公司
时间:
2016年12月8日
目录
1项目总述3
2参考标准3
3设计原则5
3.1高安全与高性能5
3.2兼容性强易扩展性5
3.3互操作与维护均简单5
4网络拓扑6
4.1链路设计7
4.2整体设计7
4.2.1出口设计7
4.2.2无线控制器(核心交换机)7
4.2.3服务器8
4.2.4运维管理(根据需求选择)8
4.3无线接入点设计8
4.4安全规划8
4.4.1网络安全8
4.4.2NAT转换8
5产品清单9
5.1产品选型原则9
5.1.1无线控制器(核心交换机)选型9
5.1.2防火墙选型9
5.1.3楼层交换机9
5.2设备报价清单9
6工程实施11
6.1AP布放原则11
6.2实施保障11
6.3工程实施组织及准备工作11
6.4工程实施计划1
1项目总述
现代化智能wifi无线覆盖是社会发展的必然趋势,是企业、个人在社会活动中不可且少的信息传播与粉丝吸收的必要手段,用户通过智能公共wifi认证上网,在认证的同时可以将企业或个人的产品或服务强制推送给用户,或者强制用户关注个人或企业的微信公众号,用户拒绝关注则强制切断用户的上网功能。
在用户认证完成后,可以根据用户浏览的信息对客户浏览内容做数据分析,并根据分析结果想用户推荐相关产品与相关服务,如,张先生喜欢浏览足球论坛,进过分析张先生的上网行为,可以推荐中国足球论坛给他;李女士喜欢浏览化妆品网站、整容网站等,分析李女士的上网行为,系统自动推荐xxx化作品、xxx整容店等。
通过给用户推荐,使用户可以方便的了解自己感兴趣的东西。
2参考标准
本方案将遵循和参照如下信息安全法律法规、政策要求和安全标准,及其他相关规定和标准:
Ø《中华人民共和国保守国家秘密法》及相关法规
新修订的《中华人民共和国保守国家秘密法》及相关法规均对涉及保密行为做出明确的规定和要求,如一切国家机关、武装力量、政党、社会团体、企业事业单位和公民都有保守国家秘密的义务。
如何保证内网(业务专网)没有国家涉密信息,不会泄漏相关敏感信息,则必须采取相应的技术手段和管理手段来防止安全保密事件的发生。
Ø《信息安全技术信息系统安全等级保护技术要求》(GB/T22239-2008)
2008年颁布的信息安全等级保护国家标准——《信息安全技术信息系统安全等级保护技术要求》中,在边界完整性检查、主机安全、身份鉴别、安全审计、数据安全与备份恢复等几个方面明确规定了必须对内网终端计算机应采取终端安全管理、准入控制管理、非法外联控制、身份认证、安全审计管理、文件加密保护、介质管理、资产管理等相关措施。
Ø《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)
风险评估是以安全设计与建设为出发点,它的重要意义就在于改变传统的以技术驱动为导向的安全体系结构设计及详细安全方案制定,通过对用户关心的重要资产的分级、安全威胁发生的可能性及严重性分析、对系统物理环境、硬件设备、网络平台、基础系统平台、业务应用系统、安全管理、运行措施等等方面的安全脆弱性的分析,并通过对已有安全控制措施的确认,借助定量、定性分析的方法,推断出用户关心的重要资产当前的安全风险,并根据风险的严重级别制定风险处置计划,确定下一步的安全需求方向。
国家标准《信息安全技术 信息安全风险评估规范》提出了风险评估的基本概念、要素关系、分析原理、实施流程和评估方法,以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。
Ø《信息技术安全技术信息技术安全性评估准则》(GB/T18336)
GB/T18336《信息技术安全技术信息技术安全性评估准则》(等同于ISO/IEC15408,通常也简称通用准则——CC),该标准是评估信息技术产品和系统安全特性的基础准则。
它提出了目前公认的表述信息技术安全性的结构,即把安全要求分为规范产品和系统安全行为的功能要求以及解决如何正确有效的实施这些功能的保证要求。
功能和保证要求又以类——子类——组件的结构表述,组件作为安全要求的最小构件块,可以用于保护轮廓、安全目标和包的构建,例如由保证组件构成典型的包——评估保证级。
Ø《信息技术安全技术信息安全管理体系要求》(ISO/IEC27001:
2005)
在信息安全管理体系方面,国际标准ISO27001:
2005已经成为世界上应用最广泛与典型的信息安全管理标准。
目前国家已经等同采用该国际标准成为国家标准《信息技术安全技术信息安全管理体系要求》(GB/T22080-2008)。
它详细说明了建立、实施和维护信息安全管理体系的要求,指出实施机构应该遵循的风险评估标准。
Ø《信息技术安全技术信息安全管理实用规则》(ISO/IEC27002:
2005)
信息安全管理使用规则ISO27002:
2005综合了信息安全管理方面优秀的控制措施,为组织在信息安全方面提供建议性指南。
目前我国已经等同采用了ISO27002:
2005国际标准,成为了国家标准《信息技术安全技术信息安全管理实用规则》(GB/T22081-2008)。
在本方案的设计与实现中,也同样遵循和参考上述两个信息安全管理体系的实践和要求。
3设计原则
3.1高安全与高性能
本方案将从网络、应用、主机等几个角度将常见攻击、病毒、入侵、数据丢失等问题进行解决,并在具体设备选型、方案设计上全面保障业务系统运行性能要求。
3.2兼容性强易扩展性
本方案采用的设备运行与架构均为国际国内标准协议与技术,保证了系统与未来增添设备的良好兼容性。
且标准化的扁平组网模式,保证后续的扩展,只需要增加功楼层接入交换机设备即可,对其它区域不影响。
3.3互操作与维护均简单
本方案选型设备无论是协议的采用还是命令的使用,均具有良好的行业通用性,极大的减少了管理员或者其它维护人员的使用难度。
4认证系统
4.1多种认证方式
根基用户上网需求搭建认证系统,系统具备多种认证模式,手机号码认证、微信公众号认证、APP认证等,
认证完成后,用户界面跳转至定制化页面,如WIFI登录完成后,即可跳转至官网,以引导用户关注企业官网等。
4.2用户上网行为管理
系统可以对用户的上网记录进行全程管理;同时还能追溯IP、根据国家对互联网信息安全的管理要求,需要提供IP溯源机制,可以根据用户上网的记录回溯到用户的帐号和个人身份。
4.3用户数据分析
同时支持定制化页面,支持用户数据分析,系统可对用户的使用习惯进行精准分析,根据用户使用数据,为用户精准推送其最感兴趣的业务及活动。
5网络设计
5.1网络拓扑
基本组网简介如下:
(一)出口使用一台防火墙与核心交换机连接,同时防火墙开启IPS入侵防御模块,对交互数据进行非授权访问控制、攻击防护、入侵防御,保障网络出口的安全性。
同时配置访问控制策略,控制用户访问公网策略,只允许业务流量通过。
(二)各楼层配置一台交换机作为楼层接入设备方便楼层间其他业务的扩展。
(三)配置一台服务器,根据用户需求作为接入认证控制,并根据用户需求对用户上网进行认证计费以及相关日志存储。
5.2链路设计
核心交换机和楼层交换机采用二层链路设计,可以根据楼层间接入用户的数量与上网流量的大小选择双链路进行链路负载分担与链路备份,核心交换机与internet出口防火墙采用透明组网模式,同样采用数量路设计,实现链路备份与业务负载分担。
根据业务系统对网络带宽的需求,建议根据具体的业务需求选择电信的MSTP链路。
5.3整体设计
5.3.1出口设计
在不考虑成本的情况下出口设备建议采用两台防火墙做冗余备份设计,实现出口负载均衡与链路备份,避免出口区域出现单点故障和单链路故障;在条件不具备的情况下也可以采用一台防火墙对internet出口进行隔离。
出口防火墙为内网和公网的安全隔离屏障应集成了入侵防御功能、流量控制功能等,对外网流量进行访问控制,仅开放需要的服务及端口;入侵防御功能能够对内外网流量进行安全检测,一旦发现网络攻击、应用攻击、入侵行为等安全事件,能够快速响应,对异常流量和行为进行阻断并告警,提高广域网出口的安全性;流量控制功能能够在网络出现拥塞的情况下对访问流量进行管理,保障各用户带宽使用资源。
出口防火墙采用透明模式进行部署,在不考虑成本的墙体下可以采用高可靠A/A模式(双主)提高网络资源、设备资源的利用率,任何一台设备故障都不影响网络使用。
出口安全防护设备是分支结构安全接入的重要保障,因此设备本身的稳定性和安全性极为重要,出口防火墙设备选型应为双电源规格,具有防雷、防过压、防浪涌保护措施。
5.3.2无线控制器(核心交换机)
核心交换机作为全网数据交换的核心设备,设备本身的稳定性和可靠性极为重要,设备选型应充分考虑冗余措施,具有很好的扩展空间,电源建议有防雷、防过压、防浪涌保护措施。
为降低成本可以采用一台核心交换机承载wifi业务,对wifi信号进行下发、控制同时实现上业务流量妆发等功能,也可以采用两台设备通过虚拟化技术,将两台核心交换机逻辑上虚拟成一台核心交换机,实现双机备份,一旦核心交换平台故障,故障切换时间在50毫秒之内,有利于提升用户使用感知。
设备选型应为双电源规格,具有防雷、防过压、防浪涌保护措施。
5.3.3服务器
服务器主要实现无限用户的上网认证计费服务器等功能,涵盖硬件平台及软件平台的,服务器通过双千兆捆绑到核心交换机,实现链路负责分担,避免出现单链路、单网卡故障;保证认证服务的高效性。
5.3.4运维管理(根据需求选择)
部署一套跨平台的运维管理软件,从业务的角度对整网络防火墙、交换机等进行可视化运维管理,对服务器、存储阵列、备份阵列进行监控,提高维护人员的维护效率。
5.4无线接入点设计
楼层用户接入采用二层交换机,核心交换机与楼层交换机通过trunk模式传输数据,另外接入交换机开启防ARP、ddos、DHCPSNOOPING、环路等安全防护功能。
5.5安全规划
5.5.1网络安全
安全规划主要是网络安全规划,在网络出口部署一台防火墙设备,开启防火墙、IPS等防护功能;在核心与楼层交换机上启用了arp、ddos、dhcpsnooping、环路检测等安全功能;并在所有接入交换机上启用了实名制认证,防范非法接入或者变源攻击。
通过访问控制列表、vlan、防火墙的多重手段实现灵活的内部、外部的安全访问策略。
5.5.2NAT转换
在所有出口防火墙上配置NAT转换功能,对区域内的外网用户提供地址转换服务,具体命令参数需等待运营商提供固定公网地址。
6产品清单
6.1产品选型原则
产品的选型应根据实际具体的情况进行选择:
6.1.1无线控制器(核心交换机)选型
核心交换机是整个网络的核心,在架构上应采用主控、交换、转发三平面分离硬件架构,实现三平面相对独立,最大程度的满足业务对网络设备的稳定性的要求。
同时,考虑未来业务的扩展,在端口数量方面应具备扩展性,核心交换机包交换容量应在根据实际需求选择,核心部件应考虑冗余设计;
6.1.2防火墙选型
防火墙的关键参数主要为:
吞吐量、并发连接数、每秒新建连接数等参数,应根据实际业务的需求选择相应的设备,同时防火墙应具备防病毒、IPS等功能,考虑到后续维护的复杂性,防火墙产品建议与网络产品同一品牌。
6.1.3楼层交换机
楼层接入交换机的选型关键参数为端口数量、所支持的速率,考虑到主流的接入方式,应考虑桌面千兆接入;另外,汇聚交换机应具备三层交换功能,可实现将数据交换
升级会员 