1、商业地产无线组网方案,商业地产行业的无线组网需求,无线网络在商业地产行业的应用,物业管理相关的应用 物业管理网络 IP多媒体通信 无线安保系统 车库停车管理,零售商铺相关的应用 移动零售终端 自助服务柜台 实时库存管理 无线视频广告 顾客宽带上网,无线物业管理:提高效率,降低成本,移动的物业管理应用 增强物业管理应用的实时性,提高用户满意度 基于WiFi的实时多媒体通信 改善员工通信的效果,提高员工办事效率 灵活部署无线视频监控网络 不需要重新开沟、布线,降低摄像头部署成本 提供定位功能的停车场管理 利用无线网络快速对车辆进行定位,零售商铺应用:扩大销售,增加收入,为时间紧迫的顾客提供便捷的购
2、物途径 灵活举办各类商家促销活动,Scan, Swipe, Sign, Print Queue Busting,Scan, Learn, Load, Dock X-selling, Faster Checkouts,技术要求: 安全性: 数据加密、身份验证和授权访问 移动性: 快速漫游、延长电池使用时间,移动POS和自动售货机,零售商铺应用:扩大销售,增加收入,无线视频广告,基于无线技术的电子广告牌可以灵活摆放,区域扩大到整个商业街的上端空间,不需要考虑对布线的要求 个性化的商家广告,比如针对性的广告发布、资料索取、联系方式以及电子折扣券等等 基于位置的导购服务,根据客户的无线终端所在的位置,
3、将预先设置绑定的网页推送到观众的无线终端上 搜索某种商品在整个商圈的厂商的排名和销售额的评比以及购买客户的评价,零售商铺应用:扩大销售,增加收入,顾客宽带上网,吸引更多的顾客停留更多的时间,凝聚商业圈的人气,创造更多的商业销售机会 强制发布广告网页,匹配客户所在位置精确定制,竞价排名,商业地产无线组网的实施要点,必须满足PCI DSS v1.2安全准则,7.2: Role-based Access 10: Monitor Access,Category 1No WLAN,Category 2No cardholder data over WLAN,Category 3Cardholder da
4、ta over WLAN,1.1.2: Inventory WLAN 1.2.3: Firewall WLAN 2.1.1: Dont Use Defaults 2.2: Standard Config 4.1.1: Better Than WEP 6.1: Get latest patches 9.1.3: Physical Security,11.1: Wireless IDS/IPS,11.1: Wireless IDS/IPS,1.1.2: Inventory WLAN 1.2.3: Firewall WLAN 2.1.1: Dont Use Defaults 2.2: Standar
5、d Config 4.1.1: Better Than WEP 6.1: Get latest patches 9.1.3: Physical Security,11.1: Wireless IDS/IPS,安全威胁#1: 盗取敏感信息,无线攻击随时可能发生 攻击者随时都在寻找安全漏洞和可能的攻击目标在安静模式下监听敏感信息 用户帐号、密码、SNMP Community StringWEP & WPA-PSK已经被破解PCI DSS v1.2提出Requirement 1.1, 1.2.3, 2.1 & 4.1.1,WAN / LAN,Stores,OfficeMax, Boston Mark
6、et, Barnes & Noble, Sports Authority, Forever 21, and DSW were also the victims of crime rings that used unprotected wireless networks as their points of entry.,http:/ 1.2.3: Firewall For WLAN,无线局域网是一个多应用共享网络 无线局域网必须通过防火墙进行隔离 防火墙必须执行基于“状态”的检查 防火墙必须阻隔所有来自无线局域网的访问请求 除非是基于商业应用的需要,11,支付卡 应用环境,无线 局域网,外部
7、网络资源,?,Requirement 4.1.1: Encrypt Wireless,要求所有的无线网络必须满足,无论该网络是否传输支付卡数据 对于新建网络,要求从2009年5月开始执行 对于已有网络,要求从2010年6月开始执行,WEP,安全威胁#2: 非授权无线网络,内部员工可能连接非授权无线设备到企业的有线网络 家庭型无线AP 使企业网络在非授权状态下被随意扩展到围墙以外非授权无线设备也可能被用于恶意入侵企业网络PCI DSS v1.2提出Requirement 11以实现对非授权无线设备的监视和控制,“We recently suffered an intrusion attempt
8、on our internal network. We traced the source back to an unauthorized wireless router plugged into a live but unused network jack in a barely-accessible location. We have suspicion, but not actual certainty, that the router was placed by the same intruder as executed the network attacks.“,http:/ / L
9、AN,商场,Rogue,数据中心,Requirement 11.1: Monitor All Wireless Devices,目标: 发现 & 定位,非授权 无线设备,意外的 错误连接,WEP,违反 安全策略,ARUBA提供全面符合PCI DSS v1.2的解决方案,系统日志+ 安全报表,服务器部署在总部,对所有位置进行安全监控 监控非授权无线设备并自动生成报表 保留550天超长历史记录,无线局域网+ 无线防火墙+ 无线入侵保护 + 系统日志+ 安全报表,无线控制器,混合模式 无线接入点,服务器和控制器部署在总部 ARUBA AP工作在无线混合模式 发现和定位非授权无线网络设备、无线攻击行为
10、,并自动生成报表 内置状态防火墙对无线网络进行隔离 保护传统 (WEP-only) 终端投资 提供基于用户角色的安全策略,叠加在现有网络之上,无线入侵保护 + 系统日志 + 安全报表,无线控制器,Airwave网管平台,专用探测器,服务器和控制器部署在总部 ARUBA AP工作在无线探测模式 实时探测企业网络的射频环境 不需要对现有的LAN和WAN进行调整 发现和定位非授权无线网络设备、无线攻击行为,并自动生成报表,Airwave网管平台,Airwave网管平台,必须满足无线网络随企业同步扩展的需要,随着网络的扩展,维护工作量不能增加 随着AP的增加,系统配置管理的复杂程度不增加 随着控制器的
11、增加,系统配置管理的复杂程度不增加 在实现室外覆盖时,不需要配置额外的独立系统 在实现远程接入时,不需要配置额外的独立系统随着网络的扩展,网络安全性不能降低 中心化配置的无线接入和安全策略自动同步到所有的控制和接入点 无线接入参数包括频段/信道等射频参数和SSID/加密方式等无线信号配置 用户安全策略包括认证方式、用户角色、访问控制策略、带宽管理策略等相关配置 随着网络的扩展,网络的应用保持一致 无论在任何地方,都能够满足各类企业应用需求(如访问业务系统、IP电话系统、视频会议系统等),独特的控制器集群技术,Master 控制器,Local 控制器,Local 控制器,Local 控制器,配置
12、自动同步,GRE隧道,Local控制器故障时,AP自动倒换到Master控制器,企业网,ARUBA AP,分支节点1,分支节点2,分支节点n,配置自动同步: 无线信号的配置 认证方式的选择 角色及安全策略 无线射频参数 N+1控制器冗余: Master控制器可以作为冗余控制器为Local控制器提供N+1自动冗余备份功能,先进的虚拟分支组网技术,配置管理 性能管理 故障管理 分级管理 报表管理 定位追踪,IPsec加密 用户身份验证 分布式防火墙 无线频谱扫描 非法设备检测 射频资源管理,企业级 安全 分支网络,基于“零配置”的网络部署方式,PEF,零配置/即插即用!,将RAP连接到任意网络上,
13、2. 输入中心控制器的域名或地址,3. RAP自动建立到中心控制器的安全连接,4. 中心控制器自动更新并配置远程RAP,5. 安全的虚拟化分支网络自动建立,,终端用户 专家诊断,x 1,x “N”,ARUBA RAP,虚拟化的专家级网络管理和维护,可视化的集中式管理 IT管理人员只需要管理一台设备 实时化的远程网络控制 基于每个用户的策略控制 基于每种应用的会话控制 所有配置更新实时生效 实时的无线入侵保护,x “N”,中心控制器,中心VPN网关,难以满足高速扩展的需要 每一台部署在分支网点的网络设备都需要进行独立配置 难以保证企业网络的安全要求 不支持对用户的接入身份验证 不提供基于用户身份
14、的策略控制 不能满足PCI标准对无线安全的强制要求,VPN路由器,ARUBA虚拟分支组网,传统VPN路由器解决方案,提供基于自助服务和智能广告的顾客上网服务,在大型商场提供顾客宽带上网服务 商场顾客自助注册、自助服务 定制个性化认证页面,在注册页面通过调查问卷收集顾客分类信息 在顾客数据分析的基础上提供智能广告业务,顾客上网帐号自助注册服务,定制个性化企业风格页面,基于顾客数据分析的智能广告服务,详尽的顾客上网行为统计报表,无线组网架构设计,无线组网整体架构,应用系统,ARUBA 控制器,ARUBA AP,ARUBA AP,ARUBA 控制器,ARUBA AP,ARUBA RAP,总部,大型分
15、支,中型分支,小型项目组,ARUBA AirWave 综合网络管理系统,ARUBA Amigopod,广域网/互联网,ARUBA 控制器,大型分支系统配置,应用系统,ARUBA 控制器,ARUBA AP,ARUBA AP,总部,大型分支,ARUBA AirWave 综合网络管理系统,ARUBA Amigopod,广域网/互联网,ARUBA 控制器,本地控制器,冗余热备配置,从总部主控制器自动同步系统配置文件,提供本地无线接入和安全策略控制 802.11N无线接入点,在分支区域提供符合PCI DSS v1.2的无线接入和入侵防范服务 访客认证、Portal页面和智能广告由位于总部的ARUBA A
16、migopod服务器提供,中型分支系统配置,应用系统,ARUBA 控制器,ARUBA AP,ARUBA 控制器,ARUBA AP,总部,中型分支,ARUBA AirWave 综合网络管理系统,ARUBA Amigopod,广域网/互联网,本地控制器,从总部主控制器自动同步系统配置文件,提供本地无线接入和安全策略控制 802.11N无线接入点,在分支区域提供符合PCI DSS v1.2的无线接入和入侵防范服务 访客认证、Portal页面和智能广告由位于总部的ARUBA Amigopod服务器提供,小型项目组系统配置,应用系统,ARUBA 控制器,ARUBA AP,ARUBA RAP,总部,小型项目组,ARUBA AirWave 综合网络管理系统,ARUBA Amigopod,广域网/互联网,802.11N远程接入点,从总部主控制器自动同步系统配置文件,在分支区域提供符合PCI DSS v1.2的有线和无线接入和入侵防范服务 访客认证、Portal页面和智能广告由位于总部的ARUBA Amigopod服务器提供,31,
