【廉环话】漫谈信息安全设计与治理之无线覆盖与管控设计

【51CTO.com 原创】上期和大家聊完之后，所谓热心的小伙伴私信廉哥“在不破坏原有架构和功能运行的情况下”，到底是什么意思？

我想说：“原来你是这样的读者！你问，你的家人知道吗？你问得真漂亮！”我非常感谢这位朋友“参与精神”。廉哥应该发扬互联网“***思维”，让我们更彻底地谈论漫画。事实上，我上次说的很模糊。让我们在这里告诉你一些事情。由于许多企业原有的 *** 架构已经运行了很长时间，无论是缓慢还是脆弱，它们都形成了自己的 *** 架构nature balance用户习惯性，不能太多“任性”。全面考虑和深入测试增加设备，我们旨在升级 *** strong and fluent而不是制造新的“掣肘”。此外，用户体验非常重要，我们可以参考这一点“马斯洛需求金字塔”要理解，在满足可用性的基础上，用户当然需要使用酷，安全和效率有时是一对自然的矛盾，所以这个balance把握程度很重要。技术死了，但是，人是活着的。在安全操作和维护的前提下，用户和审计都需要满足要求interpersonal技巧。不要说太多，否则这里会变成职场鸡汤。幸运的是，我哥哥事先在这里叫了它“漫谈”，也就是说，一切都可以说。哥会尽可能自由地收发。然后把书拿回来，快点，快点，马上开口。

无线覆盖和控制设计

现在大多数企业都部署了无线 *** 。但是你有没有(or)这种感觉？当年有几个带着。WAP2无线企业认证模式AP，我以为从此再见“地下工作者 梁上君子”爬得高，爬得低，谈论蜘蛛网线Sayonara了，霸特the ugly truth is：

· 要么SSID各自为政，覆盖范围不均匀或有死角，未实现全覆盖。我们发现，虽然无线已经实现了“联通”但毫无“移动”可言。

· 或者由于密码固定，很多员工在通过各种渠道获得高权限密码后，越权肆意连接。

· 或定期需要IT每台无线设备更改密码，工作量大。或者一台设备出现故障，IT人员不得不跑过去，疲惫的狗似乎在调查和调试。

· 公司内部已建立健全Windows AD认证结构，但无线设备的认证体系始终不能纳入该体系。除了维护一套无线认证的其他费用外，员工的离职也会导致系统的不统一。

总有一种情况是读者你现在或者遇到的，对吧？没办法，自己架设的无线网，哭着要保养好。

那怎么破呢？远处传来一句话：“ ID统一，消除盲点，集中管理”。是的！正确的打开 *** 是：在拓扑结构中，我们可以将新的无线交换机连接到现有的核心（三层）交换机和多个无线AP(接入点一般是POE类型，省去迁就电源插座)，无线controller(中央控制设备)和新的防火墙。这堵防火墙直接连接到上述第三条ISP在线路上(如下图所示)。这是基本配置，以根据实际需要增加多个无线交换机等设备。

让我们来看看无线引入无线controller(中控设备)这种新型无线 *** 方案的好处。

管理上

· 有无线controller设置实现了运维人员从接入设备、无线 *** 、接入数据、认证流量控制四个方面，通过服务界面控制用户设备的接入、授权和使用。

· 各个AP统一管理配置，实时监控其工作状态。当某一区域AP当报告信号不足时，控制器可以动态改变该区域的相关信号AP而当AP当该区域有相同的信道信号时，也可以通过动态调整来避免信道重叠，达到负载平衡的效果。

· 用户的无线终端可以在移动过程中自动切换AP，保持其 *** 连续线，即实现跨越AP二层快速漫游。

安全上

· 可配置多个SSID并实现不同SSID有不同的 *** 权限， *** 资源相互隔离。然后根据公司的合规移动设备自动识别和登录公司的无线内部 *** ，或一般外部 *** 获得简单的在线浏览权限。

· 用户移动设备进入无线 *** 后，只需要很多AP的其中之一进行输入一次性WIFI密码 *** 认证、无线controller并且可以将用户的 *** 许可权限同步到其他范围内AP。

· 无线controller不同账号密码的生存期可以配置，密码可以按照既定策略按周期自动更改。

· 通过与企业域管理系统的联动，可以将企业与用户登录模式相结合portal服务器或认证服务器，实现短信字符串认证、微信二维码等认证 *** 。

· 对于要求严格的企业甚至可以先认证，后分配IP地址，再通过radius统一计费服务器数据。

随着BYOD（未来将重点讨论）随着无线 *** 设计和管理在当前企业 *** 安全运行和维护中的比例越来越明显。它补充了有线，相辅相成。当你的老板成为“低头一族”，而且是“根本停不下来”你还敢小觑WIFI企业经营乃至IT部门兴衰的重要性吗？用一个小笑话结束这个漫谈。以前是一个IT部的哥们曾经自信地对大家说:“给我一张网卡，我就能在你的硬盘里找到神！”(素质，注重素质！)。我想在他的基础上补充一句话，现在应该是“让我在你的单位地址，我可以在外面‘探囊取物’了!”别问我怎么实现的，自己去静静的脑补吧。

【51CTO.com 原稿，请注明作者和出处。