返回
接入点(ap)布置的细节

接入点(ap)布置的细节

ID:20088052

大小:50.00 KB

页数:3页

时间:2018-10-08

接入点(ap)布置的细节_第1页
接入点(ap)布置的细节_第2页
接入点(ap)布置的细节_第3页
资源描述:

《接入点(ap)布置的细节》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、接入点(AP)布置的细节~教育资源库  许多安装人员会犯这样的错误:认为802.11无线局域网仅仅和以太网相同,将接入点安置在特定位置,以促进外界访问企业网络。但是,从安全的角度而言,无线局域网应当和因特网形同看待由信任用户和不受信任用户组成。TechTarget中国的特约专家在本文中提供了网络拓扑结构和布置建议,可以获得更为安全的AP配置。  布置事项  接入点带有出厂默认的全向天线,其覆盖范围大概是一个圆形,并且受到像围墙一样的射频障碍的影响。因此,在中央区域布置接入点是很普遍的,或者把办公室分割成几个信号区,每个区

2、都布置一个接入点。  这种方法虽然非常直观,但是可能无法使成本、性能和安全性最优。理想的覆盖范围很少是圆形的。为了填补这个造成的差距,你需要停止购买更多的接入点,满足实际需要便可;同时停止泄露大量的信号。网站模型和/或定向天线可以帮助你避免这个问题。  建模工具把建筑材料性质、接入点性能和站点调查措施结合在一起,设法弄清楚用户的位置、密度和吞吐量要求,进而预测接入点应该配置在什么位置,并验证结果。虽然前期的计划需要花费很多时间和精力,但是最后会有回报的,尤其对于那些大型的无线局域网。比如,可以考虑应用AirMagSurv

3、eyor、AirTightSpectraGuardPlanner、NetistryRFprotectSurvey、以及TrapezeRingMaster。  用定向天线替换接入点的上等橡胶全方位天线,可以更好地关注辐射信号的,提高内部覆盖面,并减少外部的信号泄露。  物理定位、以及诸如传播功率调节之类的相关步骤,可以使入侵者很难与接入点保持连接。但是你绝不应该指望只物理定位就可以阻止攻击者。  物理或逻辑局域网的分割  接下来,防止无线局域网信息流与其它局域网信息流混合。连接到你以太网无线局域网的工作站组成一个可信任的工

4、作组。他们交换传播/多点传送信号,依赖共享资源:比如Layer2网络集线器或交换器、DHCP服务器、DNS服务器和Layer3交换器或路由器。在局域网上安置不受信任的设备,你就会把每个设备置于风险之中。不良代理人会导致广播风暴、破坏ARP高速缓冲存储器、毁坏IP地址协议等等。对你的接入点进行物理或者逻辑分割就可以减轻这一风险。  举例来说,将所有的接入点连接到一个新的以太网交换器上,而不是把它们连接到附近有线设备使用的现有以太网上。或者你可以将瘦接入点连接到一个新的无线交换器上(比如,Aruba、Cisco、Trapez

5、e),该交换器主要负责管理和监测这些接入点。将所有接入点集中到一个物理局域网上,这很容易理解,但是这并不成比例。  较大的无线局域网使用虚拟局域网(VLAN),可以创建逻辑工作组。虚拟局域网使用用于控制信息流的标识符来标记数据包或者端口。比如,虽然可以将接入点连接到现有的以太网交换器端口上,但是也需要在新的虚拟局域网上分配这些端口。你可能会希望有至少两个新的虚拟局域网一个用于接入点管理,另一个共无线用户使用。若要了解用虚拟局域网分割无线信息流的更多情况,请阅读我们的相关技巧运用虚拟局域网划分无线局域网信息流。  需要注意

6、的是,分割局域网既会影响到安全,也会影响到性能。比如,服务质量措施可以应用到物理局域网或者虚拟局域网中,这样的员工的信息流优先权在客户之上。  创建网络屏障  有时候,无线局域网会遇到网络层设备,这里它可能会发送到公共因特网或者其它内部子网中。就是在这里,许多员工安装的接入点遭到破坏。将不受信任的设备连接到受信任的子网中,这就创建了一个不安全的后门。在信任子网的前门执行安全措施防火墙、VPN信道、网络病毒将工作站连接到错误布置的接入点就可以规避这些安全措施。  出于这个原因,无线接入点应该总是与受信任的子网分离,使用网络

7、层策略执行设备可以分离接入点和子网,这些种类的设备包括:  路由器  防火墙  VPN网关  无线网关和Layer3交换器  网络访问控制器  比如,你的接入点可以直接连接到访问路由器中,配置为将无线信息流发送到因特网上,而不是发送到公司网络。或者你的接入点可以连接到VPN网关,该网关可以验证VPN客户机并阻止所有其它信息流。或者你的接入点可以配置在防火墙的隔离区(DMZ)内,允许无线访问一些受隔离区保护的服务器,但却阻止通过防火墙进入信任的网络。  在创建网络屏障时,考虑该设备必须运行的功能。为了执行安全策略,你可能需

8、要访问控制点(基于MAC、虚拟局域网、IP、端口或者应用层信息检查)、工作站或者用户认证、VPN信道(子网漫游范围以内或者外部)、对话核算、病毒扫描、内容过滤、入侵检测/防御、以及带宽限制。虽然一般用途的防火墙可以完成大部分这些工作,但是无线网关或者Layer3交换器可以填补这个角色,并且提供像接入点发现、供应和RF

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。