e-works数字化企业网  »  文章频道  »  基础信息化  »  网络与安全

飞塔:兼顾性能与安全的Wi-Fi之道

2016/3/8    来源:e-works    作者:e-works王聪      
关键字:飞塔  网络安全  wi-fi  
近年来,不论是企业级用户,还是普通的消费者,在享受IT技术创新带来的益处之外,也遭遇了前所未有的安全风险。特别是在“互联网+”的推动下,各种类型的企业纷纷开始转型升级,拥抱互联网浪潮。然而企业在日益发展壮大的同时,网络运转却日趋缓慢,存在网络性能质量不高、网络安全管理松散等诸多问题。

       近年来,不论是企业级用户,还是普通的消费者,在享受IT技术创新带来的益处之外,也遭遇了前所未有的安全风险。特别是在“互联网+”的推动下,各种类型的企业纷纷开始转型升级,拥抱互联网浪潮。然而企业在日益发展壮大的同时,网络运转却日趋缓慢,存在网络性能质量不高、网络安全管理松散等诸多问题。

       对此,为了确保网络传输安全可靠又能填平信息传输鸿沟,构造畅通无阻的网络流通平台,同时加强网络安全防护等级,飞塔(Fortinet)采用了“网络+安全”的全新安全防护模式,提供了包括底层无线AP、安全接入交换机FortiSwitch、无线控制器FortiGate和云端FortiCloud的一体化网络安全解决方案。在飞塔中国首席技术总监谭杰看来,随着ICT技术的发展,网络安全的边界也越来越模糊。在面对复杂、未知、定向攻击等高等级安全威胁时,传统安全的防护方式往往漏洞百出,新的网络安全应该是基于整个网络平台的一体化设计。这是因为,虽然攻击者会采取不同的攻击方式、不同的工具、不同的木马变种,让攻击过程变得更加隐蔽,难以察觉。然而,任何一个攻击都需要通过网络端口进行植入、传输。

       如影随形,“互联网+”带来网络性能与安全双重挑战

       “互联网+”开启了一个风起“云”涌的新时代,以云计算为基础设施的应用已经渗透于各个领域,帮助人们在成本更低的环境下创造产品+服务的同时,也同样在信息传输与网络安全上掀起了一场革命。

       一方面,随着企业发展,很多企业的网络运转却日趋缓慢,存在网络带宽质量不高、网络安全管理松散等诸多问题。飞塔无线基础架构工程师何华介绍很多企业CIO在网络建设初期考虑的只是有与没有的问题,究竟怎么进行网络管理却并没有形成一个规范,也正是这种情况导致了许多企业在网络性能管理与安全管理的脱节。

       另一方面,黑客利用各种途径攻击用户,获取用户隐私信息早已不是秘密,据中国互联网协会日前发布的《中国网民权益保护调查报告》显示,近一年来,网民因个人信息泄露、垃圾信息、诈骗信息等现象,导致总体损失约805亿元。针对各类企业、政府及组织机构的APT攻击也广泛出现,涉及业务机密甚至是国家安全的数据泄露风险正在加大,以经济、商业及政治为目的的APT攻击正逐步显露其强大的负面影响。

       与此同时,万物互联也为企业带来了更加多样化的安全风险。2015年我国物联网市场规模将突破7500亿元,毫无疑问物联网设备市场将会不断扩大,然而对于攻击者而言,万物互联同样意味着可攻击的目标增多,攻击面在迅速扩大,相对应的信息安全防御链条则越来越长,防御思想也需要不断进化,信息安全防御面临很大的创新压力。

       最后,随着ICT技术的不断发展,当面对不同类型的网络环境时,由于无线网络从传统网络的基础架构变为一种能服务于应用和业务的平台,也就相应地呈现出用户不同的需求,这种差异化导致用户在网络安全的构建模式上更加细化。

       安全防护:三种部署模式满足不同类型企业

       正是捕捉到这一趋势,飞塔提供了Cloud(云架构型) 、Integrated(集成架构型)、Infrastructure(基础架构型) 三种解决方案,帮助企业建立安全、高效的网络环境。

  飞塔三种典型网络安全部署方案

图 飞塔三种典型网络安全部署方案


       在Cloud(云架构型)中,用户可以直接部署一个具有防护功能的AP,它是业界唯一的NGFW/UTM + AP一体化方案,Wi-Fi的部署无需以控制器为前提,对每一个部署的智能云AP(AP-S)提供FortiGuard服务,包含入侵防御、L7应用控制、反病毒反僵尸网络、Web过滤等安全功能。这类部署模式适合中小企业或大型企业的分支机构如各地域的物流中心,直接通过Fortiwifi-40C提供覆盖,这款设备支持静态的专线接入,也可以直接插入3G、4G的无线网卡。

      飞塔Cloud(云架构型)网络典型部署

图 飞塔Cloud(云架构型)网络典型部署


       在Integrated(集成架构型)中,用户可以将安全设备和接入控制以及WLAN控制器集成在一个硬件设备FortiGate中,用户通过单一平台管理交换机,无线接入点(AP)和安全设备等,满足企业对网络安全管理的需求。在此架构下,飞塔提供了两款管理工具,一款管理工具是Fortimanager,主要是做全局管理、固件的集中升级、SSID授权配置的下发、非法AP的抑制以及实时终端监控。另外一款管理工具叫FortiAnalyzer,可以做使用率报告、安全日志的分析和审计以及PCI合规性的调查等。

      飞塔Integrated(集成架构型)网络典型部署

图 飞塔Integrated(集成架构型)网络典型部署


       在Infrastructure(基础架构型)中,用户可选择单独采购安全设备和接入设备,通过灵活的信道部署方案(可同频、可错频亦可信道堆叠)大大缩短了现场勘查和网络规划部署时间,适合高移动性和可扩展需求部署,提供低延迟和无缝漫游支持。很多商超以及展馆如豫园商城和上海自然博物馆都有所应用。

      飞塔Infrastructure(基础架构型)网络典型部署

图 飞塔Infrastructure(基础架构型)网络典型部署


       网络传输:用技术创新驱动差异化需求

       当前,传统企业飞速变革,越来越多的企业面临着信息化战略的转型升级,构建适合企业自身业务发展的网络体系是每个企业CIO最为关心的问题,当面对不同类型需求、日益复杂的网络环境时,何华认为对WI-FI产品性能创新是飞塔能提供优质服务的基础保证,而深入了解各行业类型客户需求,用技术创新为他们提供差异化服务则成为了赢得竞争优势的重要砝码。

       首先是对产品性能的创新。飞塔通过收购整合MeruNetwork拥有特有的Airtime Fairness技术,可以有效的控制客户端对空气信道进行有序访问,消除了由于客户端无序争抢信道造成的大量“冲突”和重传,大幅度提升了信道利用率和单AP连接密度。对于AP332/ap832等高性能AP,单颗可承载256个有效的无线连接。

       当面对不同行业的网络环境时,飞塔致力于通过技术创新满足各种类型的无线应用需求。例如在制造业仓储管理上,由于库房货架较高,货架间距离窄,库房管理者需要部署大量的AP以满足整个仓库的覆盖。当库房管理员拿着扫描枪来回移动,处于不同AP的交界处时,却存在着因为AP之间的互相干扰而漫游掉线的情况。针对以上问题,飞塔实现技术突破采用同频部署方式,采用同频部署方式对AP进行协同、调度,有效消除了部署在同一区域、相同信道上的AP间的“同频干扰”问题,可以对同一区域的AP部署在同一信道(Single Channel)而不用考虑彼此间的“同频干扰”对性能带来的负面影响。飞塔无线的可同频部署方式极大的降低了网络设计、部署的难度,有效降低了前期场堪的工作量和后期的调优周期。由于不用考虑“同频干扰”,所以AP无需降低发射功率,AP可以以最大的发射功率进行覆盖,相同情况下可以用最低的硬件投入达到整个仓库的覆盖效果。同频部署仅需一个信道就可以部署一张无线网,所以当部分信道存在较强干扰时,可以在非被干扰信道进行同频部署,以避免干扰做成的影响。此方案既可以用最少的AP投入满足货架之间信号覆盖,又防止了AP之间的互相干扰,很好地解决了仓库环境下无线网络的建设问题。

       而针对BYOD的应用中,飞塔拥有虚拟蜂窝技术。众所周知,由于传统的无线网络一般采取由客户端自行选择连接,用户在接入同一无线网络后,由于性能差异性,一部分客户端可以享受稳定连接,而另一部分客户端会面临“漫游”或“次优AP连接”等连接性问题。虚拟蜂窝(Virtual Cell)通过无线控制器为每个客户端选择维护最优连接,完全屏蔽了客户端在连接选择、维护方面的差异性,可以提供最广泛的连接稳定性、彻底消除“乒乓”或“次优AP连接”等连接性问题。同时虚拟蜂窝也可是为无线客户端提供非常理想的漫游切换效果。例如目前很多商超及展馆也陆续开始部署自己的无线网络,除了为用户提供无线接入服务常规需求外,通过无线定位技术可以为客户提供诸如室内导航、广告精准推送等增值服务,而且通过采集并记录客户的位置信息,可为后期的客流大数据分析提供有利的信息导入。在BYOD的接入场景下,飞塔通过开启“虚拟蜂窝”功能,利用控制器来为客户端选择和维护最有连接,从而规避客户端的种类及性能差异,保证各种客户端在网络中可以享受最优化的、稳定的连接。

       当然,飞塔在各行业的应用并不仅限于此,基于更多不同的需求和场景还提供灵活叠加的部署方式,何华介绍对于对接入密度和吞吐量存在较高需求的区域,用户还可以使用高性能的AP进行错频部署,以取得连接数量和吞吐量的最大化。以上的一切,都只为使企业网络应用变得更安全、更高效。谈及未来,何华表示飞塔将继续扎根行业市场,从细分市场出发提供针对网络+安全的服务,帮助客户应对信息技术云化、移动化和互联网化对企业信息安全带来的全新挑战。

责任编辑:赵蔓
本文为e-works原创投稿文章,未经e-works书面许可,任何人不得复制、转载、摘编等任何方式进行使用。如已是e-works授权合作伙伴,应在授权范围内使用。e-works内容合作伙伴申请热线:editor@e-works.net.cn tel:027-87592219/20/21。
e-works
官方微信
掌上
信息化
编辑推荐
新闻推荐
博客推荐
视频推荐