解决方案
 联系我们

    地址:上海市长寿路360号源达大厦1901室
    手机:13761554547 (张经理)
    邮件:liang.zhang@focusec.net

Sophos 无线解决方案

您的位置: 首页 >  解决方案  >  Sophos 无线解决方案

某医院组建无线网络方案
 
 
一、      用户需求
1.      在医院内部的15个病区、2个输液室部署无线设备,做到Wi-Fi覆盖;
2.      无线网络用于承载医院内部的业务系统通讯;
3.      无线设备需支持802.11b/g/n;
4.      无线设备应易于集中管理;
 
 
二、      无线网络拓扑图
 
 
本案中推荐使用全球性品牌Sophos网络安全公司的Wi-Fi AP设备——AP30
AP-30的主要特点:
·         支持802.11 b/g/n,最大传输速率300Mbps
·         支持最多8组 SSID设置,并可隐含SSID
·         支持WPA/WPA2
o   WPA Personal (WPA-PSK 采用 TKIP 或 AES)
o   WPA Enterprise (WPA-EAP 采用 TKIP)
·         支持WEP,加密强度64/128位
·         支持802.1x 认证
·         支持PoE
·         支持二层转发模式、三层路由模式
·         自动寻找网络中ASG设备
 
 
四、      多功能防火墙即无线控制器的选择
本案中推荐使用Sophos网络安全公司的多功能防火墙——ASG 425,作为无线控制器,同时又可完成网络防火墙的功能。
ASG 425的主要特点:
·         支持Sophos的无线AP接入集中管理,即无线控制器角色
o   支持对AP设备的策略分发
o   支持无线客户端检索管理
o   支持AP状态监控
o   支持IP地址与MAC地址捆绑
o   支持DHCP分配IP地址
·         专业的状态检测包过滤防火墙功能
·         支持基于IP地址、通讯端口的访问策略设计
·         支持基于时间的策略管理
 
本案中采用的ASG 425即是无线网络中的无线控制器,同时也是无线网络的核心安全设备,完成保障安全访问的角色。
 
 
五、      Sophos无线网络的特点
医院的业务系统可以通过Sophos的无线网络进行安全地数据传输。
 
多SSID设计
利用多SSID设计的特点,可以针对业务系统的需要,为每个业务系统设计一个对应的SSID。例如,入院患者二维条码识别系统使用专有的SSID,并为其设计专用的加密方法及密钥,保证仅属于此系统的设备才能够接入此SSID,从而得到与此系统对应的IP地址。得到了特定的IP地址,就可以利用ASG 425的安全访问控制机制来控制这些IP地址对相应的后台服务器进行通讯访问。这样就做到了接入安全与访问安全。
 
漫游
由于我们采用ASG 425作为统一的无线控制器,将全部AP都汇聚到中心的ASG 425设备。这样就可以实现无线漫游。例如,医生查房时,利用移动终端设备接入专用的SSID,随时查询患者信息;当医生进入其他病区时,移动终端设备会自动接入同样名称的SSID,而不是搜索新的SSID并要求使用者提供接入密码;ASG 425可以确保这台移动终端设备可以获得的IP地址不变。这样的漫游设计可以极大地方便使用者对移动终端的操作,最终提高业务效率。
 
安全传输
在无线网络接入中,可以采用IP和MAC捆绑的方法,对一些固定的接入设备进行捆绑,这样可以禁止一些外来的、未经许可的无线设备加入到无线网络中,这也是提高无线网络接入安全的方法之一。
Wi-Fi网络作为民用网络,其在信号传输过程中存在不安全性。Sophos公司为了提高Wi-Fi网络中数据传输的安全性,支持WPA/WPA2、WEP加密,在无线信号传递隧道上对数据进行强加密,增加破译难度。
 
集中管理
在部署多台AP的环境中对AP的管理是管理员最为关注的方便。传统的AP提供基于Web的管理界面,要求管理员登录到设备上进行单台管理。在多台AP的环境中,管理成本提高,同时不宜保证整体AP的策略一致。
Astaro的AP设备具有可集中管理的特性,AP自身没有配置界面,需要通过一台Astaro的多功能防火墙完成无线管理器的全部功能。
AP在加电后会自动在网络中探测可用的ASG设备,当ASG接受一台AP后,ASG所设计的SSID被分发到AP上去使用,同时,这些SSID作为ASG的一组逻辑端口使用。这样,在ASG上就可以对不同SSID的无线接入用户实施专业防火墙的安全访问策略控制,以控制用户对内部网络的使用。
 
 
 
六、      方案总结
本案中,以Sophos的多功能防火墙ASG 425作为核心设备,无线接入点使用Astaro的AP 30。AP 30负责完成各区域Wi-Fi设备的接入;ASG 425负责完成对无线网络的安全管理,包括
·         无线接入策略的分发,如SSID、加密方式、运行模式等;
·         无线网络IP地址的设计与分发管理;
·         无线网络用户对内部网络资源的访问控制策略管理;
·         对AP 30的固件升级管理;
 
 
七、      设备清单

设备名称
SKU
描述
数量
ASG 425
ASGN04250AP
ASG 425 1U机架型硬件设备;防火墙吞吐量6Gbps;IPS吞吐量2Gbps;VPN吞吐量780Mbps;并发连接数1,400,000;每小时邮件处理量1,200,000封;6个千兆电口;2个SFP插槽;1U机架标准尺寸;单电源;
1
ASGN04253WI
无线控制器模块
AP 30
AAP00300APAU
sophos  Wi-Fi 设备
64

版权所有 2012 上海志安信息科技有限公司

联系我们 | 网站地图 |