ldap认证,0634-6.2.0-如何在CDH中安装Sentry服务

安装前置ldap认证,0634-6.2.0-如何在CDH中安装Sentry服务确认满足以下前置域名备案域名备案ldap认证:1.CM/CDH5.1.0或以上。2.如果需要配置Sentry高可用,需要使用CM/CDH5.13.0以上。3.如果需要配置Sentry高可用,需要准备一个关系型数据库用以保存Sentry的权限信息,而不是一个平面文件(flat file)。4.使用的Java必须已经修复JDK-8055949。5.HiveServer2和Hive Metastore(HMS)必须以强认证的方式运行。对于HiveServer2,强认证你可以选择Kerberos或者LDAP。对于Hive Metastore,只有Kerberos才是强认证的方式。6.如果你需要将Impala与Sentry一起集成使用。Impala必须是1.4.0或更高版本,并且以强认证的方式运行。对于Impala,强认证你可以选择Kerberos或者LDAP。7.如果你需要将Solr与Sentry一起集成使用,Sentry服务必须配置数据库。从CDH5.1.0开始才支持Solr,以下是不同版本的一些不同的特性:a)CDH5.1.0开始支持基于策略文件的Sentry使用。注意你不能使用策略文件来配置Sentry的高可用,因为Sentry的高可用需要使用数据库。b)CDH5.5.0开始支持基于配置的Sentry使用。c)从CDH5.8.0开始支持基于关系型数据库的Sentry服务安装与使用。8.集群已经启用Kerberos。GLPI是法语GESTIONNAIRE LIBRE DE PARC INFORMATIQUE的缩写,翻译过来应该是开源IT和资产管理软件,在法国等欧洲国家和地区应用广泛并取得了很好的用户口碑。GLPI提供功能全面的IT资源管理接口,你可以用它来建立数据库全面管理IT的电脑,显示器,服务器,打印机,网络设备,电话,甚至硒鼓和墨盒等。提供Helpdesk用户支持平台;联系人,合同,合作商,以及文档的管理;提供资源预定,知识库的管理等功能。文档管理合作伙伴(制造商,供应商,受益人)及其合同管理 合同(租借,保险,维护,外包等)管理 资产,合同相关文档管理 文档授权类型管理预约管理可供租借的资源预约管理 日历形式的接口管理预约状态管理按月,年,总体提供状态报表 全部 按技术人员或企业 按硬件,位置或型号 按用户 按类别 按优先级技术方面:GLPI采用以下技术: PHP4 或者 PHP5 MYSQL(>4.1.13)数据库 HTML网页 CSS XML(报表生成)知识库管理知识管理基本系统 公共FAQ管理报表管理设备报表可按以下产生: 按设备类型 按相关协议 按商务信息GLPI主要功能特征多用户管理多种认证系统(Local,LDAP,AD,POP/IMPAP,CAS)权限系统分页系统多语言支持(支持多达14种语言)搜索模块显示列表可配置PDF导出和SLKSQL格式的数据库备份和恢复下拉列表可配置更新检查系统UTF8接口兼容HTML4.0协议资产管理IT资产管理可从OCS资产系统导入数据计算机和连接设备管理和总成本管理主机和显示器的连接管理网络硬件和设备的连接管理(IP地址,MAC地址,VLAN等)打印机电脑连接情况管理和耗材管理其他外设电脑连接情况管理,电话管理软件许可证及其失效日期管理按地理位置管理硬件模型化管理便于同类设备的增加资产相关文件管理硬件状态管理物料不同情形下的管理-比如一台显示器连接到几台电脑主机其他应用软件的对外管制资产变更历史记录最终用户和技术人员投资需求可自动进行邮件追踪管理投资变更维修历史追踪投资需求标注投资需求优先级管理投资需求邮件追踪投资需求的分配开/合/开干涉模式实时变更的指派显示变更历史显示变更结果对指定的硬件显示变更历史将变更结果传递到指定技术人员对指定的物料传送其变更历史变更计划管理1.4 企业WLAN需求分析随着智能移动终端的增加,企业BYOD的普及,高质量的WLAN已经成为企业移动办公的刚性需求。而在具体的应用过程中企业WLAN包含以下具体的需求:1.4.1 企业WIFI安全接入随着企业信息化建设和国家信息化工程的发展,企业办公信息化逐渐实现,企业BYOD需求激增,更多的企业采用无线网络接入自己的内部业务和办公系统。受无线网络局限性影响,其安全问题日益凸显,亟待安全接入机制,保障客户业务系统免受黑客攻击。1.4.2 企业WIFI安全办公企业业务规模不断扩大,企业业务对网络的依赖性也越来越高。无线网络技术的逐步成熟让很多企业扩展无线网络来实行自身的日常办公和客户接待以及业务咨询。办公、访客、会议室等都需要使用无线网络。在智能终端普及的当下,无线网络同样能够让平板电脑、手机、自带笔记本电脑成为办公工具。伴随而来的安全问题不仅体现在接入,接入之后如何防护企业网络的安全以及保障业务系统的正常运行,亟需要有效的无线安全解决方案来做双重保障。1.4.3 企业WIFI快速上网随着企业的不断发展,业务对于无线网络的要求也越来也高。而无线网络由于其无边界化、信号易受干扰等原因,无线网络在多人使用过程中会出现连接不稳定、上网速度慢、无关应用占用带宽等体验不佳的问题。因此企业邮件、财务、办公软件、互联网业务系统的高效使用、访客的信息咨询和反馈亟需要快速的无线网络来支撑。1.4.4 企业WIFI快速漫游随着智能移动终端发展,企业BYOD处于大势所趋,要实现企业内部任何时间、任何地点都能实现BYOD,这就必须保证无线信号的无缝覆盖、快速漫游,而且信号质量高。对于多种接入终端,多个接入地点保证良好的一体化兼容、控制、管理。1.4.5 企业上网行为管理企业员工可以通过WIFI进行资料查找、内部办公、沟通交流、业务咨询、外发机密文件等,亟需要实现员工上网行为的管理、带宽的管控和保证员工上网安全,用于提供员工的办公效率和避免企业网络资源浪费,防止企业机密数据泄密和员工通过互联网从事非法交易活动。1.4.6 访客安全管理企业访客可以通过WIFI接入企业内部或访问互联网,接入层需要解决安全接入问题。接入后访问企业内部受限资源、访问互联网,同样亟需要对访客的上网行为做管控以及流量做管控。1.4.7 集中管理很多集团公司随着业务的高速发展,企业部署的无线接入点与日俱增,数量庞大。针对众多的无线WIFI热点配置、升级、维护需要统一化的集中管理,降低维护成本,提高整体的稳定性,减少故障率。1.4.8 企业数据保护、安全企业业务系统以数据为核心,而无线网络有别于有线网络,无线网络的所有数据都在空中传输,需要高效且安全性极高的加密机制保证数据不被窃取破解,泄露企业机密。企业无线部署作为有线的扩展,安全接入的边界和方式相较于有线网络难以控制,员工私接Wi-Fi等安全问题也缺乏很好的管理手段。各种钓鱼AP、AD-hoc可能隐藏在无线环境中,数据被转移、数据中病毒的风险无处不在,亟需要加以防护,确保数据和业务安全。1.5企业WLAN当前面临的挑战1.5.1 企业办公无线终端密度大,员工对网络时延敏感度高企业BYOD需求激增,企业办公区、会议室,无线终端密集。需要保证在高密度的情况下,员工和访客上网的流畅性,提高企业的办公和业务处理效率。1.5.2 办公场所要求覆盖广,无死角,信号强企业办公区域面积大,要求信号无死角覆盖,内部员工接入可实现无感知漫游,不断网。满足公司会议室高密区域,用户稳定接入。来访访客随时随地可接入,并办理业务咨询和反馈。1.5.3 企业组织结构复杂,权限难于控制随着企业的发展壮大,职位分工更加明确,部门的职责也更加细化。部门精细化的同时权限也必须精细化控制,各个部门、职位拥有责任内的不同权限。1.5.4 OA、邮件等办公系统带宽被大量抢占在一定的无线带宽情况下,企业员工运行大量的P2P下载,视频浏览等高耗带宽的应用,严重抢占正常的系统带宽,造成企业的带宽资源耗费,无线办公和业务处理效率低下。1.5.5 无线攻击手段多样,内网安全有威胁不同于有线网络基于物理端口进行安全防御,无线信号因其自身特点,覆盖区域内的任何人员都能看到无线信号,对企业而言,难免会存在一定盗用账号、非法接入的安全威胁。1.5.6 空中垃圾多,无线接入稳定性得不到保证WiFi网络大多使用的2.4GHz频段,众所周知,2.4GHz频段是开放频段,工作在这个频段的设备很多,比如:微波炉、蓝牙、无线座机、外来NAP、监控摄像头等等,会对WiFi设备进行大量的干扰。除此以外,2.4GHz相互不干扰的信道只有1、6、11,当部署区域被运营商的AP给占用以后,可用信道就不多了。在这种情况下,干扰会造成丢包和延迟,实际传输速率往往得不到保证。2、时讯网络-方案设计根据xxx企业的无线网络需求和无线网络设计原则,结合无线系统技术和产品的特点,方案设计如下:2.2 无线组网方式结合用户无线网络需求情况,结合产品自身技术特点,为了满足用户构建一个高速、稳定、安全、可靠、易于管理的无线接入网络的需求,本设计方案按照NAP AC的结构化无线网络解决方案进行设计。网络拓扑如下(可编辑):2.3 信道规划使用2.4GHz频点为例,为保证信道之间不相互干扰,要求两个信道之间间隔不低于25MHz。在一个覆盖区内,最多可以提供3个不重叠的频点同时工作,通常采用1、6、11三个频点。WLAN频率规划需综合考虑建筑结构、穿透损耗以及布线系统等具体情况进行。信道规划如下图:图纸中橙色、蓝色、黄色信号圈分别为1、6、11信道。圆心点为NAP部署位置。2.4 企业无线安全接入设计在无线系统中,可以在多个层面对系统构筑安全防护,其安全性设计如下:2.4.1 更丰富、快捷的企业认证安全机制采用802.1x认证,用户接入时即需要认证。用户可采用安全证书、用户名口令作为接入网络的凭据,认证通过的用户才允许接入网络。业内皆知802.1x在用户终端设备上配置极其复杂,无疑给用户使用和IT管理员增加了大量的配置工作,无线技术提供了企业认证的自动配置工具,终端用户无须管理员协助,通过开放性wlan下载自动配置工具,一键安装即可轻松接入企业网络,既安全又便捷。支持自建CA颁发证书和管理,证书分发可通过自动配置工具统一打包一键完成安装,也支持用户通过web下载、管理员通过邮件分发,简单且快捷。支持和企业内部的用户认证服务器进行身份认证,只需要在配置页面上配置对接信息即可以和LDAP、AD域、Radius等企业内部的用户身份数据库进行快速的身份校验,既安全且可靠。企业认证支持本地内部数据库服务器,本地数据库支持认证终结到控制器上,可满足没有内部身份认证服务器的中小型企业。2.4.2 帐号、终端灵活绑定、杜绝越权访问首次连接无线网络认证时,用户名和终端可以实现自动绑定,帮助企业快速完成身份绑定,若用户拥有多个上网终端,管理员也可以灵活的手动审批后续新加入终端的绑定。因此企业可根据用户组织结构划分不同的访问权限,避免越权访问问题的发生。2.4.3 限制帐号在多个终端同时接入可限制一个帐号同时登录的终端个数,有效保护企业网络资源。针对超限的帐号可采取以下两种措施:强迫最早接入的终端下线。不允许新终端接入。当然对于需要放开限制的帐号如老板帐号,也可支持配置例外帐号。2.4.4 多样化的接入控制基于终端类型和特性的接入控制。手机、ipad、Notebook能不能接无线,您说了算。无线可以免安装客户端软件实现终端类型的识别,认证接入时,可以根据情况限制只有手机终端可以接入,笔记本类型不能接入;或者只允许IOS终端接入,不允许Android终端接入,让您认为不安全的终端无法接入网络。基于接入位置的接入控制。不同的无线热点可配置不同的接入访问控制策略,以便不同的无线热点承载的无线用户接入到企业内部不同的业务系统,既安全又高效。基于用户属性的接入控制。无线无缝对接企业内部认证服务器,支持用户组[安全组、OU组]、用户名等用户属性的接入控制,也支持radius等属性的接入控制。不仅如此,还致力于开发内部的本地数据库服务器,同样支持按本地数据库的用户属性进行接入控制。甚至接入控制条件可以灵活组合,满足客户不同的接入控制需求。支持基于终端类型和接入位置、用户属性作为一组接入条件进行接入控制。例如可以支持不同的接入位置且满足指定的终端特性才允许接入进行上网,如下图:2.5 企业无线安全办公设计2.5.1 精细化多角色授权管理企业用户接入无线网络后,无线提供安全管家全面负责其用户权限的授权管理。丰富的权限分配表支持按用户属性、终端类型、接入区域、不同时间段来设置不同的角色,角色上搭建不同的访问控制策略,构建企业级防火墙,权限控制更全面和精细化。2.5.2 VLAN隔离 同一vlan内、不同vlan间通讯的终端采用隔离技术,有效防止终端之间传输大量文件损耗AP有限的带宽资源,也防止终端之间的任意互访有可能导致的数据窃取、文件中毒等恶意行为,最大限度地确保办公安全,提高办公效率。2.5.3 基于内网的服务和应用控制无线不仅支持传统的基于端口的防火墙控制策略, 同时内置了国内最大的应用识别库和URL库,管理员能够轻易识别出具体的应用和URL,灵活的设置网络访问策略,并且能够进行相应的精细化应用控制。业界的防火墙控制主要是基于网关出口,只能限制内网用户访问外网资源,内网用户之间不能做到基于服务和应用控制。而无线弥补了这块黑洞,独有的基于内网的服务和应用控制方案给业界带来新的突破和福音。企业网络和内部应用是非常复杂的如下图,企业内部既有有线网络也有无线网络,既有用户之间互访、访问内部资源、移动小型设备接入和数据传递的需求,也有访问互联网资源、数据中心进行数据同步需求。在这种错综复杂的网络环境和应用环境中,传统的防火墙只能在网关出口控制内网用户对公网资源的访问,而忽略了内网这更为复杂的环境。信线集成了有线无线一体化,在业界首次提出“用户”的概念,其访问控制策略结合强大的应用识别库搭配“用户”概念,完美实现了内网用户之间的控制以及对公网资源访问的外部控制,该方案针对有线或无线用户都适用,给企业一个干净和健康的网络环境。同时其策略配置更注重人性化,区别于传统的配置IP等复杂的方式,用户可选择应用、选择连接方向“用户发起”、“用户接收”,选择时间计划,选择动作“允许”或“拒绝”即可快速地实现访问控制。、例如:企业员工上班时间只能访问内网的“企业内部业务系统”、不允许允许访问公网视频网站,研发人员不能访问市场人员的CRM系统,研发人员不能向市场人员发送邮件;访客手机终端之间不能传送文件,访客只能访问固定的网站,不能访问企业内部的研发和市场资源, 但不允许上微博发信息;针对与工作相关的即时通讯软件、下载软件不做应用的限制,而对下载速度做一定范围的限制。2.5.4 网络层防护DHCP防御。只转发受信任的DHCP服务器响应,屏蔽非法的DHCP服务器,防止终端IP不合法。防止用户私设IP,有效保护网络避免存在大量冲突IP地址导致客户网络瘫痪。DDOS防御。可根据用户最大并发数、新建连接速率、小包速率进行防护,一旦超限可自动加入动态黑名单,冻结处理,杜绝网络攻击。2.6 企业无线快速上网设计2.6.1 端到端的协议加速无线网络随着接入人数的不断增加,由于干扰增大导致上网速度慢,应用访问体验差。采用独有的应用层协议加速技术,客户端无需安装任何插件,只需在无线控制器上开启应用加速功能,通过改善无线传输协议算法,无线网络的传输速度就能够提升1.5-4倍效果。有效解决企业无线网络由于干扰导致的无线传输速率低、丢包、延迟等网络质量问题。2.6.2 防终端拖滞让无线跑得更快传统的无线随着低速终端的接入会导致高速终端速率被拉低,从而导致整体吞吐率下降,客户业务响应缓慢,严重影响终端的应用访问体验。技术进行了无线底层的技术改进,提出“防终端拖滞”创新专利,支持用户平均分配带宽,根据时间公平算法,防止单个终端拉低网络整体速度。2.6.3 基于应用的无线射频管理 技术研发的无线网络动态带宽分配,当无线接入点带宽不足时,无线网络的保证带宽将按照设定的权重对所在接入点带宽进行分配;无线接入点带宽充足时,将不受此限制。例如办公网络,可以配置权重较大,用于保证办公应用的正常业务通信;非重要网络,例如访客网络,可以配置权重较小,用于限制非重要网络的上网带宽,以免影响其他无线网络。每个无线网络上用户可以自定义基于应用的子通道, 用户可以设置通道间的带宽占用比例,当无线网络带宽不足时,通道间的保证带宽将按照设定的比例进行带宽分配,无线网络带宽充足时不受此比例限制。例如办公网络中,可配置P2P子通道,配置权重最小;办公OA系统对应的子通道权重最大;互联网应用对应的子通道权重介于两者之间。2.6.4 组播优化及提速自动组播提速:将广播包原有的发送速度提高,加快广播包的传输效率,保证每个终端可以收到组播包,提升带宽吞吐。ARP广播转单播:通过对ARP发送机制的优化提升ARP效率,减少不必要的广播泛洪。禁止DHCP请求发往无线终端:通过对DHCP发送机制的优化提升DHCP效率。接入终端速度限制:支持接入终端速度限制,禁止低于一定速度的终端接入,提升整体网络速度。2.6.5 VLAN池利用VLAN地址池,减少广播域,减少广播泛洪,提升无线网络带宽资源的利用率。2.6.6 智能负载、5G优先、高密稳定快速接入在企业的开放工位、会议室等人员高密的区域,通常会有多个无线热点的信号覆盖,技术无线解决方案会根据每个AP的负载情况,将用户自动分配到信号强、接入人数少的AP上,同时会选择优先负载到干扰比较小的5G频段上,确保每个无线用户都能获得畅快的网络体验。除了基于人数的负载外,技术还能基于2.4G和5.8G的双频段进行智能双频负载。智能双频负载:2.4G和5G之间可实现自动负载,引导5G终端优先接入干扰比较小的5G网络,提升无线接入质量。2.7 企业无线快速漫游设计2.7.1 防终端粘滞传统的无线漫游依赖的是终端自己的特性,无法做到可控制,而技术提供的“防终端粘滞”弥补了这块的缺陷。通过防终端粘滞功能,无线可以引导无线终端更快的漫游到无线服务能力更好的无线热点上,让客户得到更好的无线网络体验。漫游后,终端的vlan、角色、IP保持不变,用户无感知。2.8 企业无线上网行为管理设计2.8.1 有线与无线一体化无线企业网的客户,往往同时拥有有线用户。客户希望可以通过无线控制器上进行配置,利用无线控制器的有线口来完成有线用户的认证,同时对无线用户和有线用户进行集中管理,完成流量控制、流量管理和流量审计。无线集成了有线认证和管控,提供了“porta认证”、“IP认证”、“免认证“等安全接入认证机制,真正做到对有线用户和无线用户的一体化管控。2.8.2 上网审计无线企业网的客户,不仅需要完成用户的接入、认证,同时希望对用户的网络行为和内容进行审计,包括但不限于、TELNET、其它网络应用、网页内容、ACL拒绝行为、以及上网流量与时长控制。通过配置审计策略,在角色中引用相应用审计策略,并给用户分配相应的角色,即可实现对用户的审计。2.8.3 流量控制和带宽保证客户希望对不同用户及应用的网络流量进行管理和划分,完成带宽保证和带宽限制功能。通过带宽保证功能可以保证重要应用的带宽,带宽限制功能可以做到限制用户组/用户上下行总带宽、各种应用的带宽。同时,客户希望提供更灵活的管理和配置,保证重要应用带宽的同时,可以再根据用户的优先级,分配同一应用不同用户间的带宽。技术提供基于应用的流量控制,针对用户的出口带宽做保证,保证关键应用的带宽占用,无关应用靠边占。2.8.4 更丰富的数据中心报表功能、审计报告自动通知管理层无线企业网的客户,不仅需要完成用户的接入、认证,同时希望对用户的网络行为和内容进行审计,审计的结果保存于数据中心。技术提供独有的”离职风险报表“、”法律风险报表“、”上网行为报表“,及时地管控员工的风险行为。2.9 访客安全管理设计2.9.1 二维码快捷上网访客是开放的企业每天都会面对的群体,供应商、客户、商业伙伴、相关领导来到公司参观,都需要便捷的接入无线网络。提供了更简洁的认证方式,来访客人只需要连接该公司无线网络,然后打开浏览器自动出现二维码,内部接待员工用自己的终端扫一扫即可认证通过。二维码认证技术经过公安部认证,且针对访客行为可追溯。2.9.2 临时访客快捷上网技术提供了临时访客代替了传统的前台手工登记上网的复杂方案,企业可以直接在前台为访客开通账号和密码,帐号可以是其身份证号,密码可以是其身份证的后六位,并且设置上网有效时长;同时信锐技术结合二维码,为临时访客上网生成二维码,企业前台人员只需要给访客二维码,访客扫二维码即可快速上网。临时访客的上网行为可追溯。2.9.3 短信认证技术提供短信认证方式,访客用户可以通过手机来获取验证码,轻松访问无线网络。验证码可做到一次获取永久使用。2.9.4 微信认证通过无线提供的微信认证功能,访客进入企业展厅,接入无线网络,将被定向到指定提示页面,提示访客关注微信号然后即可获取上网权限,访客关注微信号即可上网。这样便大大增加了访客对企业的关注度,也便于企业广告、业务推送和宣传。技术覆盖了多种微信认证方式,特别是一键关注、Oauth网页授权等方式让访客可快捷接入上网。2.9.5 防蹭网技术提供了上网时长和流量配额控制策略,可灵活根据客户需要杜绝企业周边人员侵入网络,保护公司的网络资源。2.9.6 同一SSID内的隔离技术提供了员工与访客接入同一SSID内的隔离,防止互访可能导致的数据转移、企业信息泄密、文件中毒等危险行为,保护企业资源安全,防止机密信息泄露。2.10 集中管理设计2.10.1 AP零配置所有无线热点的配置统一在无线控制器上配置,部署简单,配置简易,实现用户零学习成本。配置支持自动以及手工备份和还原,双重保证无线热点的24小时不间断运行。2.10.2 云升级所有无线热点支持从云端自动升级到最新的版本,不同硬件型号AP能自动判断并完成升级,无线客户手工干预,降低了后续升级维护成本。客户可选择夜里自动升级,减少白天升级导致的业务中断问题。2.10.3 可视化的热点地图大型企业随着业务的快速发展,无线热点部署剧增,企业分支控制器部署也剧增,面临着复杂的设备管理问题。技术提供了强大的可视化的热点地图,通过地图展示可有效地帮助网络管理人员快速地分析和掌握设备的实时运行状态和负载情况。该特性以地图式的展现方式,分层管理设备,以掌握设备的实时运行状态。热点位图还提供人流密度分析、用户位置的搜索快速定位、安全事件等机制,帮助网管更好地管理无线网络,服务于企业员工。2.10.4 远程AP智能连接部分企业分支部署远程AP,需要接入到总部的无线控制器,以便通过无线网络访问总部的资源,而企业总部的出口IP经常变换,给远程AP连接总部带来极大的困扰。技术提供智能连接技术,总部IP变换对于远程AP而言是透明的,不需要任何手工操作便可快速地恢复网络,保证业务不中断。2.10.5 智能射频管理信号干扰是无线网络使用中的常见问题,运营商的CMCC,China Net等无线信号,以及蓝牙、无线监控摄像头等均工作在2.4G频段,他们都会对无线网络产生干扰。技术无线AP能够根据周围无线的实际干扰情况,只能调整为干扰最低的信道进行工作,同时还支持降低功率来减少覆盖重叠,提升功率来弥补覆盖盲区等功能,从而达到真正有效的避免干扰。2.11 企业数据保护、安全可靠设计2.11.1 流氓AP的攻击检测与反制无线网络的无线信号具有开放性,钓鱼AP和AD-Hoc等非法AP极容易隐藏在无线网络中引诱企业用户接入,盗取用户帐号并窃取企业机密文件或传播病毒。企业员工也可能通过部署非法AP进行数据转移,导致企业信息泄露。技术采用全面的防御体系,为您构建最安全的无线接入网络,抵制钓鱼AP和AD-Hoc、用户发起的泛洪或欺骗攻击等无线攻击行为,还你一个干净且安全的无线网络环境。2.11.2 无线空中加密技术无线数据在空中传输,承载者企业各种业务数据,需要高效且可靠的加密机制来避免数据被暴力破解或篡改。技术支持国际标准的多种数据加密方式,保证了企业业务数据在传输过程中既安全又可靠。主要体现在以下3方面:技术采用WPA/WPA2 AES的方式实现数据的加密,保证数据的安全性。WPA2密钥长度为128 位,解决了传统密钥过短、容易被第三者恶意截获的问题,且在WPA2中定义了一个具有更高安全性的加密标准CCMP,旨在给用户提供了一个完整的认证机制,无线热点根据用户的认证结果决定是否允许其接入无线网络中,认证前与用户身份数据库中的认证信息进行比对检查,以确认是否具有权限并向客户端动态分发用加密密钥,认证成功后可以根据多种方式(传输数据包的多少、用户接入网络的时间等)动态地改变每个接入用户的加密密钥。另外,对用户在无线中传输的数据包进行MIC编码,确保用户数据不会被其他用户更改。无线热点和控制器之间的数据包进行RC4加密,高效且安全。技术同时支持WAPI标准,进一步保障数据的机密性和完整性。2.12 企业无线稳定性设计2.12.1 单一设备多功能集成技术不仅具备多样化的无线功能,同时也具备有线的认证和管控功能,多功能集成在一个无线控制器上。各功能模块相互独立,数据转发和处理都是在应用层平台上,业务模块故障可快速恢复。2.12.2 冗余、减少单点故障技术提供双机备份机制,减少单个设备故障带来的客户业务中断问题,提升了客户业务的可靠性,减少单点故障。2.13设备选型根据以上对XXX商场需求的分析,为了实现更快速、更安全的企业WLAN建设,XXX公司无线系统必须具备以下功能:对无线网络的加速功能对于企业重点的业务数据进行识别和带宽保障对非法网络应用和URL进行识别和控制访客网络通过二维码认证或是单独的临时访客系统方式认证无线接入点NAP使用2.4G和5G双频接入保证接入数量和质量。方案亮点与价值3.1 更快速、更稳定的企业业务WLAN无线通过特有的协议栈加速、射频优化、应用识别为XXX企业提供高速、稳定的无线网络,提升用户体验。并根据XXX企业内部OA、邮件等业务系统进行带宽保障,建立更快速、更稳定的企业业务WLAN。3.1.1端到端的网络协议栈加速针对干扰的无线网络环境,方案采用独有的协议栈加速技术,客户端无需安装任何插件,在NAC开启单边加速功能,通过改善无线传输协议算法,将无线网络的传输速度提升200%以上。有效解决无线网络由于干扰导致的无线传输速率低、丢包等网络质量问题,大幅提升XXX企业无线网络速度。3.1.2终端识别与流量控制方案通过无线控制器自动识别终端类型,根据终端类型设置相应的流量控制策略。实现了针对终端精细的流量控制。例如禁止手机耍微博、炒股等等。3.1.3应用识别和流量控制对于应用的杂乱无章,难以管控,本方案中无线控制器通过内置全国最大的应用识别库和URL库,自动识别无线流量类型,并根据终端类型设置相应的流量控制策略。对于重要的OA、邮件、财务等办公系统进行重点的带宽保障,防止了其流量被抢占。对于高耗流量的风行、迅雷、电驴等P 2 P下载,视频浏览进行带宽限制,防止此类应用对于带宽的过分抢占,从而保障了企业正常的办公网络。3.1.4基于WLAN的带宽保障针对WLAN的带宽保障,可以让承载重要业务的无线网络得到保障,如电子书包无线网络保障。3.1.5针对无线的网络优化方案针对无线传输中拉低网络速度的相关机制进行了相应的优化,使无线网络传输速度得道进一步的提升。3.1.6智能负载均衡通过智能负载均衡使终端均衡的分布在不同的AP上,5G终端优先连5G,让所有终端都有较好的连接体验。3.2更安全、更便捷的企业安全WLAN3.2.1更全面的安全防护方案通过精细化的角色授权管理、危险应用和URL的识别与管理、内置证书、动态黑名单等为XXX企业提供了更全面的安全防护3.2.1.1精细化角色授权管理随着企业内部结构的逐渐复杂化、网络管理也越来越难。精细化角色授权管理针对不同角色对象,对用户进行多级的角色授权,根据不同角色分配不同的访问和流控策略。充分保证了各自的安全,防止越权。3.2.1.2危险应用和URL的识别和管控调查表明75%的网络攻击来自应用层,通过内置全国最大的应用识别库和URL库,自动识别危险应用和URL,并加以控制和封堵,极大的提升了网络的安全性。3.2.1.3动态黑名单,自动封堵攻击源动态黑名单功能能实现自动对网络的监控,自动封堵攻击源,在保障网络安全的同时,大大降低了工作人员的压力。3.2.2更便捷的安全管理3.2.2.1 802.1X自动配置802.1X能有效保证XXX企业网络的安全性,但802.1X复杂的配置往往另802.1X认证实施遇到巨大阻力。对此,方案为XXX企业提供了802.1X自动配置工具,让各个部门的人能够轻松使用802.1X认证。大大降低了802.1X认证的推广实施难度。3.2.2.2帐号、MAC自动绑定为了实现针对XXX企业领导等人员帐号需要重点保障的情况,针对重点帐号使用帐号、MAC自动绑定。防止越权访问的同时减少管理员繁琐的操作。而且一个账号最多绑定5个MAC,实现了安全性与灵活性的兼顾。3.3 高扩展性、高可靠性根据不同组网规模,提供多样化的产品形态,用户可根据实际灵活选择,降低组网成本,提高效益。例如,针对中小规模网络、或者大型客户的分支机构,用户可以选择mini NAC,相较于同等性能的无线控制器,成本节省一半。同时,由于业务扩容,无线部署时需要考虑其扩展性,初期即购买高性能无线控制器投入太大,低端无线控制器又无法满足要求。推出多样的产品形态,用户可根据组网规模按需部署。同时,虚拟化NAC的解决方案可以部署于虚拟化服务器上,通过扩容license即可提升无线网络的规模,不必担心硬件设备淘汰浪费的问题。双机备份机制,配置实时同步,提供动态的故障转移机制,保证用户业务不因临时故障而中断,实现业务的快速恢复,降低系统因单点故障导致网络中断的风险。


本文出自快速备案,转载时请注明出处及相应链接。

本文永久链接: https://www.xiaosb.com/beian/31302/