1、商业地产无线组网方案,商业地产行业的无线组网需求,无线网络在商业地产行业的应用,物业管理相关的应用物业管理网络IP多媒体通信无线安保系统车库停车管理,零售商铺相关的应用移动零售终端自助服务柜台实时库存管理无线视频广告顾客宽带上网,无线物业管理:提高效率,降低成本,移动的物业管理应用增强物业管理应用的实时性,提高用户满意度基于WiFi的实时多媒体通信改善员工通信的效果,提高员工办事效率灵活部署无线视频监控网络不需要重新开沟、布线,降低摄像头部署成本提供定位功能的停车场管理利用无线网络快速对车辆进行定位,零售商铺应用:扩大销售,增加收入,为时间紧迫的顾客提供便捷的购物途径灵活举办各类商家促销活动,
2、Scan, Swipe, Sign, PrintQueue Busting,Scan, Learn, Load, DockX-selling, Faster Checkouts,技术要求:安全性: 数据加密、身份验证和授权访问移动性: 快速漫游、延长电池使用时间,移动POS和自动售货机,零售商铺应用:扩大销售,增加收入,无线视频广告,基于无线技术的电子广告牌可以灵活摆放,区域扩大到整个商业街的上端空间,不需要考虑对布线的要求个性化的商家广告,比如针对性的广告发布、资料索取、联系方式以及电子折扣券等等基于位置的导购服务,根据客户的无线终端所在的位置,将预先设置绑定的网页推送到观众的无线终端上搜索
3、某种商品在整个商圈的厂商的排名和销售额的评比以及购买客户的评价,零售商铺应用:扩大销售,增加收入,顾客宽带上网,吸引更多的顾客停留更多的时间,凝聚商业圈的人气,创造更多的商业销售机会强制发布广告网页,匹配客户所在位置精确定制,竞价排名,商业地产无线组网的实施要点,必须满足PCI DSS v1.2安全准则,7.2: Role-based Access10: Monitor Access,Category 1No WLAN,Category 2No cardholder data over WLAN,Category 3Cardholder data over WLAN,1.1.2: Invent
4、ory WLAN1.2.3:Firewall WLAN2.1.1:Dont Use Defaults2.2: Standard Config4.1.1:Better Than WEP6.1:Get latest patches9.1.3:Physical Security,11.1:Wireless IDS/IPS,11.1:Wireless IDS/IPS,1.1.2: Inventory WLAN1.2.3:Firewall WLAN2.1.1:Dont Use Defaults2.2: Standard Config4.1.1:Better Than WEP6.1:Get latest
5、patches9.1.3:Physical Security,11.1:Wireless IDS/IPS,安全威胁#1: 盗取敏感信息,无线攻击随时可能发生攻击者随时都在寻找安全漏洞和可能的攻击目标在安静模式下监听敏感信息用户帐号、密码、SNMP Community StringWEP & WPA-PSK已经被破解PCI DSS v1.2提出Requirement 1.1, 1.2.3, 2.1 & 4.1.1,WAN / LAN,Stores,OfficeMax, Boston Market, Barnes & Noble, Sports Authority, Forever 21, and
6、 DSW were also the victims of crime rings that used unprotected wireless networks as their points of entry.,http:/ 1.2.3: Firewall For WLAN,无线局域网是一个多应用共享网络无线局域网必须通过防火墙进行隔离防火墙必须执行基于“状态”的检查防火墙必须阻隔所有来自无线局域网的访问请求除非是基于商业应用的需要,11,支付卡应用环境,无线局域网,外部网络资源,?,Requirement 4.1.1: Encrypt Wireless,要求所有的无线网络必须满足,无论该
7、网络是否传输支付卡数据对于新建网络,要求从2009年5月开始执行对于已有网络,要求从2010年6月开始执行,WEP,安全威胁#2: 非授权无线网络,内部员工可能连接非授权无线设备到企业的有线网络家庭型无线AP使企业网络在非授权状态下被随意扩展到围墙以外非授权无线设备也可能被用于恶意入侵企业网络PCI DSS v1.2提出Requirement 11以实现对非授权无线设备的监视和控制,We recently suffered an intrusion attempt on our internal network. We traced the source back to an unauthor
8、ized wireless router plugged into a live but unused network jack in a barely-accessible location. We have suspicion, but not actual certainty, that the router was placed by the same intruder as executed the network attacks.,http:/ / LAN,商场,Rogue,数据中心,Requirement 11.1: Monitor All Wireless Devices,目标
9、: 发现 & 定位,非授权无线设备,意外的 错误连接,WEP,违反安全策略,ARUBA提供全面符合PCI DSS v1.2的解决方案,系统日志+ 安全报表,服务器部署在总部,对所有位置进行安全监控监控非授权无线设备并自动生成报表保留550天超长历史记录,无线局域网+ 无线防火墙+ 无线入侵保护 + 系统日志+ 安全报表,无线控制器,混合模式无线接入点,服务器和控制器部署在总部ARUBA AP工作在无线混合模式发现和定位非授权无线网络设备、无线攻击行为,并自动生成报表内置状态防火墙对无线网络进行隔离保护传统 (WEP-only) 终端投资提供基于用户角色的安全策略,叠加在现有网络之上,无线入侵保
10、护 + 系统日志 + 安全报表,无线控制器,Airwave网管平台,专用探测器,服务器和控制器部署在总部ARUBA AP工作在无线探测模式实时探测企业网络的射频环境不需要对现有的LAN和WAN进行调整发现和定位非授权无线网络设备、无线攻击行为,并自动生成报表,Airwave网管平台,Airwave网管平台,必须满足无线网络随企业同步扩展的需要,随着网络的扩展,维护工作量不能增加随着AP的增加,系统配置管理的复杂程度不增加随着控制器的增加,系统配置管理的复杂程度不增加在实现室外覆盖时,不需要配置额外的独立系统在实现远程接入时,不需要配置额外的独立系统随着网络的扩展,网络安全性不能降低中心化配置的
11、无线接入和安全策略自动同步到所有的控制和接入点无线接入参数包括频段/信道等射频参数和SSID/加密方式等无线信号配置用户安全策略包括认证方式、用户角色、访问控制策略、带宽管理策略等相关配置随着网络的扩展,网络的应用保持一致无论在任何地方,都能够满足各类企业应用需求(如访问业务系统、IP电话系统、视频会议系统等),独特的控制器集群技术,Master控制器,Local控制器,Local控制器,Local控制器,配置自动同步,GRE隧道,Local控制器故障时,AP自动倒换到Master控制器,企业网,ARUBA AP,分支节点1,分支节点2,分支节点n,配置自动同步:无线信号的配置认证方式的选择角
12、色及安全策略无线射频参数N+1控制器冗余:Master控制器可以作为冗余控制器为Local控制器提供N+1自动冗余备份功能,先进的虚拟分支组网技术,配置管理性能管理故障管理分级管理报表管理定位追踪,IPsec加密用户身份验证分布式防火墙无线频谱扫描非法设备检测射频资源管理,企业级安全分支网络,基于“零配置”的网络部署方式,PEF,零配置/即插即用!,将RAP连接到任意网络上,2. 输入中心控制器的域名或地址,3.RAP自动建立到中心控制器的安全连接,4.中心控制器自动更新并配置远程RAP,5.安全的虚拟化分支网络自动建立,,终端用户专家诊断,x 1,x “N”,ARUBA RAP,虚拟化的专家
13、级网络管理和维护,可视化的集中式管理IT管理人员只需要管理一台设备实时化的远程网络控制基于每个用户的策略控制基于每种应用的会话控制所有配置更新实时生效实时的无线入侵保护,x “N”,中心控制器,中心VPN网关,难以满足高速扩展的需要每一台部署在分支网点的网络设备都需要进行独立配置难以保证企业网络的安全要求不支持对用户的接入身份验证不提供基于用户身份的策略控制不能满足PCI标准对无线安全的强制要求,VPN路由器,ARUBA虚拟分支组网,传统VPN路由器解决方案,提供基于自助服务和智能广告的顾客上网服务,在大型商场提供顾客宽带上网服务商场顾客自助注册、自助服务定制个性化认证页面,在注册页面通过调查
14、问卷收集顾客分类信息在顾客数据分析的基础上提供智能广告业务,顾客上网帐号自助注册服务,定制个性化企业风格页面,基于顾客数据分析的智能广告服务,详尽的顾客上网行为统计报表,无线组网架构设计,无线组网整体架构,应用系统,ARUBA控制器,ARUBAAP,ARUBAAP,ARUBA控制器,ARUBAAP,ARUBARAP,总部,大型分支,中型分支,小型项目组,ARUBA AirWave综合网络管理系统,ARUBAAmigopod,广域网/互联网,ARUBA控制器,大型分支系统配置,应用系统,ARUBA控制器,ARUBAAP,ARUBAAP,总部,大型分支,ARUBA AirWave综合网络管理系统,
15、ARUBAAmigopod,广域网/互联网,ARUBA控制器,本地控制器,冗余热备配置,从总部主控制器自动同步系统配置文件,提供本地无线接入和安全策略控制802.11N无线接入点,在分支区域提供符合PCI DSS v1.2的无线接入和入侵防范服务访客认证、Portal页面和智能广告由位于总部的ARUBA Amigopod服务器提供,中型分支系统配置,应用系统,ARUBA控制器,ARUBAAP,ARUBA控制器,ARUBAAP,总部,中型分支,ARUBA AirWave综合网络管理系统,ARUBAAmigopod,广域网/互联网,本地控制器,从总部主控制器自动同步系统配置文件,提供本地无线接入和
16、安全策略控制802.11N无线接入点,在分支区域提供符合PCI DSS v1.2的无线接入和入侵防范服务访客认证、Portal页面和智能广告由位于总部的ARUBA Amigopod服务器提供,小型项目组系统配置,应用系统,ARUBA控制器,ARUBAAP,ARUBARAP,总部,小型项目组,ARUBA AirWave综合网络管理系统,ARUBAAmigopod,广域网/互联网,802.11N远程接入点,从总部主控制器自动同步系统配置文件,在分支区域提供符合PCI DSS v1.2的有线和无线接入和入侵防范服务访客认证、Portal页面和智能广告由位于总部的ARUBA Amigopod服务器提供,31,
