fortigate無線ap解決方案

1、Fortinet,無線解決方案,傳統(tǒng)無線解決方案(胖AP),,漫游時重新登錄不在同一網(wǎng)絡里，IP地址不同，權限不同每個無線設備單獨建立一個認證體系管理繁瑣，需要分別設置多個設備,集中式無線解決方案(瘦AP),,漫游時在同一網(wǎng)絡里，IP地址相同，權限權限相同，不需要重新登錄無線設備統(tǒng)一管理，自動下載配置集中統(tǒng)一的安全策略和認證體系,FortiGate無線解決方案,FortiGate作為AC，F(xiàn)ortiAP作為AP,80

2、2.11n FortiAP系列產(chǎn)品,FAP-220B,FAP-221B,FAP-222B,FAP-210B,FAP-320B,FAP-223B,FAP-112B,FAP-11C,FAP-11C,FortiAP-320B,適合于 對網(wǎng)絡要求地方，比如教育、醫(yī)療和制造行業(yè),FAP-112B,FAP-223B,可以接外置天線也可以支持其他RP-SMA接口的第三方天線,FAN-612R,定向天線,擴展天線的范圍廣場或者街道樓與樓之間

3、的橋接無線ISP支持3G/4G 安裝需要FortiAntenna-M22套件FAN-612R 和FAN-612N是雙頻段的天線FAN-612R適用于FAP223BFAN-612N適用于FAP222BFAN-500N 是單頻段的天線，適用于FAP220B,11,支持兩個Radio，一個Radio可以專用來背景掃描和壓制。可選的PoE電源接入支持7個SSID，實現(xiàn)無線網(wǎng)絡的分段每個AP不限用戶數(shù),FortiAP-2

4、20B,FortiAP-220B拆解圖,雙Radio(220B)Radio 1可選802.11a/b/g/n2.4Ghz & 5GhzRadio 2可選802.11 b/g/n,,,,,2x2 MIMO共4個內置天線,世界級的無線芯片,FortiAP-222B 戶外AP,防塵和防水工業(yè)級的溫度范圍最大500mW 發(fā)送功率 (27dBm) 戶外覆蓋 ~ ½ 平方英里(高爾夫球場、園區(qū)、游泳池

5、)兩路并發(fā)RadioRadio 1 – a/n 5GhzRadio 2 – b/g/n 2.4Ghz,FortiAP安裝套件,FAP-200-MNT-1 用于房頂安裝，支持 FAP-220A, FAP-220B, FAP-210B. FAP-200-MNT-10 用于房頂安裝，支持 FAP-220A, FAP-220B, FAP-210B. (10個包裝),14,POE電源,場景1——樓宇的無線部署,在每個 樓層部署

6、多個FortiAP每個樓層可以部署支持PoE的交換機(FortiSwitch)，也可以用支持PoE的FortiGate通過中心的FortiGate對所有FortiAP進行控制,,部署于露天環(huán)境定向天線擴展距離,場景2——室外部署,場景3——無線橋接,橋接解決布線難的問題,,,WAN,,公司總部,場景4——用AC實現(xiàn)對AP的云管理,Internet,,,VLAN-10,數(shù)據(jù)流本地轉發(fā),數(shù)據(jù)流進VLAN,更具有彈性,,,WAN,,場景

7、5——用AP構建跨越Internet的VPN網(wǎng)絡,,,,公司總部,,數(shù)據(jù)加密,Internet,自動連接到總部,,多設備共享VPN,場景6——公司訪客使用Internet服務,獨立的SSID給顧客使用批量隨機生成用戶名和密碼，有效期自登錄開始計時，分配給顧客使用通過策略控制只允許訪客訪問Internet和公司開放的資源用戶數(shù)據(jù)通過FortiGate實現(xiàn)上網(wǎng)行為管理，加強日志記錄,批量生成用戶,數(shù)據(jù)流,AP,AC,日志,核心的無線

8、安全平臺,無線屬性,SSID在不同AP漫游部署多個SSID到多個APAP到AC數(shù)據(jù)流支持兩種模式AP直接轉發(fā)到本地交換機AP與AC建立加密通道AP到AC數(shù)據(jù)加密AC支持路由模式和橋模式兩種無線加密方式WEP（64bit或128bit RC4加密）；開放模式（不加密，不建議使用）WPA（256bit TKIP或AES加密）；WPA2（256bit TKIP或AES加密，在WPA的基礎上支持802.11i標準的安全要求

9、）；強制門戶MAC地址過濾,無線屬性,用戶認證方式共享密鑰用戶名和密碼用戶管理本地用戶/來賓LDAP用戶Radius用戶TACACS用戶動態(tài)令牌卡用戶來賓用戶管理批量創(chuàng)建和批量打印用戶自注冊用戶生效以登錄時間和創(chuàng)建時間起算短信和郵件發(fā)送賬戶和密碼,無線屬性,非法AP檢測與壓制隔離SSID內部通訊隱藏SSIDSSID支持VLAN無線用戶的負載分擔無線頻段的管理頻段沖突檢測與回避,,FortiGat

10、e——無線的綜合安全支撐平臺,無線傳輸內容透明化防火墻策略劃分網(wǎng)絡安全區(qū)域上網(wǎng)行為管理與日志SSL VPN重新定義無線接入點應用管理約束網(wǎng)絡行為基于設備的策略提高管理效率WAN優(yōu)化提高傳輸?shù)男?26,,ASIC,防火墻,應用控制,無線,數(shù)據(jù)庫,反垃圾郵件,VPN,FORTIOS,FORTIASIC,WEB過濾,DLP,路由,WAN優(yōu)化,防病毒,IPS,透明化是安全和網(wǎng)管的基石——Sniffer,FortiGate內置的抓包

11、工具提供：對802.1X和加密通道協(xié)議的抓包分析對解密后的數(shù)據(jù)包分析,透明化是安全和網(wǎng)管的基石——會話管理,FortiGate有強大的會話管理功能：充分展現(xiàn)每個無線用戶的數(shù)據(jù)流的源IP、目標IP、地址轉換IP、服務、時間等信息根據(jù)源IP或者目標IP 實現(xiàn)會話數(shù)量排名,透明化是安全和網(wǎng)管的基石——帶寬管理,FortiGate可以展現(xiàn)無線通訊的帶寬狀況：無線接口的流量使用情況根據(jù)源IP或者目標IP 實現(xiàn)帶寬排名,透明化是安全和網(wǎng)

12、管的基石——應用管理,FortiGate可以展現(xiàn)應用狀況：應用的帶寬使用訪問的URL,防火墻策略劃分網(wǎng)絡安全區(qū)域,通過防火墻策略控制不同SSID之間的相互訪問通過防火墻策略控制SSID與有線網(wǎng)絡之間相互訪問,鑒于無線網(wǎng)絡移動性比較強，所以我們推薦將移動網(wǎng)絡的安全級別設置為略低于有線網(wǎng)絡,防火墻策略劃分網(wǎng)絡安全區(qū)域,FortiGate以AC形式作為SSID之間和無線與有線之間的安全邊界的優(yōu)勢在于，其能部署多種安全功能：,強大的防火墻

13、策略病毒過濾與清除Android病毒已有增多趨勢入侵的防御(IPS)破解版的Adroid和IOS提供攻擊源帶寬的管理應用控制日志與安全審計,應用管理約束用戶行為,IMP2PVoIP文件傳輸 視頻/音頻流代理服務器遠程控制Web瀏覽器工具條數(shù)據(jù)庫Web郵件Web協(xié)議命令Internet協(xié)議網(wǎng)絡服務商業(yè)應用系統(tǒng)更新網(wǎng)絡備份,識別超過1000種應用程序頻繁的更新，支持各國的本地應用,,可根據(jù)用戶

14、需求增加應用種類,應用管理約束用戶行為,在無線網(wǎng)絡與有線網(wǎng)絡邊界處禁止未經(jīng)允許的應用通過記錄所有被拒絕的應用和允許的應用，以方便審計,FortiGate作為AC可以充分發(fā)揮應用管理功能,,AC作為上網(wǎng)行為管理設備的優(yōu)勢,35,降低總體成本——不需部署眾多的上網(wǎng)行為管理設備 降低設備的壓力——上網(wǎng)行為分析和管理由于其對性能開銷巨大，往往成為網(wǎng)絡瓶頸。由分布式部署的AC完成上網(wǎng)行為管理，而非集中式上網(wǎng)行為管理，有效地分散了設備壓力，從

15、而消除網(wǎng)絡瓶頸。 因為每個AC均可提供安全審計，所以每個營業(yè)廳都可以擁有自己的Internet接入，作為開放的客戶無線接入服務點。,AC作為上網(wǎng)行為管理——Web分類,FortiGuard過濾76個類別超過5500萬個網(wǎng)站實時更新數(shù)據(jù)庫URL過濾黑白名單支持正則表達式過濾關鍵字過濾支持多語言支持正則表達式過濾安全過濾ActiveXJava AppletCookies,AC作為上網(wǎng)行為管理——Web內容過濾,

16、AC作為上網(wǎng)行為管理——論壇發(fā)貼過濾,可以自定義提示信息,AC作為SSL VPN平臺——兩個方案的對比,方案一，獨立的SSL VPN平臺與無線整合無線用戶通過無線網(wǎng)訪問SSL VPN服務器，然后通過SSL VPN的轉發(fā)訪問服務器,該方案的優(yōu)勢在于，所有SSL VPN均集中處理，網(wǎng)管只需管理一個SSLVPN平臺即可缺點在于，缺乏靈活性，日益復雜的需求會讓SSLVPN配置繁瑣。隨著業(yè)務拓展，中心設備的壓力也是非常大。,AC作為SSL V

17、PN平臺——兩個方案的對比,方案二，AC作為SSL VPN平臺與無線整合無線用戶通過無線網(wǎng)訪問AC上的SSL VPN，通過AC轉發(fā)后訪問內網(wǎng),該方案的優(yōu)勢在于，所有SSL VPN均分散處理，SSL VPN壓力分散到每個AC上。一旦出現(xiàn)故障，所影響的范圍僅局限與本地AC。配置靈活，各地可以根據(jù)自己需求來調整SSL VPN配置。,AC作為SSLVPN平臺——FortiGate的優(yōu)勢,無用戶數(shù)許可證限制NAT/路由模式支持，支持虛擬化

18、基于SSLVPN通訊內容的防病毒基于SSLVPN通訊內容的IPS基于SSLVPN通訊內容的應用管理無需額外的設備 = 低延遲、結構簡單、易于管理可與WAN優(yōu)化相結合壓縮數(shù)據(jù)兩種工作模式：Web模式 - 僅需要Web瀏覽器，無需安裝插件或應用程序，通過代理方式訪問遠程資源。Tunnel模式 - 通過瀏覽器插件生成虛擬網(wǎng)卡，支持各種C/S應用。,如何識別不同設備無客戶端TCP指紋MAC 地址需要與FortiGate在一

19、個網(wǎng)絡中基于客戶端使用FortiClient 位置和架構無關,,INTERNET,DMZ,,,,,FC,FC,無客戶端,客戶端,基于設備的管理——更為便捷地管理移動設備,基于設備的管理——更為便捷地管理移動設備,根據(jù)相關信息更好地識別設可以基于設備類型和設備組來強制策略基于設備管理更容易管理移動設備,設備組列表,Aruba產(chǎn)品介紹——AP,Aruba 135 ——FortiAP 320B6根內置全向下傾天線，支持3&

20、#215;3 MIMO雙射頻，支持2.4 GHz和5 GHzAruba 104/105——FortiAP223B/220B支持2×2MIMO雙射頻，支持2.4 GHz和5 GHz,Aruba產(chǎn)品介紹——AP,Aruba 92/93——FAP210B2×2MIMO 兩個天線單射頻、雙頻段802.11n可工作在2.4 GHz或5 GHz Aruba 175——FAP222B兩個支持2×2

21、 MIMO雙頻帶2.4GHz和5-GHz的射頻模塊4個外置天線接口。,Aruba產(chǎn)品介紹——AP,Aruba 124/125——FAP320B雙射頻模塊，支持3x3 MIMO，內置或外置天線 Aruba 175——FAP222B兩個支持2×2 MIMO雙頻帶2.4GHz和5-GHz的射頻模塊4個外置天線接口。,Aruba產(chǎn)品介紹——AC,主要功能有：AP的集中管理分級管理，中心端負責認證，匯聚層負責數(shù)據(jù)流

22、基于用戶的狀態(tài)監(jiān)測防火墻具有二層交換和三層路由功能實現(xiàn)無客戶端三層漫游具有IPSec VPN功能 終結非法AP 提供RF服務，可以實現(xiàn)頻譜分析和射頻管理 監(jiān)測和防止非法探測 推送配置到其他AC減少管理負擔,Aruba產(chǎn)品介紹——AC,型號對比Aruba 7200 支持2048個AP，32768個用戶Aruba 6000支持2048個AP，32768個用戶，或4096個RAPAruba 3000支

23、持128個AP，8192個用戶，或512個RAPAruba 600支持16個AP，512個用戶，或64個RAP,FortiGate 5140 支持1024×14個APFortiGate 3000系列支持1024個APFortiGate 1000系列支持512個APFortiGate 200B支持32個AP,Cisco產(chǎn)品介紹——AP,Airnet 3600系列雙Radio 4 x 4 MIM

24、O Airnet 2600系列雙Radio 3x4 MIMO Airnet 1600系列雙Radio 3x3 MIMO Airnet 600系列雙Radio 2x2 MIMO,FortiAP 320BFortiAP 223BFortiAP 220BFortiAP 210B,Cisco產(chǎn)品介紹——室外AP,Airnet 1552S系列雙Radio 2x3MIMO Airnet 1552H系列雙Ra

25、dio 2x3 MIMO Airnet 1552I系列雙Radio 2x3 MIMO Airnet 1552C系列雙Radio 2x3 MIMO Airnet 1552E系列雙Radio 2x3 MIMO,FortiAP 222BFortiAP 112B,Cisco產(chǎn)品介紹——AC,Cisco 8500 wireless control6000個AP，64000個客戶端Cisco Flex 750

26、0 wireless control6000個AP，64000個客戶端Cisco 5760 wireless control1000個AP，12000個客戶端Cisco 5500 wireless control500個AP，7000個客戶端Cisco 2500 wireless control75個AP,特色：Cisco CleanAir 技術，用于優(yōu)化頻段，防止沖突Cisco ClientLink,無線客戶端軟件，