FortiGate无线AP解决方案.pptx

#,Fortinet Confidential,传统无线解决方案,(,胖,AP),漫游时重新登录,不在同一网络里，,IP,地址不同，权限不同,每个无线设备单独建立一个认证体系,管理繁琐，需要分别设置多个设备,集中式无线解决方案,(,瘦,AP),漫游时在同一网络里，,IP,地址相同，权限权限相同，不需要重新登录,无线设备统一管理,，自动下载配置,集中统一的安全策略和认证体系,FortiGate,无线解决方案,FortiGate,作为,AC,，,FortiAP,作为,AP,3x3:3,高速通讯,双射频,双频段,2x2:2,高性能,单射频,1x1:1,个人用,室外,室内,802.11n FortiAP,系列产品,FAP-220B,FAP-221B,FAP-222B,FAP-210B,FAP-320B,FAP-223B,FAP-112B,FAP-11C,FAP-11C,FortiAP-320B,适合于,对网络要求,地方，比如教育、医疗,和制造行业,FAP-112B,特点,时间,在销售,安装,安装于墙上和室外,Radio,1,Bands,2.4Ghz b/g/n,PoE,包含,PoE,电源,Rx/Tx,1x1,Single stream,65 Mbps,天线,1,个内置,以太网接口,2 x 10/100 bridged(1 POE),其他,IP65 rated enclosure,应用,点对点的桥接,适用于室外和室内的热点地区,FAP-223B,可以接外置天线,也可以支持其他,RP-SMA,接口的第三方天线,Specifications,上市时间,已经上市,安装,室内顶棚和墙上,Radios,2,Bands,5Ghz a/n,2.4Ghz b/g/n,PoE,802.11af,Rx/Tx,2x2,Dual stream,300 Mbps per radio,天线,外置四个,以太网接口,1 x 10/100/1000,其他,支持,RP-SMA,接口，可以接第三方天线,应用,适合于需要外置天线的室外,FAN-612R,定向天线,扩展天线的范围,广场或者街道,楼与楼之间的桥接,无线,ISP,支持,3G/4G,安装需要,FortiAntenna-M22,套件,FAN-612R,和,FAN-612N,是双频段的天线,FAN-612R,适用于,FAP223B,FAN-612N,适用于,FAP222B,FAN-500N,是单频段的天线，适用于,FAP220B,10,支持两个,Radio,，一个,Radio,可以专用来背景扫描和压制。,可选的,PoE,电源接入,支持,7,个,SSID,，实现无线网络的分段,每个,AP,不限用户数,FortiAP-220B,FortiAP-220B,拆解图,双,Radio(220B),Radio 1,可选,802.11a/b/g/n,2.4Ghz&5Ghz,Radio 2,可选,802.11 b/g/n,2x2,MIMO,共,4,个内置天线,世界级的无线芯片,Y,X,top,Front,FortiAP-222B,户外,AP,防尘和防水,工业级的温度范围,最大,500mW,发送功率,(27dBm),户外覆盖,平方英里,(,高尔夫球场、园区、游泳池,),两路并发,Radio,Radio 1 a/n 5Ghz,Radio 2 b/g/n 2.4Ghz,a,b,g,n,FortiAP,安装套件,FAP-200-MNT-1,用于房顶安装，支持,FAP-220A,FAP-220B,FAP-210B.,FAP-200-MNT-10,用于房顶安装，支持,FAP-220A,FAP-220B,FAP-210B.,(10,个包装,),13,PoE,Ports,FortiGate-60C-POE,24,FortiGate-200B-POE,8,FortiSwitch-324-POE,24,Fortiswitch-124-POE,12,FortiSwitch-80-POE,4,GPI-115,1,POE,电源,场景,1,楼宇的无线部署,在每个 楼层部署多个,FortiAP,每个楼层可以部署支持,PoE,的交换机,(FortiSwitch),，也可以用支持,PoE,的,FortiGate,通过中心的,FortiGate,对所有,FortiAP,进行控制,部署于露天环境,定向天线扩展距离,场景,2,室外部署,场景,3,无线桥接,桥接解决布线难的问题,WAN,公司总部,场景,4,用,AC,实现对,AP,的云管理,Internet,VLAN-10,数据流本地转发,数据流进,VLAN,更具有弹性,WAN,场景,5,用,AP,构建跨越,Internet,的,VPN,网络,公司总部,数据加密,Internet,自动连接到总部,多设备共享,VPN,场景,6,公司访客使用,Internet,服务,独立的,SSID,给顾客使用,批量随机生成用户名和密码，有效期自登录开始计时，分配给顾客使用,通过策略控制只允许访客访问,Internet,和公司开放的资源,用户数据通过,FortiGate,实现上网行为管理，加强日志记录,批量生成用户,数据流,AP,AC,日志,核心的无线,安全平台,无线属性,SSID,在不同,AP,漫游,部署多个,SSID,到多个,AP,AP,到,AC,数据流支持两种模式,AP,直接转发到本地交换机,AP,与,AC,建立加密通道,AP,到,AC,数据加密,AC,支持路由模式和桥模式两种,无线加密方式,WEP,（,64bit,或,128bit RC4,加密）；,开放模式（不加密，不建议使用）,WPA,（,256bit TKIP,或,AES,加密）；,WPA2,（,256bit TKIP,或,AES,加密，在,WPA,的基础上支持,802.11i,标准的安全要求）；,强制门户,MAC,地址过滤,无线属性,用户认证方式,共享密钥,用户名和密码,用户管理,本地用户,/,来宾,LDAP,用户,Radius,用户,TACACS,用户,动态令牌卡用户,来宾用户管理,批量创建和批量打印,用户自注册,用户生效以登录时间和创建时间起算,短信和邮件发送账户和密码,无线属性,非法,AP,检测与压制,隔离,SSID,内部通讯,隐藏,SSID,SSID,支持,VLAN,无线用户的负载分担,无线频段的管理,频段冲突检测与回避,FortiGate,无线的综合安全支撑平台,无线传输内容透明化,防火墙策略划分网络安全区域,上网行为管理与日志,SSL VPN,重新定义无线接入点,应用管理约束网络行为,基于设备的策略提高管理效率,WAN,优化提高传输的效率,25,ASIC,防火墙,应用控制,无线,数据库,反垃圾邮件,VPN,FORTIOS,FORTIASIC,WEB,过滤,DLP,路由,WAN,优化,防病毒,IPS,透明化是安全和网管的基石,Sniffer,FortiGate,内置的抓包工具提供：,对,802.1X,和加密通道协议的抓包分析,对解密后的数据包分析,透明化是安全和网管的基石,会话管理,FortiGate,有强大的会话管理功能：,充分展现每个无线用户的数据流的源,IP,、目标,IP,、地址转换,IP,、服务、时间等信息,根据源,IP,或者目标,IP,实现会话数量排名,透明化是安全和网管的基石,带宽管理,FortiGate,可以展现无线通讯的带宽状况：,无线接口的流量使用情况,根据源,IP,或者目标,IP,实现带宽排名,透明化是安全和网管的基石,应用管理,FortiGate,可以展现应用状况：,应用的带宽使用,访问的,URL,防火墙策略划分网络安全区域,通过防火墙策略控制不同,SSID,之间的相互访问,通过防火墙策略控制,SSID,与有线网络之间相互访问,鉴于无线网络移动性比较强，所以我们推荐将移动网络的安全级别设置为略低于有线网络,防火墙策略划分网络安全区域,FortiGate,以,AC,形式作为,SSID,之间和无线与有线之间的安全边界的优势在于，其能部署多种安全功能：,强大的防火墙策略,病毒过滤与清除,Android,病毒已有增多趋势,入侵的防御,(IPS),破解版的,Adroid,和,IOS,提供攻击源,带宽的管理,应用控制,日志与安全审计,应用管理约束用户行为,IM,P2P,VoIP,文件传输,视频,/,音频流,代理服务器,远程控制,Web,浏览器工具条,数据库,Web,邮件,Web,协议命令,Internet,协议,网络服务,商业应用,系统更新,网络备份,识别超过,1000,种应用程序,频繁的更新，支持各国的本地应用,可根据用户需求增加应用种类,应用管理约束用户行为,在无线网络与有线网络边界处禁止未经允许的应用通过,记录所有被拒绝的应用和允许的应用，以方便审计,FortiGate,作为,AC,可以充分发挥应用管理功能,AC,作为上网行为管理设备的优势,34,降低总体成本,不需部署众多的上网行为管理设备,降低设备的压力,上网行为分析和管理由于其对性能开销巨大，往往成为网络瓶颈。由分布式部署的,AC,完成上网行为管理，而非集中式上网行为管理，有效地分散了设备压力，从而消除网络瓶颈。,因为每个,AC,均可提供安全审计，所以每个营业厅都可以拥有自己的,Internet,接入，作为开放的客户无线接入服务点。,AC,作为上网行为管理,Web,分类,FortiGuard,过滤,76,个类别,超过,5500,万个网站,实时更新数据库,URL,过滤,黑白名单,支持正则表达式过滤,关键字过滤,支持多语言,支持正则表达式过滤,安全过滤,ActiveX,Java Applet,Cookies,AC,作为上网行为管理,Web,内容过滤,AC,作为上网行为管理,论坛发贴过滤,可以自定义提示信息,AC,作为,SSL VPN,平台,两个方案的对比,方案一，独立的,SSL VPN,平台与无线整合,无线用户通过无线网访问,SSL VPN,服务器，然后通过,SSL VPN,的转发访问服务器,该方案的优势在于，所有,SSL VPN,均集中处理，网管只需管理一个,SSLVPN,平台即可,缺点在于，缺乏灵活性，日益复杂的需求会让,SSLVPN,配置繁琐。随着业务拓展，中心设备的压力也是非常大。,AC,作为,SSL VPN,平台,两个方案的对比,方案二，,AC,作为,SSL VPN,平台与无线整合,无线用户通过无线网访问,AC,上的,SSL VPN,，通过,AC,转发后访问内网,该方案的优势在于，所有,SSL VPN,均分散处理，,SSL VPN,压力分散到每个,AC,上。一旦出现故障，所影响的范围仅局限与本地,AC,。,配置灵活，各地可以根据自己需求来调整,SSL VPN,配置。,AC,作为,SSLVPN,平台,FortiGate,的优势,无用户数许可证限制,NAT/,路由模式支持，支持虚拟化,基于,SSLVPN,通讯内容的防病毒,基于,SSLVPN,通讯内容的,IPS,基于,SSLVPN,通讯内容的应用管理,无需额外的设备,=,低延迟、结构简单、易于管理,可与,WAN,优化相结合压缩数据,两种工作模式：,Web,模式,-,仅需要,Web,浏览器，无需安装插件或应用程序，通过代理方式访问远程资源。,Tunnel,模式,-,通过浏览器插件生成虚拟网卡，支持各种,C/S,应用。,如何识别不同设备,无客户端,TCP,指纹,MAC,地址,需要与,FortiGate,在一个网络中,基于客户端,使用,FortiClient,位置和架构无关,INTERNET,DMZ,FC,FC,无客户端,客户端,基于设备的管理,更为便捷地管理移动设备,基于设备的管理,更为便捷地管理移动设备,设备识别,设备和,OS,的指纹,设备分类与管理,设备相关信息,基于设备的策略,使用设备和设备组来建立策略,根据相关信息更好地识别设,可以基于设备类型和设备组来强制策略,基于设备管理更容易管理移动设备,设备组列表,Aruba,产品介绍,AP,Aruba 135 FortiAP 320B,6,根内置全向下倾天线，,支持,33 MIMO,双射频，支持,2.4 GHz,和,5 GHz,Aruba 104/105FortiAP223B/220B,支持,22MIMO,双射频，支持,2.4 GHz,和,5 GHz,Aruba,产品介绍,AP,Aruba 92/93FAP210B,22MIMO,两个天线,单射频、双频段,802.11n,可工作在,2.4 GHz,或,5 GHz,Aruba 175FAP222B,两个支持,22 MIMO,双频带,2.4GHz,和,5-GHz,的射频模块,4,个外置天线接口。,Aruba,产品介绍,AP,Aruba 124/125FAP320B,双射频模块，支持,3x3 MIMO,，,内置或外置天线,Aruba 175FAP222B,两个支持,22 MIMO,双频带,2.4GHz,和,5-GHz,的射频模块,4,个外置天线接口。,Aruba,产品介绍,AC,主要功能有：,AP,的集中管理,分级管理，中心端负责认证，汇聚层负责数据流,基于用户的状态监测防火墙,具有二层交换和三层路由功能,实现无客户端三层漫游,具有,IPSec VPN,功能,终结非法,AP,提供,RF,服务，可以实现频谱分析和射频管理,监测和防止非法探测,推送配置到其他,AC,减少管理负担,Aruba,产品介绍,AC,型号对比,Aruba 7200,支持,2048,个,AP,，,32768,个用户,Aruba 6000,支持,2048,个,AP,，,32768,个用户，或,4096,个,RAP,Aruba 3000,支持,128,个,AP,，,8192,个用户，或,512,个,RAP,Aruba 600,支持,16,个,AP,，,512,个用户，或,64,个,RAP,FortiGate,5140,支持,1,02414,个,AP,FortiGate 3000,系列,支持,1,024,个,AP,FortiGate 1000,系列,支持,512,个,AP,FortiGate 200B,支持,32,个,AP,Cisco,产品介绍,AP,Airnet 3600,系列,双,Radio 4 x 4 MIMO,Airnet 2600,系列,双,Radio 3x4 MIMO,Airnet 1600,系列,双,Radio 3x3 MIMO,Airnet 600,系列,双,Radio 2x2 MIMO,FortiAP 320B,FortiAP 223B,FortiAP 220B,FortiAP,210B,Cisco,产品介绍,室外,AP,Airnet 1552S,系列,双,Radio 2x3MIMO,Airnet 1552H,系列,双,Radio 2x3 MIMO,Airnet 1552I,系列,双,Radio 2x3 MIMO,Airnet 1552C,系列,双,Radio 2x3 MIMO,Airnet 1552E,系列,双,Radio 2x3 MIMO,FortiAP 222B,FortiAP 112B,Cisco,产品介绍,AC,Cisco 8500 wireless control,6000,个,AP,，,64000,个客户端,Cisco Flex 7500 wireless control,6000,个,AP,，,64000,个客户端,Cisco 5760 wireless control,1000,个,AP,，,12000,个客户端,Cisco 5500 wireless control,500,个,AP,，,7000,个客户端,Cisco 2500 wireless control,75,个,AP,特色：,Cisco CleanAir,技术，用于优化频段，防止冲突,Cisco ClientLink,无线客户端软件，能够优化客户端,Cisco Identity Services Engine,为无线和有线部署统一策略,缺点：,没有除了无线以外的其他安全特色,51,谢谢,