原创作品,未经Julian 本人授权不得转载,侵权必究。
上期和大家漫谈后,有热心的小伙伴跳出来问巨廉这个所谓的“在不破坏原有架构和功能运作的条件下”,到底是几个意思?
好吧,我上次说含糊了,这里给大家讲个明白吧。因为原有网络架构运作已久,不管是慢也好,脆弱也罢,它都形成了自身的nature balance和用户习惯性,所以说增加设备要全面考量和深入测试,我们旨在把网络升级得strongand fluent而不是造成“掣肘”。另外用户体验是很重要的,这一点以前我们可以参照“马斯洛需求层次金字塔”来理解,在满足了能用的基础上,用户当然会需要用的爽,而安全和效率有时候就是一对矛盾体,因此这个balance的度的把握很重要。技术是死的;人是活的,如何安全运营和维护的前提条件下既搞定用户又满足审计,是需要一定的interpersonal技巧了。不多说了,不然大家要以为“走错片场”而这里要改成职场版块了。还好哥事先管这里叫的是“漫谈”什么都可以说。哥尽量做到收发自如。哈哈。
这次有志同道合的朋友提到了“国家网络安全意识月”,正好我所供职的是美资公司,当然也开展了相应的活动。我在这里插播一下我们如何宣传的。
我和我的团队成员们做了如下工作:
1.公司管理层群发给大家kick off 邮件,并配有信息安全事件处置方法的在线视频供大家观看学习。对认真观看并答对问题的员工以抽奖的方式进行物质奖励;对那些没有观看的同仁会再发邮件进行催促;对月底都没完成的,系统会自动统计并发送给相关部门领导予以干预。
2.组织大家做到一起以演示的形式宣讲、交流,分享给大家平时工作容易碰到的安全现象,特别是钓鱼网站和邮件欺诈。
3.在办公室显眼处或员工常去处(如进门处,饭厅,茶水间等)张贴宣传海报,我PO两张图给大家批判性的接受一下哦。
我在活动月总结陈词的时候跟大家说:很简单,记住我们小时候看过的动画片《变形金刚》的一句歌词“More than meets the eye”(死粉们都记得!),凡是别看表象,三思而后行。
言归正传,我们还是继续讨论网络安全设计。
6. 无线覆盖与管控设计
很多企业现在大部分都部署了无线网络吧。但是大家是否有过(or着)这样的感受?当年整了几个带有WAP2企业级论证的无线AP,本以为从此以后可以幸福的生活下去了,霸特the ugly truth is:
· 要么SSID各自为政,覆盖范围不不均或是存在死角、未实现全覆盖,大家发现虽然实现了无线“联通”但毫无“移动”可言。
· 要么由于密码固定,使得很多员工通过各种渠道获取了高权限密码后,越权肆意连接。
· 要么定期需要IT到每个无线设备上改密码,工作量浩大。或是一个台设备出现故障,IT人员不得不奔波过去,累成狗似得排查调试。
· 公司内部已建立健全Windows AD认证架构,但各位无线设备的认证体系始终无法纳入该体系内。除了另外维护一套无线认证的成本开销外,员工入职离职都会导致系统的不统一。
上述几种情况总有一款是读者您当前或者曾经遇到过的。没办法,自己架设的无线网,哭着也要维护好。
那么怎么破呢?远方传来一句:“切克闹!ID统一、扫除盲点和集中化管理”。对!在拓扑结构上,我们可以采取以新添置的无线交换机为中心,将其分别连接到现有核心(三层)交换机、多个无线AP(接入点一般都是POE类型了)、无线controller(中控设备)和新设防火墙上。而此防火墙则直连前文提到的第三条ISP线路上(如下图所示)。这是基本配置,大家可以根据实际需求,增加多个无线交换机等设备。
下面我来看看引入无线controller(中控设备)这样新的无线组网方案的好处。
管理上
· 有了无线controller的设置,实现了运维人员通过服务界面,从接入设备、无线网络、来往数据以及认证流控四个方面,对用户设备的接入、授权和使用进行全程控制。
· 各个AP被统一管理和配置,其工作状态被实时监控。当某个区域的AP报告信号不足时,控制器可以动态改变该区域相关AP的发射频率;而当AP报告该区域内有相同的信道信号时,同样可以通过动态调整,以避开信道的重叠,并实现负载均衡的效果。
· 用户的无线终端在移动过程中能自动切换AP,保持其网络不断线,即实现了跨AP的二层快速漫游。
安全上
· 可以配置多个SSID并实现不同的SSID有不同的网络权限,网络资源相互隔离。进而实现根据是否为公司合规的移动设备来自动识别登录公司无线内网,还是一般外网获取简单上网浏览的权限。
· 用户移动设备进入无线网络后只需对众多AP的其中之一进行输入一次性WIFI密码的连网认证,无线controller并能将用户连网许可权限同步至范围内其他所有AP。
· 无线controller可以配置不同账号密码的生存期,并且实现密码按照既定策略自动的按周期进行变更。
· 通过与企业域管理系统的联动,在用户的登录方式上,可以结合企业portal服务器或认证服务器,并实现短信字符串认证,微信二维码等多种认证方式。
· 对于要求严格的企业甚至可以先认证,后分配IP地址,再通过radius服务器的数据统一计费。
随着BYOD的盛行,无线网络设计与管理在当前企业网络运维的比重越来越明显。它与有线互为补充,相得益彰。当你的老板也成为“低头一族”,而且是“根本停不下来”的时候,你还敢小觑WIFI对于企业运营乃至IT部门兴衰的重要性吗?用个小段子结束这次的漫谈吧。一起一个IT部的哥们曾无比自信的对大家说:“给我一个网卡,我就能找到你硬盘里的女神”(素质,注意素质!)。我想在他的基础上补充一句,如今应该是“让我你单位地址,我就能在外面的‘探囊取物’了!”别问我怎么实现的,自己去静静的脑补吧。
