2024年3月8日发(作者:)

无线AP安装

1、安装位置,应当较高

由于无线AP在无线网络中扮演着集线器的角色,它其实就是无线网络信号的发射“基站”,因此它的安装位置必须选择好,才能不影响整个无线网络信号的传输稳定。考虑到无线通信信号是按直线方向传播的,要是在传输的过程中,遇到有障碍物的话,无线通信信号的强度就会受到削弱,特别是遇到金属障碍物时,无线信号的衰减幅度更是巨大。为了避免无线信号遭受到外来障碍物的干扰,你可以在安装无线AP时,尽最将它的位置安装得高一些,或者在障碍物的顶部再增加一个通信中继点,当然也可以利用铁塔来增加无线AP的室外天线高度,这样的话就能有效地消除无线工作站与无线AP之问移动的或固定的障碍物,从而确保无线AP的信号覆盖范围足够大,那么无线网络的整体通信性能就会大大得到提升。

2、覆盖范围,少量重叠

借助以太网,我们可以将多个无线AP有效地连接起来,从而搭建一个无线漫游网络,这样用户就能随意在整个网络中进行无线漫游了。不过当访问者从一个子网络移动到另外一个子网络的过程中,就会出现访问者与原无线AP的距离越来越远的现象,这样无线上网信号就会越来越弱,上网速度也是越来越慢,直到中断与原网络的信号连接;如果另外一个子网的无线AP信号覆盖区域与原网络的无线AP信号覆盖区域之间,有少量的重叠部分时,那么访问者在即将与原网络断开连接的那一刻,又会自动进入到新的子网覆盖区域,这样一来就能确保访问者在不同网络之间漫游时始终处于在线状态,而不会发现连接断开现象。所以,在组建无线漫游网络时,为保证无线网络有足够的带宽,就需要将每一个无线AP产生的各自无线信号覆盖区域进行少量交叉覆盖,确保每一个无线子网之问能够实现无缝连接。

3、控制带宽,确保速度

在理论状态下,无线AP的带宽可以达到百M级别这样的大小,不过该带宽大小却是其他无线工作站所共享的,换句话说,如果无线AP同时与较多的无线工作站进行连接时,那么每一台无线工作站所能分享得到的网络带宽就会逐步变小。因此,为了确保整个无线网络的通信速度不受到影响,一定要控制好无线

工作站的接入数目,以便保证每一台工作站都能获得足够的上网带宽。那么一台无线AP,到底可以同时连接多少台无线工作站,才不会降低整个网络的通信速度呢?一般来说,支持IEEEE802.1标准的无线AP可以同时连接20台左右的工作站,如果工作站连接数目超过这个数字,无线网络的通信速度将会明显下降;当然,要是一台无线AP同时连接的工作站数目较少时,会导致组网成本过高。

4、通信信号,拒绝穿墙

如果其信号穿越了墙壁或受到了其他干扰的话,它的通信距离将会大大缩短;为了避免通信信号遭受到不必要的削弱,你一定要控制好无线AP的摆放位置,让其信号尽量不要穿越墙壁,更不能穿越浇注的钢筋混凝土墙壁。通过实际测试发现,在10米距离之内,无线AP的传输信号在穿越了两堵砖墙之后,它的信号强度仍然能够维持在标准的最高传输强度,不过一旦无线信号穿越了浇注的钢筋混凝土墙壁时,它的信号强度足足下降了一半。由此不难看出,无线通信信号在穿越有金属的墙壁时,其信号强度将会受到大幅度衰减。所以,在两层以上的建筑物中组建无线局域网时,最好能在每一个楼层中安装一个无线AP,这样可以确保在本楼层之内的所有无线工作站都能处于该无线AP的覆盖范围之内。此外,要是在一层之内,如果房间间隔的数目较多时,那么你应该确保无线AP和无线工作站之间,不能有超过两个以上墙壁的间隔,否则就需要多安装几个无线AP,以确保每一台无线工作站都能获得足够的信号强度。当然,为了确保某一座建筑物之内的所有无线工作站能同时连接到一个网络中,你还需要通过双绞线将每一层或安装在其他位置处的无线AP连接在一起。

5、摆放位置,居于中心

由于无线AP的信号覆盖范围呈圆形区域,为了确保与之相连的每一台无线工作站都能有效地接受到通信信号,最好应该将无线AP放在所接工作站的中心。例如可以将无线AP摆放在机房或房间的中央位置,然后将每一工作站围绕在无线AP的四周放置,这样就能确保机房中的每一台工作站都能高速地接人到无线网络中。此外,大家要注意的是,无线网络通常会根据通信距离的远近自动调整上网速度,一般情况下工作站离无线AP的距离越近,其通信信号的抗干扰能力就越强,那么上网速度就会越快,相反如果工作站与无线AP的距离越远,那么通信信号就容易受到外来干扰,那么上网速度就会越慢。因此,为了保证上网速

度始终处于高速状态,你一定要控制好无线AP与工作站的距离,尽量不能让它们离得太远。如果距离实在比较远的话,你可以为无线AP安装上全向天线,而距离远的工作站需要安装定向天线,同时调整好天线的方向,确保它们与水平线有一个合适的小角度。

6、正确设置,成功漫游

前面曾提到,要实现无线漫游,就需要将多个无线AP的信号覆盖范同相互重叠一小部分,不过要想漫游成功,还需要对各个无线AP进行适当的设置。首先需要登录进无线AP的参数设置界面,在其中找到SSID设置选项,然后将所有无线AP的SSID名称设置成相同,这样才能确保漫游用户在同一网络中漫游;接着还要修改每一个无线AP的IP地址,让所有无线AP的IP地址属于同一网段之中;下面,还需要修改信号互相覆盖的无线AP的频道。考虑到相邻的两个无线AP之间有信号重叠区域,为保证这部分区域所使用的信号频道不能互相覆盖,具体地说信号互相覆盖的无线AP必须使用不同的频道,否则很容易造成各个无线AP之间的信号相互产生干扰,从而导致无线网络的整体性能下降。一个无线AP可以使用的频道总共有11个,其中只有1、6、11这三个频道是完全不被覆盖的,因此你可以将相邻的无线AP设置成使用这些频道,来确保无线漫游成功。

室外型无线AP的设备主要技术指标如下:

(1)工作模式:可支持瘦AP工作模式,支持802.11ac协议。

(2)接口设计:提供2个10/100/1000Mbps(RJ45),双网口PoE供电、支持端口负载均衡。

(3)物联网扩展:提供2个10/100/1000Mbps(RJ45),支持POE out,支持BLE、RFID、Zigbee等多种物联网链式扩展,最多支持10个物联网模块扩展,另有一个PSE对外供电口。

(4)运维平台:

▲厂家提供免费云端维护平台,并提供免费手机APP管理软件,提供云端维护平台及手机APP软件的截图

(5)运维平台及APP功能:

▲配合无线控制器,可以实现定期巡检,通过收集网络的各种关键指标,包

括信道利用率情况,丢包率,时间延迟,包重传次数,漫游成功率,终端信号强度等,统计健康度得分,输出体检报告,并结合报告,给出优化建议,已提供巡检功能截图。

▲手机APP配合无线控制器,可以展现网络健康度监测各方面指标,及时定位网络问题,并通过数据库支持,保障问题实时处理。已提供该功能截图。

(6)绿色产品:绿色认证为避免设备携带铅(Pb),镉(Cd),汞(Hg)等重金属有害物质,投标产品已提供Rosh证书。

数据安全网关

数据安全网关是环境监测数据网络传输系统的安全防护设备,保证监测数据的安全性,避免数据被恶意攻击修改和破坏。安全网关是各种技术的融合,具有重要且独特的保护作用,其范围从协议级过滤到十分复杂的应用级过滤。设置的目的是防止网络不安全因素蔓延到自己内部系统网络。安全网关在应用层和网络层上面都有防火墙的身影,在第三层上面还能看到VPN作用。

安全网关功能示意图

数据安全网关的首要任务是建立全面的规则,在深入理解安全和开销的基础上定义可接受的折衷方案,这些规则建立了安全策略。安全策略可以是宽松的、严格的或介于二者之间。在一个极端情况下,安全策略的基始承诺是允许所有数据通过,例外很少,很易管理,这些例外明确地加到安全体制中。这种策略很容易实现,不需要预见性考虑,保证即使业余人员也能做到最小的保护。另一个极端则极其严格,这种策略要求所有要通过的数据明确指出被允许,这需要仔细、着意的设计,其维护的代价很大,但是对网络安全有无形的价值。从安全策略的角度看,这是唯一可接受的方案。在这两种极端之间存在许多方案,它们在易于实现、使用和维护代价之间做出了折衷,正确的权衡需要对危险和代价做出仔细的评估。

数据安全要求具备下面的功能特点

1、强大的安全防护功能

要求支持丰富的攻击防范功能。包括:Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法、超大ICMP报文、地址扫描、端口扫描等攻击防范,还包括针对SYN Flood、UDP Flood、ICMP Flood、DNS Flood等常见DDoS攻击的检测防御。

支持安全区域管理。可基于接口、VLAN划分安全区域。

支持包过滤。通过在安全区域间使用标准或扩展访问控制规则,借助报文中UDP或TCP端口等信息实现对数据包的过滤。此外,还可以按照时间段进行过滤。

支持基于应用、用户的访问控制,将应用与用户作为安全策略的基本元素,并结合深度防御实现下一代的访问控制功能。

支持应用层状态包过滤(ASPF)功能。通过检查应用层协议信息(如FTP、HTTP、SMTP、RTSP及其它基于TCP/UDP协议的应用层协议),并监控基于连接的应用层协议状态,动态的决定数据包是被允许通过防火墙或者是被丢弃。

支持验证、授权和计帐(AAA)服务。包括:基于RADIUS/HW TACACS+、CHAP、PAP等的认证。

支持静态和动态黑名单。

支持NAT和NAT多实例。

支持VPN功能。包括:支持L2TP、IPSec/IKE、GRE、SSL等,并实现与智能终端对接。

支持丰富的路由协议。支持静态路由、策略路由,以及RIP、OSPF等动态路由协议。

支持安全日志。

支持流量监控统计、管理。

2、灵活可扩展的一体化DPI深度安全

与基础安全防护高度集成的一体化安全业务处理平台。

全面的应用层流量识别与管理:通过状态机检测、流量交互检测技术,能精确检测Thunder/Web Thunder(迅雷/Web迅雷)、BitTorrent、eMule(电骡)/eDonkey(电驴)、QQ、MSN、PPLive等P2P/IM/网络游戏/炒股/网络视频/网络多媒体等应用;支持P2P流量控制功能,通过对流量采用深度检测的方法,即通过将网络报文与P2P协议报文特征进行匹配,可以精确的识别P2P流量,以达到对P2P流量进行管理的目的,同时可提供不同的控制策略,实现灵活的P2P流量控制。

高精度、高效率的入侵检测引擎。。集成多项检测技术,实现基于精确状态的全面检测,具有极高的入侵检测精度;采用并行检测技术,软、硬件可灵活适配,大大提高入侵检测的效率。

实时的病毒防护:采用流引擎查毒技术,可以迅速、准确查杀网络流量中的病毒等恶意代码。

迅捷的URL分类过滤:提供基础的URL黑白名单过滤同时,可以配置URL分类过滤服务器在线查询。

全面、及时的安全特征库。要求保证特征库的及时准确更新。

3、支持IPv6

支持IPv6状态防火墙,真正意义上实现IPv6条件下的防火墙功能,同时完成IPv6的攻击防范。

支持IPv4/IPv6双协议栈,并支持IPv6数据报文转发、静态路由、动态路由及组播路由等功能。

支持IPv6各种过渡技术,包括NAT-PT、IPv6 Over IPv4 GRE隧道、手工隧道、6to4隧道、IPv4兼容IPv6自动隧道、ISATAP隧道、NAT444、DS-Lite等。

支持IPv6 ACL、Radius等安全技术。

4、下一代多业务特性

集成链路负载均衡特性,通过链路状态检测、链路繁忙保护等技术,有效实现企业互联网出口的多链路自动均衡和自动切换。

一体化集成SSL VPN特性,满足移动办公、员工出差的安全访问需求,不仅可结合USB-Key、短信进行移动用户的身份认证,还可与企业原有认证系统相结合、实现一体化的认证接入。

DLP基础功能支持,支持邮件过滤,提供SMTP邮件地址、标题、附件和内容过滤;支持网页过滤,提供HTTP URL和内容过滤;支持网络传输协议的文件过滤;支持应用层过滤,提供Java/ActiveX Blocking和SQL注入攻击防范。

5、专业的智能管理

支持智能安全策略:实现策略冗余检测、策略匹配优化建议、动态检测内网业务动态生成安全策略并推荐。

支持标准网管 SNMPv3,并且兼容SNMP v1和v2。

提供图形化界面,简单易用的Web管理。

可通过命令行界面进行设备管理与防火墙功能配置,满足专业管理和大批量配置需求。

通过安全管理中心实现统一管理,集安全信息与事件收集、分析、响应等功能为一体,解决了网络与安全设备相互孤立、网络安全状况不直观、安全事件响应慢、网络故障定位困难等问题,使IT及安全管理员脱离繁琐的管理工作,极大提高工作效率,能够集中精力关注核心业务。

基于先进的深度挖掘及分析技术,采用主动收集、被动接收等方式,为用户提供集中化的日志管理功能,并对不同类型格式(Syslog、二进制流日志等)的日志进行归一化处理。同时,采用高聚合压缩技术对海量事件进行存储,并可通过自动压缩、加密和保存日志文件到DAS、NAS或SAN等外部存储系统,避免重要安全事件的丢失。

提供丰富的报表,主要包括基于应用的报表、基于网流的分析报表等。

支持以PDF、HTML、WORD和TXT等多种格式输出。

可通过Web界面进行报告定制,定制内容包括数据的时间范围、数据的来源设备、生成周期以及输出类型等。

安全网关组网应用示意图

数据安全网关的设备主要技术指标如下:

(1)产品架构:采用非X86 64位多核高性能处理器和高速存储器;

(2)性能参数:所投产品防火墙吞吐量≥1Gbps,每秒新建连接数≥2.4万,

并发连接数≥50万。IPSec VPN隧道数≥750;

(3)硬件指标:单台配置千兆以太网电接口8个,千兆光口2个,硬盘槽位1个;

(4)攻击防护:实现安全区域划分,访问控制列表,配置对象及策略,动态包过滤,黑名单,MAC和IP绑定功能,基于MAC的访问控制列表,802.1q VLAN

透传等功能。

(5)用户行为画像:提供基于用户名(或用户IP地址)实现对用户行为统一分析界面,采用饼状图对访问应用流量、网站访问集中分析展示,包含基于时间轴的访问行为轨迹(应用账号、行为内容等),关联账号(微信、QQ)等相关用户行为审计内容;

(6)负载均衡:支持链路负载均衡功能,支持智能DNS,支持加权轮转、随机、加权最小连接、源IP地址hash、源IP地址和端口hash、目的地址hash、带宽算法、最大带宽算法、ACL、动态就近性、基于优先级的调度算法、主备实服务器组12种调度算法;

▲(7)APT攻击防御:支持与云沙箱联动,实现对APT攻击的防御功能。(已提供功能截图)

(9)设备管理:支持SNMPv1、SNMPv2、SNMPv3、RMON等网络管理协议,并且支持通过网管软件远程进行设备软件升级、配置等。提供开放API接口(RESTful,NetConf),可编程管理防火墙,不再仅依赖网管软件。支持U盘零配置开局。公有云平台管理,设备支持上共有云平台进行管理。

(10)云管理:设备可自行向云平台注册,实现设备注册上线、显示在线离线状态、报活等工作;通过云平台可呈现设备状态,包括设备CPU、序列号、内存状态等信息。实现云平台向设备下发系统版本升级、特征库版本升级、云端管理设备等;支持纳管设备概览。管理设备统一以地图形式显示所设备的地点信息,并可按项目组为单位进行显示;可实现云平台日志管理。可接收设备上报的日志,在云端查询设备日志并通过图表呈现日志信息;管理员权限控制。支持云端管理员的创建及权限控制,可分配管理员权限/审计员权限,下级管理员可配置是否允许上级用户代理运维,用户支持自注册管理等功能,并可建立最大4级运营账号管理;设备支持快速向导功能,可通过快速向导实现网络连通,通过快速向导

实现一键打勾开启以下功能:一键流控、一键安全、一键VPN加速等;设备支持本地AV与云AV同步

▲(11)诊断中心:支持报文跟踪功能,可对原始报文进行回放;支持丢包统计,提供详细分析丢包原因。

▲(12)产品资质:

所投产品具备公安部监制的计算机信息系统安全专用产品销售许可证;具备中国信息安全认证中心颁发的国家信息安全产品认证证书(ISCCC);具备中国信息安全测评中心颁发的信息技术产品安全测评证书(EAL)。