扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
无线网络是一把双刃剑。WLAN对雇员和访客给予授权,但是他们同样也带来了安全风险。
当一系列的无线策略和设备在部署时,有一个非常常见的解决方案,那就是部署SonicWALL无线设备防火墙。而本文就是你在配置SonicWALL无线设备时所必须了解的内容。在这些事例中,我们将使用一台SonicWALL TZ 170 SP无线设备作为范例,因为该型号是我们平时最常遇到的无线路由器,不过这些步骤同样也适用于其他SonicWALL TZ无线设备。
SonicWALL TZ无线路由器
SonicWALL的TZ无线路由器提供了很多非无线路由器上所没有的功能。另外,为了保护局域网,还提供了无线网络攻击检测服务,可以帮助监控未经授权的存取,以及对无线AP的盗用,以及独立的防火墙来保护无线局域网的无线通讯。
IPSec加密连同WPA一起,对客户端和AP之间的无线通讯进行加密。如果希望,客户服务可以被配置为热点信息。另外,SonicWALL无线路由器拥有的一个功能是分布式的WLAN支持,可以支持SonicPoint卫星AP。
SonicWALL无线路由器支持802.11b和802.11g标准。在绝大多数SonicWALL设备的安装中,它都是作为AP向网络客户端提供无线连接。而路由器则通过一个传统的UTP线缆连接到网络上。
为了帮助阻止未经授权的网络访问,无线客户端必须经过SonicWALL的用户级别审核。该设备同时也支持一系列的安全协议,比如WEP,WPA,以及WPA-EAP。
选择AP的放置位置
当AP被放置在大型实体障碍物附近时,无线性能明显会下降,比如墙体,档案柜,电梯,防火墙,大型机械以及类似物体等等,所以任何时候都尽量不要将AP放置在这样的地方,那样无线信号必须穿越它们。哪怕是小的多得金属物体,比如电脑,或者服务器架,电脑屏幕或者其他设备,也会对无线通讯产生消极的影响。
如果是在建筑或者翻新某处,那么要记住,金属骨架,UV窗户贴膜,混凝土以及金属性质的喷漆都会削减AP的有效操作范围。把AP尝试放在比较高的位置(这样无线信号可以无需穿越档案柜,桌椅,电脑,或其他较低的设备),可以有助于提升无线性能。
避免将AP和客户端放置在微波炉,电视监控器,收音机,以及其他会发送无线电波的设备附近,以防止电波干扰降低无线网络的性能。
一旦选好了一个正确位置,下一步就是对路由器的无线设定部分进行配置。
配置无线相关设定
和其他网络服务一样,SonicWALL提供了一个向导来简化无线网络部署.要通过向导配置一个SonicWALL无线路由器,你就要:
确保在LAN和WLAN之间的“Enable Windows Networking Support(启用Windows网络支持)”复选框被选中,以提供无线客户端连接局域网的能力。
现在出现WLAN 802.11b/g设置菜单。指定SSID(默认是sonicwall),指定无线模式(默认是802.11g),并提供一个国家代码以及频道设定(默认是US,以及AutoChannel)。然后点击“Next”。
现在出现WLAN安全设定菜单。默认状态下,SonicWALL的向导会配置WiFiSec VPN安全。保留该选项来部署一个安全的无线连接,利用IPSec的杠杆作用来使用SonicWALL Global VPN客户端,完成一个无线连接。其他的选项是WEP+Stealth模式,以及简单的未加密连接。要确保一个更安全的连接,选择WiFiSec VPN Security,并点击“Next”。
选择了WiFiSec VPN,下一步会提示你定义一个用户名和口令,用于一个账户来处理组群VPN加入网络的权限。输入用户名和口令,然后点击“Next”。
现在出现无线客户服务屏幕(Wireless Guest Services)。如果你希望启用客户服务,确保该选项被选中,并输入帐号名称,口令,账号存活时间以及会话时间值,注释等,然后点击“Next”。
现在出现一个总体配置屏幕,列出了将要部署的所有设定。仔细检查一下配置信息,如果你确定所有一切都OK了,就点击“Apply(实施)”按钮。
SonicWALL向导将执行所有修改。完成之后,向导会显示一个祝贺屏幕。点击“Finish”完成向导的操作。
编辑无线设置
一旦向导过程完成,你可以通过登录进入路由器,点击“Wireless”按钮来回顾无线设定。默认是显示状态菜单。它会告诉你是否启用了WLAN和WiFiSec security,显示频道信息,以及在其他项目中间的重要IP地址资料。(图B)
图B:SonicWALL的无线状态菜单(Wireless Status)显示了一些重要的WLAN(无线局域网)配置信息。
要编辑或者修改无线网络的设置:
通过点击Wireless子菜单中的Advanced(高级),即可进入SonicWALL的高级菜单,在这里系统管理员可以禁止SSID广播,限制同时使用AP的最大人数,并可以设置单元的发射力度,以及其他选项等等。而菜单底部的“恢复默认设置(Restore Default Settings)”按钮,可以将该单元一切无线设定都恢复到刚出厂的状态。
配置MAC地址过滤
如果需要额外的安全,许多系统管理员会启用MAC过滤。对于SonicWALL TZ无线设备来说,你要配置MAC过滤,可依如下过程进行:
确保“Enable MAC Filter List(启动MAC过滤列表)”的复选框被选中(图C)
图C确保“Enable MAC Filter List(启动MAC过滤列表)”的复选框被选中,并通过使用Add按钮来添加认可的系统MAC地址。另外,你可以使用Block按钮,对特定的MAC地址进行阻挡。
点击“Add”,并且提供希望系统允许其进入的MAC地址。一旦你添加了MAC地址,它就会显示在MAC过滤列表之中。
确定MAC地址已被正确设置来允许或阻挡那些连接到无线网络的系统。
点击“Apply”按钮来实施你所做的修改。
一旦WLAN配置完毕,系统管理员应当设置SonicWALL的入侵检测系统,从而对无线网络进行监控和保护。
配置入侵检测
不同于低端设备,SonicWALL路由器可以监控入侵企图,并且可以在发现了未经授权的通信时,采取步骤进行适当的反应。要配置无线入侵检测:
点击“Apply”按钮来保存你所做的修改(图D)
图D:无线入侵检测系统让SonicWALL路由器可以识别,记录,以及动态反应那些未经授权的无线通信。
“Enable Client Null Probing”功能让SonicWALL设备可以检测和记录“Null Probes”,比如那些由Netstumbler和其他程序所进行的探测。
“Associate Flood Detection”则主要监控通过对AP发送伪造通信而试图造成无线设备拒绝服务的攻击。在对一个拒绝服务攻击的反应中,选择屏蔽某个站的MAC地址,可以让SonicWALL通过记录这些攻击,并动态的将其MAC地址加入厌恶系统的“屏蔽列表”,从而很好的保护自己。
而AP盗用检测则通过扫描其他AP来完成。如果有其他AP被识别出来,它们就被认作是盗用,除非它们已经被特别指定为已授权的AP。
要启用检测记录,点击“Log|Categories(记录|种类)”,然后选中“WLAN IDS”复选框——你可以在Log Categories and Alerts(记录种类和警告)区域里找到这个复选框。这些相关的并发记录应当定期进行翻看,以确保未授权的进入企图从不曾得手过。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
去集群 更超群——大容量网络演进之路
2019 IBM 中国论坛
H3C 2019 Navigate 领航者峰会
助推数据中心网络现代化转型 打造灵活可靠基础架构平台