某医院组建无线网络方案
一、 用户需求
1. 在医院内部的15个病区、2个输液室部署无线设备,做到Wi-Fi覆盖;
2. 无线网络用于承载医院内部的业务系统通讯;
3. 无线设备需支持802.11b/g/n;
4. 无线设备应易于集中管理;
二、 无线网络拓扑图
三、 无线设备的选择
本案中推荐使用德国Astaro网络安全公司的Wi-Fi AP设备——AP30
AP-30的主要特点:
· 支持802.11 b/g/n,******传输速率300Mbps
· 支持最多8组 SSID设置,并可隐含SSID
· 支持WPA/WPA2
o WPA Personal (WPA-PSK 采用 TKIP 或 AES)
o WPA Enterprise (WPA-EAP 采用 TKIP)
· 支持WEP,加密强度64/128位
· 支持802.1x 认证
· 支持PoE
· 支持二层转发模式、三层路由模式
· 自动寻找网络中ASG设备
四、 多功能防火墙即无线控制器的选择
本案中推荐使用德国Astaro网络安全公司的多功能防火墙——ASG 425,作为无线控制器,同时又可完成网络防火墙的功能。
ASG 425的主要特点:
· 支持Astaro的无线AP接入集中管理,即无线控制器角色
o 支持对AP设备的策略分发
o 支持无线客户端检索管理
o 支持AP状态监控
o 支持IP地址与MAC地址捆绑
o 支持DHCP分配IP地址
· 专业的状态检测包过滤防火墙功能
· 支持基于IP地址、通讯端口的访问策略设计
· 支持基于时间的策略管理
本案中采用的ASG 425即是无线网络中的无线控制器,同时也是无线网络的核心安全设备,完成保障安全访问的角色。
五、 Astaro无线网络的特点
医院的业务系统可以通过Astaro的无线网络进行安全地数据传输。
多SSID设计
利用多SSID设计的特点,可以针对业务系统的需要,为每个业务系统设计一个对应的SSID。例如,入院患者二维条码识别系统使用专有的SSID,并为其设计专用的加密方法及密钥,保证仅属于此系统的设备才能够接入此SSID,从而得到与此系统对应的IP地址。得到了特定的IP地址,就可以利用ASG 425的安全访问控制机制来控制这些IP地址对相应的后台服务器进行通讯访问。这样就做到了接入安全与访问安全。
漫游
由于我们采用ASG 425作为统一的无线控制器,将全部AP都汇聚到中心的ASG 425设备。这样就可以实现无线漫游。例如,医生查房时,利用移动终端设备接入专用的SSID,随时查询患者信息;当医生进入其他病区时,移动终端设备会自动接入同样名称的SSID,而不是搜索新的SSID并要求使用者提供接入密码;ASG 425可以确保这台移动终端设备可以获得的IP地址不变。这样的漫游设计可以极大地方便使用者对移动终端的操作,最终提高业务效率。
安全传输
在无线网络接入中,可以采用IP和MAC捆绑的方法,对一些固定的接入设备进行捆绑,这样可以禁止一些外来的、未经许可的无线设备加入到无线网络中,这也是提高无线网络接入安全的方法之一。
Wi-Fi网络作为民用网络,其在信号传输过程中存在不安全性。Astaro公司为了提高Wi-Fi网络中数据传输的安全性,支持WPA/WPA2、WEP加密,在无线信号传递隧道上对数据进行强加密,增加破译难度。
集中管理
在部署多台AP的环境中对AP的管理是管理员最为关注的方便。传统的AP提供基于Web的管理界面,要求管理员登录到设备上进行单台管理。在多台AP的环境中,管理成本提高,同时不宜保证整体AP的策略一致。
Astaro的AP设备具有可集中管理的特性,AP自身没有配置界面,需要通过一台Astaro的多功能防火墙完成无线管理器的全部功能。
AP在加电后会自动在网络中探测可用的ASG设备,当ASG接受一台AP后,ASG所设计的SSID被分发到AP上去使用,同时,这些SSID作为ASG的一组逻辑端口使用。这样,在ASG上就可以对不同SSID的无线接入用户实施专业防火墙的安全访问策略控制,以控制用户对内部网络的使用。
六、 方案总结
本案中,以Astaro的多功能防火墙ASG 425作为核心设备,无线接入点使用Astaro的AP 30。AP 30负责完成各区域Wi-Fi设备的接入;ASG 425负责完成对无线网络的安全管理,包括
· 无线接入策略的分发,如SSID、加密方式、运行模式等;
· 无线网络IP地址的设计与分发管理;
· 无线网络用户对内部网络资源的访问控制策略管理;
· 对AP 30的固件升级管理;
七、 设备清单
设备名称
|
SKU
|
描述
|
数量
|
ASG 425
|
ASGN04250AP
|
ASG 425 1U桌面型硬件设备;防火墙吞吐量3.8Gbps;IPS吞吐量550Mbps;防病毒吞吐量135Mbps;并发连接数1,000,000;每秒新建连接数30,000;VPN吞吐量400Mbps;2个千兆光口,6个千兆电口;每小时邮件处理量1,200,000封;1U机架标准尺寸;单电源;
|
1
|
ASGN04253WI
|
无线控制器模块
|
ASGN04253NS
|
网络安全模块
|
|
含三年技术服务、硬件保修
|
AP 30
|
AAP00300APAU
|
Astaro Wi-Fi 设备
|
64
|