某医院组建无线网络方案

一、 用户需求

1. 在医院内部的15个病区、2个输液室部署无线设备，做到Wi-Fi覆盖；

2. 无线网络用于承载医院内部的业务系统通讯；

3. 无线设备需支持802.11b/g/n；

4. 无线设备应易于集中管理；

二、 无线网络拓扑图

三、 无线设备的选择

本案中推荐使用德国Astaro网络安全公司的Wi-Fi AP设备——AP30

AP-30的主要特点：

· 支持802.11 b/g/n，******传输速率300Mbps

· 支持最多8组 SSID设置，并可隐含SSID

· 支持WPA/WPA2

o WPA Personal (WPA-PSK 采用 TKIP 或 AES)

o WPA Enterprise (WPA-EAP 采用 TKIP)

· 支持WEP，加密强度64/128位

· 支持802.1x 认证

· 支持PoE

· 支持二层转发模式、三层路由模式

· 自动寻找网络中ASG设备

四、 多功能防火墙即无线控制器的选择

本案中推荐使用德国Astaro网络安全公司的多功能防火墙——ASG 425，作为无线控制器，同时又可完成网络防火墙的功能。

ASG 425的主要特点：

· 支持Astaro的无线AP接入集中管理，即无线控制器角色

o 支持对AP设备的策略分发

o 支持无线客户端检索管理

o 支持AP状态监控

o 支持IP地址与MAC地址捆绑

o 支持DHCP分配IP地址

· 专业的状态检测包过滤防火墙功能

· 支持基于IP地址、通讯端口的访问策略设计

· 支持基于时间的策略管理

本案中采用的ASG 425即是无线网络中的无线控制器，同时也是无线网络的核心安全设备，完成保障安全访问的角色。

五、 Astaro无线网络的特点

医院的业务系统可以通过Astaro的无线网络进行安全地数据传输。

多SSID设计

利用多SSID设计的特点，可以针对业务系统的需要，为每个业务系统设计一个对应的SSID。例如，入院患者二维条码识别系统使用专有的SSID，并为其设计专用的加密方法及密钥，保证仅属于此系统的设备才能够接入此SSID，从而得到与此系统对应的IP地址。得到了特定的IP地址，就可以利用ASG 425的安全访问控制机制来控制这些IP地址对相应的后台服务器进行通讯访问。这样就做到了接入安全与访问安全。

漫游

由于我们采用ASG 425作为统一的无线控制器，将全部AP都汇聚到中心的ASG 425设备。这样就可以实现无线漫游。例如，医生查房时，利用移动终端设备接入专用的SSID，随时查询患者信息；当医生进入其他病区时，移动终端设备会自动接入同样名称的SSID，而不是搜索新的SSID并要求使用者提供接入密码；ASG 425可以确保这台移动终端设备可以获得的IP地址不变。这样的漫游设计可以极大地方便使用者对移动终端的操作，最终提高业务效率。

安全传输

在无线网络接入中，可以采用IP和MAC捆绑的方法，对一些固定的接入设备进行捆绑，这样可以禁止一些外来的、未经许可的无线设备加入到无线网络中，这也是提高无线网络接入安全的方法之一。

Wi-Fi网络作为民用网络，其在信号传输过程中存在不安全性。Astaro公司为了提高Wi-Fi网络中数据传输的安全性，支持WPA/WPA2、WEP加密，在无线信号传递隧道上对数据进行强加密，增加破译难度。

集中管理

在部署多台AP的环境中对AP的管理是管理员最为关注的方便。传统的AP提供基于Web的管理界面，要求管理员登录到设备上进行单台管理。在多台AP的环境中，管理成本提高，同时不宜保证整体AP的策略一致。

Astaro的AP设备具有可集中管理的特性，AP自身没有配置界面，需要通过一台Astaro的多功能防火墙完成无线管理器的全部功能。

AP在加电后会自动在网络中探测可用的ASG设备，当ASG接受一台AP后，ASG所设计的SSID被分发到AP上去使用，同时，这些SSID作为ASG的一组逻辑端口使用。这样，在ASG上就可以对不同SSID的无线接入用户实施专业防火墙的安全访问策略控制，以控制用户对内部网络的使用。

六、 方案总结

本案中，以Astaro的多功能防火墙ASG 425作为核心设备，无线接入点使用Astaro的AP 30。AP 30负责完成各区域Wi-Fi设备的接入；ASG 425负责完成对无线网络的安全管理，包括

· 无线接入策略的分发，如SSID、加密方式、运行模式等；

· 无线网络IP地址的设计与分发管理；

· 无线网络用户对内部网络资源的访问控制策略管理；

· 对AP 30的固件升级管理；

七、 设备清单