BLUESOCKET公司 有意需求本公司产品,或需要相关资料的请与我联系 任先生 13774410516 MSN:gprs_ren@hotmail.com QQ:908340860 「无线安全控制器」扮演无线局域网络(WLAN)及有线局域网络(LAN)之间防火墙的角色,而且不需更改原有有线局域网络的硬件或是客户端软件。额外加入的无线安全控制器可以提供在线错误回复(hot failover)的功能,还有整个企业的扩充性与子网络的行动功能。 BLUESOCKET无线控制器:产品广泛用于,学校,政府,无线城市,大规模的无线覆盖网络当中 普遍的WLAN认证 可采用针对每个网络用户的身份认证进行控制和管理,预防未经认证的使用者企图侵入内部网络,防止非法使用网络资源或破坏内部网络重要服务器。对此BlueSocket无线安全网关可提供灵活的认证方式的选择: BlueSocket无线安全网关可利用客户端用户的身份(名称/密码)的组合或是数字凭证(Digital Certificates)的方式,通过无线安全网关内置的本地(local)认证数据库或是集中的通过局域网内架设的RADIUS、LDAP、NT Domain server(NT网域服务器),甚至是通过Windows AD(Active Directories)来进行严格认证。另外,使用者可以利用BlueSocket独特的「透传式Windows网域登录」(Transparent Windows Domain Login),登录到Windows Domain之后直接进行认证,毫无隙缝的登录。 当选用以基于浏览器(Browser)方式认证的时候,无线客户端用户必须在浏览器(Browser)的认证界面内输入使用者账号及密码进行身份认证,而在客户端用户PC电脑上是不必安装任何软件的。即无线客户端用户以浏览器登入方式(browser-based login)进行身份认证的机制,该机制须提供使用者输入账号及密码,并与内置的本地(local)认证数据库或是后台局域网内的Radius服务器(由管理人员以 IP地址任意指定)内的用户账号密码数据库比对正确后,才允许访问内部网络或者是互联网。该机制可同时针对特定无线客户端用户,以其计算机网卡代替账号密码的管理功能( 即MAC-based authentication)。 客户端用户直接登录认证浏览器或被重定向到到指定的认证页面时,登录窗口界面(HTML login page)可由管理人员定制。BlueSocket支持定制的HTML登录页,让网管可以定做以自身形象的页面,并且能够加载第 三厂商的SSL认证。 如果在AP端需要通过802.1x (WPA)认证的方式,BlueSocket也以透通的方式和登录流程相配合,让WLAN使用者可以适当的存取网络。 我们的无线局域网络设计方案是可以兼容在互联网出口上第三方认证/计费网关的.可实现无线网络用户登录时一次性认证。 身份的存取控制与政策执行 BlueSocket独特的身份管理提供了相当的便利,可以给不同类型的使用者不同的权限。BlueSocket无线安全网关让使用者权限与组织的架构相配合。IT管理员可以定义目的地(例如财务服务器、路由器,或者是IP地址子网络)、服务(例如HTTP、FTP、POP3)、使用者位置、时间/日期时间表,以及可用的频宽,来控制那个使用者可以存取那些网络上的资源。多重服务与目的地群组(destination group)的方法,简化了政策的建立,并降低大型网络的管理成本与复杂度。 入侵侦测与蠕虫防护 当受到像无线DOS攻击时,大多用户就会误以为是无线电波的信号受干扰或AP出现不稳定情况。这些攻击在HotSpot会导致无线用户断线,但网络管理员是很难发现的,用户则错误以为是网络问题,间接影响无线网络的使用。一般单纯依赖AP是不可能侦测出无线入侵的攻击,因为攻击数据包的记认须依靠AP来识别,但AP本质上就不是设计来辨别数据包的格式。 面对无线网络的终端有可能受到各种形式的攻击:迅速蔓延的蠕虫病毒、渗透式攻击、木马、间谍软件等。ICSA安全联盟认证过的BlueSocket无线安全交换机已内置入侵检测系统和防病毒,及蠕虫攻的击安全保护机制。如packet flooding,Noise Generators,Internet Worms / Virus,Zero-day Attacks等。 具防火墙特性的功能支持可对网络封包进行严密的存取控制。设备本身可提供适时的联机管理控制;该机制包括针对特定无线客户锻用户访问的限制,可对其访问的网络目的IP地址网段(IP address subnet)、可使用的网络服务(包括HTTP,POP3等)、以及可联网的时间,由网管人员于远程进行设定与修改。 为了使网络管理员能简单便利的实时的进行数据传输监控,可选购使用相配套的监控软件系统,网络管理员可以不需安装任何抓包/分析工具软件,就能够通过监测软件根据目前无线网络上的使用者的实际行为侦测出恶意程序的流量。因此能自动或让管理员定制阻断黑客及受感染使用者的网络存取。 另外,还具有日志记录及通知的保护机制。该纪录功包含事件的日期与时间, 通讯协议,源与目的IP地址,源与目的端口,信息类型与事件纪录;所有在网络安全无线网关上新增、修改与删除相关操作需列入事件稽核纪录备查。 Multi-SSID和802.1Q VLAN支持 一个无线局域网内可以设置多个SSID,例如一个SSID可给老师所用而另一个可给外来的研究生专用,另一个提供临时身份使用。由于用户一般把SSID看成VLAN,所以它们都会惯性地以VLAN慨念来划分SSID。其实在一个AP范围内,不管用户连接到那一个SSID它们实制上都是在同一个802.11广播域内,因为无线电波的传输是共享。一个最简单的例子就是AP把不同的SSID名字广播,所以当无线终端在这个AP覆盖范围内启动时,它就能同时看到多个SSID。Multi-SSID的最主要用途是可让无线终端以不同的安全认证和加密方式入网。 通常无线用户/终端一般和无线访问点AP的管理地址同在一个VLAN内。现在在无线局域网上可使用多个SSID,可在BlueSocket无线安全交换机上为用户会分配到各自使用的SSID的缺省VLAN,而无线用户则可透过DHCP来获取相应的IP地址。 DHCP服务器可以是由校园网设备来提供,或是可使用BlueSocket交换机内置的DHCP服务器。 另外,通过BlueSocket的Multi-SSID功能,可提供不同域的认证功能,域名可以与SSID帮定,亦可以让用户在登陆网页时输入或选择域名。BlueSocket会把在不同域的认证请求转发到对应这域的Radius服务器处理。 增强的QoS与频宽管理 802.11是一种共享频宽的技术,因此会随着使用者数及网络流量的增加而造成频宽分配不对等问题。BlueSocket让网络管理员可以依照每个角色或个人分配频宽上限以及进出流量,藉此解决了这个问题。例如,访客可以分配28kbps的频宽上限,而员工则是2Mbps,每路语音传输32Kbps。此外,强化的QoS功能让网管人员对流量优先性有完整的控制权,同时还有以角色、协议,或服务为基础的DiffServ Marking(服务区别标记)业界标准。 适时监测和有效定位 如果选择使用RF探测器的话,当非法的AP连接宿舍楼内无线网覆盖区域内的其他空闲的以太网端口时,或有非法的无线客户端尝试连接无线网络或恶意攻击无线网络时, 我们的无线系统就可把无线覆盖区域周边无线环境在网管中心显示出来,包括所有AP,如隔壁公司的AP和设置错误的AP和未经认可而连接到局域网的AP。 高效的WoWLAN服务 随着VoIP的越来越普及(如Skype,……等),基于SIP的Wi-Fi电话也渐变为局域网/互联网上传输话音的主流。Wi-Fi电话除了可在校园网园区的不同AP之间漫游外,用户亦可在其它有网络互联的不同校园园区无线覆盖的区域或有Internet连接的地方如办公室,教室,图书室,住宅,会议中心等使用,这是一般办公室无线电话(传统的电话交换机)不能做到的。简单地说,用户可在有宽带接入的地方继续使用办公室的电话号码,不管是国内或国外。未来,可与运营商协作,可提供与校园园区以外固定电话的业务间的通话.电话通讯还对于一些经常出差的人员通过运营商的无线覆盖接入,或是通过BlueSocket远程AP接入的方式连接.VoWiFi会带来极大的方便,亦可节省长途电话费。另很多手机厂家已开始推出双模制式的手机(GSM/CDMA + Wi-Fi),用户很快就可以漫游于手机移动网和无线局域网之间。 BlueSocket的无线交换技术已经证明可以和很多业界VoIP系统兼容,且在最近的Network World VoWLAN测试结果被评选为市场上最卓越的产品。在具体实现Wi-Fi语音时要注意考虑语音的时延,AP呼叫的容量,和漫游切换时间。尤其语音的漫游,它会比一般的数据移动传输更普及,但相对的要求也较严紧,所以要在无线局域网实现语音和数据融合,就不能随意的安装一些AP,而必须是有规范的组建无线局域网网。 BlueSocket的系统可容许用户设置专有的语音SSID,把单纯是数据传输的用户和Wi-Fi手机用户分开,但亦可在单一个SSID内同时传送数据和话音,关键的重点就是怎么样保证语音传输的质量。BlueSocket内的个人防火墙可把SIP/H.323/SVP/RTP等VoIP协议数据包放在较高的优先队列,所以就可确保在数据和语音同时传送时,语音的质量不受影响。另在语音安全接入方面,BlueSocket可防止没有VoWLAN权限的用户使用无线语音,以确保网络资源能有效远用。个人状态防火墙在WiFi Voice应用起着关键性的作用,因它可确保在一个语音的SSID内其它数据不能进入,这样就可保证这SSID只供有受权的无线语音用户使用。 无缝漫游 在传统的校园无线局域网内,无线终端要跨越不同AP之间漫游是有一定的困难,因为不同AP它的无线用户IP子网可能都不是在同一个VLAN内。所以当无线终端从一个AP漫游到另一AP时,由于它们之间的缺省IP子网不同,无线终端会重新发出DHCP请求,这样的话终端的IP地址就会更新,而所有在原先AP建立的连接都会被切断。过去为了解决跨越三层的漫游,有些用户采用了Mobile IP的技术,但Mobile IP的缺点是它必须在无线终端安装软件。这是一般校园网IT管理员不愿意做的事情,因为它们就必须支持和维护用户的无线接入端。 通过BlueSocket无线交换Proxy DHCP 功能,企业就可解决了跨越不同三层IP子网的无线漫游问题。 当无线终端从一AP的IP子网漫游到另一AP的IP子网时,它重发的DHCP 请求会从这AP端接的BlueSocket转发到它的Home 无线交换机(用户从那一AP获取它的IP地址)。用户的Home 交换机会告知用户漫游到的BlueSocket交换机继续保持用户的原有的IP地址。所以仍然无线用户已漫游到另一IP子网,但它仍可以原本的IP地址继续在新的AP上入网。Proxy DHCP 的优点是它无需要求在用户终端安装任何软件就可让终端无缝的在不同IP子网之间漫游。 强大而简单好用的WLAN管理 BlueSocket无线安全网关拥有直觉而网页式的图形接口,让你很方便的集中化管理网络,加速组态设定及远程管理。网络管理员能够监管所有AP和周边的无线局域网以外,亦须可处理不同无线用户/终端的认证,入网权限,访问策略,数据加密等多种功能。BlueSocket的无线交换技术是可让校园网管通过无线交换机来集中处理所有无线接入的设置,包括上述所举的一些事项。 如果是一个规模较大的无线局域网而需要同时采用多台的无线交换机,则校园网管可通过Master Switch和Local Switch这种模式来管理无线局域网。除了一些端口配置外,其它所有无线局域网的配置可在Master交换机上设定。至于网络监控亦可透过Master交换机来查看无线局域网的所有管理信息。 与多厂牌无线AP和无线客户端的互通性 BlueSocket无线安全网关是一种开放的系统,支持多种标准,而且可以和各大厂牌的无线及有线网络架构建设兼容,无论用户使用的是哪一种类型的无线AP或是无线客户端设备(例如PDA、扫描器、平板计算机、VoWLAN手机/装置以及整合式的笔记型计算机)。由于BlueSocket无线安全网关不需要额外或专属的客户端软件,因此可以大幅简化建置并确保装置的互通性。同时在WLAN部署时,可大幅减少每台行动装置及AP相关软件安装、组态及技术支持的时间与复杂性。BlueSocket无线安全网关可支持以下标准与产品: 所有主流厂商的802.11b/a/g无线访问点(AP) 各种无线网卡(从笔记本电脑,台式电脑,以及PDA) 支持多厂牌的有线网络架构:AAA认证服务器、路由器、交换器 支持最新的标准协议(例如802.1x、WPA、802.11i、802.11e)。
|