一、 七层立体安全防护

管理平台、统一监管

3-7层安全防护

ARP攻击、MAC/IP欺骗、应用层攻击方案、用户流量行为审计

终端准入、权限可控

无线接入安全

7X24频谱监控，无线安全加密（WPA2/WAPI），非法AP检测，WIPS

建立空口加密，保障链路层安全

由于WLAN的开放式访问方式，非法用户可以未经授权而擅自使用网络资源，不仅会占用宝贵的无线信道资源，增加带宽费用，降低内部用户的服务质量，更重要的是会成为金融的安全泄密点，因此利用WLAN进行通信必须具有较高的通信保密能力，目前有多种技术及手段可保证WLAN的安全管理，首先就是建立无线的空口加密机制。主要的方法为对数据报文进行加密，保证只有特定的设备可以对接收到的报文成功解密，其他的设备虽然可以接收到数据报文，但是由于没有对应的密钥，无法对数据报文解密，从而实现WLAN数据的安全性保护。

现阶段常用的WLAN空口加密标准有WEP（Wired Equivalent Privacy，有线等效保密）、WPA（Wi-Fi Protected Access，Wi-Fi网络安全存取）、IEEE 802.11i（WPA2）、WAPI（Wireless LAN Authentication and Privacy Infrastructure，无线局域网鉴别和保密基础结构，中国WLAN安全强制标准）等。鉴于金融业所需的高安全性，建议使用更健壮的WPA、802.11i或WAPI等安全体系，保障WLAN网络的链路层安全。只要用户在首次选用WALN网络时，在AP接入模式上选择对应的加密算法即可，后续应用中对用户是透明的，与其他商业环境使用开放、共享的无线网络感受一样，既方便又能保障空口安全。

开通企业接入策略，保障网络层安全

空口加密只是WLAN安全管理的第一步，只是保证了接入无线网络的空口安全，由于金融客户采用WLAN主要进行办公及开展Wi-Fi Portal推送等业务，必须要和生产网隔离开来，因此有必要对WLAN实施企业级的接入控制策略，对每个接入的终端进行认证鉴权，控制其可达网络的范围。

对终端用户实施接入控制策略包含三方面的手段：

热点用户隔离

通过限制相同SSID下的接入用户的互访，可以保证终端用户无法在AP接入点上做互访，而不同SSID下的用户所对应的是不同的VLAN，因此所有的数据流量必须上行到AC，由AC控制器统一进行转发、交换和策略控制，从而防止信息进行本地交换而造成网络性能下降或病毒的泛滥等安全事件。

用户接入认证

通过用户接入认证实现对接入用户的身份认证，为网络服务提供安全保护。常用的无线接入认证主要有802.1X接入认证、MAC接入认证以及有线网络常用的Portal认证和PPPoE认证等。

动态控制用户权限

接入认证只解决了用户的身份验证问题，而无法对不同身份的用户提供不同等级的服务和访问权限，通过和Radius策略服务器配合，将带宽、VLAN、ACL、优先级等参数动态下发给终端用户，对于不同的用户群和业务可以控制其访问网络的权限，限制网络资源的使用，通过VLAN和优先级来标识用户和业务，并做到业务隔离。

对于内部办公的用户，必要时可部署终端准入控制（EAD）解决方案，通过增强的Radius策略服务器与无线客户端、WLAN设备和第三方软件配合，对接入WLAN网络的用户终端强制实施企业安全策略，比如是否正确安装杀毒软件、版本是否正确，操作系统是否安装了最新的补丁，是否安装了一些违规软件等，严格控制终端用户的网络使用行为，加强WLAN网络的主动防御能力。

另外，再配合Rogue AP检测功能，AC无线控制器可以识别并屏蔽所有非法接入的AP设备，从而确保了无线网络私搭乱建的威胁。通过以上方案，WLAN网络可以保证一个合法的用户被限定到一个唯一的网络访问路径中，并在这个网络中只能访问到限定的网络资源，同时又不会受到外界的侵犯，保证了WLAN网络在金融行业应用的端到端安全。但是金融机构是一个分布广、人员多的大型企业，WLAN规模部署不同于单点建设，安全策略如何便捷、快速、统一的部署变得更为重要，否则即使再安全的方案，也难免存在漏洞。

因此，近两年不仅仅是WLAN网络，甚至是整个IT的运维管理机制已和安全问题受到同等的关注。WLAN网络"三分靠建、七分靠管"，要充分发挥WLAN的作用，使WLAN能够提供高效、可靠的业务，功能强大的网络管理应成为WLAN的重要组成部分，无线网络直接面对最终用户，对管理系统稳定性、实时性、有效性要求都较高。

二、 可靠网络、保障业务永续运营

金融业务对于可靠性的要求远大于其他行业，任何一次网络中断都可能造成巨大损失。从而要求了金融业务的永续性。而无线网络部署模式从FAT模式到FIT模式的转变，固然带来了管理运维简化，三层漫游等便利，也使得AP高度集中，由无线控制器统一管理，一旦发生故障将导致大部分无线网络瘫痪，虽然可以开启AP本地转发功能，但此时无线网络仅承担转发功能，其他功能的缺失将造成网络安全隐患。

为了解决此弊端，H3C无线控制器可实现 DHCP,PORTAL热备，当无线控制发生故障时，备份无线控制器将第一时间感知到，并同步复制AP信息，用户信息，当备份控制器将直接接管无线网络后，由于主备倒换时间非常短，用户侧无感知，也不需要重新认证，即可继续使用无线网络，以保障业务永续运行。

三、 灵活接入，智能办公

智能终端的大量普及，使其与我们生活已然密不可分，金融行业也不例外；在网点我们会见到各种各样的体验机，大堂经理们会拿着IPAD进行产品演示；无线的便捷，快速，灵活已经成为我们生活办公的一部分，但种类繁多的终端势必会使得网络更加混乱，而终端本身的不成熟，不可靠将造成整网的安全隐患。

为了既满足无线的灵活快捷，又符合金融行业对于安全的高要求，H3C推出了BYOD解决方案：

终端识别技术

为了针对不同种类的终端实现资产管理，安全策略下发，必备条件便是对终端进行识别，以区分设备厂商、产品型号、操作系统等信息；H3C可以通过对终端设备的MAC，HTTP、DHCP等信息进行精确解析，从而进行区分。

终端合规检查

在智能终端上安装H3C客户端以后，可针对终端进行防病毒软件、防间谍软件管理；Android智能终端安全隐患较多，可对智能终端进行安全策略检查，不符合安全要求的智能终端拒绝其接入企业网络：可进行APP（白名单/黑名单）管理，通信功能管理（蓝牙、GPS、Wi-Fi等）

灵活授权

H3C可根据接入用户身份、所用终端类别、用户所连SSID、用户所在区域、用户继入时间等元素进行灵活组合以制定安全策略。

四、 规范无线业务管理，简单有效

WLAN网络实际上包含数据交换、转发和Wi-Fi射频两部分，既具有有线网络的共性，又具有无线的特性，因此运维管理系统需要能够覆盖有线和无线，实现一体化管理。通过统一的规划、监控、控制AC、PoE交换机、AP、终端STA等网络资源的使用和各种网络活动，能够优化网络性能，降低维护成本，提高无线的服务质量。

有线无线一体化管理

当前主流的WLAN组网一般为AC + PoE 交换机 + Fit AP方案，对管理员来说，除了需要了解无线设备，还需要了解给AP供电的PoE交换机，这就要求在一张拓扑视图内能够画出从AP到交换机甚至是路由器到托管的AC的物理路径，一旦网络出现状况，管理员能够迅速定位究竟是无线设备还是有线设备出现问题。

如果AP是使用PoE供电的方式，管理员可以在一体化的拓扑内对AP上联的设备进行查询并判断，通过对PoE端口的操作实现对AP的断电、上电；对AP按计划周期性启动和断电，比如在凌晨时段自动关闭设备或射频口，这样既节能减排、降低辐射同时充分提高了管理员的运维效率。

另外，通过无线射频覆盖和物理位置拓扑的集合，可以展现一个房间或楼层目前的无线信号覆盖情况，帮助用户定位信号过弱，上网速度慢或无法上网问题，通过调整AP的部署位置以及发射功率、信道等参数配置，实现最优、最经济的无线的信号覆盖。如图右侧显示了障碍物的详细情况，便于精准掌握的射频信号的衰减,右侧图显示了按信号强度查看射频的真实覆盖效果。

无线RF热图覆盖

告警管理

除了设备宕机、超过性能阈值等常见告警外，为了更进一步的定位WLAN网络问题，管理系统应该充分考虑到WLAN设备相关的特性例如提供Radio信道变更、终端STA关联失败、非法设备、Ad-hoc设备等WLAN特有业务告警，真正实现WLAN网络的无线管理。

当管理系统收到告警后会根据告警级别改变拓扑节点颜色（也可根据用户需求定制），还可将告警以email、短信、SNMP Trap等方式转发给管理员，方便管理员在第一时间了解WLAN网络的故障。

性能管理

WLAN技术从802.11b一路走到802.11n，带宽得到了质的飞跃。WLAN逐渐从备份线路转变为承载线路，其资源利用情况逐渐成为用户关注点。以H3C WLAN管理系统为例，管理员可以通过WSM无线管理平台实时了解无线网络中的终端STA在线趋势、宽带趋势、终端STA最多的热点TopN、终端STA最多的SSID TopN等指标并给出形象的图标，从而使管理员能够及时掌握网络的性能负载。