產品線一直以UTM設備為主的SonicWALL,算是很早將無線網路控制器的功能,內建到現有設備的廠商,IT人員可透過閘道端設備的設定介面,管理散布於企業內部各處的多臺Thin AP。

該公司的TZ(不包含內建無線基地臺功能的型號)、NSA,及舊款的Pro系列等3款UTM設備皆可搭配Thin AP部署,在不需要另購授權的情況下,就能使用所有的無線網路管理功能。以TZ系列為例,它是定位在中、小企業等級的產品,因此受管的Thin AP會比較為高階的NSA系列為少。以型號最大的210來說,最多為16臺,而NSA系列最大的7500則可達到128臺的規模,至於我們這次測試的NSA 240則為16臺。另外,在Thin AP的部分,可以搭配SonicPoint,為802.11a/b/g規格的舊款Thin AP,SonicPoint-N則為802.11n等級的設備。

可搭配多款802.11n規格的Thin AP部署

這次同時送測的SonicPoint-N Dual-Band是一款3發3收天線架構的Thin AP,可以同時在2.4,及5GHz的頻帶下運作,單一頻帶最多可以傳送8組SSID。這款設備是採PoE的方式供給所需電力,企業可以將它連接在802.3af的PoE交換器,或者購買原廠的PoE模組做為搭配,

除此之外,SonicWALL繼SonicPoint-N Dual-Band後,尚推出名為SonicPoint-Ni Dual-Band及SonicPoint-Ne Dual-Band的新款Thin AP,主要的差別在於硬體規格的改進,功能方面則完全相同,其中SonicPoint-Ni Dual-Band是內建天線的機種,SonicPoint-Ne Dual-Band則是外接天線的設計,因此除了原廠隨機所附的天線之外,也能自行購買其他規格的天線做訊號的調整。

透過VLAN區隔不同SSID之間的流量

NSA 240的網路介面為9組GbE埠,其中第1、2組分別是預設的LAN及WAN埠,其餘則未指定功能,所有的GbE埠皆能視企業的需求而彈性配置。它可以透過Telnet/SSH、終端機,及網頁介面等3種方式管理無線網路。而在設備的網頁介面,與無線網路有關的設定大都放置在「SonicPoint」的項目下方。

在NSA 240設定SSID時,我們必須將各個SSID配置在不同的VLAN,透過專屬的通道傳輸流量,以便搭配UTM防火牆的功能,區隔內部員工,及訪客等不同身分使用者的無線網路封包。

而隨著Thin AP部署的架構不同,設定的方式也有所差異,在Thin AP直接連線到NSA 240的情況下,我們必須將網路埠的屬性設定為「Wireless」,也就是無線網路專用的介面,而在該埠之下,還需要新增虛擬的Subinterface介面,讓無線網路的用戶端裝置透過和所在SSID相同VLAN的虛擬介面,將封包傳送至外部網路,或者是內網的其他區域。不僅如此,這些虛擬介面也能套用UTM設備的Zone設定檔,使用IPS、防毒等功能,提供封包過濾檢測的服務。而且,不同於TZ系列,NSA系列的用戶更能利用Client AV Enforcement的端點檢查功能,禁止防毒軟體狀態未能符合規定的用戶端裝置去連接無線網路,以免惡意程式藉機流入。

但一般來說,企業內部較常見到的部署架構,是將Thin AP連接在LAN埠之下,這時則需要將虛擬介面改新增於LAN埠的下方,其他設定則完全相同。

SSID設定容易 同時提供WIDS、頻寬管理等功能

NSA 240的SSID設定相當容易,大致上分3個步驟,就能完成操作。首先,我們必須新增Virtual Access Point(VAP),也就是SSID設定的範本,輸入SSID名稱、VLAN id,及選擇是否啟用加密的功能。以NSA全系列的設備來說,最多可以新增8組VAP的範本。接著,則是建立VAP的群組,將VAP範本做分類;最後則是讓Thin AP套用所屬的VAP群組,傳送群組下方所屬的SSID設定。

當VAP範本完成新增之後,NSA 240會根據範本的設定,在防火牆自動加入對應的規則,我們可以新增或者修改規則,規範特定SSID所能存取的網路區域,進而防止訪客透過無線網路的服務,盜取企業內部的機密資料。

設定VAP範本時,我們可以設定2臺RADIUS伺服器,當第1臺故障離線時,透過802.1x驗證無線網路權限的用戶端裝置,將會改向第2臺伺服器要求檢查帳號、密碼的真實性。

而在訪客SSID的設定上,我們僅需在對應的虛擬介面啟用「User Login」的設定,就能輕易地加入網頁認證的功能,這時企業可以使用NSA 240本機的使用者帳號資料庫,或者連接RADIUS伺服器,提供驗證的服務。在本機使用者的部分,我們可以在NSA 240建立臨時的本機使用者,當帳號逾期之後(預設的有效期限為7天),就不能再繼續使用,控管訪客在未經授權的情況下,隨意連接企業的無線網路。

提供使用者存取網路之餘,NSA 240本身也有基本的無線網路IDS(WIDS)功能,根據行為分析連線是否屬於DDoS一類的惡意攻擊,也能偵測周圍環境是否有Rogue AP的存在。

另外,NSA 240也透過FairNet的功能,提供無線網路專用的頻寬管理,我們可以針對整個實體埠,乃至於其下的虛擬介面設定傳輸量的頻寬大小。這部份我們能依據需求在這臺設備上,針對上、下傳的單一方向,或者雙向的流量加以控管,讓提供重要服務的SSID享有較多的傳輸頻寬。

而RF Analysis則是透過Thin AP,來偵測各個頻道的使用狀況,做為調整設備的參考。

 

Zone設定檔

設定Zone設定檔時,需切換屬性,才會出現無線網路專用的選項。

 

頻寬管理

我們可以設定SSID所能使用的傳輸頻寬,保障重要連線的服務品質。

 

WIDS功能

NSA 240提供了WIDS的功能,用以監控無線網路的連線,及周圍的基地臺。

 

RF Analysis

該功能可以偵測各個頻道的使用狀況,以便找出能提供最佳傳輸效果的路徑。

 

產品資訊

SonicWALL NSA 240

●建議售價:129,060元

●原廠:SonicWALL

●原廠網址:www.sonicwall.com

●原廠電話:(02)2553-1036

●代理商:富揚資訊、零壹科技

●網路埠:GbE×9

●受管基地臺最大授權數:16臺

●無線網路管理功能:WIDS、RF Monitoring、RF Analysis,及FairNet等

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商。】

 


相關報導請參考「無線網路控制器採購大特輯」

 

報名台灣唯一超規格資安盛會

 

熱門新聞


Advertisement