Aruba零售行业
远程移动无线网络解决方案
2010-03
Document Control
Revision History
目录
Document Control (1)
1.概述 (2)
1.1现状分析 (2)
1.2建设目标 (3)
2.Aruba零售业远程移动无线组网设计 (5)
2.1Aruba远程移动接入技术介绍 (6)
3.Aruba零售业远程移动无线应用特点 (9)
3.1仓储和库存管理应用 (9)
3.2无线POS业务应用 (9)
3.3无线视频监控应用 (10)
3.4VoWiFi 电话语音服务应用 (11)
4.Aruba零售业远程移动无线功能设计 (12)
4.1.零售门店设备接入认证设计 (12)
4.2.零售门店无线设备管理设计 (12)
4.3.零售行业移动终端管理系统(MDM) (13)
4.4.零售门店基于应用的权限设计 (15)
4.5.零售门店安全设计 (15)
4.4.1.端到端的数据加密 (15)
4.4.2.无线接入的病毒防护 (17)
4.4.3.符合国际信用卡行业PCI标准 (17)
4.6.零售门店无线设备部署设计 (19)
4.7.集中化统一管理 (20)
5.Aruba 零售业远程移动解决方案优势 (22)
5.1终端设备统一管理 (22)
5.2方便简单的维护方式 (22)
5.3便捷的部署方式 (22)
5.4无需专有线路 (22)
5.5高性价比和投资保护 (22)
5.6集中管理的安全性 (23)
6.Aruba零售行业成功案例 (24)
7.产品介绍 (25)
1.概述
计算机网络技术发展至今,已经达到了一个相当完满的境地,为商业零售业的解决方案也不断地推陈出新并日趋完善。商业POS系统,库存盘点系统,MIS系统为商家提供了丰富的经营管理,预测分析的数据。但是尽管如此,对于大型零售企业而言,随着客流量的不断增加,商品的流通越来越快,POS系统或MIS系统中经常用到的日结,月结等功能无法满足数据的实时性要求,使得企业管理者无法在第一时间获得各类商品的销售、存货的入库和上架等关键数据。
由于传统有线网络固有的缺陷,无法满足移动环境下的零售企业对应用实时性的要求,无线计算机通讯网络的解决方案开始为越来越多的商家所关注。无线网络通讯技术在解决了操作人员的流动性问题的同时,实现了数据的实时传输。
但是,无线网络通信技术在提供移动性的同时也带来了安全性隐患。由于无线网络是一个相对开放的网络系统,在AP的信号覆盖范围内,任何一个移动终端都可以捕获到无线信号,并通过对无线信号进行解调制运算还原出所承载的商业数据,因此任意一个终端,不论是合法的还是非法的,也不论其位于企业围墙内部还是围墙外部,都有可能接受到AP覆盖范围内的无线信号,并截获相关信息,导致企业商业机密、甚至顾客信用卡数据等私密信息外泄,为企业带来难以估测的商业风险。
此外,由于零售企业往往采用连锁、加盟等方式进行扩张,因此无线局域网需要具有优异的无缝扩展特性,以及适合各种单店规模的组网特性,并提供中心化的网络管理和安全策略部署,以简化网络部署和维护工作,降低系统运营成本。
1.1现状分析
1.昂贵的部署投入
XX在全国有800多家的连锁门店,门店和总部直接经常有业务往来,盲目的设
备采购将会导致投资浪费,除此之外如果为每家门店申请专线,那么又是一笔数目
不小的资金投入。
2.连锁门店设备缺乏有效的网络安全接入控制
?大多数远程分支门店的网络安全控制主要依靠网络中心的防火墙实现,而对各分支下属设备的网络接入缺乏有效的手段进行安全控制
?目前的网络安全策略完全基于网络层信息,缺乏基于用户身份的安全策略控制
?各分支网点IP网络需独立规划,不利于总部统一管理,无法实现移动办公
3.连锁门店或分支办事处缺乏远程办公解决方案
由于业务发展需要,XX以每年xx家的速度发展连锁店。这些连锁店需要有支持多应用并能提供安全便捷接入的无线网络为客户提供服务。同时能够采用集中统
一的手段管理这些设备。
因此用户需要一种新的网络安全接入控制和移动无线接入解决方案。该网络安全接入控制和移动无线接入解决方案必须能够充分满足如下建设需求:
1、采用国际标准技术体系。
2、充分利用现有网络结构与资源,不单独组网。并且不对现有网络结构以及设备配置
做任何改动变化,新建的系统不对现有网络产生任何影响。
3、采用集中控管技术,集中统一管理支行下属的终端设备。
4、系统必须具有高可用性设计,保证在设备单点故障条件下能够无缝自愈,保障业务
的连续性。
5、系统必须能够支持多种灵活的用户认证方式,并且能结合现有网络认证系统协同工
作。
6、系统必须能够灵活支持各种无线认证加密技术标准,能够为不同种类、不同性能的
终端设备提供安全的的无线连接。
7、系统要能够方便和灵活地调整与扩展,充分考虑投资保护。
1.2建设目标
●实现连锁门店,远程分支办事处灵活、快速部署无线网络
●在安全的无线平台上为用户提供多业务的应用,符合国际PCI标准
●远程终端设备由总部集中认证、统一管理,确保只有合法设备接入网络。
●网络安全策略基于用户身份角色,而非网络层信息。
●实现全网移动办公,基于用户身份的策略跟随
●实现基于用户的带宽管理,防止个别用户异常流量过度占用网络带宽
2.Aruba零售业远程移动无线组网设计
网络中心配置1台ARUBA 6000无线控制器作为核心控制器,统一管理全网的移动办公用户接入安全策略控制,包括总部、零售门店、远程移动办公用户。并实现冗余备份高可用性设计。ARUBA 6000控制器通过千兆以太网接口直接连接网络核心交换机。ARUBA 6000无线控制器最多支持8192颗远程接入无线接入点,最高可以提供80 Gbps的数据处理能力,完全可以满足。
在中小连锁门店,可以采用ARUBA独有的Remote AP解决方案(RAP),实现安全的远程移动接入。ARUBA RAP可以随时随地的通过上联链路和总部核心无线控制器建立IP-Sec隧道,保证用户数据安全的传输。值得一提的是ARUBA RAP支持3G链路的上联,即使在没有线路资源的连锁门店,RAP可以保证无线网络随时跟随着用户。
在XX大型的连锁门店,可以采用ARUBA远程移动性无线控制器,门店无线控制器可以和总部核心无线控制器建立Loca-Master关系,这时总部Master控制器会将所有无线策略统一下发到门店无线控制器上,门店Local无线控制器和下联AP受总部无线控制器统一管理。
采用上述网络架构,不论总部、零售门店、还是远程移动办公用户均由总部的ARUBA 6000控制器统一管理用户安全接入策略,所有的无线网络设备由ARUBA Airwave 专业
网络管理软件对所有设备进行统一管理,可以根据用户需要生成各种报表进行数据分析,也可以实时监控无线设备和无线客户端。
这种组网方式简易灵活并方便扩容。未来当无线局域网规模需要扩容而增加AP数量时,ARUBA 6000控制器可以提供充分的可扩展性。各连锁门店的Aruba RAP负责担任本地
策略检查点的角色,根据总部统一制定的安全接入策略控制分支机构本地用户的安全接入和流量转发。
2.1Aruba远程移动接入技术介绍
Aruba RAP(远程无线接入点)系列是Aruba独有的技术,是Aruba VBN(虚拟化企业分支网络)解决方案中的一个组成部分。与其他的厂商的区别在于,Aruba VBN解决方案致力于为企业用户在远程接入的环境下,为客户提供一个高性价比、高安全、易部署的无线整体解决方案。
●Aruba RAP远程移动门店接入方式介绍
Aruba RAP可以在世界上任何一个有网络接入的地方,安装在每个零售门店的RAP可以通过互联网和位于公司总部的Aruba无线控制器建立IPsec隧道,Aruba RAP支持LAN、DSL、
3G EVDO/GSM等几种方式进行互联网的上联。IPsec隧道建立成功后,Aruba 无线控制器进行判断,可以将不同的安全策略和无线配置下发到不同Aruba RAP上,用户通过Aruba RAP 可以使用无线或者有线的方式接入网络,并享有各自的权限配置。每个用户根据由总部Aruba无线控制器分发的权限进行各种的数据应用。
●Aruba RAP远程移动门店接入的应用介绍
首先Aruba RAP可以为用户提供无线和有线两种接入方式的选择,通过Aruba RAP用户可以将射频扫描终端、wifi电话、无线pos机、有线IP电话、台式机等各种设备接入网络。无论用户选择哪种接入方式Aruba 无线解决方案都可以为用户提供端到端的数据加密,同时Aruba RAP会根据不同类型的用户分发不同的权限和优先级,保证高优先级应用的服务质量。
Aruba RAP可以工作在tunnel、bridge、split-tunnel等几种工作模式。正常情况下Aruba RAP会工作在tunnel模式下和Aruba 无线控制器建立IPsec tunnel。当用户有访问互联网和公司内网需求的时候,Aruba RAP可以选择为split-tunnel工作模式,将用户去往互联网的流量本地转发,不再回传到核心无线控制器。如果遇到RAP和无线控制器之间链路故障的情况下,Aruba RAP会自动转变成bridge工作模式,保证用户本地数据业务的转发。
Aruba RAP的部署和配置介绍
Aruba RAP系列全部支持“零配置”,当用户第一次通过RAP接入网络时,RAP会提示用户输入位于公司总部无线控制器的IP地址或者域名,输入完毕后RAP会自动和无线控制进行注册,注册完毕后用户就可以正常使用网络。
Aruba RAP特别适合用户没有IT人员的零售企业门店使用,不仅部署方便快捷,即使遇到故障所有的维护可以在远端的无线控制器上完成,大大减少了企业的运营维护成本。
3.Aruba零售业远程移动无线应用特点
在企业的零售门店部署无线网络时,我们考虑的是如果帮助用户将投资降到最低以及提供一套成熟的安全,易部署和便于维护的无线网络解决方案。
Aruba 虚拟化企业分支网络(VBN)无线解决方案中的RAP(远端无线接入点)系列无线接入点专门为企业零售门店所设计,在终端较多的大型连锁门店可以采用RAP-5进行部署,而小型连锁门店和配送中心可以根据无线接入用户数选择RAP-2,所有的RAP无线接入点系列都可以通过IPSec VPN与企业总部的核心无线控制器进行连接,在保证安全性的前提下实现统一的管理和配置。
3.1仓储和库存管理应用
目前大多数零售门店都是前端为商品销售区,后端为小型仓储室的一种布局方式。零售门店的雇员经常要在这两个区域之间进行商品销售和库存的盘点,无论是使用先下载数据库再盘点方式,还是直接进行盘点方式,都需要将手持扫描终端用通讯座或通讯电缆将后台服务器上的信息数据下载到手持扫描终端中,然后再进行盘点。由于受有线线路的牵制,员工很难真正做到实时移动性的操作,同时工作效率也得不到进一步的提高。
如果采用Aruba RAP解决方案就能够很好的解决这个问题,Aruba RAP-2WG远程接入点最大可以支持15个终端接入,自带的可拆卸增益天线可以良好的覆盖中小型规模的零售门店。位于公司总部的无线核心控制器可以对所有的Aruba RAP进行管理和安全认证。
部署了Aruba-RAP的零售门店,可以有效的对门店和仓储室中的货物进出以及销售情况进行实时管理,以加强库存管理的实时性和精确性,真正做到JIT,最大限度降低缺货风险和库存成本。
3.2无线POS业务应用
无线POS业务是零售行业未来发展的一种支付趋势,传统POS系统采用线缆连接各个POS 收款台,受限于传统的布线方式;通讯费用高,交易步骤冗繁,且系统建设周期长,不利于为顾客建立快速优质的刷卡环境。
Wi-Fi无线数据传输具有设备成本低、数据传输安全可靠、使用灵活方便等特点,非常适合POS机上的应用。Wi-Fi操作系统可以远程通过INTEL升级非常灵活方便,可提供广域的无线IP连接,适用于零售行业开展无线数据应用,为分散的远程接入点提供高性能的无线接入。与固定的POS系统相比,WiFi 移动POS系统可节省近40%的POS硬件成本和30%的管理成本。与此同时,商店可开发基于WiFi的物资管理系统,提高销售追踪能力和,更高效地利用销售资源。该系统也支持管理层对数据进行实时分析,可加强商业的动态管理。实时获取库存信息并接收动态销售指令,为员工提供了准确的库存和销售数据,提高了工作效率。
在有信用卡交易的无线POS业务中,Aruba完全符合国际信用卡行业PCI标准。Aruba RAP 解决方案支持支持AES-128/256,SHA-128/192/256,3DES和64 /128 位WEP,WPA1/2 WiFi 加密,支持基于用户角色的身份认证,采用端到端高强度加密的无线链路传输支付卡信息,既保障了信息的安全性,又提高了收银系统的灵活性,使得移动POS机、移动售货亭、自助终端等更加易于部署,并且便于商店灵活调整货柜的摆放方式,以配合各种商场促销活动。
3.3无线视频监控应用
24小时的零售门店便利了人们的生活,但是对于其本身的安全防范也是企业关注的重点,08年10月份上海推行了《重点单位重要部位安全技术防范系统要求第9部分:零售商业》地方标准,24小时便利店统一强制安装视频安防监控系统。对于零售企业来说安全性得到的保障,但是也提高了企业自身的成本投入。
传统视频安防监控系统除了摄像头和线缆的投入外,还需要专门配置一台电脑进行监控查看。如果采用了IP数字摄像头,无论是投资还是安装部署都会降低许多成本。
Aruba RAP-2WG支持终端无线和有线两种接入方式,在新开张的零售门店或者需要进行临时监控的场所,只需要为IP摄像头提供电源,IP摄像头就可以通过Aruba RAP正常开始工作,IP摄像头可以选择无线或者有线的方式进行接入,在后台只需要在浏览器中输入摄像头的IP地址就可以实时查看摄像头监控到的内容。
Aruba无线控制器可以对每个用户进行QoS优化和带宽限制,通过策略的分配可以使视频应用在可控的范围内正常传输,从而保障其它业务应用的正常传输。
3.4VoWiFi 电话语音服务应用
在未来的零售门店vowifi也会将是一个重点的应用,和传统的电话相比,vowifi有较强的灵活性和高性价比性,只要在门店无线覆盖的区域范围内,员工都可以使用wifi语音电话和总部进行工作上的电话沟通。使用wowifi可以更好的提高员工生产效率、降低电话资费开销。
ARUBA的无线控制器已经证明很多业界VoIP系统在ARUBA系统上成功的运行,且在最近的Network World VoWLAN测试结果被评选为市场上最卓越的产品。Aruba无线系统除了可以自动识别语音数据为其打上更高的优先级之外,还可以增加wifi电话的待机续航时间。
4.Aruba零售业远程移动无线功能设计
4.1.零售门店设备接入认证设计
为了保证接入设备的合法性和安全性,零售门店的无线网需要一个合理的设备认证方案。Aruba无线系统支持二层的MAC\802.1x\WPA\AES\TKIP动态WEP和三层的web portal IPSec、PPTP VPN多种认证和加密手段。
结合零售门店的实际情况,一般我们建议使用以下手段进行设备接入认证:
1.隐藏业务SSID
除了防止非法用户连接之外,更重要的是保障仿冒恶意的欺骗攻击。
2.手持终端使用MAC地址认证+WPA2-PSK相结合的加密认证方式
Aruba无线控制器内置用户数据库,当有手持终端接入无线网络的时候,Aruba无
线系统首先会提示用户输入WPA2-PSK加密密钥,密钥输入正确后系统会和用户数
据库中已登记的设备MAC地址进行匹配,当匹配成功后手持终端方可连入无线网
络。加密和认证相结合的方式,既保证连入设备的合法性,又可以保证设备数据传
输的安区性。
4.2.零售门店无线设备管理设计
Aruba无线系统采用的是“瘦AP”的架构,无线设备和无线用户可以在后端的无线控制器上进行统一集中化的配置管理。当大规模部署远程无线网络时,只需要在核心无线控制器上进行操作就可以应用到每一个远程无线接入点上。通过无线控制器管理人员可以实时监控目前无线系统上已经登录的所有手持终端设备和正在运行的RAP,当发现某个手持终端工作异常时,管理人员也可以远程进行排查工作或者将其添加到黑名单中。
结合Aruba Airwave网管软件可以进行更细致的管理工作,Airwave可以实时监控无线设备和无线终端的流量,并且可以保存长达2年的数据流量统计图。Airwave强大的报表功能可以跟据用户的需求生成自定义报表,可以对所有无线设备品牌,型号生产设备库存报表,也可以跟据流量生成流量排行榜报表,跟据这类报表可以帮助用户分析设备使用率,为用户的设备管理工作提供强大的辅助功能。
4.3.零售行业移动终端管理系统(MDM)
大量投入门店使用的手持终端是否在正常使用,使用的状况又如何,这在传统的无线网络中是无法做到很好的统计的,经常导致用户的重复投资。Aruba Airwave 网管软件可以帮助用户有效的解决这个问题。
Airwave MDM功能带来单一,易于使用的管理控制台关键设备的信息。您的员工可以查明问题更快,从客户端到基础设施使整个系统工作的更有效率,。您还可以跟踪移动资产价值更容易,帮助您提高利用率和消除重复购买或支付那些不再使用的设备
移动资产跟踪功能
?在网络上提供所有无线设备的单一视图
?为所有您的设备基于容量、硬件组件、制造商或者型号来分组,分类,和过滤
?帮助您记录可贵的流动财产(从扫描器到移动手持设备),以便您能增加使用率和节约多余的购买
?在容量规划提供帮助,让您能有规划来采购你实际的需求
?可以让你创建自定义的故障排除支持报告,资产管理和其他工作
无缝集成Airwave管理平台
?自动发现连接在无线网络上的设备
?IT管理人员能搜寻用户根据用户名然后从相同接口访问设备细节详细信息来诊断网络问题。
可管理Windows平台的设备
?支持Windows Mobile?, Windows CE?, and Windows XP?
?作为一个运行在用户端设备非常轻便的服务
?提供充分的诊断能力
?显示全面详细的设备
?支持开启远程控制来解决问题
?支持开启远程冷热重新启动
?支持推送更新包(.MSI, .CAB, or .EXE) .
4.4.零售门店基于应用的权限设计
传统的身份验证大多是基于整个AP或者基于用户的IP地址、SSID、VLAN等几种方式,Aruba特有的基于用户角色的身份验证可以根据不同类型的用户分配不同权限的策略。
无线网络有别于有线网络,一个无线接入点需要为有不同应用的用户提供无线接入服务。在大多零售门店的无线应用除了手持终端扫描需要无线网络,可能还有互联网访问、无线pos、vowifi、无线监控等各种应用,Aruba无线系统会为需要认证的用户,根据他的用户名分配不同的角色,这个角色里就包含了他所拥有的权限。所以无论这些用户身在何处,是不是关联同一个SSID、是不是在同一个Vlan里、是不是获得过同样的IP地址,Aruba无线系统都可以为每一个用户分配不同的角色。
比如,我们可以为射频扫描终端分配一个”scan”角色,这个角色只可以访问条形码数据库,别的应用是无法访问的。当无线视频摄像头接入无线网络后,可以为他分配一个”video”角色,为了不占用过多的网络资源,这个角色的带宽是受到限制的。
4.5.零售门店安全设计
4.4.1.端到端的数据加密
Aruba一直注重用户数据传输的安区性,即使是借助于互联网传输的Aruba RAP解决方案,同样可以做到用户数据端到端的数据加密。在无线侧用户的数据可以通过
WEP/WPA-PSK/WPA2-PSK等几种加密方式对数据进行加密,当数据传输到RAP处,RAP 不会进行解密操作,而是将用户数据通过安全的隧道传递到总部的无线控制器进行处理,所有的解密操作全部由无线控制器进行统一处理。
Aruba无线交换系统提供业界独有的多层次的无线安全来保护无线资源、数据、网络和用户。配以完善的射频监控技术,获得专利的分类引擎让管理员可以通过自动检测非授权用户、抑制非法AP 和保证用户不会连接到非法AP 等方法来保护无线资源。链路层的安全包括支持WEP、动态WEP、TKIP(WPA 1.0)和AES 协议以保护用户数据安全。基于802.1x 认证与标准的认证机制如RADIUS、LDAP 和Active Directory 一起,并结合链路层的加密来保护用户的隐私。并可在作802.1x加密认证的同时,对用户终端设备首先进行认证,这样设备+用户认证的方式,极大提高了网络的安全和可靠度。同时,Aruba的无线控制器也可以终结IPSEC,PPTP,L2TP等多种VPN 隧道。
集成的防火墙让管理员可以创建并执行跟随用户的状态防火墙。
1. 射频安全包括集成的80
2.11 IDS 功能,以抵御已知的无线攻击
2. 自动非法AP 检测和隔离
3. 独特的自动基于策略的对AP 和主机的分类
4. L2 安全:支持802.1x\WPA\AES\TK动态WEP
5. L3 安全:支持IPSec、PPTP VPN
6. 基于身份的状态防火墙能够实现基于用户的安全和控制
7. 基于用户角色的Vlan 和基于用户的策略控制能够实现用户和数据的区分
8. 集成的Web 认证,实现安全的访客认证接入
Aruba无线系统和其它厂家在无线接
入的认证和加密上最大的区别是前者不是通
过AP,而是在Aruba无线控制器上实现。由
于Aruba的AP是不储存任何网络配置(IP
地址除外)和安全设置,因此获得和接入进
Aruba 无线接入点,黑客也不会拿到无线网
的网络和安全配置参数。一个破坏者通过其
他的手段(偷盗和窃取)攻破了边缘的接入网络,他也无法破译Aruba 无线网络建立起的加密通道,无法窃取网络的真实信息。
4.4.2.无线接入的病毒防护
Aruba无线系统针对无线终端的病毒防护分为两个层面,一、无线终端的准入检查;
二、对无线终端发出数据进行有效的检查和监控。
无线终端病毒防护的第一步是准入检查,Aruba的无线网络系统既可以提供自己的准入控制功能,又可以与第三方的准入控制系统兼容,并实现联动。当无线终端连接到Aruba 无线系统中,试图访问网络,在用户认证之后,首先通过从准入控制系统下载的或预装的准入控制客户端对无线终端的完整性进行检查,如操作系统打补丁的情况、安装防病毒软件的情况、以及防病毒定义码升级的情况等。如果无线终端不能通过该完整性检查,可以设定策略禁止其访问网络,也可设置成将无线用户重定向到一台修复服务器,通过安装系统补丁、防病毒软件和升级病毒定义码等操作对终端完整性进行修复,直到满足系统制定的安全策略以后,该无线终端才可以通过认证而进入网络。
当无线终端通过了准入检查,但是如何对无线终端发出数据进行有效的检查和监控是更加进一步的病毒防护手段。Aruba公司和可以和主流的网络准入控制厂商合作,在Aruba 无线控制器上可以设定策略,将某些用户,以及某些可能沾染病毒的数据,通过Aruba无线控制器重定向到第三方的防病毒墙上进行防病毒检查,检查完成后,才允许通过,否则会将数据丢弃。并且,Aruba无线控制器还可以提供API接口,允许第三方的防毒墙通过该接口与Aruba无线控制器进行联动,修改染毒终端的网络访问权限,甚至将该终端加入网络黑名单,从无线网络中断开。
4.4.3.符合国际信用卡行业PCI标准
考虑日后,零售门店可能会使用无线pos业务,在有信用卡数据传输的无线网络中,符合PCI标准的无线系统能够带给无线用户强健的网络安全保障。,一个足够安全的无线网络必须能够满足PCI标准类型3的各项要求:
●11.1 至少每季度使用一次无线分析仪或部署可识别所有在用无线设备的无线
IDS/IPS以测试无线访问点是否存在
●9.1.3 限制对无线访问点、网关和手持式设备的物理访问。
● 6.1 确保所有系统组件和软件都安装了最新的供应商提供的安全补丁。在发布的一个月以内安装关键的安全补丁
● 4.1.1.确保传输持卡人数据或连接到持卡人数据环境的无线网络使用了行业最优方法(例如IEEE 802.11i)对认证和传输实施了强效机密。
对于新的无线实施,自2009年3月31日起禁止实施WEP。
对于当前的无线实施,自2010年6月30日起禁止使用WEP。
● 2.2制定所有系统组件的配置标准。确保这些标准解决了所有已知的安全漏洞,并且符合行业接受的系统安全标准。
● 2.1.1 对于连接到持卡人数据环境或传输持卡人数据的无线环境,更改无线供应商默认项,包括但不局限于默认无线加密密钥、密码和SNMP机构字串。确保无线设备安全设置已启用,采用了严格的加密技术进行认证和传输。
● 1.2.3 在任何无线网络和持卡人数据环境之间安装外围防火墙,并且将这些防火墙配置为禁止或控制(如果业务目的需要这样的流量)从无线环境流入持卡人数据环境的任何流量。
● 1.1.2 当前网络图表,带有至持卡人数据的所有连接,包括所有无线网络
●10 跟踪和监控访问网络资源和持卡人数据的所有操作。
●7.2 为用户系统组件建立访问控制系统,根据用户需要知道的数据限制访问,并且设置为“禁止所有”,除非特别允许。此访问控制器系统必须包含以下各项:覆盖所有的系统组件
根据工作划分和职能给个人分配权限
默认的“禁止所有”设置
Aruba无线网络解决方案通过具有高性价比的方式实现PCI法规,Aruba能够为用户提供综合性的解决方案,用户不需要为了实现PCI法规去购买众多的网络技术,Aruba简化了无线网络安全任务,Aruba还提供了一系列解决方案旨在适应不同的现有或传统无线网络的安全控制要求,防止了大规模升级的需要。
4.6.零售门店无线设备部署设计
采用了Aruba RAP解决方案的零售远程门店,可以实现对无线用户和设备集中化的统一管理、基于用户的安全策略设置、实时的热区图等所有的功能,IT经理可以像在公司总部一样管理远程门店的无线控制器和无线接入点,所有的配置都是集中统一下发的,所有的维护与操作都可以在公司总部完成。
Aruba RAP支持“zero touch”,远程分支连锁店的用户拿到RAP只要打开浏览器,在弹出的对话框中输入公司总部无线控制器的IP地址或者域名,RAP就会自动与总部的无线控制器注册。