无线网络安全技术应用方案.doc

无线网络安全技术应用方案AboveCable作为一家研究无线网络产品及应用技术的专业性公司，针对现有的无线网络安全性能进行了全面周到的分析和研究 ，在提供给您全面 、先进的无线产品和配套方案的同时 ，还为您制定了一系列的无线安全技术解决方案，从传统的WEP加密到新一代的IEEE802.11i，从MAC地址限制到IEEE802.1x安全认证技术，AboveCable全面先进的安全技术能够针对不同的应用环境提出相应的方案，无论是单一的家庭用户还是大型企业或者是运营商，都能最大程度上满足用户不同级别的安全需求 。在结合了各种安全措施和认证手段后的无线网络 ，具有强大的安全性能，能够有效地防止攻击，保护网络数据的传输安全，各种先进的加密措施保障有效数据不被非法盗取。AboveCable先进的无线网络安全技术使用户不必再为无线的安全问题而担忧，AboveCable的全套安全方案使您可以毫无顾虑地在无线网络世界畅游。无线网络安全环节分析 无线网络安全防范措施AboveCable针对无线网络的各个环节制定出了一系列安全方案，有效防止非法终端接入、虚假的AP、中途数据截取等安全问题，同时灵活地结合了 WEP、VPN、IEEE802.1x 等多种网络安全技术手段 ，进一步加强了无线网络的安全性能。完备的技术解决方案，为您构建安全的无线网络提供最大的便利。 安全防范点1：对应措施：安全防范点2：对应措施：未经授权用户的接入使用各种先进的身份认证措施，防止未经授权用户的接入由于无线信号是在空气中传播的，信号可能会传播到不希望到达的地方，在信号覆盖范围内，非法用户无需任何物理连接就可以获取无线网络的数据，因此，必须从多方面防止非法终端接入以及数据的泄漏问题。利用MAC阻止未经授权的接入每块无线网卡都拥有唯一的一个MAC 地址，为 AP 设置基于 MAC 地址的 Access Control（访问控制表），确保只有经过注册的设备才能进入网络。使用802.1x端口认证技术进行身份认证使用802.1x端口认证技术配合后台的RADIUS认证服务器，对所有接入用户的身份进行严格认证，杜绝未经授权的用户接入网络，盗用数据或进行破坏。网上邻居的攻击AboveCable HotSopt AP特有的用户隔离技术，避免网上邻居的攻击在某些场合（特别是在公共场合），用户信息的私密性显得尤为重要，AboveCable HotSopt AP提供的用户隔离技术，采用数据报文传送地址分析的方法，这种方法可以控制在无线网络覆盖区域中，网上邻居之间不安全的访问，进而避免网上邻居的攻击。AboveCable HotSopt AP 提供的用户隔离技术，避免网上邻居的攻击 安全防范点3：对应措施：安全防范点4：对应措施：安全防范点5：对应措施：非法用户截取无线链路中的数据使用先进的加密技术，使得非法用户即使截取无线链路中的数据也无法破译基本的WEP加密WEP是IEEE802.11b无线局域网的标准网络安全协议。在传输信息时，WEP可以通过加密无线传输数据来提供类似有线传输的保护。在简便的安装和启动之后，应立即设置WEP密钥。使用更为先进的加密技术TKIP使用更新的加密技术，如TKIP，AboveCable的AP只需要通过简单的软件升级就可以完成对TKIP的支持，进一步加强无线链路中数据的加密性能。非法AP的接入利用对AP的合法性验证以及定期进行站点审查，防止非法AP的接入在无线AP接入有线集线器的时候，会遇到非法AP的攻击，非法安装的AP会危害无线网络的宝贵资源，因此必须对AP的合法性进行验证。AboveCable HotSpot AP支持的IEEE802.1x技术提供了一个客户机和网络相互验证的方法，在此验证过程中不但AP需要确认无线用户的合法性，无线终端设备也必须验证AP是否为虚假的访问点，然后才能进行通信。通过双向认证，可以有效的防止非法AP的接入。对于那些不支持IEEE802.1x的AP，则需要通过定期的站点审查来防止非法AP的接入。在入侵者使用网络之前通过接收天线找到未被授权的网络，通过物理站点的监测应当尽可能地频繁进行，频繁的监测可增加发现非法配置站点的存在几率，选择小型的手持式检测设备，管理员可以通过手持扫描设备随时到网络的任何位置进行检测。企业内部未经授权的跨部门使用利用ESSID，MAC限制防止未经授权的跨部门使用利用ESSID进行部门分组，有效地避免任意漫游带来的安全问题，MAC地址限制更能控制连接到各部门AP的终端，避免未经授权的用户使用网络资源。 无线网络安全提示 无线网络的安全技术正在日益完善，多手段多层次的安全防范措施使得无线网络越加坚固。当然，光有先进的技术是不完全的，如何利用现有资源结合当前环境来设计出一个安全实用的无线网络是构建无线网络的一个重要环节。AboveCable 根据多年的行业经验结合丰富的技术知识 ，为构建安全的无线网络提出了专业的设计目标以及注意事项，是您架设无线网络极有价值的参考资料。要设计安全的无线网络，在架设无线网络环境时，需要考虑到以下的一些因素：注意AP摆放的物理位置由于无线信号是在空气中传播的，因此它的界限并不象有线网络那么明确，信号随时会存在于特定范围以外。从物理安全角度考虑，AP的摆放位置需要通过专用仪器进行测量，要尽量减少无线信号泄漏到网络范围以外的区域。AP的控制和管理当一个无线网络拥有多个AP时，如何对这些AP进行管理和监控就显得十分重要，因为如果没有一个合理有效的AP管理系统，将会造成网络安全缺口，给攻击者有机可乘。AboveCable 的HotSpot AP支持SNMP网管协议，只需要加载AboveCable提供的私有MIB，就可以方便地通过第三方网管系统对AP设备进行管理、设置。同时 AboveCable 为了提供更好的 AP 监控管理，提供了AP 集群管理系统：AirPanel Pro 系统，该系统可以对AP进行扫描、管理，以及组群管理、监控设置、日志管理、系统设置等功能，帮助网管人员集中方便地管理AP，协调整个无线网络的安全运行。AirPanel Pro 系统可以对AP进行扫描、管理，以及组群管理、监控设置、日志管理、系统设置等功能用户身份验证和计费管理在设计无线网络时，必须考虑到无线网络接入有线网络资源的认证和授权。大公司的远程用户常常通过RADIUS（远程用户拔号认证服务）实现网络认证登录。企业的IT网络管理员可以将无线局域网集成到已经存在的RADIUS架构内来简化对用户的管理，这样不仅能实现无线网络的认证，而且还能保证无线用户与远程用户使用同样的认证方法和帐号。 简化网络安全管理：集成无线和有线网络安全策略无线网络安全不是单独的网络架构，它需要各种不同的程序和协议。制定结合有线和无线网络安全的策略能够提高管理水平，降低管理成本。例如，不论用户是通过有线还是无线方式进入网络时，都采用集成化的单一用户ID和密码。不能让非专业人员构建无线网络尽管现在无线局域网的构建已经相当方便，非专业人员可以在自己的办公室安装无线路由器和AP，但是，他们在安装过程中很少考虑到网络的安全性，这就意味着会出现网络安全漏洞。因而，在没有专业系统管理员同意和参与的情况下，要限制无线网络的构建，这样才能保证无线网络的安全。 不同应用环境的无线安全方案无线网络在不同的应用环境对安全的需求是不同的，AboveCable根据长期积累的经验，针对各行各业对无线网络的需求，制定了一系列的安全方案，最大程度上方便用户组建安全的无线网络，节省不必要的开支，更好地发挥无线网络“有线速度无线自由”的特性。安全级别典型场合使用技术初级安全小型企业、家庭用户等64、128位WEP加密中级安全仓库物流、医院、学校、餐饮娱乐IEEE802.1x认证机制专业级安全各类公共场合以及网络运营商、大、中型企业、金融机构用户隔离技术 + IEEE802.1x认证 + VPN + Radius的用户认证以及计费小型企业、家庭用户 对于小型企业和一般的家庭用户来说，使用网络的范围相对较小且终端用户数量有限， AboveCable的初级安全方案完全可以满足这些用户的网络安全需求，且投资成本低，配置方便效果显著。AboveCable 的初级安全方案建议使用传统的WEP认证与加密技术，AboveCable各种型号的AP以及无线路由器都支持64位、128位WEP认证与加密，以保证无线链路中的数据安全，防止数据被盗用。同时，由于这些场合的终端用户数量比较固定且有限，手工配置WEP密钥还是比较现实可行的。如果能进一步配合上AboveCable AP中提供的基于MAC地址的Access Control就能更好地防止服务被其它非法用户盗用。该方案的组网图如下：初级安全方案建议使用传统的WEP加密技术，以及基于MAC地址的Access Control仓库物流、医院、学校、餐饮娱乐 在这些场合中，考虑到网络覆盖范围以及终端用户数量，AP和无线网卡的数量必将大大增加，同时由于使用的用户较多，安全隐患也相应增加，此时单一的WEP已经不能满足此类用户的需求。AboveCable的中级安全方案使用IEEE802.1x认证技术作为无线网络的安全核心，并通过后台的RADIUS服务器进行用户身份验证，有效地阻止未经授权的接入，此方案完全适合此类场合中使用，并提供了完整的安全保障。在此应用中，另一个值得考虑的因素就是对多个AP的管理问题，对AP的管理不当往往会增加网络的安全隐患。AboveCable HotSpot AP不但支持IEEE802.1x认证机制，同时还支持SNMP网络管理协议，在此基础上AboveCable还提供了AirPanel Pro AP集群管理系统，更方便您对AP的管理、监控。中级安全方案使用IEEE802.1x认证技术作为无线网络的安全核心，并通过后台的RADIUS服务器进行用户身份验证各类公共场合以及网络运营商、大、中型企业、金融机构 有些用户需要在HotSpot公共地区（如机场、咖啡吧等）通过无线接入Internet，浏览web页面，接收e-mail，对于他们来说如何安全可靠地接入Internet是十分重要的。这种地区往往是网络运营商提供接入网络设施，因此用户认证问题就显得至关重要。如果不能准确可靠的进行用户认证，就有可能造成服务盗用的问题，这种服务盗用对于无线接入服务提供商来说是不可接受的损失。AboveCable提出使用IEEE802.1x的认证方式，并可以通过后台RADIUS服务器进行认证计费。由于公共场合存在相邻未知用户相互访问而引起的数据泄漏问题，AboveCable针对类似场合制定了一款公共场所专用的APHotSpot AP，该AP将连接到它的所有无线终端的MAC地址自动进行记录，在转发报文的同时，判断该段报文是否发送给MAC列表的某个地址，如果是就截断发送，实现用户隔离。在公共场合，可使用IEEE802.1x和RADIUS认证服务器进行认证和记费，同时利用HotSpot AP实现用户隔离对于大、中型企业、金融机构来说，网络的安全性是至关重要的且是首要考虑因素，他们往往会因为对无线网络安全性的担忧而放弃使用无线系统，AboveCable专业级的无线网络安全解决方案，可以使这些用户同样能够享受无线所带来的便利、自由。在使用了802.1x认证机制的基础上，为了解决远程办公用户能够安全的访问公司内部网络信息的要求，AboveCable建议利用现有的VPN设施，进一步完善网络的安全