第5章 第三方无线局域网安全防护协议和技术VIP

,主要内容：5.1WEP与IPSec结合5.2点对点通道协议(PPTP)5.3第二层通道协议(L2TP)5.4利用虚拟局域网防护WLAN5.5漫游及“动中通”安全防护措施5.6防火墙技术5.7入侵检测防御系统(IDSIPS)5.8漏洞扫描系统5.9防病毒系统5.10使用VPN技术,5.1WEP与IPSec结合,“Internet协议安全性(IPSec)”是一种开放标准的框架结构，通过使用加密的安全服务以确保在Internet协议(IP)网络上进行保密而安全的通讯。IPSec基于端对端的安全模式，在源IP和目标IP地址之间建立信任和安全性。,为什么要导入IPSEC协议,导入IPSEC协议，原因有2个：1.是原来的TCP/IP体系中间，没有包括基于安全的设计，任何人，只要能够搭入线路，即可分析所有的通讯数据。IPSEC引进了完整的安全机制，包括加密、认证和数据防篡改功能。2.是因为Internet迅速发展，接入越来越方便，很多客户希望能够利用这种上网的带宽，实现异地网络的的互连通。IPSEC协议通过包封装技术，能够利用Internet可路由的地址，封装内部网络的IP地址，实现异地网络的互通。,作用目标,1、保护IP数据包的内容。2、通过数据包筛选及受信任通讯的实施来防御网络攻击。这两个目标都是通过使用基于加密的保护服务、安全协议与动态密钥管理来实现的。这个基础为专用网络计算机、域、站点、远程站点、Extranet和拨号用户之间的通信提供了既有力又灵活的保护。它甚至可以用来阻碍特定通讯类型的接收和发送3、其中已接收和发送最为重要。,在WLAN环境中部署IPSec时，IPSec放置在与无线网络连接的每台PC上，用户则需要建立IPSec通道，以便将流量传送到有线网。过滤器用于防止无线流量到达VPN网关和DHCP/DNS服务器以外的目的地。IPSec用于实现IP流量的保密性、认证和防重播功能。保密性通过加密实现，加密使用数据加密标准（DES）的变种（称为三DES（3DES），即用三个密钥对数据进行三次加密。虽然IPSec主要用于实现数据保密性，但标准的扩展也可以用于用户认证和授权，并作为IPSec过程的一部分。,5.2PPTP（点对点通道协议）,PPTP（PointtoPointTunnelingProtocol）：PPP协议的基础上开发的一种新的增强型安全协议，支持多协议虚拟专用网（VPN），可以通过密码身份验证协议（PAP）、可扩展身份验证协议（EAP）等方法增强安全性。可以使远程用户通过拨入ISP、通过直接连接Internet或其他网络安全地访问企业网。,PPTP协议假定在PPTP客户机和PPTP服务器之间有连通并且可用的IP网络。因此如果PPTP客户机本身已经是IP网络的组成部分，那么即可通过该IP网络与PPTP服务器取得连接；而如果PPTP客户机尚未连入网络，譬如在Internet拨号用户的情形下，PPTP客户机必须首先拨打NAS以建立IP连接。这里所说的PPTP客户机也就是使用PPTP协议的VPN客户机，而PPTP服务器亦即使用PPTP协议的VPN服务器。,PAC和PNS,PPTP只能通过PAC和PNS来实施，其它系统没有必要知道PPTP。由PAC和PNS组成的客户机/服务器结构PAC（PPTP接入集中器PPTPAccessConcentrator）：PAC是负责接入的客户端设备。可连接一条或多条PSTN或ISDN拨号线路。PAC可以与一个或多个PNS实现TCP/IP通信，或通过隧道传送其他协议数据。PNS（PPTP网络服务器PPTPNetworkServer）：PNS是ISP提供的接入服务器。运行TCP/IP协议，可使用任何LAN和WAN接口硬件实现。拨号网络可与PAC相连接而无需知道PPTP。标准的PPP客户机软件可继续在隧道PPP链接上操作。,设置步骤1.2,设置步骤3,5.3L2TP（第二层通道协议）,L2TP（Layer2TunnelingProtocol）是一种工业标准的Internet隧道协议，功能大致和PPTP协议类似，比如同样可以对网络数据流进行加密。不过也有不同之处；比如PPTP要求网络为IP网络，L2TP要求面向数据包的点对点连接；PPTP使用单一隧道，L2TP使用多隧道；L2TP提供包头压缩、隧道验证，而PPTP不支持。,第二层隧道协议（L2TP）是用来整合多协议拨号服务至现有的因特网服务提供商点。PPP定义了多协议跨越第二层点对点链接的一个封装机制。特别地，用户通过使用众多技术之一（如：拨号POTS、ISDN、ADSL等）获得第二层连接到网络访问服务器（NAS），然后在此连接上运行PPP。在这样的配置中，第二层终端点和PPP会话终点处于相同的物理设备中（如：NAS）。,L2TP扩展了PPP模型,L2TP扩展了PPP模型，允许第二层和PPP终点处于不同的由包交换网络相互连接的设备。通过L2TP，用户在第二层连接到一个访问集中器（如：调制解调器池、ADSLDSLAM等），然后这个集中器将单独得的PPP帧隧道到NAS（NAS单网络访问服务器）。这样，可以把PPP包的实际处理过程与L2连接的终点分离开来。其明显的一个好处是，L2连接可以在一个（本地）电路集中器上终止，然后通过共享网络如帧中继电路或英特网扩展逻辑PPP会话，而不用在NAS上终止。从用户角度看，直接在NAS上终止L2连接与使用L2TP没有什么功能上的区别。,L2TP的特性,1.点到网连接的特性，适合单个或少数用户接入企业的情况2.由于L2TP对私有网的数据包进行封装，因此在Internet上传输数据时对网络地址是透明的，并支持接入用户的内部动态地址分配3.与PPP模板配合，支持本地和远端的AAA功能（认证、授权和计费）4.对数据报文的安全性可采用IPSec协议，采用该协议可以在用户发往Internet前对数据报文加密，也可采用在VPN端系统LAC侧加密（即服务商控制方式）,PPTP和L2TP的比较,PPTP和L2TP都属于第二层隧道协议，使用PPP协议对数据进行封装，然后添加附加包头用于数据在互联网络上的传输。尽管两个协议非常相似，但是仍存在以下几方面的不同：1、PPTP要求互联网络为IP网络。L2TP只要求隧道媒介提供面向数据包的点对点的连接。L2TP可以在IP（使用UDP），桢中继永久虚拟电路（PVCs）、X.25虚拟电路（VCs）或ATM网络上使用2、PPTP只能在两端点间建立单一隧道。L2TP支持在两端点间使用多隧道。使用L2TP，用户可以针对不同的服务质量创建不同的隧道3、L2TP可以提供报头压缩。当压缩包头时，系统开销（overhead）占用4个字节，而PPTP协议下要占用6个字节4、L2TP可以提供隧道验证，而PPTP则不支持隧道验证。但是当L2TP或PPTP与IPsec共同使用时，可以由IPsec提供隧道验证，不需要在第2层协议上验证隧道.,5.4利用虚拟局域网防护wlan,VLAN（VirtualLocalAreaNetwork）的中文名为“虚拟局域网”。VLAN是一种将局域网设备从逻辑上划分成一个个网段，从而实现虚拟工作组的新兴数据交换技术。只有VLAN协议的第三层以上交换机和路由器才具有此功能,VLAN的目的,VLAN（VirtualLocalAreaNetwork，虚拟局域网）技术的出现，主要为了解决交换机在进行局域网互连时无法限制广播的问题。这种技术可以把一个LAN划分成多个逻辑的LANVLAN，每个VLAN是一个广播域，VLAN内的主机间通信就和在一个LAN内一样，而VLAN间则不能直接互通，这样，广播报文被限制在一个VLAN内。,VLAN的优点,1.广播风暴防范：2.安全：3.成本降低：成本高昂的网络升级需求减少，现有带宽和上行链路的利用率更高，因此可节约成本。4.性能提高：将第二层平面网络划分为多个逻辑工作组（广播域）可以减少网络上不必要的流量并提高性能。5.提高IT员工效率：VLAN为网络管理带来了方便，因为有相似网络需求的用户将共享同一个VLAN。6.简化项目管理或应用管理：VLAN将用户和网络设备聚合到