MotorolaWIFI网络及安全解决计划

定义政策合规性报告执行符合监控定义７。3．1９无线网络仿真对于企业将来需要扩建的无线网络,需要合理、精准的规划无线基站或传感器的位置.通常采纳人工测量的方法既费时费劲又不筹备，增加了企业部署无线的成本，影响了日后网络运行的稳定性。MoｔorolａＡｉrdefensｅ无线网络仿真器可以依据建筑物特征设计与仿真RF讯号、供应业界最精准的基站与传感器部署的优化工具、可以结合Siｔe-Sｕrｖeｒy工具来猜测实际无线网络效能与RＦ信号掩盖的状况、有效降低部署基站和传感器的失败率、有效降低人工Sｉte－Suｒveｒy的费用和误判率。输入平面图输入平面图Step1定义建材与环境Step2立体绘图Step3RF模拟与优化Step4７.3。20Airｄefｅnｓe－企业级的可扩展性可扩展的和易于管理的平台-—数百个位置可回报中央服务器——每个服务器支持达１0０000个设备和数百个传感器——启动安装向导以便简化初始系统设置和配置——低带宽要求(每个传感器＜3Kbps）——基于设备的解决方案—-零配置传感器简洁的日常管理—-易于使用的表盘和安装向导——网络设备的自动分类——基于角色和基于域的视图-—依据威胁级别对大事进行排序——可控报警允许管理员有效解决问题７。4有线网络的平安方案本章从整体平安防护体系的角度动身，分网络基础设施平安、网络准入技术等方面进一步介绍此次项目网络架构设计的相关技术及部署方案。网络基础设施平安：作为网络平安最重要的防护手段，网络基础设施平安是设计的重点。访问掌握和网络准入：作为访问掌握和网络准入的两个阶段,本部分分别介绍了建立在８0２.1ｘ标准之上的基于身份的网络服务（IBNS),以及在此技术上协作式平安的简略实现:网络准入掌握(ＮAＣ)方案；端口平安掌握技术ＰｏｒｔSecｕriｔy交换机主动学习客户端的ＭＡＣ地址，并建立和维护端口和MＡC地址的对应表以此建立交换路径,这个表就是通常我们所说的CAＭ表。CＡM表的大小是固定的,不同的交换机的CAM表大小不同.MAC／CＡM攻击是指利用工具产生哄骗MＡＣ,快速填满CＡＭ表，交换机CＡＭ表被填满。黑客发送大量带有随机源MＡＣ地址的数据包,这些新MＡC地址被交换机ＣＡM学习,很快塞满MＡC地址表,这时新目的MＡＣ地址的数据包就会广播到交换机全部端口，交换机就像共享ＨＵB一样工作，黑客可以用sniｆｆer工具监听全部端口的流量。此类攻击不仅造成平安性的破坏，同时大量的广播包降低了交换机的性能。防范方法限制单个端口所连接MＡC地址的数目可以有效防止类似mａcoｆ工具和ＳQL蠕虫病毒发起的攻击,ｍacoｆ可被网络用户用来产生随机源ＭＡC地址和随机目的MAC地址的数据包，可以在不到10秒的时间内填满交换机的CAM表.利用交换机的端口平安（ＰortSｅcuｒｉｔy）和动态端口平安功能可被用来阻止ＭAC泛滥攻击.例如交换机连接单台工作站的端口,可以限制所学ＭAＣ地址数为1;连接IP电话和工作站的端口可限制所学MＡＣ地址数为3：IP电话、工作站和IP电话内的交换机。通过端口平安功能,网络管理员也可以静态设置每个端口所允许连接的合法ＭＡC地址，实现设备级的平安授权.动态端口平安则设置端口允许合法ＭAＣ地址的数目,并以肯定时间内所学习到的地址作为合法MAC地址。通过配置ＰortSecurity可以掌握:端口上最大可以通过的MAC地址数量端口上学习或通过哪些MAC地址对于超过规定数量的ＭAC处理进行违反处理端口上学习或通过哪些ＭAC地址可以通过静态手工定义,也可以在交换机自动学习。交换机动态学习端口MAＣ，直到指定的MAC地址数量，交换机关机后重新学习。目前较新的技术是SｔｉckyＰｏｒtSｅｃurｉtｙ,交换机将学到的mac地址写到端口配置中，交换机重启后配置仍然存在.对于超过规定数量的ＭＡC处理进行处理一般有三种方式：Shutdoｗn：端口关闭。Ｐroteｃt：丢弃非法流量,不报警。Rｅstｒｉct：丢弃非法流量,报警。ＤＨCP窥探保护DＨCPSｎoｏping采纳DＨCPserver可以自动为用户设置网络IＰ地址、掩码、网关、DNS、WINＳ等网络参数，简化了用户网络设置,提高了管理效率。但在DHCP管理使用上也存在着一些另网管人员比较问题，常见的有：１。DHＣPsｅrveｒ的冒充。2.DHＣPserver的DOS攻击.３。有些用户随便指定地址，造成网络地址冲突。4.由于DHCP的运作机制，通常服务器和客户端没有认证机制,如果网络上存在多台DHCP服务器将会给网络照成混乱。5．由于不当心配置了DHＣP服务器引起的网络混乱也非常常见。黑客利用类似Ｇｏｏbler的工具可以发出大量带有不同源MAC地址的ＤHCP恳求,直到ＤHCＰ服务器对应网段的全部地址被占用,此类攻击既可以造成DOＳ的破坏,也可和DＨCＰ服务器欺诈结合将流量重指到意图进行流量截取的恶意节点。ＤＨCＰ服务器欺诈可能是有意的，也可能是无意启动DHＣP服务器功能，恶意用户发放错误的ＩP地址、ＤＮS服务器信息或默认网关信息,以此来实现流量的截取.DHＣＰSnoｏpinｇ技术ＤHCＰSｎoopｉｎg技术是ＤHCP平安特性，通过建立和维护DＨCＰSｎoｏping绑定表过滤不行信任的DＨCP信息,这些信息是指来自不信任区域的ＤHCＰ信息.

通过截取一个虚拟局域网内的DHCP信息，交换机可以在用户和DＨＣP服务器之间担当就像小型平安防火墙这样的角色，“ＤHCP监听”功能基于动态地址安排建立了一个DHＣP绑定表，并将该表存贮在交换机里。在没有DHＣP的环境中，绑定条目可能被静态定义,每个DHCＰ绑定条目包含客户端地址（一个静态地址或者一个从ＤHＣP服务器上猎取的地址）、客户端MAＣ地址、端口、ＶLANＩＤ、租借时间、绑定类型(静态的或者动态的）.这张表不仅解决了DHＣP用户的ＩP和端口跟踪定位问题，为用户管理供应便利,而且还供应动态AＲP检测（ＤＡI)和IPＳouｒceGｕarｄ使用。防范方法为了防止这种类型的攻击，ＣatalystDＨCＰ侦听(DHCPＳnoopiｎｇ）功能可有效阻止此类攻击，当打开此功能，全部用户端口除非格外设置，被认为不行信任端口，不应该作出任何ＤHCP响应，因此欺诈DＨCP响应包被交换机阻断，合法的ＤHCＰ服务器端口或上连端口应被设置为信任端口。首先定义交换机上的信任端口和不信任端口,对于不信任端口的ＤＨＣP报文进行截获和嗅探，DＲOP掉来自这些端口的非正常ＤHCＰ响应应报文.IP源地址保护技术ＩPＳｏurceGｕarｄﻩ黑客常常使用的另一手法是IＰ地址哄骗。常见的哄骗种类有ＭAC哄骗、IP哄骗、ＩP／MAC哄骗，其目的一般为伪造身份或者猎取针对IＰ/ＭAC的特权。此方法也被广泛用作DOS攻击，目前较多的攻击是：PingＯｆDeaｔｈ、Synflood、ICMＰＵnｒｅａｃheabｌeSｔorｍ。如黑客冒用Ａ地址对B地址发出大量的pｉnｇ包,全部ｐｉｎg应答都会返回到Ｂ地址，通过这种方式来实施拒绝服务（ＤｏS）攻击，这样可以掩盖攻击系统的真实身份。富有侵略性的TＣPSYN洪泛攻击来源于一个哄骗性的ＩP地址，它是利用TＣP三次握手会话对服务器进行颠覆的又一种攻击方式.一个IＰ地址哄骗攻击者可以通过手动修改地址或者运行一个实施地址哄骗的程序来假冒一个合法地址。另外病毒和木马的攻击也会使用哄骗的源IP地址。互联网上的蠕虫病毒也往往利用哄骗技术来掩盖它们真实的源头主机。防范方法ＩP源地址保护（ＩPSourceGuaｒd）功能打开后,可以依据DＨCＰ侦听记录的IP绑定表动态产生ＰVＡCＬ,强制来自此端口流量的源地址符合DHＣP绑定表的记录，这样攻击者就无法通过假定一个合法用户的ＩP地址来实施攻击了，这个功能将只允许对拥有合法源地址的数据保进行转发，合法源地址是与IP地址绑定表保持全都的,它也是来源于ＤHCPＳnoｏping绑定表。因此，ＤHCPSｎoopiｎg功能对于这个功能的动态实现也是必不行少的，对于那些没有用到ＤHCＰ的网络环境来说，该绑定表也可以静态配置。IＰSourcｅGuａrd不但可以配置成对ＩP地址的过滤也可以配置成对ＭAC地址的过滤,这样，就只有IP地址和ＭAC地址都于DHＣPＳnooping绑定表匹配的通信包才能够被允许传输。此时,必须将IP源地址保护IPSｏuｒcｅGｕaｒd与端口平安PoｒtSecuritｙ功能共同使用，并且需要ＤHCP服务器支持Option82时,才可以抵挡IP地址+ＭＡC地址的哄骗。8。无线网络管理方案管理一个具有规模的无线局域网(通常在一百个AＰ以上）,需要考虑很多方面的问题，包括无线掩盖，带宽，用户的认证,以及接入的平安都要考虑.由于传统的无线局域网是单纯基于AP，因此对于无线网络的管理,其大量工作是要在每个AP上进行设置和更改。其工作量在有肯定数量AＰ的无线网里是格外大和烦琐的,而且无线局域网是一个整体系统，ＡP之间必须互协调工作，单独转变一个ＡP参数和配置会引起AP之间的无线电波干扰,用户漫游重认证和授权也可能会产生问题。Motoｒoｌa的无线网络系统具有格外强的无线局域网集中管理功能，通过ＡdａptｉveAP技术，无线交换机RＦS7000可以格外便利地管理整个无线网络，网管人员只需在无线交换机上就可开通、管理、维护全部ＡP设备以及移动终端，包括无线电波频谱、无线平安、接入认证、移动漫游以及接入用户。Motｏrolａ供应了RFMS对Ｍotorola的WＬAN全部产品进行管理,包括无线交换机、AP、AirＤefｅnｓe无线入侵防护系统。８.1配置管理Mｏtoｒｏla的网管可以自动发现无线网络设备，包括无线网络交换机和ＡP,依据站点对无线交换机和AP组织成Ｓｉｔe，然后分级显示,然后显示网络拓扑:摩托罗拉的网管既可以通过HTTP页面对特定设备进行配置,也可以通过配置文件方式对设备进行批量配置.另外Motoｒola的网管可以对无线网络设备的配置文件定期进行检查,如果发现配置文件不符合策略设置，将自动恢复配置,并产生告警自动通知网络管理员。8.２性能管理另外它采纳创新的算法，给出关于AP摆放位置的最佳建议以帮助妥善规划，同时供应关键绩效指标和200多种统计数据,使您能够快速评估网络的健康状况.用户可以查看无线基础设施设备和客户端的状况,排解网络问题,生成报表以及导出原始数据。RF管理软件以图形方式显示ＲF掩盖范围、负载平衡、冗余、平安级别和网络利用率等统计信息，使ＩT人员可以即时评估网络状况。除了支持传统的基于扫瞄器的管理方式以外，MｏtoroｌaRFMS还格外针对移动用户设计的Web页面使用户可以从PＤＡ/ＭoｔoｒoｌaｐocketＰC(如MＣ７0）对网络进行管理.通过Motoｒoｌａ的网管的KPI（关键性能指标),可以对无线网络状况有一个直观的了解，包括：负载分担无线信号掩盖区域无线网络的利用率无线网络的平安指标无线网络的冗余特性网管可以对移动用户Avg。RSSI（平均信号接收强度）和Aｖｇ．SNR（平均信噪比），和ＡP的Aｖg.ＲSSI（平均信号接收强度）ａｎdAvg。SＮR（平均信噪比)进行统计。8.３故障管理摩托罗拉的网管可以检测各种故障，摩托罗拉的网管可以由网管人员自由定义告警的重要性，消灭告警时可以自动通过发送邮件等手段告知网管人员,甚至可以自动运行一些预选设定的脚本。Ｍｏtoroｌａ的网管可以实时发现无线交换机和AP发生的多种故障情况:当ＡP发生故障时，摩托罗拉的网管可以飞快检查到哪一个AP发生了故障，而且在邻居ＡＰ发现周围AP发生了故障自动调大功率后,摩托罗拉的网管也可以反映这个ＡP的状态为自愈状态。当无