前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的無線網(wǎng)絡(luò)安全防范措施主題范文,僅供參考,歡迎閱讀并收藏。
關(guān)鍵詞:無線網(wǎng)絡(luò);安全;防范措施
一、針對無線網(wǎng)絡(luò)的主要安全威脅
1.數(shù)據(jù)竊聽
竊聽網(wǎng)絡(luò)傳輸可導(dǎo)致機密敏感數(shù)據(jù)泄漏、未加保護的用戶憑據(jù)曝光,引發(fā)身份盜用。它還允許有經(jīng)驗的入侵者手機有關(guān)用戶的IT環(huán)境信息,然后利用這些信息攻擊其他情況下不易遭到攻擊的系統(tǒng)或數(shù)據(jù)。甚至為攻擊者提供進行社會工程學(xué)攻擊的一系列商業(yè)信息。
2.截取和篡改傳輸數(shù)據(jù)
如果攻擊者能夠連接到內(nèi)部網(wǎng)絡(luò),則他可以使用惡意計算機通過偽造網(wǎng)關(guān)等途徑來截獲甚至修改兩個合法方之劍正常傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)。
二、常見的無線網(wǎng)絡(luò)安全措施
1.MAC地址過濾
MAC地址過濾在有線網(wǎng)絡(luò)安全措施中是一種常見的安全防范手段,因此其操作方法也和在有線網(wǎng)絡(luò)中操作交換機的方式一致。通過無線控制器將指定的無線網(wǎng)卡的物理地址(MAC地址)下發(fā)到各個AP中,或者直接存儲在無線控制器中,或者在AP交換機端進行設(shè)置。
2.隱藏SSID
SSID(Service Set Identifier,服務(wù)標(biāo)識符)是用來區(qū)分不同的網(wǎng)絡(luò),其作用類似于有線網(wǎng)絡(luò)中的VLAN,計算機接入某一個SSID的網(wǎng)絡(luò)后就不能直接與另一個SSID的網(wǎng)絡(luò)進行通信了,SSID經(jīng)常被用來作為不同網(wǎng)絡(luò)服務(wù)的標(biāo)識。一個SSID最多有32個字符構(gòu)成,無線終端接入無線網(wǎng)路時必須提供有效的SIID,只有匹配的SSID才可接入。一般來說,無線AP會廣播SSID,這樣,接入終端可以通過掃描獲知附近存在哪些可用的無線網(wǎng)絡(luò),例如WINDOWSXP自帶掃描功能,可以將能聯(lián)系到的所有無線網(wǎng)絡(luò)的SSID羅列出來。因此,出于安全考慮,可以設(shè)置AP不廣播SSID,并將SSID的名字構(gòu)造成一個不容易猜解的長字符串。這樣,由于SSID被隱藏起來了,接入端就不能通過系統(tǒng)自帶的功能掃描到這個實際存在的無線網(wǎng)絡(luò),即便他知道有一個無線網(wǎng)絡(luò)存在,但猜不出SSID全名也是無法接入到這個網(wǎng)絡(luò)中去的。
三、無線網(wǎng)絡(luò)安全措施的選擇
應(yīng)用的方便性與安全性之間永遠是一對矛盾。安全性越高,則一定是以喪失方便性為代價的。但是在實際的無線網(wǎng)絡(luò)的應(yīng)用中,我們不能不考慮應(yīng)用的方便性,因此,我們在對無線網(wǎng)路安全措施的選擇中應(yīng)該均衡考慮方便性和安全性。
在接入無線AP時采用WAP加密模式,又因為不論SSID是否隱藏攻擊者都能通過專用軟件探測到SSID,因此不隱藏SSID,以提高接入的方便性。這樣在接入時只要第一次需要輸入接入密碼,以后就可以不用輸入接入密碼了。
使用強制Portal+802.1x這兩種認證方式相結(jié)合的方法能有效地解決無線網(wǎng)絡(luò)的安全,具有一定的現(xiàn)實意義。來訪用戶所關(guān)心的是方便和快捷,對安全性的要求不高。強制Portal認證方式在用戶端不需要安裝額外的客戶端軟件,用戶直接使用Web瀏覽器認證后即可上網(wǎng)。采用此種方式,對來訪用戶來說簡單、方便、快速,但安全性比較差。
此外,如果在資金可以保證的前提下,在無線網(wǎng)絡(luò)中使用無線網(wǎng)絡(luò)入侵檢測設(shè)備進行主動防御,也是進一步加強無線網(wǎng)絡(luò)安全性的有效手段。
關(guān)鍵詞:無線網(wǎng)絡(luò);入侵;安全;防范
中圖分類號:TP393.08 文獻標(biāo)識碼:A文章編號:1007-9599 (2010) 01-0000-01
隨著無線網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和商業(yè)化普及,無線網(wǎng)絡(luò)正在成為單位局域網(wǎng)絡(luò)的重要組成部分。由于無線網(wǎng)絡(luò)的微波信號在空氣中進行數(shù)據(jù)信息傳輸?shù)臅r候,受自然天氣情況、建筑物障礙,以及與其他微波信號的相互干擾等原因都可以導(dǎo)致無線網(wǎng)絡(luò)信號的中斷、衰減,從而影響無線信號的穩(wěn)定性,同時也影響者無線網(wǎng)絡(luò)的安全性,所以建立安全、穩(wěn)定的無線網(wǎng)絡(luò)是各單位網(wǎng)絡(luò)部門必須考慮的問題,而無線網(wǎng)絡(luò)的安全性又是首要考慮的問題。
一、威脅無線網(wǎng)絡(luò)安全的途徑
(一)進行搜索攻擊。NetStumbler軟件是第一個被廣泛用來發(fā)現(xiàn)無線網(wǎng)絡(luò)的軟件。很多無線網(wǎng)絡(luò)是不使用加密功能的,或即使加密功能是處于活動狀態(tài),如果沒有關(guān)閉(wirelessAccessPoint,無線基站)廣播信息功能,AP廣播信息中仍然包括許多可以用來推斷出WEP密鑰的明文信息,如網(wǎng)絡(luò)名稱、SSID(SecureSetIdentifier,安全集標(biāo)識符)等可給黑客提供入侵的條件。
(二)網(wǎng)絡(luò)接管與篡改。同樣因為TCP/IP設(shè)計的原因,某些欺騙技術(shù)可供攻擊者接管為無線網(wǎng)上其他資源建立的網(wǎng)絡(luò)連接。如果攻擊者接管了某個AP,那么所有來自無線網(wǎng)的通信量都會傳到攻擊者的機器上,包括其他用戶試圖訪問合法網(wǎng)絡(luò)主機時需要使用的密碼和其他信息。
(三)竊取網(wǎng)絡(luò)資源。有些用戶喜歡從鄰近的無線網(wǎng)絡(luò)訪問互聯(lián)網(wǎng),即使他們沒有什么惡意企圖,但仍會占用大量的網(wǎng)絡(luò)帶寬,嚴(yán)重影響網(wǎng)絡(luò)性能。
(四)泄露威脅包括竊聽、截取和監(jiān)聽。即使網(wǎng)絡(luò)不對外廣播網(wǎng)絡(luò)信息,只要能夠發(fā)現(xiàn)任何明文信息,攻擊者仍然可以使用一些網(wǎng)絡(luò)工具,如AiroPeek和TCPDump來監(jiān)聽和分析通信量,從而識別出可以破解的信容。另外,還有其它一些威脅,如客戶端對客戶端的攻擊、干擾、對加密系統(tǒng)的攻擊、錯誤的配置等,這都屬于可給無線網(wǎng)絡(luò)帶來風(fēng)險的因素。
二、安全防護對策
(一)使用各種最新的身份認證措施來防止未經(jīng)授權(quán)用戶的訪問。無線信號都是在空氣中傳播的,那么也就難免會傳播到其它一些不希望到達的地方,只要是在信號覆蓋范圍內(nèi),那非法用戶無需任何物理連接就可以獲取無線網(wǎng)絡(luò)的數(shù)據(jù),因此,必須從多方面防止非法終端接入以及數(shù)據(jù)的泄漏問題。
(二)利用網(wǎng)卡MAC地址來防止非法AP的接入訪問。每塊無線網(wǎng)卡都擁有唯一的一個MAC地址,如果我們?yōu)锳P設(shè)置一個基于MAC地址的Access Control(訪問控制表),就可確保只有經(jīng)過注冊的設(shè)備才能進入網(wǎng)絡(luò)。預(yù)防非法AP的接入訪問,可以利用對AP的合法性驗證以及定期的站點審查來防止。
(三)無線網(wǎng)絡(luò)設(shè)備典型情況下都包括WEP或WPA加密。這兩種加密形式都有助于保護網(wǎng)絡(luò),但WPA要比WEP更加健壯和安全。為了實施WPA或WEP,用戶需要在無線網(wǎng)絡(luò)的所有無線設(shè)備上都輸入一個加密密鑰,一般情況下,產(chǎn)品的用戶手冊都會包括一個如何配置加密密鑰的詳細指南。簡言之,基本的安全要求用戶至少考慮以下幾個方面:互聯(lián)網(wǎng)和本地網(wǎng)絡(luò)之間有一個NAT防火墻;啟用MAC地址過濾;啟用了無線客戶端的WPA或WEP加密嗎。
(四)建議禁用DHCP和SNMP設(shè)置。從禁用DHCP對無線網(wǎng)絡(luò)而言,這很有意義。如果采取這項措施,黑客不得不破譯你的IP地址、子網(wǎng)掩碼及其它所需的TCP/IP參數(shù)。無論黑客怎樣利用你的訪問點,他仍需要弄清楚IP地址。而關(guān)于SNMP設(shè)置,要么禁用,要么改變公開及專用的共用字符串。如果不采取這項措施,黑客就能利用SNMP獲得有關(guān)你方網(wǎng)絡(luò)的重要信息。
(五)反病毒軟件。反病毒軟件的基本功能是相同的,但用戶至少需要考慮以下幾個方面:這種軟件支持自動更新從而便于檢測新病毒的時間;掃描病毒的速度如何;它可以掃描并清理即時通信程序的附件;它附帶一個軟件防火墻;病毒的清除要求用戶的參與。
(六)軟件防火墻。防火墻管理著通過這些端口的通信,它可以阻止,或放行,有時它會問用戶是否希望準(zhǔn)許一個將要打開的連接?多數(shù)防火墻包括一個通用的規(guī)則集,它準(zhǔn)許用戶設(shè)置準(zhǔn)許什么、禁止什么類型的通信。
(七)硬件防火墻。許多路由器都內(nèi)置了硬件防火墻。硬件防火墻利用其自己的處理器進行端口過濾和加密任務(wù),這意味著幾乎不太可能耗盡計算機中的資源,這也就給用戶們更佳的總體性能。還有一些防火墻準(zhǔn)許用戶建立從互聯(lián)網(wǎng)到LAN的VPN連接,這就使得用戶即使在路途中也可以訪問自己的計算機。
三、網(wǎng)路的服務(wù)與管理。
(一)無線疏于防范。在網(wǎng)絡(luò)中,對于無線網(wǎng)絡(luò)的管理更應(yīng)該加強。雖然目前在無線安全保障機制方面包括有WEP加密、VLAN、VPN、802.1x,以及最新頒布實施的802.11i無線網(wǎng)絡(luò)安全標(biāo)準(zhǔn)等多種方式,但稍有一絲疏忽,整個網(wǎng)絡(luò)就會受到致命的破壞。
(二)無線網(wǎng)絡(luò)的管理被很多單位建設(shè)者認為可有可無。眾所周知,在目前所出現(xiàn)的網(wǎng)絡(luò)安全問題中,雖然病毒、DoS攻擊日益猖獗,但80%以上的不安全因素來自于網(wǎng)絡(luò)內(nèi)部。在對有線網(wǎng)絡(luò)的管理上,由于其自身的成熟技術(shù)和意識已日趨完善,而對于無線網(wǎng)絡(luò),存在著不經(jīng)常使用,或只是使用很少的錯誤意識而忽視對其管理,這樣就容易造成與有線網(wǎng)絡(luò)脫節(jié),從而引起管理中的失誤,形成整個網(wǎng)絡(luò)的不安全漏洞。因此,管理需要系統(tǒng)考慮。
總之,雖然無線網(wǎng)絡(luò)自身技術(shù)中所存在的缺陷容易造成對其管理上的缺陷,但要想真正管理好無線網(wǎng)絡(luò)其實并不難,除了加強有線網(wǎng)絡(luò)自身的管理之外,從整個網(wǎng)絡(luò)系統(tǒng)全面考慮網(wǎng)絡(luò)的管理就足以使無線局域網(wǎng)更加穩(wěn)定可靠地運行。采用類似于對有線網(wǎng)絡(luò)的管理方式,通過監(jiān)控整個無線局域網(wǎng)的運行狀況,發(fā)現(xiàn)網(wǎng)絡(luò)瓶頸和設(shè)備故障,方便配置WLAN設(shè)備,以及對網(wǎng)絡(luò)資源進行合理分配即可實現(xiàn)對無線網(wǎng)絡(luò)的全面管理。
參考文獻:
關(guān)鍵詞:無線網(wǎng)絡(luò)安全防范措施
隨著信息化技術(shù)的飛速發(fā)展,很多網(wǎng)絡(luò)都開始實現(xiàn)無線網(wǎng)絡(luò)的覆蓋以此來實現(xiàn)信息電子化交換和資源共享。無線網(wǎng)絡(luò)和無線局域網(wǎng)的出現(xiàn)大大提升了信息交換的速度和質(zhì)量,為很多的用戶提供了便捷和子偶的網(wǎng)絡(luò)服務(wù),但同時也由于無線網(wǎng)絡(luò)本身的特點造成了安全上的隱患。具體的說來,就是無線介質(zhì)信號由于其傳播的開放性設(shè)計,使得其在傳輸?shù)倪^程中很難對傳輸介質(zhì)實施有效的保護從而造成傳輸信號有可能被他人截獲,被不法之徒利用其漏洞來攻擊網(wǎng)絡(luò)。因此,如何在組網(wǎng)和網(wǎng)絡(luò)設(shè)計的時候為無線網(wǎng)絡(luò)信號和無線局域網(wǎng)實施有效的安全保護機制就成為了當(dāng)前無線網(wǎng)絡(luò)面臨的重大課題。
一、無線網(wǎng)絡(luò)的安全隱患分析
無線局域網(wǎng)的基本原理就是在企業(yè)或者組織內(nèi)部通過無線通訊技術(shù)來連接單個的計算機終端,以此來組成可以相互連接和通訊的資源共享系統(tǒng)。無線局域網(wǎng)區(qū)別于有線局域網(wǎng)的特點就是通過空間電磁波來取代傳統(tǒng)的有限電纜來實施信息傳輸和聯(lián)系。對比傳統(tǒng)的有線局域網(wǎng),無線網(wǎng)絡(luò)的構(gòu)建增強了電腦終端的移動能力,同時它安裝簡單,不受地理位置和空間的限制大大提高了信息傳輸?shù)男?,但同時,也正是由于無線局域網(wǎng)的特性,使得其很難采取和有線局域網(wǎng)一樣的網(wǎng)絡(luò)安全機制來保護信息傳輸?shù)陌踩?,換句話無線網(wǎng)絡(luò)的安全保護措施難度原因大于有線網(wǎng)絡(luò)。
IT技術(shù)人員在規(guī)劃和建設(shè)無線網(wǎng)絡(luò)中面臨兩大問題:首先,市面上的標(biāo)準(zhǔn)與安全解決方案太多,到底選什么好,無所適從;第二,如何避免網(wǎng)絡(luò)遭到入侵或攻擊?在有線網(wǎng)絡(luò)階段,技術(shù)人員可以通過部署防火墻硬件安全設(shè)備來構(gòu)建一個防范外部攻擊的防線,但是,“兼顧的防線往往從內(nèi)部被攻破”。由于無線網(wǎng)絡(luò)具有接入方便的特點,使得我們原先耗資部署的有線網(wǎng)絡(luò)防范設(shè)備輕易地就被繞過,成為形同虛設(shè)的“馬奇諾防線”。
針對無線網(wǎng)絡(luò)的主要安全威脅有如下一些:
1.數(shù)據(jù)竊聽。竊聽網(wǎng)絡(luò)傳輸可導(dǎo)致機密敏感數(shù)據(jù)泄漏、未加保護的用戶憑據(jù)曝光,引發(fā)身份盜用。它還允許有經(jīng)驗的入侵者手機有關(guān)用戶的IT環(huán)境信息,然后利用這些信息攻擊其他情況下不易遭到攻擊的系統(tǒng)或數(shù)據(jù)。甚至為攻擊者提供進行社會工程學(xué)攻擊的一系列商信息。
2.截取和篡改傳輸數(shù)據(jù)。如果攻擊者能夠連接到內(nèi)部網(wǎng)絡(luò),則他可以使用惡意計算機通過偽造網(wǎng)關(guān)等途徑來截獲甚至修改兩個合法方之劍正常傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)。
二、常見的無線網(wǎng)絡(luò)安全措施
綜合上述針對無線網(wǎng)絡(luò)的各種安全威脅,我們不難發(fā)現(xiàn),把好“接入關(guān)”是我們保障企業(yè)無線網(wǎng)絡(luò)安全性的最直接的舉措。目前的無線網(wǎng)絡(luò)安全措施基本都是在接入關(guān)對入侵者設(shè)防,常見的安全措施有以下各種。
1.MAC地址過濾
MAC地址過濾在有線網(wǎng)絡(luò)安全措施中是一種常見的安全防范手段,因此其操作方法也和在有線網(wǎng)絡(luò)中操作交換機的方式一致。通過無線控制器將指定的無線網(wǎng)卡的物理地址(MAC地址)下發(fā)到各個AP中,或者直接存儲在無線控制器中,或者在AP交換機端進行設(shè)置。
2.隱藏SSID
SSID(ServiceSetIdentifier,服務(wù)標(biāo)識符)是用來區(qū)分不同的網(wǎng)絡(luò),其作用類似于有線網(wǎng)絡(luò)中的VLAN,計算機接入某一個SSID的網(wǎng)絡(luò)后就不能直接與另一個SSID的網(wǎng)絡(luò)進行通信了,SSID經(jīng)常被用來作為不同網(wǎng)絡(luò)服務(wù)的標(biāo)識。一個SSID最多有32個字符構(gòu)成,無線終端接入無線網(wǎng)路時必須提供有效的SIID,只有匹配的SSID才可接入。一般來說,無線AP會廣播SSID,這樣,接入終端可以通過掃描獲知附近存在哪些可用的無線網(wǎng)絡(luò),例如WINDOWSXP自帶掃描功能,可以將能聯(lián)系到的所有無線網(wǎng)絡(luò)的SSID羅列出來。因此,出于安全考慮,可以設(shè)置AP不廣播SSID,并將SSID的名字構(gòu)造成一個不容易猜解的長字符串。這樣,由于SSID被隱藏起來了,接入端就不能通過系統(tǒng)自帶的功能掃描到這個實際存在的無線網(wǎng)絡(luò),即便他知道有一個無線網(wǎng)絡(luò)存在,但猜不出SSID全名也是無法接入到這個網(wǎng)絡(luò)中去的。
三、無線網(wǎng)絡(luò)安全措施的選擇
應(yīng)用的方便性與安全性之間永遠是一對矛盾。安全性越高,則一定是以喪失方便性為代價的。但是在實際的無線網(wǎng)絡(luò)的應(yīng)用中,我們不能不考慮應(yīng)用的方便性。因此,我們在對無線網(wǎng)路安全措施的選擇中應(yīng)該均衡考慮方便性和安全性。
在接入無線AP時采用WAP加密模式,又因為不論SSID是否隱藏攻擊者都能通過專用軟件探測到SSID,因此不隱藏SSID,以提高接入的方便性。這樣在接入時只要第一次需要輸入接入密碼,以后就可以不用輸入接入密碼了。
使用強制Portal+802.1x這兩種認證方式相結(jié)合的方法能有效地解決無線網(wǎng)絡(luò)的安全,具有一定的現(xiàn)實意義。來訪用戶所關(guān)心的是方便和快捷,對安全性的要求不高。強制Portal認證方式在用戶端不需要安裝額外的客戶端軟件,用戶直接使用Web瀏覽器認證后即可上網(wǎng)。采用此種方式,對來訪用戶來說簡單、方便、快速,但安全性比較差。
此外,如果在資金可以保證的前提下,在無線網(wǎng)絡(luò)中使用無線網(wǎng)絡(luò)入侵檢測設(shè)備進行主動防御,也是進一步加強無線網(wǎng)絡(luò)安全性的有效手段。
最后,任何的網(wǎng)絡(luò)安全技術(shù)都是在人的使用下發(fā)揮作用的,因此,最后一道防線就是使用者,只有每一個使用者加強無線網(wǎng)絡(luò)安全意識,才能真正實現(xiàn)無線網(wǎng)絡(luò)的安全。否則,黑客或攻擊者的一次簡單的社會工程學(xué)攻擊就可以在2分鐘內(nèi)使網(wǎng)絡(luò)管理人員配置的各種安全措施變得形同虛設(shè)。
現(xiàn)在,不少企業(yè)和組織都已經(jīng)實現(xiàn)了整個的無線覆蓋。但在建設(shè)無線網(wǎng)絡(luò)的同時,因為對無線網(wǎng)絡(luò)的安全不夠重視,對局域網(wǎng)無線網(wǎng)絡(luò)的安全考慮不及時,也造成了一定的影響和破壞。做好無線網(wǎng)絡(luò)的安全管理工作,并完成全校無線網(wǎng)絡(luò)的統(tǒng)一身份驗證,是當(dāng)前組建無線網(wǎng)必須要考慮的事情。只有這樣才能做到無線網(wǎng)絡(luò)與現(xiàn)有有線網(wǎng)絡(luò)的無縫對接,確保無線網(wǎng)絡(luò)的高安全性,提高企業(yè)的信息化的水平。
參考文獻:
[1]譚潤芳.無線網(wǎng)絡(luò)安全性探討[J].信息科技,2008,37(6):24-26.
原有的單一通信技術(shù),無線通信的產(chǎn)生方式和傳輸技術(shù)在逐步的完善,相應(yīng)的,信息的傳播安全和傳播途徑的可信度受到了大家的關(guān)注。國家電力企業(yè)將通信公司的2G/3G/4G無線移動網(wǎng)絡(luò)和電力信息通信相結(jié)合,取長補短,組建了具有廣泛性,高效能,嚴(yán)格保密特點的電力無線虛擬專網(wǎng),為智能化通信網(wǎng)絡(luò)在語音、數(shù)據(jù)、圖像、視頻等多媒體方面提供技術(shù)支持。
1電力無線虛擬專網(wǎng)組成結(jié)構(gòu)
國家電力企業(yè)信息內(nèi)網(wǎng)工作信息的傳送途徑主要以電力無線虛擬專網(wǎng)為主要途徑,電網(wǎng)組成是各級電網(wǎng)單位與通信公司相結(jié)合的集中接入的方式,如有想要加入到國家電網(wǎng)內(nèi)部信息網(wǎng)絡(luò)的客戶,客戶信息網(wǎng)絡(luò)會通過最終客戶端連入通信公司的無線網(wǎng)絡(luò),再通過信息公司的相應(yīng)傳送途徑進行包裝,到達客戶端后進行解析工作,然后,安裝信息安全裝置才能加入企業(yè)的信息內(nèi)網(wǎng)。
2電力無線虛擬專網(wǎng)的安全防范措施
國家電網(wǎng)無線網(wǎng)絡(luò)連接的共同途徑為電力無線虛擬專網(wǎng),它存在很多的安全隱患,包括信息傳送的安全隱患和信息范圍的安全隱患,從在網(wǎng)絡(luò)信息安全和傳送范圍兩個方面入手大力保護,可減少信息傳送過程中出現(xiàn)的安全隱患。電力無線虛擬專網(wǎng)網(wǎng)絡(luò)起于通信公司無線基站止于電力安全防護設(shè)備,供電廠的主要工作是減少電力側(cè)網(wǎng)絡(luò)設(shè)備、電力側(cè)安全防護設(shè)備及客戶端的運行問題,確??蛻艚K端可以流暢應(yīng)用,通信公司主要工作是減少無線基站、運營商IP承載網(wǎng)、專線的運行問題,使其規(guī)律的工作。此篇文章主演探究電力無線虛擬專網(wǎng)電力網(wǎng)絡(luò)側(cè)、電力網(wǎng)絡(luò)邊界側(cè)信息安全防范措施。
3電力無線虛擬專網(wǎng)數(shù)據(jù)保護要點
國家電網(wǎng)公司電力無線虛擬專網(wǎng)主要覆蓋信息內(nèi)網(wǎng)業(yè)務(wù),根據(jù)信息內(nèi)網(wǎng)的安全防護要求,針對業(yè)務(wù)應(yīng)用數(shù)據(jù)的重要程度,結(jié)合國家電網(wǎng)公司終端實際使用情況及成本效益綜合考慮,電力無線虛擬專網(wǎng)可采用安全防護架構(gòu)。信息安全防護方案將電力無線虛擬專網(wǎng)分為三個區(qū)域:電力無線虛擬專網(wǎng)域、網(wǎng)絡(luò)邊界域和內(nèi)網(wǎng)域。專網(wǎng)域采用租用運營商的專用傳輸通道承載無線終端數(shù)據(jù);網(wǎng)絡(luò)邊界域采用防火墻和IDS等安全設(shè)備進行訪問控制和網(wǎng)絡(luò)攻擊檢測,采用公司專用的安全接入設(shè)備實現(xiàn)終端到邊界的加密傳輸、終端合法性認證和數(shù)據(jù)隔離交換等安全功能。
4電力無線虛擬專網(wǎng)信息安全防護措施
根據(jù)電力無線虛擬專網(wǎng)安全防護架構(gòu)、安全區(qū)域劃分以及安全責(zé)任分界面的劃分等方面考慮,分別從電力企業(yè)側(cè)與運營商側(cè)闡述信息安全防護措施。
4.1電力企業(yè)側(cè)信息安全防范方法
電力企業(yè)在網(wǎng)絡(luò)信息安全范圍和信息內(nèi)網(wǎng)域采用信息安全防范方法,以完成網(wǎng)絡(luò)信息安全范圍、信息內(nèi)網(wǎng)域的安全防范。4.1.1安全范圍規(guī)劃:電力無線虛擬專網(wǎng)邊界對安全范圍進行嚴(yán)格規(guī)劃,使網(wǎng)絡(luò)使用范圍明了,對每個安全范圍都應(yīng)用合適的安全防范方法,并且,對已經(jīng)到達的網(wǎng)絡(luò)信息加以系統(tǒng)的安全保障措施,更好的提升瀏覽監(jiān)控、危險檢測、輸送監(jiān)管和客戶端認證等應(yīng)用的使用性能。4.1.2訪問控制:在邊界接入設(shè)備上針對源地址制定訪問控制,禁止不同APN業(yè)務(wù)互訪;使用防火墻制定嚴(yán)格的訪問策略實現(xiàn)專網(wǎng)域至網(wǎng)絡(luò)邊界域的訪問控制。4.1.3安全隔離:采用電力企業(yè)專用安全接入設(shè)備實現(xiàn)網(wǎng)絡(luò)邊界域與內(nèi)網(wǎng)域之間的數(shù)據(jù)安全交換,阻止非法網(wǎng)絡(luò)連接穿透網(wǎng)絡(luò)邊界訪問信息內(nèi)網(wǎng)。4.1.4安全防御及入侵檢測:在邊界部署防火墻及入侵檢測系統(tǒng),實現(xiàn)抗DOS攻擊、防惡意代碼等功能,即時監(jiān)視網(wǎng)絡(luò)行為和網(wǎng)絡(luò)攻擊檢測。4.1.5安全審計:對邊界安全設(shè)備進行日志記錄及審計,為評估網(wǎng)絡(luò)安全性及網(wǎng)絡(luò)安全加固提供依據(jù)。4.1.6隧道加密傳輸:在無線終端與電力企業(yè)專用安全接入設(shè)備之間建立安全加密傳輸通道傳輸業(yè)務(wù)數(shù)據(jù),保障業(yè)務(wù)數(shù)據(jù)的安全傳輸。4.1.7接入控制:建立身份認證系統(tǒng)對接入網(wǎng)絡(luò)用戶進行強認證,禁止非法用戶接入;信息內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)采取有效措施對接入電力無線虛擬專網(wǎng)的終端硬件特征進行認證。
4.2通信公司隱患預(yù)防方法
通信公司使用隱患預(yù)防方法,以完成無線信息專網(wǎng)系統(tǒng)的網(wǎng)絡(luò)安全連接保護、專用途徑分類等專網(wǎng)域安全防護。4.2.1網(wǎng)絡(luò)信息安全連接保護:客戶端應(yīng)用特定的APN接入,同時通信公司進行電力無線虛擬專業(yè)網(wǎng)絡(luò)合法SIM卡授權(quán),通過授權(quán)后的合法SIM卡可以獲得訪問權(quán),但不可以瀏覽互聯(lián)網(wǎng)和其他網(wǎng)絡(luò)。4.2.2APN訪問監(jiān)管:相同的APN內(nèi)客戶端不可以相互訪問,相反的,不同的APN內(nèi)客戶端允許互訪。4.2.3特定通道及分離:在GGSN上電力無線虛擬專網(wǎng)用戶應(yīng)用VRF技術(shù)與其他用戶路由分離;采取GRE/L2TP/MPLSVPN等VPN方法在通信公司網(wǎng)絡(luò)中輸送電力無線虛擬專網(wǎng)信息以完成專網(wǎng)專用的目的,使其更好的與其他網(wǎng)絡(luò)傳播途徑區(qū)別。
5結(jié)束語
1無線網(wǎng)絡(luò)介紹及應(yīng)用
無線局域網(wǎng),即“WLAN”(WirelessLocalAreaNetwork),是計算機網(wǎng)絡(luò)與無線通信技術(shù)結(jié)合,高速發(fā)展的產(chǎn)物。比起傳統(tǒng)的以太網(wǎng),無線網(wǎng)絡(luò)是在空中傳播射頻信號,能滿足信號范圍內(nèi)的數(shù)據(jù)接收,使得通信的移動性、便捷化及個人化最大實現(xiàn)。WLAN能夠讓用戶及時有效的訪問網(wǎng)絡(luò)信息,實現(xiàn)網(wǎng)絡(luò)的移動互連,同時克服網(wǎng)線線纜的限制,改善有線網(wǎng)絡(luò)引起的不便。圖1是無線網(wǎng)絡(luò)的工作流程圖,從中可以看出無線網(wǎng)絡(luò)具體的工作過程。
無線網(wǎng)絡(luò)在個人、家庭和企業(yè)都得到了廣泛應(yīng)用,在各式各樣的無線網(wǎng)絡(luò)中,無線局域網(wǎng)是最為普遍的,它應(yīng)用到了硬件設(shè)備及軟件設(shè)備兩個不同的領(lǐng)域。無線網(wǎng)絡(luò)主要是通過紅外線、WiFi、藍牙這三種方式進行數(shù)據(jù)傳輸,它們各有自己的特色和使用區(qū)域。紅外線無線傳輸主要應(yīng)用于電視、空調(diào)等家電遙控器中,它的通訊距離相對較短,傳輸速度也很快,可達到16Mbps左右,是利用紅外線中電磁波進行數(shù)據(jù)傳送的一種方式。WiFi是“無線相容性認證”的簡稱,目前主要運用的是802.11b標(biāo)準(zhǔn)和802.1lg標(biāo)準(zhǔn),雖然理想情況下它們的傳輸速度分別可以達到11Mbps和54Mbps,但實際使用時,只能實現(xiàn)理想狀況的一半左右,但已經(jīng)足夠擺脫對網(wǎng)絡(luò)線纜的依賴,實現(xiàn)音頻傳輸。藍牙是全球開放的無線傳輸,它的自由頻段為2.4GHz,雖然一般數(shù)據(jù)傳輸?shù)乃俣戎挥衛(wèi)Mbps,最高也只能達到3Mbps左右,但是卻是應(yīng)用最為廣泛的一種。市面上的無線家庭影院產(chǎn)品,不管使用的是哪種無線傳輸方式,在傳輸表現(xiàn)上都不錯,音質(zhì)完美,視屏流暢清晰,沒有出現(xiàn)大家擔(dān)心的訊號遲鈍、音質(zhì)不好、視頻粗糙等問題。現(xiàn)在WiFi無線網(wǎng)絡(luò)技術(shù)已成為社會主流,英特爾公司在WiFi上取得了巨大成功,成為了倡導(dǎo)WirelessUSB技術(shù)的先鋒。無線USB接口技術(shù)在近距離能夠達到480Mbps的數(shù)據(jù)傳輸率,比起IEEE1394和USB2.0,WirelessUSB最大的優(yōu)勢是“無線”,這是現(xiàn)在的技術(shù)所難以抗衡的。另外,由于WirelessUSB技術(shù)強化了媒體數(shù)據(jù)傳輸?shù)男阅?,比起現(xiàn)在的有線USB技術(shù),能更快地進入無線PC、數(shù)碼相機、打印機、鍵盤和鼠標(biāo)產(chǎn)品等科技領(lǐng)域,這是無線網(wǎng)絡(luò)技術(shù)的一次革新。
2無線網(wǎng)絡(luò)安全隱患
無線網(wǎng)絡(luò)安全威脅是指非授權(quán)用戶對資源進行竊取,給資源的保密完整性及授權(quán)用戶合法使用資源的權(quán)力造成破壞的問題。無線網(wǎng)絡(luò)與傳統(tǒng)的有線網(wǎng)絡(luò)相比,安裝簡單、攜帶方便、靈活機動,解決了有線網(wǎng)絡(luò)在時間空間上的限制,大大提高了數(shù)據(jù)傳輸?shù)男?。但正是這些特點,使得無線網(wǎng)絡(luò)不僅存在有線局域網(wǎng)面臨的安全威脅,還存在其特有的一些安全隱患。
2.1信號干擾
信號干擾主要來自兩個方面,一個是周邊設(shè)備所帶來的,另一個是同類設(shè)備導(dǎo)致?,F(xiàn)在的無線網(wǎng)絡(luò),一般是采用ISM,即工業(yè)、科學(xué)、醫(yī)學(xué)頻段,而最為常用的IEEE80211b/g與微波爐、移動電話等的工作頻率相同,都是2.4GHz。另外,一些復(fù)印機、防盜設(shè)施等常用設(shè)備,也對其造成了一定的影響。而在無線網(wǎng)絡(luò)使用中,這些設(shè)備經(jīng)常與其同時出現(xiàn),對無線網(wǎng)絡(luò)的信號造成干擾。還有同類設(shè)備帶來的干擾,由于無線網(wǎng)絡(luò)的廣泛應(yīng)用,同一建筑物或附近建筑物同時使用無線網(wǎng)絡(luò)的情況比比皆是,若使用的信息通道一樣,就會相互造成干擾,使得網(wǎng)速下降、信號不穩(wěn)。
2.2數(shù)據(jù)的竊聽、截取和篡改
無線網(wǎng)絡(luò)的載體是公共的電磁波,玻璃、樓層等物體都能輕易穿過,無線信號就會傳播到其余的無線客戶端。由于它的開放性,無線網(wǎng)絡(luò)很容易被入侵,造成數(shù)據(jù)的泄露。而使用NetStumbler、AiroPeek、TCPDump等專門的軟件,更是能輕而易舉地截取信息,甚至進行篡改。就是說竊聽網(wǎng)絡(luò)傳輸不需要專門的竊聽設(shè)備,卻能得到機密數(shù)據(jù),對其他系統(tǒng)進行攻擊。如果入侵者連接到了內(nèi)部網(wǎng)絡(luò),可以篡改使用者的數(shù)據(jù)信息,釋放病毒,使得合法用戶的服務(wù)降低,嚴(yán)重的話,甚至?xí)?dǎo)致電腦的癱瘓,這是無線網(wǎng)絡(luò)安全威脅中最為常見、嚴(yán)重的一種。
2.3拒絕服務(wù)和網(wǎng)絡(luò)堵塞
無線網(wǎng)絡(luò)入侵者會發(fā)出DOS(DiskOperationSystem)即磁盤操作系統(tǒng)攻擊,干擾低層無線網(wǎng)絡(luò)運行,或發(fā)送大量數(shù)據(jù)導(dǎo)致網(wǎng)絡(luò)堵塞,破壞無線網(wǎng)絡(luò)的正常使用,造成安全隱患。
2.4用戶缺乏安全防范的意識
很多家庭用戶在使用無線網(wǎng)絡(luò)時,沒有采取或采取的安全措施不到位,不能防止蹭網(wǎng)者及黑客的入侵。不僅是個人、家庭,很多企業(yè)在應(yīng)用無線網(wǎng)絡(luò)時,忽視對它的管理,難以發(fā)揮出無線網(wǎng)絡(luò)的優(yōu)勢,還給企業(yè)的網(wǎng)絡(luò)安全埋下了安全隱患。
3無線網(wǎng)絡(luò)安全防護策略
做好無線網(wǎng)絡(luò)安全防護,保護其免受入侵者的威脅,提高使用的安全性,做好通信的保密性,主要可以從幾個方面進行改善。
3.1要規(guī)劃天線的放置,把握信號覆蓋范圍
要將無線網(wǎng)絡(luò)的天線放置在合理安全的地點,將信號控制在一定的范圍之中,讓覆蓋區(qū)以外的地點不能接收到。然后,將天線放在覆蓋區(qū)的中心位置上,減少信號的外泄。部署好之后,要進行完整徹底的勘測,確定信號的覆蓋和不外泄。
3.2變更SSID和禁止SSID廣播。
SSID(服務(wù)集標(biāo)識符)是客戶端用來建立連接的訪問點識別字符串,是由無線設(shè)備制造商設(shè)定,如果入侵者得知,就可以輕易使用無線網(wǎng)絡(luò)。在安裝無線網(wǎng)絡(luò)后,一定要馬上變更SSID,改用別人難以猜到的命名。禁止SSID通過天線廣播,可以阻止入侵者,保障網(wǎng)絡(luò)的安全。也可以干脆關(guān)閉SSID,雖然會對網(wǎng)速產(chǎn)生一定的影響,但是安全性會大大提高,建議一般的個人和家庭使用者這么做。
3.3MAC地址的過濾
這是無線網(wǎng)絡(luò)安全措施較為常見的一種,可以達到過濾未知設(shè)備連接自己的網(wǎng)絡(luò)的目的。每個用戶的MAC地址都是唯一的,通過設(shè)置MAC地址列表,設(shè)置只有列表中的用戶才可以訪問網(wǎng)絡(luò),杜絕入侵者的威脅。一般的家庭用戶,可以將家中電腦放在列表中,啟動MAC地址過濾,避免鄰居蹭網(wǎng)和黑客入侵。
3.4禁用DHCP
DHCP(DynamicH0stConfi2urationProtocol)即動態(tài)主機分配協(xié)議,可以幫助用戶進行IP地址隨機分配,方便用戶,卻也造成在信號覆蓋范圍內(nèi),無線網(wǎng)絡(luò)都會分配到IP地址,很容易被某些入侵者利用,留下了極大的安全隱患。禁用DHCP,可以阻止黑客輕易入侵,從一定程度上起到了安全防護的作用,因此對于無線網(wǎng)絡(luò)用戶來說,這是很有必要的。
3.5采用虛擬專用網(wǎng)絡(luò)
VPN(VirtualPrivateNetwork)即虛擬專用網(wǎng)絡(luò),是指通過公共的IP網(wǎng)絡(luò)平臺,應(yīng)用隧道及加密技術(shù),來保證專用數(shù)據(jù)的安全性。VPN技術(shù)只是用來增強網(wǎng)絡(luò)安全的一種方式,并沒有囊括在802.11標(biāo)準(zhǔn)定義中。目前已經(jīng)有許多企業(yè)和運營商已經(jīng)采用了這項技術(shù),來協(xié)助保密和地址過濾等。除了以上的一些措施外,用戶也要提高自身的安全用網(wǎng)意識,積極采取措施,保證無線網(wǎng)絡(luò)安全。
關(guān)鍵詞:無線局域網(wǎng) 校園網(wǎng) 安全防御
無線網(wǎng)絡(luò)已逐步在校園網(wǎng)絡(luò)普及,逐漸成為校園網(wǎng)絡(luò)建設(shè)的重點。無線網(wǎng)絡(luò)給我們帶來便捷的同時,也帶來了網(wǎng)絡(luò)安全隱患,無線網(wǎng)絡(luò)的信道開放的特點,使得網(wǎng)絡(luò)數(shù)據(jù)容易被攻擊者竊聽、修改或轉(zhuǎn)發(fā)。因此,探索校園無線局域網(wǎng)安全防御策略和解決方案具有非常重要的理論意義和現(xiàn)實意義。
一、校園無線網(wǎng)的安全問題
(一)未經(jīng)授權(quán)使用網(wǎng)絡(luò)服務(wù)
由于WLAN的開放式訪問方式特點,未經(jīng)授權(quán)也可以使用網(wǎng)絡(luò)資源。占用無線通道,增加了帶寬費用,合法用戶的服務(wù)質(zhì)量遭到影響,而且非法用戶濫用無線網(wǎng)絡(luò)資源,使得合法的無線校園網(wǎng)的用戶無法正常使用。
(二)地址欺騙和會話攔截
現(xiàn)在許多網(wǎng)卡都支持MAC地址重新配置,非法用戶可以通過將自己所用網(wǎng)絡(luò)設(shè)備的MAC地址改為合法用戶MAC地址的方法,使用MAC地址“欺騙”,成功通過交換機的檢查,進而非法訪問網(wǎng)絡(luò)資源。非法用戶利用無線網(wǎng)路的特點監(jiān)聽合法站點的MAC地址,并對合法的MAC地址進行惡意攻擊。
(三)高級入侵
一旦攻擊者侵入無線網(wǎng)絡(luò),它將成為進一步入侵其他系統(tǒng)的起點。多數(shù)學(xué)校部署的WLAN都在防火墻之后,這樣WLAN的安全隱患就會成為整個安全系統(tǒng)的漏洞,只要攻破無線網(wǎng)絡(luò),整個網(wǎng)絡(luò)就將暴露在非法用戶面前。
二、無線局域網(wǎng)安全技術(shù)
目前有很多種無線局域網(wǎng)的安全技術(shù),有物理地址(MAC)過濾、服務(wù)集標(biāo)識符(SSID)匹配、有線對等保密(WEEP)、端口訪問控制技術(shù)(IEEE802.1x)、IEEE 802.11i等。下面對在無線局域網(wǎng)中常用的安全技術(shù)進行簡介。
(一) 物理地址(MAC)過濾
物理地址過濾屬于硬件認證,而不是用戶認證,而且MAC過濾技術(shù)的可擴展性比較差,MAC地址在理論上還可以偽造,因此這也是較低級別的授權(quán)認證,也只適合于小型網(wǎng)絡(luò)規(guī)模。
(二)服務(wù)集標(biāo)識符(SSID)匹配
通過SSID設(shè)置,可以對用戶進行有效分組,保證網(wǎng)路的安全和性能。對AP設(shè)置不同的SSID,無線工作站必須出示正確的SSID才能訪問AP,這樣就可以允許不同的用戶群組接入,并且通過設(shè)置隱藏接入點及SSID的權(quán)限控制來達到保密的目的。
(三)有線對等保密(WEP)
有線對等保密(Wired Equivalent Privacy,WEP)是一種數(shù)據(jù)加密算法,用于提供等同于有線局域網(wǎng)的保護能力。使用了該技術(shù)的無線局域網(wǎng),所有客戶端與無線接入點的數(shù)據(jù)都會以一個共享的密鑰進行加密,密鑰的長度有40位至256位兩種,密鑰越長,黑客就需要更多的時間去進行破解,因此能夠提供更好的安全保護。
(四)端口訪問控制技術(shù)(IEEE802.1x)和可擴展認證協(xié)議(EAP)
IEEE802.1x是基于端口的網(wǎng)絡(luò)訪問控制標(biāo)準(zhǔn),它能提供一種對連接到局域網(wǎng)的用戶進行認證和授權(quán)的手段,達到接受合法用戶接入,保護網(wǎng)絡(luò)安全的目的。
(五)IEEE 802.1li
IEEE 802.11i的目標(biāo)是以針對無線網(wǎng)路原本所具備的弱點加以補強,目前802.11i主要定義的加密機制可以分為TKIP(Temporal Key Integrity Protoco1)與AES,其中TKIP就是目前WPA 1.x(WPA/SSN)主要采用的加密機制。
三、校園無線網(wǎng)的安全防御策略
無線網(wǎng)絡(luò)利用空中載波信道作為傳輸媒介,物理層和數(shù)據(jù)鏈路層的工作原理與有線網(wǎng)絡(luò)不同,遵循的安全策略也不同。在校園無線網(wǎng)絡(luò)的設(shè)計中,如何保證合法用戶的使用權(quán)限,避免非法用戶的侵入已成為無線網(wǎng)絡(luò)規(guī)劃者的設(shè)計重點。
現(xiàn)有的WLAN產(chǎn)品的安全技術(shù)中,SSID禁止廣播、WEP機密、WPA認證、802.1X認證、EAP—TLS擴展認證、VLAN劃分等一系列技術(shù)的得到廣泛運用,有效的提升無線網(wǎng)絡(luò)的安全防御性能。我們可以把室內(nèi)型和室外型網(wǎng)絡(luò)設(shè)備均支持SSID禁止廣播、WEP機密、WPA認證、802.1X認證、EAP—TLS擴展認證、VLAN劃分技術(shù),可提供完備的安全防御功能。啟用了目前先進的SSID廣播禁止功能之后,由于空中不再廣播明文的SSID號碼,使得那些擁有截獲SSID密碼的無線終端非法訪問網(wǎng)絡(luò)。
另外,WEP(有線等效密鑰)和WPA/WPA2(接入保護)技術(shù)的出現(xiàn),可以通過大量的密文加密位和動態(tài)的密鑰協(xié)議(TKIP/AES),為非法訪問者制造難以攻破的障礙,從而避免網(wǎng)絡(luò)安全事件的發(fā)生。我們在校園無線網(wǎng)絡(luò)規(guī)劃中,由于目前各高校校園有線網(wǎng)絡(luò)已具備一定規(guī)模,因此,在無線網(wǎng)絡(luò)融合進有線網(wǎng)絡(luò)進行數(shù)據(jù)交換之前,通過WEP和WPA加密技術(shù)可以增加一層保護手段,可以極大的提升安全防御的能力。
另外,對于室內(nèi)/室外型AP產(chǎn)品,由于其分別開放于室內(nèi)高密度訪問和室外環(huán)境,面對的是所有用戶群體,對不同的用戶群體的權(quán)限和身份識別則成為必須的功能。因此,AP產(chǎn)品應(yīng)選擇具備多BSS的劃分和802.1Q VLAN功能的無線產(chǎn)品,協(xié)助接入層無線用戶與接入層交換機用戶同樣接受全網(wǎng)統(tǒng)一管理和VLAN的劃分,這樣可以徹底解決無線用戶無法管、不方便管的疑難問題。
對于覆蓋室內(nèi)/室外環(huán)境的無線接入點設(shè)備而言,由于接入用戶比較復(fù)雜,網(wǎng)絡(luò)應(yīng)用不盡相同,因此針對不同用戶、不同應(yīng)用的QOS保證必須具備。我們可以采用支持標(biāo)準(zhǔn)的 802.11i協(xié)議的網(wǎng)絡(luò)無線接入點產(chǎn)品,可針對不同的BSS或802.1 Q VLAN設(shè)置優(yōu)先級保證,有利于充分、合理的利用信道帶寬。
四、結(jié)束語
信息化的普及使得校園網(wǎng)絡(luò)已經(jīng)與教職工、學(xué)生的工作和生活息息相關(guān),是教職工和學(xué)生獲取信息和資源的主要途徑。校園網(wǎng)絡(luò)為用戶帶來了很大便捷的同時,網(wǎng)絡(luò)安全問題的存在時刻威脅著用戶信息的安全。只有運用有效的安全技術(shù)和策略,才能阻止非法用戶利用校園網(wǎng)絡(luò)進行非法操作,保證校園網(wǎng)絡(luò)的正常、穩(wěn)定運行。
參考文獻
[1]孟彥.無線局域網(wǎng)網(wǎng)絡(luò)安全問題研究[J].信息安全與技術(shù),2012(01).
[2]趙祖應(yīng),鄧平.無線局域網(wǎng)安全策略方案設(shè)計[J].辦公自動化,2010(14).
關(guān)鍵詞:無線;局域網(wǎng);安全問題;防范措施
近些年,無線局域網(wǎng)技術(shù)發(fā)展速度是非??斓?,它已經(jīng)替代了傳統(tǒng)的有限局域網(wǎng),受到了廣大用戶的歡迎。無線局域網(wǎng)具有以下優(yōu)勢:(1)無線局域網(wǎng)使用戶的加入更加輕松;(2)無線局域網(wǎng)的布線節(jié)省了大量的人力和物力,不需要網(wǎng)線與插槽;(3)使用者可以使用移動上網(wǎng)設(shè)備進行自由活動;(4)在網(wǎng)絡(luò)發(fā)生故障時,主需要對發(fā)送端和接收端的訊號進行檢測就可以了。然而,無線局域網(wǎng)相對于有線局域網(wǎng)而言,產(chǎn)生了新的安全問題。本文對這些問題進行了分析,并且提出了相應(yīng)的防范措施。
1、無線局域網(wǎng)安全分析
網(wǎng)絡(luò)的安全問題是需要在建立時就應(yīng)該進行考慮,無線局域網(wǎng)絡(luò)也是如此。以下對無線局域網(wǎng)所面臨的風(fēng)險進行分析。
1.1 容易侵入
為了能夠使用戶發(fā)現(xiàn)無線網(wǎng)絡(luò)的存在,網(wǎng)絡(luò)就必須發(fā)送有特定參數(shù)的信標(biāo)幀,這樣為攻擊者的攻擊提供了必要的網(wǎng)絡(luò)信息。
1.2未經(jīng)授權(quán)使用服務(wù)
開放式訪問方式是無線局域網(wǎng)的主要訪問方式,沒有經(jīng)過授權(quán)就使用網(wǎng)絡(luò)資源不僅會使帶寬費大大增加,而且還會導(dǎo)致法律糾紛。
1.3非法的AP
無線局域網(wǎng)有很多特定,易于訪問和配置簡單就是其中典型的特性,任何人的計算機都可以通過自己購買的AP連入網(wǎng)絡(luò),而不經(jīng)過授權(quán)來實現(xiàn)。
1.4地址欺騙和會話攔截
攻擊者對數(shù)據(jù)流的重定可通過欺騙數(shù)據(jù)幀的方式來進行,并且此方式的實施使ARP表變得更加混亂,然后將網(wǎng)絡(luò)中站點的MAC地址很容易就獲得到,這些地址可以被用來得以攻擊時使用。攻擊者可以通過AP發(fā)出的廣播幀發(fā)現(xiàn)AP的存在然后裝扮成AP進入網(wǎng)絡(luò), 通過截獲會話幀發(fā)現(xiàn)AP中存在的認證缺陷,通過這樣的AP,攻擊者可以進一步獲取認證身份信息從而進入網(wǎng)絡(luò)。
1.5拒絕服務(wù)攻擊
無線局域網(wǎng)存在一種比較特殊的拒絕服務(wù)攻擊,攻擊者可以發(fā)送與無線局域網(wǎng)相同頻率的干擾信號來干擾網(wǎng)絡(luò)的正常運行,從而導(dǎo)致正常的用戶無法使用網(wǎng)絡(luò)。
2、 無線局域網(wǎng)策略
2.1加強網(wǎng)絡(luò)訪問控制
無線網(wǎng)絡(luò)配置的風(fēng)險可以通過加強網(wǎng)絡(luò)訪問控制來進行減少。如果在像防火墻這樣的網(wǎng)絡(luò)安全設(shè)備外安置AP,連接到主干網(wǎng)絡(luò)時最好通過VPN技術(shù)進行,更好的辦法是使用基于IEEE802.1X的新的無線網(wǎng)絡(luò)產(chǎn)品。用戶級認證的新的幀的類型被IEEE802.1X新產(chǎn)品定義,借助于企業(yè)網(wǎng)已經(jīng)存在的用戶數(shù)據(jù)庫,對IEEE802.1X進行轉(zhuǎn)換。
2.2阻止未被認證的用戶進入網(wǎng)絡(luò)
通過加密辦法對認證過程進行加密是認證的前提,這樣猶豫訪問特權(quán)是基于用戶身份的,對通過電波傳輸?shù)木W(wǎng)絡(luò)流量進行保護可以通過VPN技術(shù)來進行。一旦網(wǎng)絡(luò)成功配置,嚴(yán)格的認證方式和認證策略是非常重要的。另外,對無線網(wǎng)絡(luò)進行定期測試,從而網(wǎng)絡(luò)設(shè)備使用安全認證機制得以保證,并且網(wǎng)絡(luò)設(shè)備的配置正常也得以保證。
2.3定期進行的站點審查
無線網(wǎng)絡(luò)與其他網(wǎng)絡(luò)是一樣的,也需要注重安全管理。在入侵者使用網(wǎng)絡(luò)之前,尋找未被授權(quán)的網(wǎng)絡(luò)通過接收天線來進行,應(yīng)當(dāng)盡可能地頻繁進行物理站點檢測,對于非法配置站點的存在幾率可以通過頻繁的檢測來發(fā)現(xiàn),但是這樣不僅會花費很多的時間,而且移動性較差。選擇小型的手持式檢測設(shè)備是一種折中的辦法。管理員可以隨時到網(wǎng)絡(luò)的任何位置進行檢測,主要通過手持掃描設(shè)備來進行。
2.4采用可靠的協(xié)議進行加密
如果用戶的無線網(wǎng)絡(luò)用于傳輸比較敏感的數(shù)據(jù),那么僅用WEP加密方式是遠遠不夠的,需要進一步采用像SSH、SSL、IPSec等加密技術(shù)來加強數(shù)據(jù)的安全性。
2.5拒絕筆記本ad-hoc方式接入
在任何企業(yè)中都應(yīng)當(dāng)采取這一嚴(yán)厲的措施。ad-hoc模式將允許Wi-Fi用戶直接連接到另一臺相鄰的筆記本,這將構(gòu)成你完全不能想象的恐怖的網(wǎng)絡(luò)環(huán)境。
2.6利用MAC阻止黑客攻擊
利用基于MAC地址的ACLS(訪問控制表)確保只有經(jīng)過注冊的設(shè)備才能進入網(wǎng)絡(luò)。MAC過濾技術(shù)就如同給系統(tǒng)的前門再加一把鎖,設(shè)置的障礙越多,越會使黑客知難而退,不得不轉(zhuǎn)而尋求其他低安全性的網(wǎng)絡(luò)。
2.7有效管理無線網(wǎng)絡(luò)的ID
所有無線局域網(wǎng)都有一個缺省的SSID(服務(wù)標(biāo)識符)或網(wǎng)絡(luò)名。立即更改這個名字,用文字和數(shù)字符號來表示。如果企業(yè)具有網(wǎng)絡(luò)管理能力,應(yīng)該定期更改SSID。不要到處使用這個名字:即取消SSID自動播放功能。
2.8提高已有的RADIUS服務(wù)
公司的遠程用戶常常通過RADIUS(遠程用戶拔號認證服務(wù))實現(xiàn)網(wǎng)絡(luò)認證登錄。企業(yè)的IT網(wǎng)絡(luò)管理員能夠?qū)o線局域網(wǎng)集成到已經(jīng)存在的RADIUS架構(gòu)內(nèi)來簡化對用戶的管理。這樣不僅能實現(xiàn)無線網(wǎng)絡(luò)的認證,而且還能保證無線用戶與遠程用戶使用同樣的認證方法和帳號。
2.9采用強力的密碼
一個足夠強大的密碼可以讓暴力破解成為不可能實現(xiàn)的情況。相反的,如果密碼強度不夠,幾乎可以肯定會讓你的系統(tǒng)受到損害。
2.10對網(wǎng)絡(luò)入侵者進行監(jiān)控
需要對攻擊的發(fā)展趨勢進行跟蹤,了解惡意工具是怎么連接到網(wǎng)絡(luò)上的,怎么做可以提供更好的安全保護。你還需要對日志里掃描和訪問的企圖等相關(guān)信息進行分析,找出其中有用的部分,并且確保在真正的異常情況出現(xiàn)的時間可以給予及時的通知。
3、結(jié)語
在無線局域網(wǎng)的發(fā)展中,一個重要的問題就是無線局域網(wǎng)絡(luò)的安全問題。目前,基本上的安全防范措施的提出都是安全問題出現(xiàn)問題才提出來的,也就是說,發(fā)生損失才進行防止。而最好的辦法就是進行事前控制,將損失降至最低。不斷完善無線設(shè)備,加強加密技術(shù),提高傳輸速度,只有這樣無線局域網(wǎng)才會順利發(fā)展。
參考文獻:
[1] 涂軍, 張穎江, 黃慶炬. 無線局域網(wǎng)的安全[J]. 湖北工業(yè)大學(xué)學(xué)報, 2006, (04).
[2] 趙琴. 淺談無線網(wǎng)絡(luò)的安全性研究[J].機械管理開發(fā), 2008, (01).
1大數(shù)據(jù)時代簡介
大數(shù)據(jù)主要是指海量數(shù)據(jù),數(shù)據(jù)中一般存在著相當(dāng)多的有用信息,且這些數(shù)據(jù)的類型以及結(jié)構(gòu)都趨向于多樣化、處理和更新速度快等特點。大數(shù)據(jù)的處理以及應(yīng)用主要借助于云計算,利用云計算將數(shù)據(jù)作為計算機網(wǎng)絡(luò)的中心,改變?nèi)藗儗Y源進行獲取的方式。大數(shù)據(jù)時代,網(wǎng)絡(luò)犯罪現(xiàn)象的明顯,以及網(wǎng)絡(luò)安全的重要性,導(dǎo)致大家對大數(shù)據(jù)時代下的網(wǎng)絡(luò)安全問題越來越重視。要想充分保證大數(shù)據(jù)時代下的網(wǎng)絡(luò)安全,首先要認識到網(wǎng)絡(luò)安全的現(xiàn)狀,并對網(wǎng)絡(luò)安全涉及的物理、信息安全等問題做全面的分析。在分析保護網(wǎng)絡(luò)物理安全時,要充分全面的考慮網(wǎng)絡(luò)設(shè)計和規(guī)劃、電源故障、硬件配置等問題。對信息內(nèi)容安全進行綜合分析時,要注意保護數(shù)據(jù)信息的安全,以防止數(shù)據(jù)泄露以及破壞發(fā)生,并對用戶設(shè)置一定的權(quán)限,以防止非法用戶對信息進行非法操作,隨意對數(shù)據(jù)進行修改,偷竊,給合法用戶的安全造成威脅。當(dāng)信息數(shù)據(jù)被破壞時,需要及時對數(shù)據(jù)的安全進行維護,并及時抑制非法操作。在分析數(shù)據(jù)的傳播以及管理安全時,要防范病毒入侵以及網(wǎng)絡(luò)攻擊。對網(wǎng)絡(luò)安全系統(tǒng)做好維護工作,從而保障數(shù)據(jù)傳輸?shù)陌踩?。對?shù)據(jù)的安全進行管理分析時,要充分綜合的對軟件可操作性進行分析,并對計算機網(wǎng)絡(luò)的安全性進行實時監(jiān)控,及時對威脅網(wǎng)絡(luò)安全的因素采取應(yīng)對措施,從而達到保護數(shù)據(jù)的目的??傊?,在大數(shù)據(jù)時代下進行計算機網(wǎng)絡(luò)安全防范工作,既要做好計算機網(wǎng)絡(luò)的硬件維護,還要對計算機網(wǎng)絡(luò)的數(shù)據(jù)安全性做好常規(guī)的維護管理,并綜合分析計算機網(wǎng)絡(luò)傳播和管理安全,從而保障大數(shù)據(jù)時代背景下計算機網(wǎng)絡(luò)的安全性。
2大數(shù)據(jù)時代網(wǎng)絡(luò)安全的現(xiàn)狀
在大數(shù)據(jù)時代下,對網(wǎng)絡(luò)安全采取防范措施非常有必要。所謂的計算機網(wǎng)絡(luò)安全主要指管理、保障網(wǎng)絡(luò)數(shù)據(jù)的保密性、完整性和可用性。計算機網(wǎng)絡(luò)安全主要可以分為物理和邏輯安全兩方面,物理安全主要指計算機硬件設(shè)施受到的保護,防止硬件設(shè)施上的信息數(shù)據(jù)被丟失,破壞。而邏輯安全主要指數(shù)據(jù)的完整性、保密性、可用性。避免非法用戶對數(shù)據(jù)進行破壞以及篡改。伴隨著社會科技經(jīng)濟的不斷發(fā)展,信息技術(shù)的不斷發(fā)展,互聯(lián)網(wǎng)、物聯(lián)網(wǎng)和各種云技術(shù)也在不斷地更新進步,存儲的數(shù)據(jù)容量越來越多,導(dǎo)致海量的數(shù)據(jù)安全問題現(xiàn)在受到人們的密切關(guān)心。伴隨著信息技術(shù)的普遍應(yīng)用,計算機網(wǎng)絡(luò)與人的關(guān)系越來越密切。計算機大數(shù)據(jù)時代所提到的大并不僅僅是描述數(shù)據(jù)量大,還代表了數(shù)據(jù)的種類多,以及數(shù)據(jù)與數(shù)據(jù)之間的整合和交換以及分析。大數(shù)據(jù)時代下,計算機網(wǎng)絡(luò)的普及導(dǎo)致數(shù)據(jù)面臨的安全問題也越來越多,大家對計算機數(shù)據(jù)安全問題也越來越重視,并在防范計算機網(wǎng)絡(luò)安全方面做了很多的研究和探索。但計算機網(wǎng)絡(luò)還是經(jīng)常受到黑客的攻擊,從而造成網(wǎng)絡(luò)癱瘓、很多密碼賬號信息被竊取等問題,使得計算機網(wǎng)絡(luò)安全問題很嚴(yán)重,嚴(yán)重威脅到了個人隱私安全的同時,更威脅到了社會經(jīng)濟的發(fā)展以及社會和諧。
3威脅網(wǎng)絡(luò)完全的因素
隨著計算機網(wǎng)絡(luò)在社會各個方面的廣泛應(yīng)用,已成為很多人日常生活和工作中必不可缺的一部分。但計算機網(wǎng)絡(luò)在給人們帶來便利的同時,也面臨著來自各個方面的安全威脅,主要有以下5個方面:
3.1病毒感染
隨著計算機網(wǎng)絡(luò)的發(fā)展,計算機網(wǎng)絡(luò)病毒的種類越來越多,且不斷的發(fā)展變化,使得計算機網(wǎng)絡(luò)安全受到了嚴(yán)重的威脅。由于病毒具有可復(fù)制性的特征,使得它可以迅速的感染計算機的其他程序以及軟件。當(dāng)計算機的程序或者軟件被病毒感染時,一旦運行計算機,病毒就會迅速的對計算機網(wǎng)絡(luò)系統(tǒng)發(fā)起攻擊、破壞,從而使得計算機網(wǎng)絡(luò)的數(shù)據(jù)信息安全受到嚴(yán)重影響,甚至使計算機網(wǎng)絡(luò)系統(tǒng)陷入癱瘓狀態(tài)。
3.2操作失誤
雖然計算機的應(yīng)用越來越普遍,但是對于計算機的使用很多人還不夠熟練,技術(shù)上還存在一定的缺陷。很多用戶不是很懂計算機使用的方法以及規(guī)則,所以經(jīng)常會有操作失誤的現(xiàn)象,從而引發(fā)計算機網(wǎng)絡(luò)的安全漏洞,導(dǎo)致計算機陷入癱瘓狀態(tài),或者不小心將重要信息泄露出去,使得不法分子有機可趁,對私密信息進行剽竊,給用戶造成巨大的影響。
3.3黑客攻擊
在大數(shù)據(jù)時代下,黑客可以更隱秘的對計算機系統(tǒng)進行攻擊,且攻擊所造成的后果影響很大。由于大數(shù)據(jù)時代下,信息的價值密度小,一般的計算機網(wǎng)絡(luò)分析工具很難從海量的數(shù)據(jù)中識別出黑客攻擊,導(dǎo)致黑客可以將海量的私密數(shù)據(jù)信息竊取出來。同時,黑客還可以對系統(tǒng)發(fā)起攻擊,導(dǎo)致系統(tǒng)癱瘓,使得計算機網(wǎng)絡(luò)的正常運行受到嚴(yán)重的威脅。
3.4系統(tǒng)漏洞
系統(tǒng)沒有十全十美的,理論上,所有系統(tǒng)都是存在漏洞的。用戶在對計算機的軟件、硬件進行使用,和對程序進行下載的過程中,通常也都會由于一些疏忽而引發(fā)計算機網(wǎng)絡(luò)系統(tǒng)的漏洞。前者相對容易解決,可以通過下載、安裝補丁等方法對漏洞進行修復(fù);后者則會對系統(tǒng)造成很大的破壞,使數(shù)據(jù)的安全性受到嚴(yán)重威脅。還有非法分子對計算機網(wǎng)絡(luò)進行攻擊,也會引發(fā)系統(tǒng)漏洞,從而盜取客戶的隱私和信息。
3.5管理不到位
管理計算機網(wǎng)絡(luò)是維護其安全的關(guān)鍵環(huán)節(jié),是計算機管理員和計算機用戶的重要職責(zé)。很多計算機用戶疏忽對計算機網(wǎng)絡(luò)進行管理,使得計算機系統(tǒng)容易受到各種網(wǎng)絡(luò)威脅的破壞。如果管理員不加強對計算機網(wǎng)絡(luò)的管理,用戶又缺乏網(wǎng)絡(luò)安全意識,就很容易將重要的信息泄露出去,從而給用戶的生活造成嚴(yán)重的影響。各企業(yè),政府機關(guān)部門的辦公系統(tǒng)中一般都存儲有很多重要信息,所以計算機管理員更應(yīng)該加強對計算機網(wǎng)絡(luò)系統(tǒng)的安全管理。否則,一旦不法分子入侵,將會給整個企業(yè)乃至整個國家都造成不可挽回的嚴(yán)重后果。
4網(wǎng)絡(luò)安全防范措施
加強計算機網(wǎng)絡(luò)安全的防范措施,對計算機網(wǎng)絡(luò)系統(tǒng)來說意義重大。所以以網(wǎng)絡(luò)安全為出發(fā)點,建設(shè)一套完整的計算機網(wǎng)絡(luò)安全防范體系非常重要。既要從技術(shù)上加強計算機網(wǎng)絡(luò)系統(tǒng)的安全防范能力,又要提高用戶對于計算機網(wǎng)絡(luò)安全的防范意識,同時還要加強對計算機網(wǎng)絡(luò)安全的管理,從而有效實現(xiàn)全方位保障計算機網(wǎng)絡(luò)安全。
4.1對設(shè)備輸入加強控制
隨著科技的發(fā)展,無線網(wǎng)絡(luò)的普及,大數(shù)據(jù)時代的到來,設(shè)備輸入防范不再僅僅指傳統(tǒng)的有線接入防范,還包括了無線防范。傳統(tǒng)有線防范,只能有效的對有線接入的設(shè)備以及用戶進行安全防范,而對無線防范的手段尚不成熟。用戶在使用無線網(wǎng)絡(luò)時,有可能繞過安全設(shè)備,讓接入設(shè)備直接進入大數(shù)據(jù)的系統(tǒng)中,因此難以保障安全性。
4.2加強系統(tǒng)漏洞修復(fù)功能
在大數(shù)據(jù)時代,必須及時更新計算機系統(tǒng)的補丁,全面修復(fù)計算機系統(tǒng)的漏洞,才能有效避免蠕蟲病毒攻擊系統(tǒng),維護系統(tǒng)的安全。不過,系統(tǒng)修復(fù)功能應(yīng)該在黑客以及蠕蟲病毒攻擊之前做好防范措施,而不是在受攻擊之后再補救。當(dāng)微軟在更新站點了新的漏洞補丁時,用戶應(yīng)該及時將補丁下載安裝,對系統(tǒng)進行修復(fù)。另外用戶也可以下載一些計算機網(wǎng)絡(luò)安全管理工具,及時實現(xiàn)漏洞修復(fù),從而有效的保證計算機網(wǎng)絡(luò)系統(tǒng)的安全。
4.3加強網(wǎng)絡(luò)病毒防范
在當(dāng)今大數(shù)據(jù)時代背景下,對計算機網(wǎng)絡(luò)病毒進行防范是計算機網(wǎng)絡(luò)安全防范中最困難的,但也是最重要的。對計算機網(wǎng)絡(luò)進行日常安全管理時,要做到持續(xù)、全面,才能有效的保障計算機網(wǎng)絡(luò)的安全。使用殺毒軟件,可以對系統(tǒng)安全進行實時監(jiān)控,經(jīng)常性的掃描并處理病毒,對系統(tǒng)安全起著至關(guān)重要的作用。另外,由于殺毒軟件需要隨著病毒的不斷變化而不斷更新病毒的樣本庫,所以殺毒軟件應(yīng)該保持及時更新。
4.4加強網(wǎng)絡(luò)黑客入侵防范
黑客入侵是計算機網(wǎng)絡(luò)安全的又一大威脅,整合大數(shù)據(jù)資源,建立防范攻擊模型,可以有效防范黑客入侵所造成的危害。同時,防止黑客入侵,除了利用有效的工具外,還要在計算機網(wǎng)絡(luò)的內(nèi)外網(wǎng)之間加強隔離,并合理利用防火墻以及路由器,降低黑客入侵的可能性。
5結(jié)語
關(guān)鍵詞:無線校園網(wǎng);可擴展性;可管理型;安全性
中圖分類號:TP393 文獻標(biāo)識碼:A 文章編號:1009-3044(2016)29-0036-02
智慧校園作為目前高校信息化發(fā)展的目標(biāo)借助了互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計算等技術(shù),將教學(xué)、科研、管理、生活學(xué)習(xí)環(huán)境進行深度融合,讓管理者、教師、學(xué)生能以更加精細和動態(tài)的方式管理學(xué)習(xí)工作和生活的狀態(tài),最終提升管理、教學(xué)、科研、服務(wù)質(zhì)量。因此如何設(shè)計建設(shè)一個穩(wěn)定、高性能、安全的無線校園網(wǎng)則顯得尤為重要。
1無線方案需求分析
1.1無線覆蓋需求
無線信號應(yīng)該在覆蓋范圍內(nèi)無處不在,但是更多的覆蓋范圍,需要更多的設(shè)備和投資,因此覆蓋范圍和覆蓋程度和實際需求相關(guān),同時也和無線AP的部署方式相關(guān)。不同場所建筑由于用途不同,結(jié)構(gòu)千差萬別,采用合適的AP部署方式將可以得到最優(yōu)的信號覆蓋。
1.2穩(wěn)定可靠的需求
無線網(wǎng)絡(luò)的傳輸方式和原理導(dǎo)致其穩(wěn)定性和可靠性有天生不足,電磁波非常容易受到各種障礙物、其他同頻率電磁波、相鄰AP甚至天氣的影響,正是如此無線網(wǎng)絡(luò)的設(shè)計重點要考慮如何保障無線網(wǎng)絡(luò)的穩(wěn)定可靠。
1.3無線性能及容量的需求
無線網(wǎng)絡(luò)性能包括了AP吞吐量和用戶的吞吐量兩個方面的因素,AP吞吐量與AP、K端支持的協(xié)議標(biāo)準(zhǔn)和空間流數(shù)量有關(guān),而用戶吞吐量還和AP接人用戶數(shù)量有關(guān),設(shè)計無線校園網(wǎng)時不能僅僅考慮信號覆蓋,還要考慮如何保證無線用戶的應(yīng)用能夠流暢運行,無線網(wǎng)絡(luò)不成為性能瓶頸,特別高密度用戶環(huán)境中能夠確保所有并發(fā)用戶的無線性能。
1.4無縫漫游需求
無線用戶通常都會在移動過程中使用網(wǎng)絡(luò),當(dāng)終端從一個位置移動到另外一個位置,為了提升用戶的上網(wǎng)體驗,漫游過程中信號不能中斷、網(wǎng)絡(luò)不能中斷。達到無縫漫游、無感知漫游的目的。
1.5易管理需求
無線網(wǎng)絡(luò)的管理除具備有線網(wǎng)絡(luò)管理的部分特征外,還有自己的管理需求,如終端定位需求,怎樣直觀的查看無線信號覆蓋效果進行無線規(guī)劃也成為無線網(wǎng)絡(luò)管理的必備需求。
2無線校園網(wǎng)設(shè)計原則
2.1穩(wěn)定可靠原則
無線網(wǎng)絡(luò)相比有線網(wǎng)絡(luò)在可靠性方面有先天不足,電磁波傳輸更容易受到各種干擾導(dǎo)致網(wǎng)絡(luò)的不可靠,而隨著移動應(yīng)用的發(fā)展,無線網(wǎng)絡(luò)對用戶的重要性越來越高,因此無線網(wǎng)絡(luò)穩(wěn)定可靠更為重要。在設(shè)計無線網(wǎng)絡(luò)時首要考慮盡量減少無線干擾、信號補償、關(guān)鍵部件冗余等措施。
2.2安全性原則
無線網(wǎng)絡(luò)的便利性也導(dǎo)致了其安全風(fēng)險更高,而移動應(yīng)用和智能終端的普及,用戶越來越依賴于無線網(wǎng)絡(luò),無線網(wǎng)絡(luò)上可以傳輸普通的數(shù)據(jù),也有用戶的身份信息神州銀行等隱秘性要求很高的數(shù)據(jù),因此無需網(wǎng)絡(luò)必須具有良好的安全防范措施和密碼保護技術(shù),靈活方便的權(quán)限設(shè)定和控制機制,使系統(tǒng)具有多種有效手段,防范各種形式對網(wǎng)絡(luò)的非法入侵和內(nèi)部攻擊,以保證網(wǎng)絡(luò)的實體安全、網(wǎng)絡(luò)安全、系統(tǒng)安全和信息安全,有效地保障正常的業(yè)務(wù)活動和防止內(nèi)部信息數(shù)據(jù)不被非法竊取、篡改或泄漏。
2.3高性能原則
無線網(wǎng)絡(luò)是一個競爭性的共享網(wǎng)絡(luò),用戶數(shù)量越多,單用戶性能越低,而移動應(yīng)用的普及帶來了無線帶寬性能需求的提升,網(wǎng)絡(luò)鏈路和設(shè)備具備足夠高的數(shù)據(jù)轉(zhuǎn)發(fā)能力,保證各種信息的高質(zhì)量無阻塞傳輸;交換系統(tǒng)具有很高的交換容量與多服務(wù)支持的能力,保證網(wǎng)絡(luò)服務(wù)的質(zhì)量。
2.4可擴展性原則
在網(wǎng)絡(luò)規(guī)模不斷發(fā)展的情況下,無線網(wǎng)絡(luò)應(yīng)滿足在不改變主體架構(gòu)與大部分設(shè)備的前提下,平滑實現(xiàn)升級和擴充,降低原有網(wǎng)絡(luò)的硬件投資,并保證擴展后的系統(tǒng)可用性與穩(wěn)定性。預(yù)留AC、AP可升級的能力,為未來無線校園網(wǎng)擴容提供基礎(chǔ)。
3整體方案設(shè)計拓撲
在校園網(wǎng)網(wǎng)絡(luò)中心部署1臺或多臺AC無線控制器,對全校所有無線AP進行統(tǒng)一管理控制,多臺無線控制器可以實現(xiàn)1+1或N+I冗余。在網(wǎng)絡(luò)中心部署有線無線網(wǎng)管系統(tǒng)(現(xiàn)有DCLM網(wǎng)管系統(tǒng))對全網(wǎng)有線無線設(shè)備進行統(tǒng)一管理。部署統(tǒng)一認證網(wǎng)關(guān)(現(xiàn)有CS16809核心交換機和城市熱點認證計費網(wǎng)關(guān))來實現(xiàn)有線無線接人用戶統(tǒng)一認證計費與運營管理。所有AP接入到POE交換機或通過POE模塊接入到接入交換機,實現(xiàn)POE遠程供電。在高性能、高密度區(qū)域選擇支持802.11ac協(xié)議的AP產(chǎn)品,可以得到更高的帶寬。
我院校園網(wǎng)采用了經(jīng)典的三層架構(gòu),即核心層、匯聚層和接入層。校園不同區(qū)域劃分了不同的VLAN和子網(wǎng)。這種架構(gòu)的校園網(wǎng),AC部署在網(wǎng)絡(luò)中心,各AP在不同區(qū)域有不同的管理地址和用戶地址段,屬于不同的VLAN。AC與AP之間三層連接。這種架構(gòu)有線用戶和無線用戶按同樣的區(qū)域來劃分不同的VLAN和子網(wǎng)。在網(wǎng)絡(luò)中心部署DHCP服務(wù)器和AC控制器為AP和無線用戶分配IP地址,為了實現(xiàn)準(zhǔn)入控制,利用AC實現(xiàn)BAS功能,配合DCN DCSM或其他RAIDUS實現(xiàn)POR-TAL認證。