亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        企業(yè)無線局域網(wǎng)接入訪問的安全控制

        2018-09-13 07:40:58湯越
        無線互聯(lián)科技 2018年11期
        關(guān)鍵詞:無線局域網(wǎng)安全

        湯越

        摘要:在無線局域網(wǎng)的使用中,終端接入訪問控制是網(wǎng)絡安全管理極為重要的環(huán)節(jié),通過多種控制方式的結(jié)合使用,可以有效消除無線局域網(wǎng)的安全隱患,保障網(wǎng)絡安全運行。文章結(jié)合華為公司設(shè)備介紹了無線局域網(wǎng)幾種常用的接入訪問控制方式。

        關(guān)鍵詞:無線局域網(wǎng);接入訪問;無線控制器;安全

        無線局域網(wǎng)(Wireless Local Area Networks,WLAN)技術(shù)是計算機網(wǎng)絡與無線通信技術(shù)相結(jié)合的產(chǎn)物,其以無線電波作為傳輸介質(zhì),通信范圍不受環(huán)境條件限制,網(wǎng)絡傳輸范圍得到拓寬。通過無線局域網(wǎng),終端用戶可以擺脫有線網(wǎng)絡的束縛,方便地接入網(wǎng)絡,并在無線覆蓋區(qū)域內(nèi)自由移動[1]。與有線傳輸介質(zhì)的傳統(tǒng)局域網(wǎng)相比,無線局域網(wǎng)減少了繁雜的網(wǎng)絡布線,因此大大降低網(wǎng)絡部署成本。無線局域網(wǎng)具有易于規(guī)劃、安裝便捷、使用靈活等優(yōu)點,已成為一種經(jīng)濟、高效的網(wǎng)絡接入方式,隨著企業(yè)信息化應用的不斷深入,它將具有廣泛的應用前景。

        1 無線局域網(wǎng)接入訪問問題

        無線局域網(wǎng)由于采用無線電波作為載體,因此任何訪問終端只要在無線電波信號覆蓋范圍內(nèi),都可成功搜索到無線信號,如果沒有完善的接入訪問控制機制,無線網(wǎng)絡資源就存在被非法訪問的危險。非法用戶可入侵無線局域網(wǎng),占用網(wǎng)絡流量,降低網(wǎng)絡帶寬的利用率,甚至竊取數(shù)據(jù)并對網(wǎng)絡進行攻擊,導致網(wǎng)絡癱瘓等嚴重后果。如果一個企業(yè)的無線局域網(wǎng)未做任何接入訪問控制,為開放式接入方式,就會導致任何訪問終端都可以直接接入并訪問網(wǎng)絡資源,會對網(wǎng)絡造成嚴重的安全隱患。所以對企業(yè)無線局域網(wǎng)而言,必須要有一套保證其安全運行的管理維護措施,針對不同訪問終端進行嚴格的接入訪問控制,是其中一個極為重要的管理環(huán)節(jié)。

        目前華為公司的網(wǎng)絡通信設(shè)備在國內(nèi)大中型企業(yè)中已被廣泛使用,本文結(jié)合華為公司設(shè)備對無線局域網(wǎng)的接入訪問安全控制問題進行討論。

        2 無線局域網(wǎng)接入訪問安全控制

        為了保障無線局域網(wǎng)接入訪問的安全控制,通??刹捎靡韵聨追N方式對無線終端的接入訪問進行相關(guān)設(shè)置。

        2.1 設(shè)置終端MAC地址黑白名單

        通過在無線控制器上配置終端多址接入信道(Multiple Access Channel,MAC)地址黑白名單,添加具有允許或禁止訪問無線局域網(wǎng)的終端MAC地址,當無線終端訪問無線局域網(wǎng)時,無線控制器會根據(jù)名單上的MAC地址進行查找匹配,只有符合條件的終端才可以訪問無線網(wǎng)絡,否則禁止訪問。以華為無線控制器為例,配置白名單列表后,只有匹配白名單列表的終端可以接入無線局域網(wǎng),其他終端則無法接入;配置黑名單列表后,匹配黑名單列表的終端無法接入無線局域網(wǎng)絡,其他終端則可以接入。由于企業(yè)內(nèi)部員工的電腦終端MAC地址是可掌控的,建議采用白名單設(shè)置更為安全。

        設(shè)置白名單命令如下所示,命令中所列MAC地址為可以合法接入無線局域網(wǎng)的終端MAC地址。

        sta-whitelist-profile name 白名單模板名稱

        sta-mac MAC地址1

        sta-mac MAC地址2

        sta-mac MAC地址3

        ……

        此類方法可實現(xiàn)對無線終端的接入控制,設(shè)置簡便,是一種最基本的安全訪問控制方式。不過終端MAC地址一般需要網(wǎng)絡管理員手動進行管理操作,存在工作量大、網(wǎng)絡擴展能力受限的問題。同時,這種方法也不是絕對可靠的,它不能阻止所有的惡意攻擊行為,因為非法訪問者可以通過相關(guān)軟件修改終端MAC地址達到非法訪問無線局域網(wǎng)的目的。

        2.2 設(shè)置無線SSID訪問權(quán)限

        在企業(yè)的日常工作中,經(jīng)常有臨時人員來訪,如果授予臨時人員具有和企業(yè)正式員工相同的內(nèi)網(wǎng)訪問權(quán)限,臨時人員一旦訪問內(nèi)網(wǎng),可能會造成內(nèi)部重要信息泄露等問題,會影響到企業(yè)網(wǎng)絡的安全,也不便于無線局域網(wǎng)的維護管理,因此,可針對正式員工和臨時人員分別設(shè)置不同的無線服務集標識(Service Set Identifier,SSID)。SSID為無線局域網(wǎng)服務集標識,可將一個無線局域網(wǎng)分為多個子網(wǎng),從而為每個子網(wǎng)設(shè)置不同的訪問權(quán)限。例如,為企業(yè)員工建立一個SSID,名字為HOST,授予HOST訪問內(nèi)網(wǎng)和外網(wǎng)的權(quán)限,企業(yè)員工電腦無線終端通過接入HOST網(wǎng)段訪問網(wǎng)絡;為臨時人員建立一個SSID,名字為GUEST,僅授予GUEST訪問外網(wǎng)權(quán)限,臨時人員電腦終端通過接入GUEST網(wǎng)段訪問網(wǎng)絡,這樣即可達到無線訪問控制管理目的。

        在華為無線控制器中,授予GUEST網(wǎng)段訪問權(quán)限可通過設(shè)置訪問控制列表(Access Control Lists,ACL)來實現(xiàn),由此限制臨時人員對內(nèi)網(wǎng)資源的訪問,設(shè)置命令如下所示。

        acl name訪問控制列表名稱

        rule 5 deny ip source GUEST網(wǎng)段地址 GUEST網(wǎng)段反向子網(wǎng)掩碼destination內(nèi)網(wǎng)網(wǎng)段地址內(nèi)網(wǎng)網(wǎng)段反向子網(wǎng)掩碼

        除了在無線控制器做ACL設(shè)置外,網(wǎng)絡管理員也可以在局域網(wǎng)網(wǎng)絡出口的路由器或防火墻上,使用訪問控制技術(shù)(如ACL訪問控制列表、防火墻訪問策略等)對無線SSID網(wǎng)段進行訪問權(quán)限設(shè)置,同樣實現(xiàn)對無線終端的訪問權(quán)限控制。此類方法可結(jié)合文中所述的其他接入訪問控制方法一起配合使用效果更好。

        2.3 設(shè)置加密安全策略

        在無線控制器上設(shè)置加密安全策略,當無線終端訪問無線局域網(wǎng)時,需要輸入預共享秘鑰進行驗證,通過驗證后方可訪問,從而保護無線局域網(wǎng)的通信安全。加密安全策略主要包括WEP,WPA/WPA2-PSK,WPA/WPA2-802.1X等多種方式,如表1所示。網(wǎng)絡管理員可根據(jù)企業(yè)需要,對企業(yè)無線局域網(wǎng)安全要求程度,選擇一種加密安全策略。

        WPA/WPA2-PSK采用預共享密鑰和高級加密標準(Advanced Encryption Standard,AES)加密認證方式,安全性能高,為一種不錯的加密安全策略。在華為無線控制器上,如果采用WPA/WPA2-PSK方式加密,設(shè)置要點依次如下。

        (1)創(chuàng)建安全模板,配置WPA2-PSK-AES的安全策略。

        security-profile name 安全模板名稱

        security wpa2psk pass-phrase 預共享秘鑰名稱 aes

        (2)新建無線業(yè)務參數(shù)VAP模板,引用已創(chuàng)建的安全模板。

        vap-profile name VAP模板名稱security-profile安全模板名稱

        (3)將VAP模板通過配置命令下發(fā)到無線AP。

        由于加密安全策略在無線終端訪問接入時要進行密鑰認證,不失為加強無線局域網(wǎng)安全的一種重要方法,可同文中所述的其他接入訪問控制方法一起配合使用。

        2.4 設(shè)置NAC認證方式

        網(wǎng)絡準入控制(Network Admission Control,NAC)認證方式能夠?qū)崿F(xiàn)對接入終端嚴格管控,降低局域網(wǎng)安全風險,因此,該認證方式也可在無線局域網(wǎng)上采用。通過部署單獨的認證服務器,對無線終端的接入進行認證,保證合法終端入網(wǎng)。當終端接入無線網(wǎng)絡時,無線控制器和認證服務器結(jié)合使用進行終端身份認證,根據(jù)認證結(jié)果來控制終端的網(wǎng)絡訪問權(quán)限。

        在華為設(shè)備中,認證方式包括802.1X認證、MAC地址認證、Portal認證和微信認證等,如果采用Portal認證方式,需要在認證服務器上部署認證門戶網(wǎng)站,當終端連接無線局域網(wǎng)時,無線控制器強制終端先登錄到認證服務器的認證門戶網(wǎng)站,要求訪問者輸入用戶名和密碼進行認證,無線控制器根據(jù)收到的認證結(jié)果進行識別,只有認證成功的終端才允許訪問無線局域網(wǎng),否則拒絕終端訪問。

        NAC認證方式側(cè)重于終端接入時的身份識別認證,能禁止非法終端接入,可和文中前述的幾種接入方法結(jié)合使用。2.5設(shè)置無線SSID廣播隱藏無線局域網(wǎng)在通常情況下會廣播SSID,因此接入終端能直接搜索到可用的無線網(wǎng)絡,將所有無線網(wǎng)絡SSID全部顯示出來,容易給非法訪問者提供嘗試非法訪問的機會。如果將無線SSID的廣播狀態(tài)設(shè)置為隱藏,這樣接入終端就無法通過搜索找到已有的無線SSID,減少了對企業(yè)無線局域網(wǎng)非法訪問機會。在華為無線控制器中,可通過下列命令對無線SSID設(shè)置為隱藏模式。

        ssid-profile name 無線SSID名稱

        ssid-hide enable

        此方法可減少非法無線終端的接入機會,設(shè)置簡便,不過由于隱藏了無線SSID廣播,對于合法終端而言,訪問無線網(wǎng)絡時則需要網(wǎng)絡管理員在終端手動添加訪問連接,管理起來較為不便。

        3 結(jié)語

        企業(yè)無線局域網(wǎng)安全的重要性不容低估,通過加強對終端接入訪問的控制,可防止非法終端對無線局域網(wǎng)的訪問,進一步消除網(wǎng)絡安全隱患,保護合法終端的利益。控制無線局域網(wǎng)的接入訪問有多種方法,單一的方法有其局限性,可在企業(yè)現(xiàn)有的網(wǎng)絡環(huán)境中,根據(jù)實際需要采用多種方法相結(jié)合進行設(shè)置,才能有效保障無線局域網(wǎng)絡的安全運行。

        [參考文獻]

        [1]王順滿,陶然,陳朔鷹.無線局域網(wǎng)絡技術(shù)與安全[M].北京:機械工業(yè)出版社,2005.

        猜你喜歡
        無線局域網(wǎng)安全
        WIFI頻段波束可切換開關(guān)天線的設(shè)計與實現(xiàn)
        無線網(wǎng)絡高校圖書館無線局域網(wǎng)安全性研究
        針對無線局域網(wǎng)攻擊技術(shù)的研究
        論校園無線局域網(wǎng)的攻擊與防御
        淺析無線局域網(wǎng)在政府部門的應用
        SDN在無線局域網(wǎng)中的研究進展
        久久久99精品成人片中文字幕| 国产 一二三四五六| 亚洲精品白浆高清久久久久久| 丰满少妇大力进入av亚洲| 亚洲av无码片在线播放| 亚洲天堂av另类在线播放| 91三级在线观看免费| 又色又爽又高潮免费视频国产| 欧美婷婷六月丁香综合色| 国产尤物二区三区在线观看| 白色白色白色在线观看视频| 日本少妇高潮喷水视频| 无码av免费一区二区三区| 亚洲一区sm无码| 亚洲中文字幕免费精品| 尤物yw午夜国产精品视频| 日韩制服国产精品一区| ZZIJZZIJ亚洲日本少妇| 国产一区二三区中文字幕| 成午夜福利人试看120秒| 中日韩精品视频在线观看| 国产在线视频国产永久视频| 国产福利一区二区三区在线观看| 日日麻批免费40分钟无码| 爱情岛永久地址www成人| 制服无码在线第一页| 男女啪啪在线视频网站| 宅男66lu国产在线观看| 亚洲精品无码高潮喷水在线 | 久久夜色精品国产噜噜亚洲av| AV成人午夜无码一区二区| 国产白浆大屁股精品视频拍| 国产猛烈高潮尖叫视频免费| 99久久国产综合精品麻豆| 亚洲无码毛片免费视频在线观看| 国产激情在线观看免费视频| 成人aaa片一区国产精品| 亚洲国产成人久久一区www妖精| 日本一区二区日韩在线| 一边捏奶头一边高潮视频| 亚洲av一宅男色影视|