局域網(wǎng)安全措施方案是什么
局域網(wǎng)安全措施方案有哪些?無(wú)線局域網(wǎng)是用無(wú)線通信技術(shù)將終端設(shè)備互聯(lián)起來(lái),構(gòu)成可以互相通信和實(shí)現(xiàn)資源共享的局域網(wǎng)絡(luò)體系。一起來(lái)看看局域網(wǎng)安全措施方案是什么,歡迎查閱!
無(wú)線局域網(wǎng)面臨的安全問(wèn)題
無(wú)線局域網(wǎng)已廣泛應(yīng)用于各行各業(yè)中,受到人們的青睞,并成為無(wú)線通信與互聯(lián)網(wǎng)技術(shù)相結(jié)合的最熱門(mén)技術(shù)。無(wú)線局域網(wǎng)的最大優(yōu)點(diǎn)就是實(shí)現(xiàn)了網(wǎng)絡(luò)互連的可移動(dòng)性,它能大幅度提高用戶訪問(wèn)信息的及時(shí)性和有效性,還可以克服有線限制引起的不便性。但因無(wú)線局域網(wǎng)應(yīng)用具有很大的開(kāi)放性,數(shù)據(jù)傳播的范圍較難控制,無(wú)線局域網(wǎng)面臨非常嚴(yán)峻的安全問(wèn)題。無(wú)線局域網(wǎng)面臨的基本安全問(wèn)題如下。
1、非法接入風(fēng)險(xiǎn)
主要是指通過(guò)未授權(quán)的設(shè)備接入無(wú)線網(wǎng)絡(luò),例如,企業(yè)內(nèi)部一些員工,購(gòu)買(mǎi)便宜小巧的無(wú)線路由器,通過(guò)有線以太網(wǎng)口接入網(wǎng)絡(luò),如果這些設(shè)備配置有問(wèn)題,處于沒(méi)加密或弱加密的條件下,那么整個(gè)網(wǎng)絡(luò)的安全性就大打折扣,造成接入危險(xiǎn)。或者是企業(yè)外部的非法用戶與企業(yè)內(nèi)部的合法無(wú)線路由器建立了連接,這也會(huì)使網(wǎng)絡(luò)安全失控。
2、客戶端連接不當(dāng)
一些部署在工作區(qū)域周?chē)臒o(wú)線路由器可能沒(méi)有做安全控制,企業(yè)內(nèi)一些合法用戶的無(wú)線網(wǎng)卡可能與這些外部無(wú)線路由器連接,一旦這個(gè)用戶連接到外部無(wú)線路由器,企業(yè)的網(wǎng)絡(luò)就處于風(fēng)險(xiǎn)之中。
3、竊聽(tīng)
一些黑客借助Wi-Fi分析器,會(huì)捕捉到所有的無(wú)線通信數(shù)據(jù),如果信息沒(méi)有保護(hù),則可以閱讀信號(hào)中傳輸?shù)膬?nèi)容。如果黑客手段更高明一點(diǎn),就可以偽裝成合法用戶,修改空中傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)等。
4、拒絕服務(wù)攻擊
這種攻擊方式,不以獲取信息為目的,黑客只是想讓用戶無(wú)法訪問(wèn)網(wǎng)絡(luò)服務(wù)而不斷地發(fā)送信息,使合法用戶的信息一直處于等待狀態(tài),無(wú)法正常工作。
上面所述的安全問(wèn)題的解決,其核心在于安全機(jī)制和安全協(xié)議如何制定。當(dāng)前主流的無(wú)線局域網(wǎng)技術(shù)Wi-Fi從技術(shù)發(fā)明和協(xié)議設(shè)計(jì)初期到現(xiàn)在,都不能有效解決這些問(wèn)題。導(dǎo)致根據(jù)協(xié)議開(kāi)發(fā)出來(lái)的所有產(chǎn)品,雖然來(lái)自不同的廠家,但均面臨著隨時(shí)被解的危險(xiǎn)。
企業(yè)局域網(wǎng)安全解決方案
本方案為某大型局域網(wǎng)網(wǎng)絡(luò)安全解決方案,包括原有網(wǎng)絡(luò)系統(tǒng)分析、安全需求分析、安全目標(biāo)的確立、安全體系結(jié)構(gòu)的設(shè)計(jì)、等。本安全解決方案的目標(biāo)是在不影響某大型企業(yè)局域網(wǎng)當(dāng)前業(yè)務(wù)的前提下,實(shí)現(xiàn)對(duì)他們局域網(wǎng)全面的安全管理。
將安全策略、硬件及軟件等方法結(jié)合起來(lái),構(gòu)成一個(gè)統(tǒng)一的防御系統(tǒng),有效阻止非法用戶進(jìn)入網(wǎng)絡(luò),減少網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)。
2.定期進(jìn)行漏洞掃描,審計(jì)跟蹤,及時(shí)發(fā)現(xiàn)問(wèn)題,解決問(wèn)題。
3.通過(guò)入侵檢測(cè)等方式實(shí)現(xiàn)實(shí)時(shí)安全監(jiān)控,提供快速響應(yīng)故障的手段,同時(shí)具備很好的安全取證措施。
4.使網(wǎng)絡(luò)管理者能夠很快重新組織被破壞了的文件或應(yīng)用。使系統(tǒng)重新恢復(fù)到破壞前的狀態(tài),最大限度地減少損失。
5.在工作站、服務(wù)器上安裝相應(yīng)的防病毒軟件,由中央控制臺(tái)統(tǒng)一控制和管理,實(shí)現(xiàn)全網(wǎng)統(tǒng)一防病毒。
第二章 網(wǎng)絡(luò)系統(tǒng)概況
2.1 網(wǎng)絡(luò)概況
這個(gè)企業(yè)的局域網(wǎng)是一個(gè)信息點(diǎn)較為密集的千兆局域網(wǎng)絡(luò)系統(tǒng),它所聯(lián)接的現(xiàn)有上千個(gè)信息點(diǎn)為在整個(gè)企業(yè)內(nèi)辦公的各部門(mén)提供了一個(gè)快速、方便的信息交流平臺(tái)。不僅如此,通過(guò)專(zhuān)線與Internet的連接,打通了一扇通向外部世界的窗戶,各個(gè)部門(mén)可以直接與互聯(lián)網(wǎng)用戶進(jìn)行交流、查詢資料等。通過(guò)公開(kāi)服務(wù)器,企業(yè)可以直接對(duì)外發(fā)布信息或者發(fā)送電子郵件。高速交換技術(shù)的采用、靈活的網(wǎng)絡(luò)互連方案設(shè)計(jì)為用戶提供快速、方便、靈活通信平臺(tái)的同時(shí),也為網(wǎng)絡(luò)的安全帶來(lái)了更大的風(fēng)險(xiǎn)。因此,在原有網(wǎng)絡(luò)上實(shí)施一套完整、可_作的安全解決方案不僅是可行的,而且是必需的。
2.1.1 網(wǎng)絡(luò)概述
這個(gè)企業(yè)的局域網(wǎng),物理跨度不大,通過(guò)千兆交換機(jī)在主干網(wǎng)絡(luò)上提供1000M的獨(dú)享帶寬,通過(guò)下級(jí)交換機(jī)與各部門(mén)的工作站和服務(wù)器連結(jié),并為之提供100M的獨(dú)享帶寬。利用與中心交換機(jī)連結(jié)的Cisco 路由器,所有用戶可直接訪問(wèn)Internet。
2.1.2 網(wǎng)絡(luò)結(jié)構(gòu)
這個(gè)企業(yè)的局域網(wǎng)按訪問(wèn)區(qū)域可以劃分為三個(gè)主要的區(qū)域:Internet區(qū)域、內(nèi)部網(wǎng)絡(luò)、公開(kāi)服務(wù)器區(qū)域。內(nèi)部網(wǎng)絡(luò)又可按照所屬的部門(mén)、職能、安全重要程度分為許多子網(wǎng),包括:財(cái)務(wù)子網(wǎng)、領(lǐng)導(dǎo)子網(wǎng)、辦公子網(wǎng)、市場(chǎng)部子網(wǎng)、中心服務(wù)器子網(wǎng)等。在安全方案設(shè)計(jì)中,我們基于安全的重要程度和要保護(hù)的對(duì)象,可以在Catalyst 型交換機(jī)上直接劃分四個(gè)虛擬局域網(wǎng)(VLAN),即:中心服務(wù)器子網(wǎng)、財(cái)務(wù)子網(wǎng)、領(lǐng)導(dǎo)子網(wǎng)、其他子網(wǎng)。不同的局域網(wǎng)分屬不同的廣播域,由于財(cái)務(wù)子網(wǎng)、領(lǐng)導(dǎo)子網(wǎng)、中心服務(wù)器子網(wǎng)屬于重要網(wǎng)段,因此在中心交換機(jī)上將這些網(wǎng)段各自劃分為一個(gè)獨(dú)立的廣播域,而將其他的工作站劃分在一個(gè)相同的網(wǎng)段。(圖省略)
2.2 網(wǎng)絡(luò)應(yīng)用
這個(gè)企業(yè)的局域網(wǎng)可以為用戶提供
1.文件共享、辦公自動(dòng)化、WWW服務(wù)、電子郵件服務(wù);
2.文件數(shù)據(jù)的統(tǒng)一存儲(chǔ);
3.針對(duì)特定的應(yīng)用在數(shù)據(jù)庫(kù)服務(wù)器上進(jìn)行二次開(kāi)發(fā)(比如財(cái)務(wù)系統(tǒng));
4.提供與Internet的訪問(wèn);
5.通過(guò)公開(kāi)服務(wù)器對(duì)外發(fā)布企業(yè)信息、發(fā)送電子郵件等;
2.3 網(wǎng)絡(luò)結(jié)構(gòu)的特點(diǎn)
在分析這個(gè)企業(yè)局域網(wǎng)的安全風(fēng)險(xiǎn)時(shí),應(yīng)考慮到網(wǎng)絡(luò)的如下幾個(gè)特點(diǎn):
1.網(wǎng)絡(luò)與Internet直接連結(jié),因此在進(jìn)行安全方案設(shè)計(jì)時(shí)要考慮與Internet連結(jié)的有關(guān)風(fēng)險(xiǎn),包括可能通過(guò)Internet傳播進(jìn)來(lái)病毒,黑客攻擊,來(lái)自Internet的非授權(quán)訪問(wèn)等。
2.網(wǎng)絡(luò)中存在公開(kāi)服務(wù)器,由于公開(kāi)服務(wù)器對(duì)外必須開(kāi)放部分業(yè)務(wù),因此在進(jìn)行安全方案設(shè)計(jì)時(shí)應(yīng)該考慮采用安全服務(wù)器網(wǎng)絡(luò),避免公開(kāi)服務(wù)器的安全風(fēng)險(xiǎn)擴(kuò)散到內(nèi)部。
3.內(nèi)部網(wǎng)絡(luò)中存在許多不同的子網(wǎng),不同的子網(wǎng)有不同的安全性,因此在進(jìn)行安全方案設(shè)計(jì)時(shí),應(yīng)考慮將不同功能和安全級(jí)別的網(wǎng)絡(luò)分割開(kāi),這可以通過(guò)交換機(jī)劃分VLAN來(lái)實(shí)現(xiàn)。
4.網(wǎng)絡(luò)中有二臺(tái)應(yīng)用服務(wù)器,在應(yīng)用程序開(kāi)發(fā)時(shí)就應(yīng)考慮加強(qiáng)用戶登錄驗(yàn)證,防止非授權(quán)的訪問(wèn)。
無(wú)線局域網(wǎng)安全概述
安全是無(wú)線局域網(wǎng)面臨的最大問(wèn)題,這是由無(wú)線信號(hào)在空中幾乎無(wú)邊界的傳播特性造成的,不論信號(hào)中的數(shù)據(jù)要發(fā)送的目的地是哪里,任何無(wú)線終端在無(wú)線信號(hào)覆蓋的范圍內(nèi)都可以接收到。為了保證安全通信,無(wú)線局域網(wǎng)中應(yīng)采取必要的安全技術(shù),包括鑒別、加密、數(shù)據(jù)完整性保護(hù)等。
1、鑒別
鑒別提供了用戶身份合法性的保證,這意味著當(dāng)用戶聲稱具有一個(gè)特定的身份時(shí),鑒別技術(shù)將提供某種方法來(lái)證實(shí)這一聲明是正確的。用戶在登錄無(wú)線局域網(wǎng)的時(shí)候,需要輸入特定的密碼或身份信息等來(lái)進(jìn)行身份合法性的驗(yàn)證。
盡管不同的鑒別方式?jīng)Q定用戶身份驗(yàn)證的具體流程不同,但基本功能是一致的。目前,無(wú)線局域網(wǎng)中采用的鑒別方式主要有基于瀏覽器頁(yè)面的身份鑒別、基于密碼的身份鑒別、基于數(shù)字證書(shū)的身份鑒別。
(1)基于瀏覽器頁(yè)面的身份鑒別
基于瀏覽器頁(yè)面的身份鑒別一個(gè)非常重要的特點(diǎn)是客戶端只需要在瀏覽器上輸入正確的接入信息憑證即可。這類(lèi)身份鑒別的技術(shù)在公共場(chǎng)所(如機(jī)場(chǎng)、酒店、商場(chǎng)等地方)經(jīng)常用到,用戶輸入手機(jī)號(hào)碼,通過(guò)手機(jī)獲得相關(guān)的登錄驗(yàn)證碼,然后將登錄驗(yàn)證碼輸入到瀏覽器中即可使用網(wǎng)絡(luò)服務(wù)。
這種身份鑒別技術(shù)屬于安全性最低的一種方案,它只是在無(wú)線局域網(wǎng)的上層應(yīng)用簡(jiǎn)單進(jìn)行身份信息的對(duì)比,實(shí)現(xiàn)對(duì)用戶使用某種服務(wù)的控制?;跒g覽器頁(yè)面的身份鑒別技術(shù)并沒(méi)有融入密碼學(xué)相關(guān)技術(shù)來(lái)實(shí)現(xiàn)身份信息的保密性和不可篡改性。在無(wú)線局域網(wǎng)底層沒(méi)有調(diào)用任何安全技術(shù)的保護(hù),所有通信信息明文傳輸,存在較大的安全風(fēng)險(xiǎn)。這種方案類(lèi)似于所有訪客,先進(jìn)入大門(mén),然后再用筆寫(xiě)下自己的聯(lián)系方式。
(2)基于密碼的身份鑒別
基于密碼的身份鑒別是指用戶利用手機(jī)或者筆記本電腦原始控制接入無(wú)線局域網(wǎng)的界面,輸入所選擇的無(wú)線網(wǎng)絡(luò)的接入密碼實(shí)現(xiàn)網(wǎng)絡(luò)登錄。這類(lèi)身份鑒別的技術(shù)在家庭、辦公室等場(chǎng)景經(jīng)常用到。
這種身份鑒別技術(shù)屬于安全性中等的一種方案,它通過(guò)綁定密碼學(xué)的技術(shù)實(shí)現(xiàn)用戶接入身份的鑒別,同時(shí)完成對(duì)通信數(shù)據(jù)的加密處理。這種技術(shù)的缺點(diǎn)在于密碼容易傳播,且所有人使用相同的密碼,容易造成無(wú)法追溯或者“好人辦壞事”的情況。這種方案類(lèi)似于所有訪客,使用同一張卡進(jìn)入同一個(gè)大門(mén)。
(3)基于數(shù)字證書(shū)的身份鑒別
基于數(shù)字證書(shū)的身份鑒別是指用戶登錄到無(wú)線局域網(wǎng)之前,需要由特定的機(jī)構(gòu)對(duì)用戶的身份進(jìn)行嚴(yán)格的審核,并為用戶頒發(fā)數(shù)字證書(shū),通過(guò)公鑰加密技術(shù)對(duì)用戶的公鑰信息和用戶的身份信息做數(shù)字簽名,把用戶的身份信息與公鑰綁定在一起。用戶使用證書(shū)進(jìn)行身份鑒別時(shí),可基于對(duì)權(quán)威鑒別機(jī)構(gòu)的信賴而信賴證書(shū)所對(duì)應(yīng)的實(shí)體身份,實(shí)現(xiàn)對(duì)身份的鑒別。
這種技術(shù)屬于安全性最高的一種方案,它通過(guò)密碼學(xué)的技術(shù)不但綁定用戶接入身份的鑒別流程,而且還綁定用戶身份本身,同時(shí)也完成對(duì)通信數(shù)據(jù)的加密處理。使用這樣的方法,每個(gè)用戶都有屬于自己個(gè)人的接入憑證,無(wú)法抵賴。這種方案類(lèi)似于所有訪客,使用唯一標(biāo)識(shí)自己身份的一張卡進(jìn)入同一個(gè)大門(mén)。
2、加密
加密就是保護(hù)信息不泄露或不暴露給那些未授權(quán)掌握這一信息的實(shí)體。通常需要選擇特定的密碼算法來(lái)實(shí)現(xiàn)。常見(jiàn)的密碼算法如下。
(1)數(shù)據(jù)加密標(biāo)準(zhǔn)DES(Data Encryption Standard):DES的出現(xiàn)引起了學(xué)術(shù)界和企業(yè)界的廣泛重視,許多廠家很快生產(chǎn)出實(shí)現(xiàn)DES算法的產(chǎn)品,但其最大的缺點(diǎn)在于DES的密鑰太短,不能抵抗無(wú)窮搜索密鑰攻擊。
(2)高級(jí)加密標(biāo)準(zhǔn)AES(Advanced Encryption Standard):為了克服DES的缺點(diǎn),美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)研究所(NIST)開(kāi)始尋求高強(qiáng)度、高效率的替代算法,并于1997年推出AES標(biāo)準(zhǔn)。
(3)SM4:SM4是在國(guó)內(nèi)正式使用并于2006年公布的第一個(gè)用于無(wú)線局域網(wǎng)的商用分組密碼算法。WAPI的無(wú)線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)(WPI, WLAN Privacy Infrastructure)采用對(duì)稱密碼算法SM4實(shí)現(xiàn)對(duì)MAC層MSDU的加、解密操作。
3、數(shù)據(jù)完整性保護(hù)
數(shù)據(jù)完整性保護(hù),是使接收方能夠確切地判斷所接收到的消息在傳輸過(guò)程中是否遭到插入、篡改、重排序等形式的破壞。完善的數(shù)據(jù)完整性業(yè)務(wù)不僅能發(fā)現(xiàn)完整性是否遭到破壞,還能采取某種措施從完整性中恢復(fù)出來(lái)。