网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

1. 建立完善的无线用户认证和授权系统，支持802.1X 认证、MAC 地址认证、Portal 认证、PPPoE 和WAPI 认证等多种方式，用户通过身份认证后可动态授权VLAN 和ACL，对用户的策略可以事先设定好。无线用户经认证系统认证后，无线控制器应对用户进行标识并绑定，并分配带宽等属性。可以防止IP 地址欺骗、带宽滥用、DHCP 服务器被攻击等问题。

2. 提供基于AP 位置的用户接入控制，出于安全性或计费等的考虑, 要求无线控制器支持基于AP 的用户接入控制。当无线用户接入网络时，可以通过认证服务器向AC 下发允许用户接入的AP 列表，在AC 上进行接入控制，从而达到限制无线用户只能接入到指定位置AP 的目的。

3. 采取无线用户隔离措施，用户隔离包括同AP 下用户的隔离以及不同AP 下用户的隔离。AP 内部采用MAC 互访控制原理隔离用户，保证同AP 下用户只能与上联端口进行通讯;AP 之间采用MAC 地址访问控制或组网汇聚设备二层技术(如VLAN、PVLAN、PVC)进行隔离，保证不同A P 下用户不能直接相通。所有用户只有通过A C 认证后才能进行三层受控互通。

4. 通过数据加密防止用户数据被非法窃取，用户数据的加密包括无线链路层和网络层的加密。

5. 部署无线入侵检测/ 防御(WIDS/WIPS)，非法设备的告警和攻击防护功能使得无线控制器可以自动监测WLAN 网络中的非法设备( 如Rouge AP，或者AdHoc 无线终端)，并实时上报网管中心，同时对非法设备的攻击可以进行自动防护，最大程度地保护无线网络。

安全运维管理

尽管无线网络相关安全技术和设备已有较快发展，但由于系统开销和性价比原因，在无线校园网络建设时很难采用非常复杂的安全技术和过多的安全设备。因此，后期的安全运维管理是保障无线校园网稳定运行的重要手段。

无线校园网安全运维管理可分为流程定义、运行监控、事件分析、安全响应四个环节。

1. 流程定义环节：根据学校安全应急等级制度以及校园网安全管理制度，预定义无线校园网安全事件等级和安全响应流程，明确各类安全事件的响应步骤及相关责任岗位，定期进行安全预演。

2. 运行监控环节：建立无线校园网运行监控系统，通过网络运行监控中心对无线网络控制器、交换机、AP 等设备的运行状态以及安全设备告警日志进行实时采集和定期查看，生成安全报表。

3. 事件分析环节：管理员对监控中心发现的异常告警进行分析，对监控系统收集的运行数据进行分类梳理，对海量日志信息进行过滤和审计，评估安全风险。

4. 安全响应环节：针对已发生的安全事件，根据预定义的流程及时响应处理并保存日志备查，同时修复漏洞;对潜在的安全威胁，提出解决方案并组织实施。

安全设计和运维案例

浙江大学于2013 年初建成覆盖全校五校区的大规模高速无线校园网络，采用有线无线一体化架构，共部署双频802.11n 无线接入AP 近1 万个，实现全校教学区、学生宿舍区、室外公共区域无线网络的全覆盖，在教学、科研等重点区域实现450M 无线网络高速接入。

在无线校园网络方案设计时，详细考虑了无线网络安全需求和运维管理需求。拓扑示意图如图2 所示，相关组网设计思路如下：

1. 核心层：五个校区的教学区、宿舍区无线网络核心通过万兆互联，校园有线无线共用核心层设备，采用各校区核心交换机插卡的形式部署无线控制系统。同时，为保证分区的安全控制与防御，在核心层可部署防火墙、入侵检测等安全设备，与网络融合，灵活安全控制策略。

2. 汇聚层：从汇聚层开始，无线网采用专用光纤、汇聚交换机独立组网，各汇聚单元通过冗余万兆上联核心交换机，同时双千兆接入到各楼宇。

3. 接入层：采用瘦AP(Fit AP)+ 集中式无线控制器的方式，通过无线控制器(AC)来集中管理所有AP，AP 通过PoE接入交换机上行至无线网络的汇聚及核心。接入层交换机直接和无线AP 连接，可能遭受来自AP 用户的ARP 风暴、MAC扫描、ICMP 风暴、带宽攻击等攻击方式，需要具备较高的防攻击能力。

4. 用户认证：基于原校园有线网络认证数据库，实现有线无线网络统一认证，无线认证方式支持Web Portal、802.1X 等安全认证方式。针对不同的用户套餐使用不同的用户策略。

5. 网络管理：部署无线网络管理系统，通过管理无线控制器，进而管理整个无线网络设备，实现有线无线一体化的网络管理和运行监控。

浙江大学通过建立无线网络运维体系，保障无线校园网安全可靠运行。设立网络运维监控中心，通过无线网管系统对无线校园网运行情况进行7x24 小时监控;建立无线网运维队伍，对无线网运行情况和安全问题进行整理，每周例会定期分析;建立相应的运维制度，进行规范化运维。