運(yùn)營商WLAN安全解決方案

1 應(yīng)用背景

無線局域網(wǎng)（WLAN）具有安裝便捷、使用靈活、經(jīng)濟(jì)節(jié)約、易于擴(kuò)展等有線網(wǎng)絡(luò)無法比擬的優(yōu)點(diǎn)，因此無線局域網(wǎng)得到越來越廣泛的使用。但是由于無線局域網(wǎng)信道開放的特點(diǎn)，使得攻擊者能夠很容易的進(jìn)行竊聽，惡意修改并轉(zhuǎn)發(fā)，因此安全性成為阻礙無線局域網(wǎng)發(fā)展的最重要因素。雖然一方面對無線局域網(wǎng)需求不斷增長，但同時(shí)也讓許多潛在的用戶對不能夠得到可靠的安全保護(hù)而對最終是否采用無線局域網(wǎng)系統(tǒng)猶豫不決。
網(wǎng)絡(luò)的安全包含設(shè)備安全、用戶認(rèn)證、數(shù)據(jù)安全、網(wǎng)絡(luò)入侵病毒防護(hù)等多個(gè)方面，是一個(gè)多層互動(dòng)、全面綜合的系統(tǒng)工程。運(yùn)營商的 WLAN 網(wǎng)絡(luò)應(yīng)當(dāng)能夠?yàn)樽罱K用戶提供端到端安全保障。

2 運(yùn)營商 WLAN 安全解決方案

2.1 設(shè)備安全

設(shè)備安全是可運(yùn)營WLAN網(wǎng)絡(luò)安全的基礎(chǔ)，網(wǎng)絡(luò)設(shè)備應(yīng)具備設(shè)備防盜、設(shè)備防毀、防止電磁信息泄漏、抗電磁干擾、電源保護(hù)、受災(zāi)防護(hù)、區(qū)域防護(hù)等特性，室外型AP應(yīng)該具有防水、防雷、防火和防盜的特性，AC和AS應(yīng)該放置在局端，應(yīng)當(dāng)符合NEBS三級標(biāo)準(zhǔn)的要求。除了以上功能以外， H3C 公司根據(jù)運(yùn)營商 WLAN網(wǎng)絡(luò)的特點(diǎn)通過以下手段來保證設(shè)備的安全可靠性：

² AP防盜設(shè)計(jì)

傳統(tǒng)的FAT AP組網(wǎng)模式要求在AP上配置大量的業(yè)務(wù)參數(shù)，同時(shí)需要在AP本地保存這些業(yè)務(wù)配置信息，一旦設(shè)備丟失，AP的業(yè)務(wù)配置信息就可能被泄漏，形成網(wǎng)絡(luò)的安全漏洞。H3C的FIT AP在設(shè)備上不保存業(yè)務(wù)配置，而是每次啟動(dòng)的時(shí)候從無線控制器動(dòng)態(tài)加載業(yè)務(wù)配置，這樣可以有效避免設(shè)備丟失造成配置泄漏。

² AP身份認(rèn)證

用戶在采用H3C公司的無線控制器＋FIT AP組網(wǎng)時(shí)，都需要預(yù)先在無線控制器上設(shè)置部署的AP序列號。當(dāng)這些AP啟動(dòng)和無線控制器建立關(guān)聯(lián)時(shí)，無線控制器會(huì)檢查AP上報(bào)的序列號信息，只有這些預(yù)先授權(quán)的AP才能接入無線控制器使用，防止非法FIT AP接入網(wǎng)絡(luò)。

² AP支持多無線控制器的冗余備份

當(dāng)用戶的網(wǎng)絡(luò)中存在多臺無線控制器時(shí)，用戶可以在H3C的無線控制器上配置AP的接入優(yōu)先級，當(dāng)AP啟動(dòng)以后發(fā)現(xiàn)一個(gè)新的無線控制器的時(shí)候（通過廣播、DNS或者Option43方式），無線控制器將AP的接入優(yōu)先級以及無線控制器已經(jīng)接入AP的負(fù)載情況信息返回給AP，AP根據(jù)這些信息優(yōu)選出最適合接入的無線控制器，和其建立連接，而將其他無線控制器作為備份控制器。當(dāng)無線控制器因異常原因down機(jī)時(shí)（例如停電），AP會(huì)和其他可用的備份無線控制器建立連接，有效的防止了單點(diǎn)故障的發(fā)生。

² 非法AP檢測

采用H3C的無線產(chǎn)品組成的WLAN網(wǎng)絡(luò)，可以自動(dòng)監(jiān)測非法設(shè)備（例如Rouge AP，或者Ad Hoc 無線終端），并適時(shí)上報(bào)網(wǎng)管中心，同時(shí)對非法設(shè)備的攻擊可以進(jìn)行自動(dòng)防護(hù)，最大程度地保護(hù)無線網(wǎng)絡(luò)。

² 黑白名單功能

H3C的無線產(chǎn)品支持靜態(tài)配置白名單功能，該功能一旦啟用，只有白名單上的無線用戶才被認(rèn)為是合法用戶，其他非法用戶的報(bào)文全部在AP上被丟棄，從而減少非法報(bào)文對無線網(wǎng)絡(luò)的沖擊。

2.2 用戶接入安全

可運(yùn)營的WLAN必須通過識別用戶身份進(jìn)行相應(yīng)授權(quán)，在認(rèn)證過程中保護(hù)用戶認(rèn)證信息安全，不被竊取。

² 多種用戶接入認(rèn)證手段

用戶接入認(rèn)證實(shí)現(xiàn)了對接入用戶的身份認(rèn)證，為網(wǎng)絡(luò)服務(wù)提供了安全保護(hù)。H3C無線接入認(rèn)證主要有802.1x接入認(rèn)證、PSK認(rèn)證、MAC接入認(rèn)證以及有線網(wǎng)絡(luò)常用的portal認(rèn)證和PPPOE認(rèn)證，H3C的無線產(chǎn)品全面支持國家WAPI標(biāo)準(zhǔn)規(guī)定的終端接入認(rèn)證協(xié)議。在下文中只是詳細(xì)描述802.1x接入認(rèn)證、PSK認(rèn)證、MAC接入認(rèn)證等認(rèn)證方式，對于有線用戶常用的Portal認(rèn)證和PPPOE認(rèn)證不再贅述。

² 動(dòng)態(tài)控制用戶權(quán)限

接入認(rèn)證只解決了用戶的身份驗(yàn)證問題，而無法對不同身份的用戶提供不同等級的服務(wù)和訪問權(quán)限，通過和AAA服務(wù)器配合，H3C的無線設(shè)備支持對認(rèn)證用戶動(dòng)態(tài)下發(fā)帶寬、VLAN、ACL、優(yōu)先級等參數(shù)，對于不同的用戶群和業(yè)務(wù)可以控制其訪問網(wǎng)絡(luò)的權(quán)限，限制網(wǎng)絡(luò)資源的使用，通過VLAN和優(yōu)先級來標(biāo)識用戶和業(yè)務(wù)，并做到業(yè)務(wù)隔離。

² Hotspot用戶隔離

隨著無線終端的普及，運(yùn)營商目前都在大力開展無線熱點(diǎn)業(yè)務(wù)，而其中一個(gè)重要需求是希望所有用戶的數(shù)據(jù)流量在AP本地不做交換，而都必需經(jīng)由BRAS設(shè)備交換和控制。Hotspot用戶隔離通過限制相同SSID下的接入用戶的互訪，可以保證未認(rèn)證用戶無法在AP上做互訪。

2.3 數(shù)據(jù)安全

為了保證物理層的通信安全,H3C公司的無線產(chǎn)品支持以下的加密機(jī)制：

² 空中接口安全

WLAN信道開放的特點(diǎn)決定空中接口安全是WLAN網(wǎng)絡(luò)安全的非常重要而且必須解決的問題.H3C支持多種加密標(biāo)準(zhǔn)，具有良好的兼容性。支持的標(biāo)準(zhǔn)包括：WEP加密、TKIP加密、CCMP加密、WAPI加密，可以適應(yīng)各種應(yīng)用場景

² IPSEC VPN

通過在H3C的無線控制器上安裝安全插卡，可以支持IPSEC VPN server，用戶不用再額外安裝VPN server就可以輕松享有端到端的數(shù)據(jù)安全。

2.4 網(wǎng)絡(luò)安全

為了保證無線用戶之間以及其連接的整個(gè)網(wǎng)絡(luò)的安全，僅僅保證接入點(diǎn)的安全性是遠(yuǎn)遠(yuǎn)不夠的。H3C從整個(gè)網(wǎng)絡(luò)的安全角度出發(fā)在以下幾方面著手部署網(wǎng)絡(luò)安全措施：

² 統(tǒng)一安全威脅管理

通過在無線控制器上集成高性能的IPS插卡可以對整個(gè)無線網(wǎng)絡(luò)的數(shù)據(jù)流進(jìn)行統(tǒng)一的保護(hù)。H3C SecBlade IPS是一款高性能入侵防御模塊，集成入侵防御與檢測、病毒過濾、帶寬管理和URL過濾等功能，是業(yè)界綜合防護(hù)技術(shù)最領(lǐng)先的入侵防御/檢測系統(tǒng)。通過深達(dá)7層的分析與檢測，實(shí)時(shí)阻斷網(wǎng)絡(luò)流量中隱藏的病毒、蠕蟲、木馬、間諜軟件、DDoS等攻擊和惡意行為，并對分布在網(wǎng)絡(luò)中的各種P2P、IM等非關(guān)鍵業(yè)務(wù)進(jìn)行有效管理，實(shí)現(xiàn)對網(wǎng)絡(luò)基礎(chǔ)設(shè)施、網(wǎng)絡(luò)應(yīng)用和性能的全面保護(hù)。統(tǒng)一威脅管理可以作為一種新的增值服務(wù)，即為用戶提供全面的保護(hù)，又為運(yùn)營商帶來更多價(jià)值。

² 端點(diǎn)準(zhǔn)入控制

終端安全性不足對整個(gè)網(wǎng)絡(luò)造成巨大的威脅，為了解決大客戶對安全性提出的更高要求。H3C公司推出了EAD解決方案，該方案從網(wǎng)絡(luò)用戶終端準(zhǔn)入控制入手，整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品，通過安全客戶端、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備以及第三方軟件的聯(lián)動(dòng)，對接入網(wǎng)絡(luò)的用戶終端強(qiáng)制實(shí)施安全策略，嚴(yán)格控制終端用戶的網(wǎng)絡(luò)使用行為，加強(qiáng)網(wǎng)絡(luò)用戶終端的主動(dòng)防御能力，保護(hù)網(wǎng)絡(luò)安全。
H3C的無線產(chǎn)品支持EAD接入控制方式，配合iNode無線/有線統(tǒng)一客戶端可以實(shí)現(xiàn)有線，無線用戶使用統(tǒng)一的客戶端進(jìn)行認(rèn)證，結(jié)合H3C公司的CAMS服務(wù)器，H3C公司給用戶提供了有線無線一體化的整體安全解決方案。

² 無線協(xié)議攻擊防御

H3C的無線產(chǎn)品支持多種攻擊的檢測，例如DOS攻擊，F(xiàn)lood攻擊，去認(rèn)證、去連接報(bào)文的仿冒檢測，以及無線用戶Weak IV檢測。當(dāng)控制器檢測到上述的攻擊后，會(huì)產(chǎn)生告警或者日志，提醒管理員進(jìn)行相應(yīng)的處理。特別是無線協(xié)議攻擊防御可以和動(dòng)態(tài)黑名單配合使用，當(dāng)控制器檢測到攻擊時(shí)，可以將發(fā)起攻擊的無線客戶端添加到動(dòng)態(tài)黑名單中，從而保證WLAN網(wǎng)絡(luò)不再被該設(shè)備攻擊。

² 無線控制器和AP間下行流量限速

AP由于受自身硬件條件的限制和無線控制器相比處理能有限，如果在無線控制器不加控制，外界對無線用戶的數(shù)據(jù)流量攻擊很容易造成AP的CPU占用率過高，從而影響無線控制器和AP之間的連通性。H3C的無線控制器支持針對AP的下行流量限速，即使發(fā)往AP的流量再大，都會(huì)被無線控制器限制在AP的處理能力范圍之內(nèi)，保證AP能夠正常工作。

² AP智能帶寬限速

AP可以限制每個(gè)用戶使用的最大帶寬，從而防御因個(gè)別用戶使用P2P等大流量應(yīng)用導(dǎo)致其他用戶無法上網(wǎng)。

2.5 統(tǒng)一安全管理

配合H3C的iMC網(wǎng)管系統(tǒng)，H3C的無線設(shè)備可以支持完善的安全管理配置和告警。

² 無線安全策略配置

通過在無線控制器上集中配置無線安全策略，管理者可以對現(xiàn)有無線網(wǎng)絡(luò)的安全策略進(jìn)行集中管理，靈活的定制網(wǎng)絡(luò)的無線業(yè)務(wù)參數(shù)、認(rèn)證方式、加密方式、安全策略等內(nèi)容。

² 安全策略統(tǒng)一部署

當(dāng)H3C的無線控制器采用集中轉(zhuǎn)發(fā)模式時(shí)，所有的用戶數(shù)據(jù)流都會(huì)經(jīng)由無線控制器做集中轉(zhuǎn)發(fā)的策略處理，因此可以很容易的在無線控制器上進(jìn)行安全策略的集中部署。這種集中部署安全策略的方式一方面可以充分發(fā)揮無線控制器處理性能高，能力強(qiáng)的優(yōu)勢，能夠部署一些復(fù)雜的安全策略，另外可以避免在大量分散的AP設(shè)備上分別部署安全策略，減少了維護(hù)和管理的工作量。

² 非法設(shè)備監(jiān)控和告警

管理者可以在iMC網(wǎng)管上配置合法的SSID、合法的設(shè)備，并獲取當(dāng)前無線網(wǎng)絡(luò)中存在的非法設(shè)備、非法SSID信息。

3 展望

H3C 司的WLAN安全解決方案在遵循IEEE 802.11i協(xié)議和國家WAPI標(biāo)準(zhǔn)的基礎(chǔ)上，創(chuàng)新性的提出了分層的安全體系架構(gòu)，使用戶在使用WLAN網(wǎng)絡(luò)時(shí)能夠像使用有線網(wǎng)絡(luò)一樣安全、可靠。H3C 的安全解決方案同時(shí)為運(yùn)營商提供了完善的增值運(yùn)營解決方案幫助運(yùn)營商提高客戶ARPU值。未來H3C的WLAN網(wǎng)絡(luò)安全解決方案將繼續(xù)本著深入安全、全面安全和智能安全的理念為用戶提供更加安全的WLAN網(wǎng)絡(luò)。

上一篇：沒有了
下一篇：電力總部智能大樓解決方案