目前無線網絡隨著無線路由器的普及，一些公司或家庭因為不同設備(筆記本、手機、電視、PDA、PSP等)無線上網的需求，在辦公區域或家中增設了無線AP(接入點，全稱Access Point)，大大增強了上網設備的機動性，彌補了有線網絡的局限性。無線雖然不可見，但無線網絡的普及程度卻是隨處可見的，因此，當人們走進酒店、餐館、商務區、運動場館等場所，都可以很快搜索到附近的無線接入點，方便、快捷地享受上網沖浪的樂趣。

　　1、企業無線網絡現狀

　　在企業網絡中，特別是還沒有系統規劃自己的企業級無線網絡安全規范的網絡，對于無線網絡的建設沒有獲得足夠的重視，而為了滿足一些新業務的需求，或是解決員工便捷的辦公網絡環境，往往會輕易地將一個AP接入企業的網絡中來。無線網絡的安全隱患早在多年前就被比較有前瞻性的人所預見，而今，隨著無線網絡普及程度的提高以及相關工具的日益豐富，特別是在近年來，無線安全問題猶如“忽聞一夜春風來，千樹萬樹梨花開”之態勢很突兀地暴露在公眾面前。

　　對于一個企業來說，這樣的網絡現狀所帶來的安全風險更大一些，由于以前的網絡安全規范中對無線安全沒有足夠的規劃，因此，隨著企業網絡中的無線AP不斷增加，由于部署和使用人員的安全意識和專業知識的不足，形成了各種廠家、型號各異的AP并存，同時，分布混亂，設備安全性脆弱。這給企業的網絡信息安全帶來了極大安全風險。面對整個城域網中龐大的無線設備，在暫時無充足的整改資金投入的情況下，需要專業的網絡管理人員制定一個過渡的安全優化方案，來緩解企業無線網絡面臨的安全威脅。

　　2、安全的無線網絡

　　作為新興技術，人們更多關注的是無線網絡應用的便捷性，而對其安全性往往不夠重視，然而我們已漸漸在不知不覺中被推送到無線網絡安全威脅的風口浪尖，攻擊可能就發生在我們身邊，攻擊代碼甚至可以從我們眼前飄過。因為公司內松外嚴的管理制度很容易給以局域網身份侵入的非法用戶提供更多的便利條件。那么作為公司，又該如何防范呢?要管理好企業無線安全，我們需要解決兩個方面的問題。

　　一，對于授權使用的AP設備，我們必須保障AP設備的安全、用戶訪問安全、數據傳輸的安全以及規范的申請開通流程。二，對于沒有授權的AP設備，應該能夠自動識別并阻斷其工作，以達到保護整個企業網絡安全的目的。因為有線網絡中可能出現的危害，無線網絡中基本都能做到，而且通常情況下，一個私自搭建的無線接入點很可能會破壞掉整個防御體系。

　　3、無線網絡建設

　　然而，當我們真正關注無線網絡安全，又會發現防范無線網絡安全威脅在當下并非易事。雖然市場上已經有多種成熟的網絡安全產品，可以提供包括訪問控制、監控、攻擊防御、審計、管理等多種用途，但是所有這些都是基于有線網絡環境，因為傳輸載體的不同，其觸角無法到達無線網絡；而現實的情況是，互聯網已經從原有的有線網絡拓撲擴展到邊界模糊的無線網絡連接，這就勢必造成整體網絡安全的盲區或薄弱點。

　　因此為了防范無線網絡安全威脅，必須重新審視現有的網絡邊緣，從每個無線AP開始，對其重新規范，一個合理、安全的企業AP接入流程：
 

　　3.1授權的AP安全

　　3.1.1無線熱點的統一認證

　　無線ap常見的有WEP、WPA.PSK/WPA2一PSK，還有就是企業和運營商使用的WPA—EntERPrise，也就是我們常說的基于RADIUS服務器的EAP認證。為了有效地管理分散部署在分公司各個辦公地點的各種無線AP，我們啟用了Radius服務器，對所有無線設備進行統一認證、授權，并對每個人(設備)，都分配實名信息進行認證記錄，對獲取的ip進行綁定，對訪問的行為進行審計。

　　3.1.2無線熱點接入

　　(1)為了確保企業各辦公地點的無線AP，不會被無關的手機、筆記本、IPAD等終端非授權訪問，通過關閉AP的SSID廣播功能，在辦公終端設備上以配置文件方式，通過靜默方式連接。如果設備支持，可以通過優化調整AP設備，降低天線增益或功率，縮小覆蓋范圍。

　　(2)對各地需要通過無線接入的終端設備，進行mac過濾，確保只有那些在企業注冊過的硬件設備，才能通過這些AP進入企業內部網絡。

　　(3)對每個地點的AP，規劃不同的DHCP地址池，區分同一個帳號在不同的辦公地點的訪問審計。

　　(4)對每個授權的AP，要限制其可接受管理的設備(MAC或IP)，并要求定期修改其管理密碼，對密碼復雜度進行限制，并對其修改記錄日志，進行統一存儲與管理。

　　3.1.3無線訪問的數據加密

　　由于無線AP不論采用WEP、WPA\WPA2加密，都可能被不法人員進行無線網絡嗅探，從而輕易完成破解，完成非法入侵、導致信息泄露，因此，我們建立了企業內部網絡的IPSEC VPN服務器，在接入層或匯聚層通過ACL，限制所有的AP只能訪問它，而不能訪問其它任何資源。因此，用戶在接入了AP后，必須通過IPSECVPN客戶端，來完成各項操作，通過這種方式，完成傳輸數據的可靠加密，防止無線信息被嗅探后，造成的企業敏感信息丟失。

　　3.1.4安全制度

　　(1)各部門進行無線現狀清理，對私自搭建的進行拆除。對已有必須使用的AP進行整合，盡量保持數量最小，并且覆蓋合理。

　　(2)各部門今后使用的無線AP，必須在企業信息化部門注冊，并對硬件設備配置進行規范后，方可聯入網絡。

　　3.2非授權的AP

　　在企業內部網絡中，必須拒絕非授權的AP接入。要實現這一點，首先，必須能識別出AP，然后才能判斷是否授權。但是，如何在網絡中自動識別出私接亂建的AP，思科的MSE系統只能解決cisco自己的AP設備，對其它廠家，沒法處理。華為等其他廠商的產品也同樣存在這樣的問題，針對企業內部各種廠家的AP，目前還缺乏一個統一的解決方案。

　　因此，我們可以換一種思路來考慮這個問題。在標準的企業網絡模型中，AP一般都是接在接入層網絡設備上，而接入層主要是負責本地和遠程工作組接入的，它工作在企業網絡內部，默認的安全策略往往是允許接入。但是，在引入AP設備后，由于AP的特殊性，本來我們認為相對安全的內部接入層，開始變得不再可以盲目信任，，要求對每一個接入點進行安全驗證。對于主機接入，通過安裝的Agent，將采集的信息發給認證服務器進行合規判斷，以決定是否可以入網，對于那些硬件設備，由于不能自行安裝這類Agent，必須通知網絡管理員，對他們的IP進行例外，以保證其正常工作。

　　因此，對接入層的設備啟用網絡準入認證，就可以達到自動識別AP的目的。

　　常用的幾種網絡準入：
 

　　由于公司網絡屬于IT城域網，無法實現交換到桌面，網絡還有大量的HUB，因此排除802.IX認證，所以我們采用Cisco EOU和NACC兩種認證方式混合部署。

　　針對企業的網絡拓撲結構的不同，可以在Cisco L2 EOU/L3 EOU以及NACC三種具體實施方案進行靈活組合，L2 EOU是Cisco推薦的方案，它是最貼近用戶部署，理論上可以提供最大限度的安全特性，但是接入層不同的CISCO接入交換機存在接入終端數限制不同，需要在實施過程考慮這些因素，避免因此影響正常網絡通信；L3 EOU可以在匯接層上啟用EOU，通過TRUNK鏈路，對遠程的接入層設備進行準入管理，由于匯接層設備往往性能較高，能提供更多的準入終端，同時通用中繼鏈路，能提供更靈活的部署；NACC在統一出口或總線型、星型網絡拓撲結構部署，通過策略路由對需要路由轉發的信息，進行網絡準入驗證功能。

　　4、結語

　　在一個大型網絡中，存在了大量不同廠家的不同型號的AP設備接入的情況下，文中提供一種投資不大，操作簡單并且可以平滑過渡的網絡安全改造方案。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：企業網絡的無線安全優化

本文網址：http://www.guhuozai8.cn/html/support/11121510917.html