龙空技术网

计算机软考网络规划师论文——论无线网络中的安全问题及防范技术

IT老良 523

前言:

现在你们对“安全模式不可以连wifi”大体比较重视,小伙伴们都需要分析一些“安全模式不可以连wifi”的相关知识。那么小编也在网络上收集了一些对于“安全模式不可以连wifi””的相关知识,希望大家能喜欢,咱们快快来学习一下吧!

随着网络技术的飞速发展和普及,无线网络也逐步发展起来,近年来,无线网络已经成为网络扩展的一种重要方式,人们对无线网络依赖的程度也越来越高。无线网络具有安装简便、可移动性、开放性、高灵活性等特点,这些都为人们带来了极大的方便。但也正是因为这些特点,决定了无线网络面临许多安全问题,这些安全问题迫使技术人员开发了相应的安全防范技术和方法。

请围绕“无线网络中的安全问题及防范技术”论题,依次对以下四个方面进行论述。

1、简要论述无线网络面临的安全问题。

2、详细论述针对无线网络主要安全问题的防范技术。

3、详细论述你参与设计和实施的无线网络项目中采用的安全防范方案。

4、分析和评估你所采用的安全防范方案的效果以及进一步改进的措施。

摘要:

本文重点讨论无线网络中的安全与信息安全技术,本人首先介绍了无线网络面临的安全问题,并从易遭受攻击、易遭受非法接入、审计困难三个层面详细分析当前无线网络存在的风险点。然后,以本人经历的无线网络升级改造项目为出发点,介绍了项目改造原因、实施方式并重点介绍了在安全方面的特色部署措施。具体措施有采用Portal+MAC认证方式保证用户一次认证,多次接入;采用双AC主备设备,BFD+VRRP技术,保证无线网络的稳定性与高效性;采用流控行为管理、WIDS、WIPS等多项安全设备及策略,在提高网络使用满意度的同时,保证了无线网络的安全、高效管理。文章最后总结了本次项目的实施效果以及进一步的改进措施。通过本次工程改造,使公司的无线网络实现了高效管理,强化了安全防御能力,并在投入使用的一年多时间里,运行良好,得到了职工群众的一致好评。

正文:

随着无线网络技术的不断发展与广泛使用,为人们带来极大便利的同时,其安全性问题也给人们造成了极大的损失。按照公司网络发展需求,我作为主要技术负责人负责我公司的无线网络升级加固项目。为使本次升级加固项目顺利实施,我对主流的802.1x、Portal等认证方式,及主流的加密技术进行了系统分析,最终确定了以Portal+MAC结合的认证模式和BFD+VRRP的热备AC模式,并部署了行为审计AC等无线安全设备,使我公司的无线网络可实施全网内的恶意行为和内容检测、入侵防御等审计和溯源能力。

目前,无线网络主要面临三类安全问题:

(1)易遭受攻击。无线网络的特点是带宽较有线网络小,屏蔽性差,容易遭受各类攻击,如DDos、中间人攻击、网络钓鱼、暴力破解等。

(2)容易非法接入。公司无线网络在设计之初是作为有线网络的延伸,特点是覆盖范围更广,移动性更强,但这导致会有很多的非法用户接入无线网络,造成流量流失与带宽浪费,甚至引入恶意用户的攻击。

(3)审计困难。许多恶意用户利用无线网络发布非法言论,进行非法交易,当主管部门查到这些问题时,由于缺乏审计功能,找不到问题源头而导致网络提供方要为此负责。

我所在的单位为一电厂,早期单位无线网络建设考虑更多的是网络的易用性,而安全性问题并没有过多的考虑。随着《中华人民共和国网络安全法》的出台,电网每年都会参与企业内部或公安组织的各类护网行动和攻防演练,暴露了很多问题。2020年,我单位计划对现有无线网络进行改造,计划利用现有的网络条件,重新对无线网络进行规划,增加无线网络带宽,调整无线网络管理模式,最重要的是增强其安全性。本次项目工期4个月,总投入538万元,我作为本次项目的技术负责人,负责项目的前期设计与项目实施。

一、原有无线网络架构简介

公司无线网络供应商为中国移动,采用的是云管理模式,AC放置于中国移动公司本部,AP则分布式部署在公司。我公司办公大楼占地面积1000平方米,每层楼平面面积为500平方米,共10个楼层。每层棚顶平均分布6个AP,AP集中接入于第六层接入交换机。初期无线信号尚可满足用户需求,后经过几次办公室改造,大多办公室增设了墙体隔断,导致无线网络信号变弱,经常出现网络无法访问的情况,且无任何认证加密机制,网络安全状况堪忧。

二、现有的无线网络部署模式

公司有线网络的架构为三层架构,出口为中国电信千兆线路。出口路由器采用华为NE80E,下联华为防火墙USG9520,华为入侵防御NIP6600,防毒墙瑞星RSW-MG,核心交换机采用华为S12712,通过汇聚交换机S5720连接各部门的接入层交换机。每层接入交换机均部署于楼层弱电井间。本项目与中国移动供应商签订新的网络服务,核心交换机处旁挂两台华为AC6805,以主备方式运行,无线网络业务流量全部走向中国移动网络。为保障无线安全,我们在AC与核心交换机之间部署了深信服AD6000上网行为管理设备和WIPS;并接受深信服厂家的建议,部署深信服的全网行为管理产品,用于HTTPS解密;在AC处旁路接入WIDS用于入侵检测。在AP的部署上,我们摒弃了之前的分布式部署方式,在每个办公室和走廊分别部署了华为AP6010DN,可以保证每个角落的信号强度。

三、网络安全防护

本项目旨在提升企业无线网络的安全性,因此在安全方面,我们具体采取了以下几个方面的措施:

(1)我们采用了AC的主备运行模式,主AC与备AC通过BFD+VRRP联动。上联链路监控支持BFD+VRRP,下行链路开启MSTP防环路。楼栋均实施2.5GHz和5GHz混合铺盖,设置5G的终端用户优先接入5G网络,这减少了2.4GHz的负载压力,提高了无线网络系统的整体性能。

(2)我们采用了Portal+MAC的认证方式,确保用户一次认证,多次接入。普通用户在初次认证时采用用户名和密码认证,特别用户则采用短信认证。用户后续接入使用MAC认证,无需再次应用Web认证或者短信认证,完全做到无感知接入网络。我们实施了用户的流量控制,流量按需提供,并可根据终端类型配置不同的业务流量策略。限制低速用户的接入,强制强信号用户下线,以保障业务系统的性能。公司的用户除内部员工外,还有临时工和外来人员,所以在SSID分配上,我们分配了2个SSID,SSID1供内部员工使用,并预先分配用户名和密码;SSID2供临时工和外来人员使用。

(3)加强内容审计。我们部署了内容审计系统,对所有从本公司网络发出的言论进行审计,避免不法言论的流出,杜绝非法上网行为的发送。我们部署了H3C的WIPS和WIDS的无线控制技术,启用AP探测功能,进行入侵检测和防御。我们安排运维人员实时监控平台报警和定期报告整理,对检测到的数据进行分析,并定期调整流量策略。

经过4个月的努力,我们在规定时间内顺利完成了本项目,这是整个团队辛苦付出的必然结果。为保障本次无线网络的顺利执行,我们组织了各部门代表进行网络安全知识教育和使用培训。但经过一段时间的试行,仍然发现了一些问题,比如有的员工的笔记本没有安装杀毒软件就接入了网络;有些用户使用同一账户在同类多个设备上登录;无线网络缺乏完善的管理;发现问题担责任落实不到人等问题。为此,我目前正在编制无线网络使用管理条例,期望进一步提高无线网络的管理水平。本次无线网络的升级改造,为我们积累了很多经验,也为我在下一步的Wifi6项目的建设提供给了思路,打下了基础。我会继续提供自己的业务能力,使自己成为一名更加合格的网络规划设计师。

标签: #安全模式不可以连wifi