1 应用背景
无线局域网(WLAN)具有安装便捷、使用灵活、经济节约、易于扩展等有线网络无法比拟的优点,因此无线局域网得到越来越广泛的使用。但是由于无线局域网信道开放的特点,使得攻击者能够很容易的进行窃听,恶意修改并转发,因此安全性成为阻碍无线局域网发展的最重要因素。虽然一方面对无线局域网需求不断增长,但同时也让许多潜在的用户对不能够得到可靠的安全保护而对最终是否采用无线局域网系统犹豫不决。网络的安全包含设备安全、用户认证、数据安全、网络入侵病毒防护等多个方面,是一个多层互动、全面综合的系统工程。运营商的 WLAN 网络应当能够为最终用户提供端到端安全保障。
2 运营商 WLAN 安全解决方案
2.1 设备安全
设备安全是可运营WLAN网络安全的基础,网络设备应具备设备防盗、设备防毁、防止电磁信息泄漏、抗电磁干扰、电源保护、受灾防护、区域防护等特性,室外型AP应该具有防水、防雷、防火和防盗的特性,AC和AS应该放置在局端,应当符合NEBS三级标准的要求。除了以上功能以外, H3C 公司根据运营商 WLAN网络的特点通过以下手段来保证设备的安全可靠性:² AP防盗设计
传统的FAT AP组网模式要求在AP上配置大量的业务参数,同时需要在AP本地保存这些业务配置信息,一旦设备丢失,AP的业务配置信息就可能被泄漏,形成网络的安全漏洞。H3C的FIT AP在设备上不保存业务配置,而是每次启动的时候从无线控制器动态加载业务配置,这样可以有效避免设备丢失造成配置泄漏。² AP身份认证
用户在采用H3C公司的无线控制器+FIT AP组网时,都需要预先在无线控制器上设置部署的AP序列号。当这些AP启动和无线控制器建立关联时,无线控制器会检查AP上报的序列号信息,只有这些预先授权的AP才能接入无线控制器使用,防止非法FIT AP接入网络。² AP支持多无线控制器的冗余备份
当用户的网络中存在多台无线控制器时,用户可以在H3C的无线控制器上配置AP的接入优先级,当AP启动以后发现一个新的无线控制器的时候(通过广播、DNS或者Option43方式),无线控制器将AP的接入优先级以及无线控制器已经接入AP的负载情况信息返回给AP,AP根据这些信息优选出最适合接入的无线控制器,和其建立连接,而将其他无线控制器作为备份控制器。当无线控制器因异常原因down机时(例如停电),AP会和其他可用的备份无线控制器建立连接,有效的防止了单点故障的发生。² 非法AP检测
采用H3C的无线产品组成的WLAN网络,可以自动监测非法设备(例如Rouge AP,或者Ad Hoc 无线终端),并适时上报网管中心,同时对非法设备的攻击可以进行自动防护,最大程度地保护无线网络。² 黑白名单功能
H3C的无线产品支持静态配置白名单功能,该功能一旦启用,只有白名单上的无线用户才被认为是合法用户,其他非法用户的报文全部在AP上被丢弃,从而减少非法报文对无线网络的冲击。2.2 用户接入安全
可运营的WLAN必须通过识别用户身份进行相应授权,在认证过程中保护用户认证信息安全,不被窃取。² 多种用户接入认证手段
用户接入认证实现了对接入用户的身份认证,为网络服务提供了安全保护。H3C无线接入认证主要有802.1x接入认证、PSK认证、MAC接入认证以及有线网络常用的portal认证和PPPOE认证,H3C的无线产品全面支持国家WAPI标准规定的终端接入认证协议。在下文中只是详细描述802.1x接入认证、PSK认证、MAC接入认证等认证方式,对于有线用户常用的Portal认证和PPPOE认证不再赘述。² 动态控制用户权限
接入认证只解决了用户的身份验证问题,而无法对不同身份的用户提供不同等级的服务和访问权限,通过和AAA服务器配合,H3C的无线设备支持对认证用户动态下发带宽、VLAN、ACL、优先级等参数,对于不同的用户群和业务可以控制其访问网络的权限,限制网络资源的使用,通过VLAN和优先级来标识用户和业务,并做到业务隔离。² Hotspot用户隔离
随着无线终端的普及,运营商目前都在大力开展无线热点业务,而其中一个重要需求是希望所有用户的数据流量在AP本地不做交换,而都必需经由BRAS设备交换和控制。Hotspot用户隔离通过限制相同SSID下的接入用户的互访,可以保证未认证用户无法在AP上做互访。2.3 数据安全
为了保证物理层的通信安全,H3C公司的无线产品支持以下的加密机制:² 空中接口安全
WLAN信道开放的特点决定空中接口安全是WLAN网络安全的非常重要而且必须解决的问题.H3C支持多种加密标准,具有良好的兼容性。支持的标准包括:WEP加密、TKIP加密、CCMP加密、WAPI加密,可以适应各种应用场景² IPSEC VPN
通过在H3C的无线控制器上安装安全插卡,可以支持IPSEC VPN server,用户不用再额外安装VPN server就可以轻松享有端到端的数据安全。2.4 网络安全
为了保证无线用户之间以及其连接的整个网络的安全,仅仅保证接入点的安全性是远远不够的。H3C从整个网络的安全角度出发在以下几方面着手部署网络安全措施:² 统一安全威胁管理
通过在无线控制器上集成高性能的IPS插卡可以对整个无线网络的数据流进行统一的保护。H3C SecBlade IPS是一款高性能入侵防御模块,集成入侵防御与检测、病毒过滤、带宽管理和URL过滤等功能,是业界综合防护技术最领先的入侵防御/检测系统。通过深达7层的分析与检测,实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、DDoS等攻击和恶意行为,并对分布在网络中的各种P2P、IM等非关键业务进行有效管理,实现对网络基础设施、网络应用和性能的全面保护。统一威胁管理可以作为一种新的增值服务,即为用户提供全面的保护,又为运营商带来更多价值。² 端点准入控制
终端安全性不足对整个网络造成巨大的威胁,为了解决大客户对安全性提出的更高要求。H3C公司推出了EAD解决方案,该方案从网络用户终端准入控制入手,整合网络接入控制与终端安全产品,通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动,对接入网络的用户终端强制实施安全策略,严格控制终端用户的网络使用行为,加强网络用户终端的主动防御能力,保护网络安全。H3C的无线产品支持EAD接入控制方式,配合iNode无线/有线统一客户端可以实现有线,无线用户使用统一的客户端进行认证,结合H3C公司的CAMS服务器,H3C公司给用户提供了有线无线一体化的整体安全解决方案。