1  应用背景

无线局域网（WLAN）具有安装便捷、使用灵活、经济节约、易于扩展等有线网络无法比拟的优点，因此无线局域网得到越来越广泛的使用。但是由于无线局域网信道开放的特点，使得攻击者能够很容易的进行窃听，恶意修改并转发，因此安全性成为阻碍无线局域网发展的最重要因素。虽然一方面对无线局域网需求不断增长，但同时也让许多潜在的用户对不能够得到可靠的安全保护而对最终是否采用无线局域网系统犹豫不决。
网络的安全包含设备安全、用户认证、数据安全、网络入侵病毒防护等多个方面，是一个多层互动、全面综合的系统工程。运营商的 WLAN 网络应当能够为最终用户提供端到端安全保障。

2  运营商 WLAN 安全解决方案

2.1  设备安全

设备安全是可运营WLAN网络安全的基础，网络设备应具备设备防盗、设备防毁、防止电磁信息泄漏、抗电磁干扰、电源保护、受灾防护、区域防护等特性，室外型AP应该具有防水、防雷、防火和防盗的特性，AC和AS应该放置在局端，应当符合NEBS三级标准的要求。除了以上功能以外， H3C 公司根据运营商 WLAN网络的特点通过以下手段来保证设备的安全可靠性：

²       AP防盗设计

传统的FAT AP组网模式要求在AP上配置大量的业务参数，同时需要在AP本地保存这些业务配置信息，一旦设备丢失，AP的业务配置信息就可能被泄漏，形成网络的安全漏洞。H3C的FIT AP在设备上不保存业务配置，而是每次启动的时候从无线控制器动态加载业务配置，这样可以有效避免设备丢失造成配置泄漏。

²       AP身份认证

用户在采用H3C公司的无线控制器＋FIT AP组网时，都需要预先在无线控制器上设置部署的AP序列号。当这些AP启动和无线控制器建立关联时，无线控制器会检查AP上报的序列号信息，只有这些预先授权的AP才能接入无线控制器使用，防止非法FIT AP接入网络。

²       AP支持多无线控制器的冗余备份

当用户的网络中存在多台无线控制器时，用户可以在H3C的无线控制器上配置AP的接入优先级，当AP启动以后发现一个新的无线控制器的时候（通过广播、DNS或者Option43方式），无线控制器将AP的接入优先级以及无线控制器已经接入AP的负载情况信息返回给AP，AP根据这些信息优选出最适合接入的无线控制器，和其建立连接，而将其他无线控制器作为备份控制器。当无线控制器因异常原因down机时（例如停电），AP会和其他可用的备份无线控制器建立连接，有效的防止了单点故障的发生。

²       非法AP检测

采用H3C的无线产品组成的WLAN网络，可以自动监测非法设备（例如Rouge AP，或者Ad Hoc 无线终端），并适时上报网管中心，同时对非法设备的攻击可以进行自动防护，最大程度地保护无线网络。

²       黑白名单功能

H3C的无线产品支持静态配置白名单功能，该功能一旦启用，只有白名单上的无线用户才被认为是合法用户，其他非法用户的报文全部在AP上被丢弃，从而减少非法报文对无线网络的冲击。

2.2  用户接入安全

可运营的WLAN必须通过识别用户身份进行相应授权，在认证过程中保护用户认证信息安全，不被窃取。

²       多种用户接入认证手段

用户接入认证实现了对接入用户的身份认证，为网络服务提供了安全保护。H3C无线接入认证主要有802.1x接入认证、PSK认证、MAC接入认证以及有线网络常用的portal认证和PPPOE认证，H3C的无线产品全面支持国家WAPI标准规定的终端接入认证协议。在下文中只是详细描述802.1x接入认证、PSK认证、MAC接入认证等认证方式，对于有线用户常用的Portal认证和PPPOE认证不再赘述。

²       动态控制用户权限

接入认证只解决了用户的身份验证问题，而无法对不同身份的用户提供不同等级的服务和访问权限，通过和AAA服务器配合，H3C的无线设备支持对认证用户动态下发带宽、VLAN、ACL、优先级等参数，对于不同的用户群和业务可以控制其访问网络的权限，限制网络资源的使用，通过VLAN和优先级来标识用户和业务，并做到业务隔离。

²       Hotspot用户隔离

随着无线终端的普及，运营商目前都在大力开展无线热点业务，而其中一个重要需求是希望所有用户的数据流量在AP本地不做交换，而都必需经由BRAS设备交换和控制。Hotspot用户隔离通过限制相同SSID下的接入用户的互访，可以保证未认证用户无法在AP上做互访。

2.3  数据安全

为了保证物理层的通信安全,H3C公司的无线产品支持以下的加密机制：

²       空中接口安全

WLAN信道开放的特点决定空中接口安全是WLAN网络安全的非常重要而且必须解决的问题.H3C支持多种加密标准，具有良好的兼容性。支持的标准包括：WEP加密、TKIP加密、CCMP加密、WAPI加密，可以适应各种应用场景

²       IPSEC VPN

通过在H3C的无线控制器上安装安全插卡，可以支持IPSEC VPN server，用户不用再额外安装VPN server就可以轻松享有端到端的数据安全。

2.4  网络安全

为了保证无线用户之间以及其连接的整个网络的安全，仅仅保证接入点的安全性是远远不够的。H3C从整个网络的安全角度出发在以下几方面着手部署网络安全措施：

²       统一安全威胁管理

通过在无线控制器上集成高性能的IPS插卡可以对整个无线网络的数据流进行统一的保护。H3C SecBlade IPS是一款高性能入侵防御模块，集成入侵防御与检测、病毒过滤、带宽管理和URL过滤等功能，是业界综合防护技术最领先的入侵防御/检测系统。通过深达7层的分析与检测，实时阻断网络流量中隐藏的病毒、蠕虫、木马、间谍软件、DDoS等攻击和恶意行为，并对分布在网络中的各种P2P、IM等非关键业务进行有效管理，实现对网络基础设施、网络应用和性能的全面保护。统一威胁管理可以作为一种新的增值服务，即为用户提供全面的保护，又为运营商带来更多价值。

²       端点准入控制

终端安全性不足对整个网络造成巨大的威胁，为了解决大客户对安全性提出的更高要求。H3C公司推出了EAD解决方案，该方案从网络用户终端准入控制入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入网络的用户终端强制实施安全策略，严格控制终端用户的网络使用行为，加强网络用户终端的主动防御能力，保护网络安全。
H3C的无线产品支持EAD接入控制方式，配合iNode无线/有线统一客户端可以实现有线，无线用户使用统一的客户端进行认证，结合H3C公司的CAMS服务器，H3C公司给用户提供了有线无线一体化的整体安全解决方案。

²       无线协议攻击防御

H3C的无线产品支持多种攻击的检测，例如DOS攻击，Flood攻击，去认证、去连接报文的仿冒检测，以及无线用户Weak IV检测。当控制器检测到上述的攻击后，会产生告警或者日志，提醒管理员进行相应的处理。特别是无线协议攻击防御可以和动态黑名单配合使用，当控制器检测到攻击时，可以将发起攻击的无线客户端添加到动态黑名单中，从而保证WLAN网络不再被该设备攻击。

²       无线控制器和AP间下行流量限速

AP由于受自身硬件条件的限制和无线控制器相比处理能有限，如果在无线控制器不加控制，外界对无线用户的数据流量攻击很容易造成AP的CPU占用率过高，从而影响无线控制器和AP之间的连通性。H3C的无线控制器支持针对AP的下行流量限速，即使发往AP的流量再大，都会被无线控制器限制在AP的处理能力范围之内，保证AP能够正常工作。

²       AP智能带宽限速

AP可以限制每个用户使用的最大带宽，从而防御因个别用户使用P2P等大流量应用导致其他用户无法上网。
 

2.5  统一安全管理

配合H3C的iMC网管系统，H3C的无线设备可以支持完善的安全管理配置和告警。

²       无线安全策略配置

通过在无线控制器上集中配置无线安全策略，管理者可以对现有无线网络的安全策略进行集中管理，灵活的定制网络的无线业务参数、认证方式、加密方式、安全策略等内容。

²       安全策略统一部署

当H3C的无线控制器采用集中转发模式时，所有的用户数据流都会经由无线控制器做集中转发的策略处理，因此可以很容易的在无线控制器上进行安全策略的集中部署。这种集中部署安全策略的方式一方面可以充分发挥无线控制器处理性能高，能力强的优势，能够部署一些复杂的安全策略，另外可以避免在大量分散的AP设备上分别部署安全策略，减少了维护和管理的工作量。

²       非法设备监控和告警

管理者可以在iMC网管上配置合法的SSID、合法的设备，并获取当前无线网络中存在的非法设备、非法SSID信息。

3  展望

H3C 司的WLAN安全解决方案在遵循IEEE 802.11i协议和国家WAPI标准的基础上，创新性的提出了分层的安全体系架构，使用户在使用WLAN网络时能够像使用有线网络一样安全、可靠。H3C 的安全解决方案同时为运营商提供了完善的增值运营解决方案帮助运营商提高客户ARPU值。未来H3C的WLAN网络安全解决方案将继续本着深入安全、全面安全和智能安全的理念为用户提供更加安全的WLAN网络。