学习啦>学习电脑>电脑安全>局域网安全>

局域网安全措施方案是什么

时间: 淑燕0 分享

局域网安全措施方案有哪些?无线局域网是用无线通信技术将终端设备互联起来,构成可以互相通信和实现资源共享的局域网络体系。一起来看看局域网安全措施方案是什么,欢迎查阅!

无线局域网面临的安全问题

无线局域网已广泛应用于各行各业中,受到人们的青睐,并成为无线通信与互联网技术相结合的最热门技术。无线局域网的最大优点就是实现了网络互连的可移动性,它能大幅度提高用户访问信息的及时性和有效性,还可以克服有线限制引起的不便性。但因无线局域网应用具有很大的开放性,数据传播的范围较难控制,无线局域网面临非常严峻的安全问题。无线局域网面临的基本安全问题如下。

1、非法接入风险

主要是指通过未授权的设备接入无线网络,例如,企业内部一些员工,购买便宜小巧的无线路由器,通过有线以太网口接入网络,如果这些设备配置有问题,处于没加密或弱加密的条件下,那么整个网络的安全性就大打折扣,造成接入危险。或者是企业外部的非法用户与企业内部的合法无线路由器建立了连接,这也会使网络安全失控。

2、客户端连接不当

一些部署在工作区域周围的无线路由器可能没有做安全控制,企业内一些合法用户的无线网卡可能与这些外部无线路由器连接,一旦这个用户连接到外部无线路由器,企业的网络就处于风险之中。

3、窃听

一些黑客借助Wi-Fi分析器,会捕捉到所有的无线通信数据,如果信息没有保护,则可以阅读信号中传输的内容。如果黑客手段更高明一点,就可以伪装成合法用户,修改空中传输的网络数据等。

4、拒绝服务攻击

这种攻击方式,不以获取信息为目的,黑客只是想让用户无法访问网络服务而不断地发送信息,使合法用户的信息一直处于等待状态,无法正常工作。

上面所述的安全问题的解决,其核心在于安全机制和安全协议如何制定。当前主流的无线局域网技术Wi-Fi从技术发明和协议设计初期到现在,都不能有效解决这些问题。导致根据协议开发出来的所有产品,虽然来自不同的厂家,但均面临着随时被解的危险。

企业局域网安全解决方案

本方案为某大型局域网网络安全解决方案,包括原有网络系统分析、安全需求分析、安全目标的确立、安全体系结构的设计、等。本安全解决方案的目标是在不影响某大型企业局域网当前业务的前提下,实现对他们局域网全面的安全管理。

将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险。

2.定期进行漏洞扫描,审计跟踪,及时发现问题,解决问题。

3.通过入侵检测等方式实现实时安全监控,提供快速响应故障的手段,同时具备很好的安全取证措施。

4.使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态,最大限度地减少损失。

5.在工作站、服务器上安装相应的防病毒软件,由中央控制台统一控制和管理,实现全网统一防病毒。

第二章 网络系统概况

2.1 网络概况

这个企业的局域网是一个信息点较为密集的千兆局域网络系统,它所联接的现有上千个信息点为在整个企业内办公的各部门提供了一个快速、方便的信息交流平台。不仅如此,通过专线与Internet的连接,打通了一扇通向外部世界的窗户,各个部门可以直接与互联网用户进行交流、查询资料等。通过公开服务器,企业可以直接对外发布信息或者发送电子邮件。高速交换技术的采用、灵活的网络互连方案设计为用户提供快速、方便、灵活通信平台的同时,也为网络的安全带来了更大的风险。因此,在原有网络上实施一套完整、可_作的安全解决方案不仅是可行的,而且是必需的。

2.1.1 网络概述

这个企业的局域网,物理跨度不大,通过千兆交换机在主干网络上提供1000M的独享带宽,通过下级交换机与各部门的工作站和服务器连结,并为之提供100M的独享带宽。利用与中心交换机连结的Cisco 路由器,所有用户可直接访问Internet。

2.1.2 网络结构

这个企业的局域网按访问区域可以划分为三个主要的区域:Internet区域、内部网络、公开服务器区域。内部网络又可按照所属的部门、职能、安全重要程度分为许多子网,包括:财务子网、领导子网、办公子网、市场部子网、中心服务器子网等。在安全方案设计中,我们基于安全的重要程度和要保护的对象,可以在Catalyst 型交换机上直接划分四个虚拟局域网(VLAN),即:中心服务器子网、财务子网、领导子网、其他子网。不同的局域网分属不同的广播域,由于财务子网、领导子网、中心服务器子网属于重要网段,因此在中心交换机上将这些网段各自划分为一个独立的广播域,而将其他的工作站划分在一个相同的网段。(图省略)

2.2 网络应用

这个企业的局域网可以为用户提供

1.文件共享、办公自动化、WWW服务、电子邮件服务;

2.文件数据的统一存储;

3.针对特定的应用在数据库服务器上进行二次开发(比如财务系统);

4.提供与Internet的访问;

5.通过公开服务器对外发布企业信息、发送电子邮件等;

2.3 网络结构的特点

在分析这个企业局域网的安全风险时,应考虑到网络的如下几个特点:

1.网络与Internet直接连结,因此在进行安全方案设计时要考虑与Internet连结的有关风险,包括可能通过Internet传播进来病毒,黑客攻击,来自Internet的非授权访问等。

2.网络中存在公开服务器,由于公开服务器对外必须开放部分业务,因此在进行安全方案设计时应该考虑采用安全服务器网络,避免公开服务器的安全风险扩散到内部。

3.内部网络中存在许多不同的子网,不同的子网有不同的安全性,因此在进行安全方案设计时,应考虑将不同功能和安全级别的网络分割开,这可以通过交换机划分VLAN来实现。

4.网络中有二台应用服务器,在应用程序开发时就应考虑加强用户登录验证,防止非授权的访问。

无线局域网安全概述

安全是无线局域网面临的最大问题,这是由无线信号在空中几乎无边界的传播特性造成的,不论信号中的数据要发送的目的地是哪里,任何无线终端在无线信号覆盖的范围内都可以接收到。为了保证安全通信,无线局域网中应采取必要的安全技术,包括鉴别、加密、数据完整性保护等。

1、鉴别

鉴别提供了用户身份合法性的保证,这意味着当用户声称具有一个特定的身份时,鉴别技术将提供某种方法来证实这一声明是正确的。用户在登录无线局域网的时候,需要输入特定的密码或身份信息等来进行身份合法性的验证。

尽管不同的鉴别方式决定用户身份验证的具体流程不同,但基本功能是一致的。目前,无线局域网中采用的鉴别方式主要有基于浏览器页面的身份鉴别、基于密码的身份鉴别、基于数字证书的身份鉴别。

(1)基于浏览器页面的身份鉴别

基于浏览器页面的身份鉴别一个非常重要的特点是客户端只需要在浏览器上输入正确的接入信息凭证即可。这类身份鉴别的技术在公共场所(如机场、酒店、商场等地方)经常用到,用户输入手机号码,通过手机获得相关的登录验证码,然后将登录验证码输入到浏览器中即可使用网络服务。

这种身份鉴别技术属于安全性最低的一种方案,它只是在无线局域网的上层应用简单进行身份信息的对比,实现对用户使用某种服务的控制。基于浏览器页面的身份鉴别技术并没有融入密码学相关技术来实现身份信息的保密性和不可篡改性。在无线局域网底层没有调用任何安全技术的保护,所有通信信息明文传输,存在较大的安全风险。这种方案类似于所有访客,先进入大门,然后再用笔写下自己的联系方式。

(2)基于密码的身份鉴别

基于密码的身份鉴别是指用户利用手机或者笔记本电脑原始控制接入无线局域网的界面,输入所选择的无线网络的接入密码实现网络登录。这类身份鉴别的技术在家庭、办公室等场景经常用到。

这种身份鉴别技术属于安全性中等的一种方案,它通过绑定密码学的技术实现用户接入身份的鉴别,同时完成对通信数据的加密处理。这种技术的缺点在于密码容易传播,且所有人使用相同的密码,容易造成无法追溯或者“好人办坏事”的情况。这种方案类似于所有访客,使用同一张卡进入同一个大门。

(3)基于数字证书的身份鉴别

基于数字证书的身份鉴别是指用户登录到无线局域网之前,需要由特定的机构对用户的身份进行严格的审核,并为用户颁发数字证书,通过公钥加密技术对用户的公钥信息和用户的身份信息做数字签名,把用户的身份信息与公钥绑定在一起。用户使用证书进行身份鉴别时,可基于对权威鉴别机构的信赖而信赖证书所对应的实体身份,实现对身份的鉴别。

这种技术属于安全性最高的一种方案,它通过密码学的技术不但绑定用户接入身份的鉴别流程,而且还绑定用户身份本身,同时也完成对通信数据的加密处理。使用这样的方法,每个用户都有属于自己个人的接入凭证,无法抵赖。这种方案类似于所有访客,使用唯一标识自己身份的一张卡进入同一个大门。

2、加密

加密就是保护信息不泄露或不暴露给那些未授权掌握这一信息的实体。通常需要选择特定的密码算法来实现。常见的密码算法如下。

(1)数据加密标准DES(Data Encryption Standard):DES的出现引起了学术界和企业界的广泛重视,许多厂家很快生产出实现DES算法的产品,但其最大的缺点在于DES的密钥太短,不能抵抗无穷搜索密钥攻击。

(2)高级加密标准AES(Advanced Encryption Standard):为了克服DES的缺点,美国国家标准和技术研究所(NIST)开始寻求高强度、高效率的替代算法,并于1997年推出AES标准。

(3)SM4:SM4是在国内正式使用并于2006年公布的第一个用于无线局域网的商用分组密码算法。WAPI的无线局域网保密基础结构(WPI, WLAN Privacy Infrastructure)采用对称密码算法SM4实现对MAC层MSDU的加、解密操作。

3、数据完整性保护

数据完整性保护,是使接收方能够确切地判断所接收到的消息在传输过程中是否遭到插入、篡改、重排序等形式的破坏。完善的数据完整性业务不仅能发现完整性是否遭到破坏,还能采取某种措施从完整性中恢复出来。

754171