中小企业WiFi网络安全接入策略规划_企业网络安全接入方案
中小企业WiFi网络安全接入策略规划由刀豆文库小编整理,希望给你工作、学习、生活带来方便,猜你可能喜欢“企业网络安全接入方案”。
中小企业WiFi网络安全接入策略规划
中小企业WiFi网络安全接入策略规划
中小企业对于WLAN的需求在不断的增长中,且这种趋势呈现良好的发展势头,与此同时,企业对于无线的安全接入也存在着不同程度的要求,从简单方便到复杂可靠,从注重个体权限到希望整体易于操作实现,不管企业使用无线的目的如何,或多或少地都对无线地安全接入问题给予一些规划考虑。这里我们基于中小企业WLAN网络应用自身的特点,并结合无线网络现有的技术体系,介绍一些适于中小企业WLAN使用的安全接入策略。
1.企业整体网络规划为内部员工使用,不希望泄漏的信号为企业外部人员利用,同时要求内
部员工无线接入方式要求简单方便。
A.采用隐藏SSID的方式保证企业外部的人员搜索不到网络。
在服务模板开启beacon id-hide功能后,无线客户端(如无线网卡)将搜索不到SSID。这样企业内部员工可以采用手动在终端添加SSID的方法接入网络,而企业外部的人员则无法搜索到SSID,从而无法接入无线网络。这种方式比较简单,安全性较弱。
B.采用WEP加密方式保证合法用户才能接入网络
服务模板配置成crypto方式,加密方式采用WEP,这种方式对于一些要求需要输入密钥才能接入,同时注重主动修改密钥以防人员泄漏造成非法接入的企业来说比较适用,简单方便,安全程度适中。如果在企业内部对于某些人群需要保证内部的隔离安全要求,可以结合SSID隐藏方式,设置一个特殊的SSID并隐藏以供其使用。
2.无线网络使用规划为给企业内某些群体或者个体使用,亦或是网络规划为不给某些群体
或者个体使用时,采用配置黑白名单的方式予以实现。
A.采用白名单方式确保只有在名单内的无线终端才能接入网络。
在wlan ids域中开启whitelist,在whitelist中添加上允许接入的终端MAC地址,这样就可以实现只有在whitelist中的终端才能接入,不在whitelist中的终端则无法接入。
B.采用黑名单方式确保在名单内的无线终端无法接入网络。
在wlan ids域中开启static-blacklist名单,在此名单中添加不允许接入无线网络的MAC地址,这样可以保证不在此名单的终端可以接入无线网络。
3.无线网络安全要求采用密码方式,同时要求无线采用WPA/WPA2安全架构;终端不希望
安装认证客户端,但需要对客户终端进行身份合法验证,这种需求可以采用PSK加密认证方式、MAC认证方式、Portal认证方式及三者间柔和方式实现。
A.采用PSK认证加密方式,输入正确的密钥后才能接入无线网络。
第1页,共3页
PSK方式是WPA/WPA2架构中的个人模式,同WEP在应用上相似,输入一个密钥即可接入网络,然而其安全性要高很多,空口报文都是使用WPA/WPA2架构中的安全级别中很高的算法加密的。
B.采用MAC认证方式,无需输入密钥或者用户密码,无线接入时合法用户即可接入网
络。
1)在AP(FAT)或者AC上配置MAC认证,在本地创建local-user用户,使用无线终
端的MAC地址(小写,中间无“:”和者“-”符号)作为用户名和密码(和用
户名格式一样)。只有在本地创建的终端才能接入无线网络。本地用户创建容量
为1K。
2)在AP(FAT)或者AC上配置MAC认证,采用IMC(或者CAMS)或者微软IAS作
为Radius,验证接入无线终端。Radius上的用户名和密码采用同样的方式,即
采用无线终端的MAC地址,小写,中间没有字符连接符。
C.采用MAC+PSK认证方式,两种方式合理搭配,PSK保证无线空口安全,MAC确保终
端合法,且操作简单方便。
D.采用Portal认证方式。这种方式采用WEB页面方式认证,客户端无需安装特殊客户端即
可支持。终端需要输入用户名和密码才能登录网络。Portal认证方式包括通过外置Portal Server方式实现和本地Portal认证方式实现两种方式。
E.采用Portal认证+PSK认证方式。无线空口采用PSK认证保证,用户身份采用Portal认
证保证,相得益彰,安全较高,可操作性强。
4.无线安全更高级别的认证就是采用802.1X认证方式,包括eap-tls和eap-peap两种,都
需要安装证书。Radius可以采用IMC(或者CAMS)或者微软IAS。
A.采用AC(或者AP)配合IMC(或者CAMS)进行802.1X认证,在IMC和客户端上都安装证书,客户端采用微软自带客户端。无线采用WPA/WPA2安全架构,加密方式选择TKIP或者CCMP。
B.采用AC(或者AP)配合IAS进行802.1X认证,在IAS服务器上同时启用证书服务,客户端采用微软自带客户端,无线同样采用WPA/WPA2安全架构。
5.通过本地定义ACL访问控制或者通过Radius下发,控制用户使用网络的资源。
A.采用本地定义基于IP或者MAC的ACL,限制某些客户端的访问权限,如同有线网络的ACL一样,可实现对用户权限具体细化的一些要求。
B.采用和Radius结合的认证方式,如Portal认证,802.1X认证。在认证通过时,通过
Radius下发一些属性限制用户的权限,如下发VLAN属性,ACL属性等。Radius可以采用IMC服务器,或者微软IAS服务器。
6.采用EAD整体接入安全策略,既保证无线安全接入,又实现对无线客户端的安全检查。
客户端采用iNode客户端,服务器采用IMC,并安装EAD和WSM组件,实现对无线用户的安全端点准入防御控制。
中小企业网络安全解决方案 LanGate brone 系列能为中小企业解决IT网络所面临的复杂问题提供经济可靠的解决方案。随着信息化技术的飞速发展,许多有远见的企业都认识到依托先......
杭泰互联 专注于中小企业的网络营销服务2014年中小企业营销策略规划的八个技巧对中小企业主来说假期无疑是繁忙的阶段,但留出时间来规划新一年的营销策略是非常重要的。如何......
中小企业融资策略2010-4-26 11:13 李牧群 【大 中 小】【打印】【我要纠错】目前,中小企业生存难的具体原因除去财务、成本管理、缺乏现代企业制度、缺乏人才、技术水平有限......
中小企业网络安全应用研究报告一.研究内容本报告研究内容主要包括以下几个方面:1.中小企业网络安全的需求特点。根据对中小企业的分类(见报告正文),分别对初级、中级、高级中小企......
网络安全防护策略大数据时代的来临,为各行各业的数据整理工作都提供了不小的帮助。但同时也由于网络环境的因素,导致数据的安全容易出现问题。因此为了保证计算机网络的安全,相......
