第一篇：寶界終端準(zhǔn)入系統(tǒng)實(shí)現(xiàn)無線網(wǎng)絡(luò)實(shí)名認(rèn)證解決方案

寶界終端準(zhǔn)入控制系統(tǒng)保障無線網(wǎng)絡(luò)安全解決方案

一、應(yīng)用背景

由于無線網(wǎng)絡(luò)通過無線電波在空中傳輸數(shù)據(jù), 在數(shù)據(jù)發(fā)射機(jī)覆蓋區(qū)域內(nèi)的幾乎所有的無線網(wǎng)絡(luò)用戶都能接觸到這些數(shù)據(jù)。只要具有相同接收頻率就可能獲取所傳遞的信息。要將無線網(wǎng)絡(luò)環(huán)境中傳遞的數(shù)據(jù)僅僅傳送給一個(gè)目標(biāo)接收者是不可能的。另一方面, 由于無線移動(dòng)設(shè)備在存儲(chǔ)能力、計(jì)算能力和電源供電時(shí)間方面的局限性, 使得原來在有線環(huán)境下的許多安全方案和安全技術(shù)不能直接應(yīng)用于無線環(huán)境, 例如: 防火墻對通過無線電波進(jìn)行的網(wǎng)絡(luò)通訊起不了作用, 任何人在區(qū)域范圍之內(nèi)都可以截獲和插入數(shù)據(jù)。計(jì)算量大的加密、解密算法不適宜用于移動(dòng)設(shè)備等。因此, 需要研究新的適合于無線網(wǎng)絡(luò)環(huán)境的安全理論、安全方法和安全技術(shù)。與有線網(wǎng)絡(luò)相比, 無線網(wǎng)絡(luò)所面臨的安全威脅更加嚴(yán)重。所有常規(guī)有線網(wǎng)絡(luò)中存在的安全威脅和隱患都依然存在于無線網(wǎng)絡(luò)中;外部人員可以通過無線網(wǎng)絡(luò)繞過防火墻, 對專用網(wǎng)絡(luò)進(jìn)行非授權(quán)訪問;無線網(wǎng)絡(luò)傳輸?shù)男畔⑷菀妆桓`取、篡改和插入;無線網(wǎng)絡(luò)容易受到拒絕服務(wù)攻擊(DoS)和干擾;內(nèi)部員工可以設(shè)置無線網(wǎng)卡以端對端模式與外部員工直接連接。此外, 無線網(wǎng)絡(luò)的安全技術(shù)相對比較新, 安全產(chǎn)品還比較少。以無線局域網(wǎng)(WLAN)為例, 移動(dòng)節(jié)點(diǎn)、A P 等每一個(gè)實(shí)體都有可能是攻擊對象或攻擊者。由于無線網(wǎng)絡(luò)在移動(dòng)設(shè)備和傳輸媒介方面的特殊性, 使得一些攻擊更容易實(shí)施, 對無線網(wǎng)絡(luò)安全技術(shù)的研究比有線網(wǎng)絡(luò)的限制更多, 難度更大。常見的無線網(wǎng)絡(luò)安全技術(shù)有以下幾種

1、服務(wù)集標(biāo)識(shí)符（SSID）

通過對多個(gè)無線接入點(diǎn)AP(Access Point)設(shè)置不同的SSID，并要求無線工作站出示正確的SSID才能訪問AP，這樣就可以允許不同群組的用戶接入，并對資源訪問的權(quán)限進(jìn)行區(qū)別限制。因此可以認(rèn)為SSID是一個(gè)簡單的口令，從而提供一定的安全，但如果配置AP向外廣播其SSID，那么安全程度還將下降。由于一般情況下，用戶自己配置客戶端系統(tǒng)，所以很多人都知道該SSID，很容易共享給非法用戶。目前有的廠家支持“任何(ANY)”SSID方式，只要無線工作站在任何AP范圍內(nèi)，客戶端都會(huì)自動(dòng)連接到AP，這將跳過SSID安全功能。

2、物理地址過濾（MAC）

由于每個(gè)無線工作站的網(wǎng)卡都有唯一的物理地址，因此可以在AP中手工維護(hù)一組允許訪問的MAC地址列表，實(shí)現(xiàn)物理地址過濾。這個(gè)方案要求AP中的MAC地址列表必需隨時(shí)更新，可擴(kuò)展性差；而且MAC地址在理論上可以偽造，因此這也是較低級(jí)別的授權(quán)認(rèn)證。物理地址過濾屬于硬件認(rèn)證，而不是用戶認(rèn)證。這種方式要求AP中的MAC地址列表必需隨時(shí)更新，目前都是手工操作；如果用戶增加，則擴(kuò)展能力很差，因此只適合于小型網(wǎng)絡(luò)規(guī)模。

3、連線對等保密（WEP）

在鏈路層采用RC4對稱加密技術(shù)，用戶的加密密鑰必須與AP的密鑰相同時(shí)才能獲準(zhǔn)存取網(wǎng)絡(luò)的資源，從而防止非授權(quán)用戶的監(jiān)聽以及非法用戶的訪問。WEP提供了40位（有時(shí)也稱為64位）和128位長度的密鑰機(jī)制，但是它仍然存在許多缺陷，例如一個(gè)服務(wù)區(qū)內(nèi)的所有用戶都共享同一個(gè)密鑰，一個(gè)用戶丟失鑰匙將使整個(gè)網(wǎng)絡(luò)不安全。而且40位的鑰匙在今天很容易被破解；鑰匙是靜態(tài)的，要手工維護(hù)，擴(kuò)展能力差。目前為了提高安全性，建議采用128位加密鑰匙。

4、Wi-Fi保護(hù)接入（WPA）

WPA(Wi-Fi Protected Access)是繼承了WEP基本原理而又解決了WEP缺點(diǎn)的一種新技術(shù)。由于加強(qiáng)了生成加密密鑰的算法，因此即便收集到分組信息并對其進(jìn)行解析，也幾乎無法計(jì)算出通用密鑰。其原理為根據(jù)通用密鑰，配合表示電腦MAC地址和分組信息順序號(hào)的編號(hào)，分別為每個(gè)分組信息生成不同的密鑰。然后與WEP一樣將此密鑰用于RC4加密處理。通過這種處理，所有客戶端的所有分組信息所交換的數(shù)據(jù)將由各不相同的密鑰加密而成。無論收集到多少這樣的數(shù)據(jù)，要想破解出原始的通用密鑰幾乎是不可能的。WPA還追加了防止數(shù)據(jù)中途被篡改的功能和認(rèn)證功能。由于具備這些功能，WEP中此前倍受指責(zé)的缺點(diǎn)得以全部解決。WPA不僅是一種比WEP更為強(qiáng)大的加密方法，而且有更為豐富的內(nèi)涵。作為802.11i標(biāo)準(zhǔn)的子集，WPA包含了認(rèn)證、加密和數(shù)據(jù)完整性校驗(yàn)三個(gè)組成部分，是一個(gè)完整的安全性方案。

5、端口訪問控制技術(shù)（802.1x）

該技術(shù)也是用于無線局域網(wǎng)的一種增強(qiáng)性網(wǎng)絡(luò)安全解決方案。當(dāng)無線工作站STA與無線訪問點(diǎn)AP關(guān)聯(lián)后，是否可以使用AP的服務(wù)要取決于802.1x的認(rèn)證結(jié)果。如果認(rèn)證通過，則AP為STA打開這個(gè)邏輯端口，否則不允許用戶上網(wǎng)。802.1x要求無線工作站安裝802.1x客戶端軟件，無線訪問點(diǎn)要內(nèi)嵌802.1x認(rèn)證代理，同時(shí)它還作為Radius客戶端，將用戶的認(rèn)證信息轉(zhuǎn)發(fā)給Radius服務(wù)器。802.1x除提供端口訪問控制能力之外，還提供基于用戶的認(rèn)證系統(tǒng)及計(jì)費(fèi)，特別適合于公共無線接入解決方案。本方案需要無線設(shè)備支持802.1X協(xié)議，并且接入PC需要安裝802.1X客戶端，設(shè)置煩鎖，部置費(fèi)用較高。

二、寶界解決方案

通過采用寶界局域網(wǎng)準(zhǔn)入網(wǎng)關(guān)產(chǎn)品可以解決以上問題：

1、寶界局域網(wǎng)準(zhǔn)入網(wǎng)關(guān)實(shí)現(xiàn)的功能

? ? ? ? ? ? ? ? 對用戶按組、按部門、按人實(shí)現(xiàn)IP地址管理 對用戶的IP地址實(shí)現(xiàn)實(shí)名制的分發(fā)和管理 強(qiáng)制安裝健康檢查客戶端

兼容老舊網(wǎng)絡(luò)（兼容非802.1x交換機(jī)、hub 等），實(shí)現(xiàn)實(shí)名IP地址管理 對IP地址的改變進(jìn)行監(jiān)管，防止非法篡改IP地址 新接入IP地址的偵測和自動(dòng)收集 IP地址的實(shí)名查找 多網(wǎng)段的IP分配和管理

2、產(chǎn)品部署拓樸圖

系統(tǒng)部署圖

3、無線終端PC入網(wǎng)流程圖

① 無線終端PC搜索無線路由器，選擇接入點(diǎn)

② 接入終端接入PC可以將無線網(wǎng)卡設(shè)置成固定IP地址或DHCP動(dòng)態(tài)獲得IP地址，一般建議特權(quán)主機(jī)設(shè)定為固定IP地址，其他主機(jī)動(dòng)態(tài)分配IP地址。

③ 對于固定IP地址的無線接入PC，系統(tǒng)檢查其MAC地址、IP地址、主機(jī)名、網(wǎng)卡類型、對應(yīng)交換機(jī)端口等信息，如果是非法主機(jī)，系統(tǒng)將阻止其入網(wǎng)；合法主機(jī)允許其入網(wǎng)，此類主機(jī)無需實(shí)名認(rèn)證，無需健康檢查。

④ 對于DHCP動(dòng)態(tài)獲取IP地址的無線接入PC，首先系統(tǒng)會(huì)臨時(shí)分配一個(gè)隔離網(wǎng)段IP地址，允許它訪問隔離網(wǎng)段服務(wù)器（例如：殺毒服務(wù)器、補(bǔ)丁服務(wù)器、實(shí)名認(rèn)證服務(wù)器等）

⑤ 系統(tǒng)如果啟動(dòng)了實(shí)名認(rèn)證模塊，無線接入PC獲取動(dòng)態(tài)IP地址后，打開IE瀏覽器訪問外網(wǎng)時(shí)，系統(tǒng)會(huì)自動(dòng)推送實(shí)名認(rèn)證網(wǎng)頁，要求其輸入管理員分配的用戶名及密碼，如果身份認(rèn)證未通過，系統(tǒng)將不會(huì)分配內(nèi)網(wǎng)IP地址，其無法訪問內(nèi)網(wǎng)任何資源。如果身份認(rèn)證通過，并且系統(tǒng)沒有啟動(dòng)健康檢查模塊，無線接入PC將獲取管理員分配的內(nèi)網(wǎng)合法IP地址，無線接入PC被允許訪問內(nèi)網(wǎng)應(yīng)用服務(wù)器資源。

⑥ 系統(tǒng)如果啟動(dòng)了健康檢查/桌面管理模塊，無線接入PC實(shí)名認(rèn)證通過后，系統(tǒng)在其打開IE瀏覽器訪問外網(wǎng)時(shí)，會(huì)自動(dòng)推送健康檢查/桌面管理客戶端下載網(wǎng)頁，當(dāng)其安裝完健康檢查/桌面管理客戶端后，無線接入PC將獲取管理員分配的內(nèi)網(wǎng)合法IP地址，接入主機(jī)被允許訪問內(nèi)網(wǎng)應(yīng)用服務(wù)器資源。

⑦ 系統(tǒng)運(yùn)行過程中，將自動(dòng)收集當(dāng)前限制主機(jī)、允許主機(jī)、離線主機(jī)、在線主機(jī)列表，每臺(tái)主機(jī)當(dāng)前使用MAC地址、IP地址、組名/主機(jī)名、部門/用戶名、接入交換機(jī)及端口號(hào)、接入時(shí)間等待信息，管理員可實(shí)時(shí)查看到對應(yīng)交換機(jī)上接入主機(jī)的信息，并可手動(dòng)/自動(dòng)關(guān)閉其端口，完全隔離非法主機(jī)。

終端準(zhǔn)入認(rèn)證流程

三、解決方案價(jià)值

? 加強(qiáng)企業(yè)無線網(wǎng)絡(luò)控制，實(shí)現(xiàn)每用戶分別用自己的帳號(hào)登陸無線局域網(wǎng)，杜絕了共享密碼的弊端，保證非授權(quán)主機(jī)不能進(jìn)入無線局域網(wǎng)； ? ? ?

對無線網(wǎng)絡(luò)的主機(jī)，也納入了內(nèi)網(wǎng)主機(jī)一樣管理，不經(jīng)過無線路由NAT地址轉(zhuǎn)換，可以直接定位主機(jī)。加強(qiáng)內(nèi)網(wǎng)IP地址管理，防止了IP地址隨意修改，服務(wù)器與客戶端IP地址沖突；

進(jìn)入局域網(wǎng)的主機(jī)可強(qiáng)制安裝健康檢查客戶端，集中查殺病毒木馬，集中打補(bǔ)丁，保證了局域網(wǎng)安全