網(wǎng)絡(luò)安全規(guī)劃與設(shè)計(jì)范文
前言:我們精心挑選了數(shù)篇優(yōu)質(zhì)網(wǎng)絡(luò)安全規(guī)劃與設(shè)計(jì)文章,供您閱讀參考。期待這些文章能為您帶來(lái)啟發(fā),助您在寫(xiě)作的道路上更上一層樓。
第1篇
關(guān)鍵詞:城域網(wǎng);網(wǎng)絡(luò)安全
前言
隨著現(xiàn)今城域網(wǎng)的普遍使用,城域網(wǎng)方面出現(xiàn)的問(wèn)題也越來(lái)越多,為了保證網(wǎng)絡(luò)能夠安全正常的使用,需要各部門(mén)對(duì)網(wǎng)絡(luò)安全問(wèn)題加以重視。根據(jù)網(wǎng)絡(luò)功能的差別,可將城域網(wǎng)分為核心層、匯聚層和接入層這三個(gè)層次。根據(jù)業(yè)務(wù)不同,可將城域網(wǎng)分為接入業(yè)務(wù)、寬帶上網(wǎng)業(yè)務(wù)及VPN業(yè)務(wù)這三種業(yè)務(wù)方式。而本文就是針對(duì)各層次出現(xiàn)的不同問(wèn)題,進(jìn)行分析討論,并提出相關(guān)建議。
1城域網(wǎng)的概念分析
根據(jù)網(wǎng)絡(luò)功能的不同,可將城域網(wǎng)分為核心層、匯聚層及接入層這三個(gè)層面,同時(shí)因?yàn)楦鲗拥墓δ懿灰粯樱愿鲗泳W(wǎng)絡(luò)安全問(wèn)題均不一樣。核心層存在的目的就是對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行快速轉(zhuǎn)換,促使核心設(shè)備正常操作;匯聚層的主要工作就是保護(hù)整個(gè)網(wǎng)絡(luò)的安全運(yùn)行,并利用合理有效的方案管理網(wǎng)絡(luò),是整個(gè)城域網(wǎng)中的重中之重;而接入層則是通過(guò)對(duì)接入業(yè)務(wù)、寬帶上網(wǎng)業(yè)務(wù)和VPN業(yè)務(wù)進(jìn)行接入,以降低網(wǎng)絡(luò)使用者對(duì)網(wǎng)絡(luò)造成的危害。利用有效的監(jiān)控手段調(diào)整網(wǎng)絡(luò)安全,以達(dá)到網(wǎng)絡(luò)優(yōu)化的目的。
2網(wǎng)絡(luò)安全規(guī)劃設(shè)計(jì)對(duì)城域網(wǎng)發(fā)展的作用
2.1核心層的網(wǎng)絡(luò)安全
城域網(wǎng)中的核心層,是決定網(wǎng)絡(luò)數(shù)據(jù)能否正常快速交換的重要層次,且這一層次與多個(gè)匯聚層相連接,通過(guò)該層次與多個(gè)匯聚層進(jìn)行連接,以達(dá)到網(wǎng)絡(luò)數(shù)據(jù)間的高效轉(zhuǎn)換,所以為了確保網(wǎng)路的正常運(yùn)行,對(duì)該層次進(jìn)行網(wǎng)絡(luò)保護(hù)是比不可少的部分,增加該層的保護(hù)功能。核心層的網(wǎng)絡(luò)安全主要考慮的問(wèn)題是防止病毒入侵設(shè)備,而降低設(shè)備的操作性能,因此則需要對(duì)路由器這一網(wǎng)絡(luò)互連、數(shù)據(jù)轉(zhuǎn)發(fā)及網(wǎng)絡(luò)的管理器進(jìn)行正確操作,以確保網(wǎng)絡(luò)使用更安全。因此則需要做到以下兩點(diǎn)措施。第一點(diǎn)是在路由器之間的協(xié)議添加認(rèn)證功能。就目前而言,動(dòng)態(tài)路由器是核心層與匯聚層連接之間采取最多的連接設(shè)備,現(xiàn)常用的動(dòng)態(tài)路由器主要分為OSPF、IS-IS、BGP這三種。而動(dòng)態(tài)路由器的缺點(diǎn)是路由器動(dòng)態(tài)設(shè)置會(huì)隨著網(wǎng)絡(luò)的拓展而改變,會(huì)對(duì)路由表進(jìn)行自動(dòng)更新,如果相同設(shè)置的路由器設(shè)備加入網(wǎng)絡(luò),該路由器會(huì)自動(dòng)更改為網(wǎng)絡(luò)上的路由設(shè)置,這樣的行為可能導(dǎo)致網(wǎng)絡(luò)信息的外漏,嚴(yán)重的時(shí)候,會(huì)阻礙網(wǎng)絡(luò)上的路由表正常運(yùn)行,導(dǎo)致網(wǎng)絡(luò)崩潰。為了有效解決相關(guān)問(wèn)題的出現(xiàn),則需要在路由器設(shè)置中添加身份認(rèn)證,只有通過(guò)身份上的認(rèn)證,同區(qū)域的路由器才能互相分享路由表上的信息,以此保護(hù)網(wǎng)絡(luò)安全。第二點(diǎn)則是遵循最小化服務(wù)的原則,關(guān)閉網(wǎng)路設(shè)備上不需要的服務(wù)。對(duì)此則需要做到以下幾點(diǎn):(1)保證遠(yuǎn)程訪問(wèn)管理的安全,在路由器信息進(jìn)行加密保護(hù),防止外界惡意訪問(wèn)的攻擊;(2)端口限制訪問(wèn),通過(guò)使用ACL端口進(jìn)行訪問(wèn)限制,在設(shè)備接口上添加數(shù)據(jù)訪問(wèn)限制,增加網(wǎng)絡(luò)信息過(guò)濾系統(tǒng),減少網(wǎng)絡(luò)病毒帶來(lái)的路由器資源耗損,防止網(wǎng)絡(luò)病毒入侵,促使網(wǎng)絡(luò)系統(tǒng)崩潰;(3)增強(qiáng)對(duì)網(wǎng)絡(luò)系統(tǒng)的檢查控制,目前采用最多的是SNMPV3協(xié)議進(jìn)行網(wǎng)絡(luò)信息加密保護(hù),在利用ACL控制SNMP訪問(wèn),只允許訪問(wèn)設(shè)備信息,禁止復(fù)制設(shè)備信息,以有效檢查控制網(wǎng)絡(luò)運(yùn)行情況;(4)禁止使用路由器不需要的服務(wù),路由器主要分為軟件和硬件的轉(zhuǎn)發(fā)方式,轉(zhuǎn)件轉(zhuǎn)發(fā)的路由器是通過(guò)CPU軟件技術(shù)進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)發(fā)的,也就是利用核心技術(shù)進(jìn)行的數(shù)據(jù)轉(zhuǎn)發(fā),而硬件轉(zhuǎn)發(fā)的路由器時(shí)通過(guò)網(wǎng)絡(luò)上的硬件處理器進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)的,所以使用正確的路由器服務(wù),減少不需要的服務(wù),促進(jìn)路由器高速運(yùn)行。
2.2匯聚層的網(wǎng)絡(luò)安全
匯聚層是保護(hù)網(wǎng)絡(luò)安全運(yùn)行的重要層次,通過(guò)合理有效的方式管理網(wǎng)絡(luò),可以作為城域網(wǎng)中的管理層。為保證匯聚層能安全正常的操作,從接入網(wǎng)設(shè)備和各種類(lèi)型用戶這兩方面進(jìn)行分析,需要做到以下幾點(diǎn)。第一點(diǎn)是接入網(wǎng)設(shè)備的安全,利用ACL控制接入網(wǎng)設(shè)備的訪問(wèn),增加對(duì)匯聚層端口的檢查控制,以達(dá)到對(duì)連接匯聚層的接入網(wǎng)設(shè)備的控制,確保接入網(wǎng)設(shè)備的安全。第二點(diǎn)是寬帶小區(qū)設(shè)備的安全,為確保寬帶小區(qū)網(wǎng)絡(luò)設(shè)備的正常安全運(yùn)行,需要采取以下幾點(diǎn)措施:(1)調(diào)整BAS的部署方案,將BAS邊緣化,對(duì)VLAN設(shè)置下的用戶數(shù)量加以控制,降低網(wǎng)絡(luò)危害的出現(xiàn),優(yōu)化網(wǎng)絡(luò)系統(tǒng),從寬帶接入服務(wù)器中體現(xiàn)出QINQ技術(shù)的特征,減少匯聚層中虛擬局域網(wǎng)的傳播,因此BAS需要采用雙上行的方式保護(hù)網(wǎng)絡(luò)安全;(2)利用BAS+AAA驗(yàn)證服務(wù)器檢驗(yàn)網(wǎng)絡(luò)用戶的身份,防止賬號(hào)被盜情況的出現(xiàn),幫助網(wǎng)絡(luò)用戶準(zhǔn)確定位;(3)綁定PPPOE撥號(hào)用戶對(duì)VLAN、端口及用戶賬號(hào)的設(shè)置,以防非原有用戶對(duì)原有網(wǎng)絡(luò)用的賬號(hào)和密碼進(jìn)行盜取使用,同時(shí)也可以對(duì)上網(wǎng)用戶位置進(jìn)行準(zhǔn)確定位;(4)為了防止用戶賬號(hào)出現(xiàn)非法共享和漫游資費(fèi)的情況,需要寬帶接入服務(wù)器和個(gè)人用戶賬號(hào)在radius設(shè)備中進(jìn)行圈定;(5)依據(jù)BAS的內(nèi)存和實(shí)際情況決定保留流量數(shù)據(jù)的多少,并控制使用BAS設(shè)備的用戶數(shù)量,以保證網(wǎng)絡(luò)安全正常的運(yùn)行。第三點(diǎn)是從寬帶專(zhuān)線用戶方面,采取相關(guān)安全措施,對(duì)此可以做到以下幾點(diǎn):(1)控制用戶端口連接的數(shù)量,以防止外界危害的入侵;(2)圈定使用用戶的基本信息,確定網(wǎng)絡(luò)用戶的位置,阻止非法網(wǎng)頁(yè)的入侵;(3)設(shè)置ACL設(shè)備的控制列表信息,通過(guò)對(duì)外界網(wǎng)頁(yè)進(jìn)行多層次的過(guò)濾,減少對(duì)網(wǎng)絡(luò)設(shè)備的危害,并阻止危害網(wǎng)頁(yè)消息的出現(xiàn),確保網(wǎng)絡(luò)更安全。
2.3接入層的網(wǎng)絡(luò)安全
通過(guò)對(duì)接入業(yè)務(wù)、寬帶上網(wǎng)業(yè)務(wù)和VPN業(yè)務(wù)進(jìn)行接入,以降低網(wǎng)絡(luò)使用者對(duì)網(wǎng)絡(luò)造成的危害。其主要連接方式是XDSL、LAN和WLAN這三種,從用戶的網(wǎng)絡(luò)安全進(jìn)行分析,得出以下兩點(diǎn)措施。一方面是阻止側(cè)用戶端口的接入,利用物理隔離和邏輯隔離這兩種方式進(jìn)行網(wǎng)絡(luò)隔離。其物理隔離主要使用的是單主板安全隔離計(jì)算機(jī)和隔離卡技術(shù)這兩種隔離方式,以確保內(nèi)部網(wǎng)絡(luò)不直接或間接與公共網(wǎng)絡(luò)進(jìn)行連接,以此達(dá)到真正隔離的目的;而邏輯隔離則是采用虛擬局域網(wǎng)、訪問(wèn)控制、虛擬專(zhuān)用網(wǎng)、端口綁定等手段進(jìn)行個(gè)人網(wǎng)絡(luò)和公共網(wǎng)絡(luò)間的有效隔離。通過(guò)以上兩種隔離手段,有效保護(hù)個(gè)人網(wǎng)絡(luò)賬號(hào)信息的安全,以防外界用戶對(duì)原用戶的干擾。另一方面則是對(duì)用戶寬帶的流量加以控制,利用完整的軟件應(yīng)用能力和充足的流量管理經(jīng)驗(yàn),以達(dá)到完善用戶網(wǎng)絡(luò)的目的,促使接入層網(wǎng)絡(luò)更安全。
3網(wǎng)絡(luò)安全規(guī)劃設(shè)計(jì)實(shí)行策略
根據(jù)城域網(wǎng)中各層次的特點(diǎn),從不同方面分析城域網(wǎng)運(yùn)行過(guò)程中出現(xiàn)的問(wèn)題,采取不同的優(yōu)化措施,制定合理有效的優(yōu)化策略,嚴(yán)格管理控制網(wǎng)絡(luò)數(shù)據(jù)和信息傳送,促進(jìn)城域網(wǎng)安全穩(wěn)定的發(fā)展,并利用有效的控制手段優(yōu)化網(wǎng)絡(luò)信息,以確保網(wǎng)絡(luò)正常安全的運(yùn)行。除此之外,還需要網(wǎng)絡(luò)用戶對(duì)個(gè)人路由器信息進(jìn)行認(rèn)真設(shè)置,使用更高級(jí)的賬號(hào)登錄密碼,防止網(wǎng)絡(luò)病毒的入侵,導(dǎo)致自身網(wǎng)絡(luò)系統(tǒng)癱瘓,使用正確的路由器服務(wù),有利于網(wǎng)絡(luò)安全平穩(wěn)的運(yùn)行。
4總結(jié)
綜上所述,根據(jù)城域網(wǎng)各層次出現(xiàn)的網(wǎng)絡(luò)安全均不同和網(wǎng)絡(luò)所承接業(yè)務(wù)的不同,我們應(yīng)采取合適解決問(wèn)題的安全技術(shù)方案,改善城域網(wǎng)在各階段的不足之處。在網(wǎng)絡(luò)安全技術(shù)實(shí)行過(guò)程中,需要全面考慮到網(wǎng)絡(luò)各方面的應(yīng)用,制定合理有效的安全技術(shù)方案,利用合理的安全防護(hù)技術(shù),改善城域網(wǎng)網(wǎng)絡(luò)規(guī)劃設(shè)計(jì)中出現(xiàn)的不足之處,只有確保城域網(wǎng)的整體安全,才能達(dá)到全面完善網(wǎng)絡(luò)系統(tǒng),從而促進(jìn)城域網(wǎng)健康穩(wěn)定的發(fā)展的目的。
參考文獻(xiàn):
[1]龔儉,陸晟,王倩.計(jì)算機(jī)網(wǎng)絡(luò)安全導(dǎo)論(第1版)[M].東南大學(xué)出版社,2000.
[2]李逢天.網(wǎng)絡(luò)運(yùn)營(yíng)中的網(wǎng)絡(luò)安全問(wèn)題及解決思路[J].電信技術(shù),2002.
[3]楊建紅.計(jì)算機(jī)網(wǎng)絡(luò)安全與對(duì)策[J].長(zhǎng)沙鐵道學(xué)院學(xué)報(bào)(社會(huì)科學(xué)版),2005.
[4]劉建偉.企業(yè)網(wǎng)絡(luò)安全問(wèn)題探討[J].甘肅科技,2006.
第2篇
關(guān)鍵詞:無(wú)線網(wǎng)絡(luò)規(guī)劃;無(wú)線網(wǎng)絡(luò)風(fēng)險(xiǎn);無(wú)線安全檢查項(xiàng)目;無(wú)線網(wǎng)絡(luò)安全指引
中圖分類(lèi)號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2013)28-6262-03
1 概述
有別于有線網(wǎng)絡(luò)的設(shè)備可利用線路找尋設(shè)備信息,無(wú)論是管理、安全、記錄信息,比起無(wú)線網(wǎng)絡(luò)皆較為方便,相較之下無(wú)線網(wǎng)絡(luò)的環(huán)境較復(fù)雜。無(wú)線網(wǎng)絡(luò)安全問(wèn)題最令人擔(dān)心的原因在于,無(wú)線網(wǎng)絡(luò)僅透過(guò)無(wú)線電波透過(guò)空氣傳遞訊號(hào),一旦內(nèi)部架設(shè)發(fā)射訊號(hào)的儀器,在收訊可及的任一節(jié)點(diǎn),都能傳遞無(wú)線訊號(hào),甚至使用接收無(wú)線訊號(hào)的儀器,只要在訊號(hào)范圍內(nèi),即便在圍墻外,都能截取訊號(hào)信息。
因此管理無(wú)線網(wǎng)絡(luò)安全維護(hù)比有線網(wǎng)絡(luò)更具挑戰(zhàn)性,有鑒于政府機(jī)關(guān)推廣于民眾使用以及企業(yè)逐漸在公司內(nèi)部導(dǎo)入無(wú)線網(wǎng)絡(luò)架構(gòu)之需求,本篇論文特別針對(duì)無(wú)線網(wǎng)絡(luò)Wi-Fi之使用情境進(jìn)行風(fēng)險(xiǎn)評(píng)估與探討,以下將分別探討無(wú)線網(wǎng)絡(luò)傳輸可能產(chǎn)生的風(fēng)險(xiǎn),以及減少風(fēng)險(xiǎn)產(chǎn)生的可能性,進(jìn)而提出建議之無(wú)線網(wǎng)絡(luò)建置規(guī)劃?rùn)z查項(xiàng)目。
2 無(wú)線網(wǎng)絡(luò)傳輸風(fēng)險(xiǎn)
現(xiàn)今無(wú)線網(wǎng)絡(luò)裝置架設(shè)便利,簡(jiǎn)單設(shè)定后即可進(jìn)行網(wǎng)絡(luò)分享,且智能型行動(dòng)裝置已具備可架設(shè)熱點(diǎn)功能以分享網(wǎng)絡(luò),因此皆可能出現(xiàn)不合法之使用者聯(lián)機(jī)合法基地臺(tái),或合法使用者聯(lián)機(jī)至未經(jīng)核可之基地臺(tái)情形。倘若企業(yè)即將推動(dòng)內(nèi)部無(wú)線上網(wǎng)服務(wù),或者考慮網(wǎng)絡(luò)存取便利性,架設(shè)無(wú)線網(wǎng)絡(luò)基地臺(tái),皆須評(píng)估當(dāng)內(nèi)部使用者透過(guò)行動(dòng)裝置聯(lián)機(jī)機(jī)關(guān)所提供之無(wú)線網(wǎng)絡(luò),所使用之聯(lián)機(jī)傳輸加密機(jī)制是否合乎信息安全規(guī)范。
倘若黑客企圖偽冒企業(yè)內(nèi)部合法基地臺(tái)提供聯(lián)機(jī)時(shí),勢(shì)必會(huì)造成行動(dòng)裝置之企業(yè)數(shù)據(jù)遭竊取等風(fēng)險(xiǎn)。以下將對(duì)合法使用者在未知的情況下聯(lián)機(jī)至偽冒的無(wú)線網(wǎng)絡(luò)基地臺(tái),以及非法使用者透過(guò)加密機(jī)制的弱點(diǎn)破解無(wú)線網(wǎng)絡(luò)基地臺(tái),針對(duì)這2個(gè)情境加以分析其風(fēng)險(xiǎn)。
2.1 偽冒基地機(jī)風(fēng)險(xiǎn)
目前黑客的攻擊常會(huì)偽冒正常的無(wú)線網(wǎng)絡(luò)基地臺(tái)(Access Point,以下簡(jiǎn)稱(chēng)AP),而偽冒的AP在行動(dòng)裝置普及的現(xiàn)今,可能會(huì)讓用戶在不知情的情況下進(jìn)行聯(lián)機(jī),當(dāng)連上線后,攻擊者即可進(jìn)行中間人攻擊(Man-in-the-Middle,簡(jiǎn)稱(chēng)MitMAttack),取得被害人在網(wǎng)絡(luò)上所傳輸?shù)臄?shù)據(jù)。情境之架構(gòu)詳見(jiàn)圖1,利用偽冒AP攻擊,合法使用者無(wú)法辨識(shí)聯(lián)機(jī)上的AP是否合法,而一旦聯(lián)機(jī)成功后黑客即可肆無(wú)忌憚的竊取行動(dòng)裝置上所有的數(shù)據(jù),造成個(gè)人數(shù)據(jù)以及存放于行動(dòng)裝置上之機(jī)敏數(shù)據(jù)外泄的疑慮存在。企業(yè)在部署無(wú)線局域網(wǎng)絡(luò)時(shí),需考慮該類(lèi)風(fēng)險(xiǎn)問(wèn)題。
2.2 弱加密機(jī)制傳輸風(fēng)險(xiǎn)
WEP (Wired Equivalent Privacy)為一無(wú)線加密協(xié)議保護(hù)無(wú)線局域網(wǎng)絡(luò)(Wireless LAN,以下簡(jiǎn)稱(chēng)WLAN)數(shù)據(jù)安全的加密機(jī)制,因WEP的設(shè)計(jì)是要提供和傳統(tǒng)有線的局域網(wǎng)絡(luò)相當(dāng)?shù)臋C(jī)密性,隨著計(jì)算器運(yùn)算能力提升,許多密碼分析學(xué)家已經(jīng)找出WEP好幾個(gè)弱點(diǎn),但WEP加密方式是目前仍是許多無(wú)線基地臺(tái)使用的防護(hù)方式,由于WEP安全性不佳,易造成被輕易破解。
許多的無(wú)線破解工具皆已存在且純熟,因此利用WEP認(rèn)證加密之無(wú)線AP,當(dāng)破解被其金鑰后,即可透過(guò)該AP連接至該無(wú)線局域網(wǎng)絡(luò),再利用探測(cè)軟件進(jìn)行無(wú)線局域網(wǎng)絡(luò)掃描,取得該無(wú)線局域網(wǎng)絡(luò)內(nèi)目前有哪些聯(lián)機(jī)的裝置。
當(dāng)使用者使用行動(dòng)裝置連上不安全的網(wǎng)絡(luò),可能因本身行動(dòng)裝置設(shè)定不完全,而將弱點(diǎn)曝露在不安全的網(wǎng)絡(luò)上,因此當(dāng)企業(yè)允許使用者透過(guò)行動(dòng)裝置進(jìn)行聯(lián)機(jī)時(shí),除了提醒使用者應(yīng)加強(qiáng)自身終端安全外,更應(yīng)建置安全的無(wú)線網(wǎng)絡(luò)架構(gòu),以提供使用者使用。
3 無(wú)線網(wǎng)絡(luò)安全架構(gòu)
近年許多企業(yè)逐漸導(dǎo)入無(wú)線局域網(wǎng)絡(luò)服務(wù)以提供內(nèi)部使用者及訪客使用。但在提供便利的同時(shí),如何達(dá)到無(wú)線局域網(wǎng)絡(luò)之安全,亦為重要。
3.1 企業(yè)無(wú)線局域網(wǎng)安全目標(biāo)
企業(yè)之無(wú)線網(wǎng)絡(luò)架構(gòu)應(yīng)符合無(wú)線局域網(wǎng)絡(luò)安全目標(biāo):機(jī)密性、完整性與驗(yàn)證性。
機(jī)密性(Confidentiality)
無(wú)線網(wǎng)絡(luò)安全架構(gòu)應(yīng)防范機(jī)密不可泄漏給未經(jīng)授權(quán)之人或程序,且無(wú)線網(wǎng)絡(luò)架構(gòu)應(yīng)將對(duì)外提供給一般使用者網(wǎng)絡(luò)以及內(nèi)部所使用之內(nèi)部網(wǎng)絡(luò)區(qū)隔開(kāi)。無(wú)線網(wǎng)絡(luò)架構(gòu)之加密需采用安全性即高且不易被破解的方式,并可對(duì)無(wú)線網(wǎng)絡(luò)使用進(jìn)行稽核。
完整性(Integrity)
無(wú)線網(wǎng)絡(luò)安全架構(gòu)應(yīng)確認(rèn)辦公室環(huán)境內(nèi)無(wú)其它無(wú)線訊號(hào)干擾源,并保證員工無(wú)法自行架設(shè)非法無(wú)線網(wǎng)絡(luò)存取點(diǎn)設(shè)備,以確保在使用無(wú)線網(wǎng)絡(luò)時(shí)傳輸不被中斷或是攔截。對(duì)于內(nèi)部使用者,可建立一個(gè)隔離區(qū)之無(wú)線網(wǎng)絡(luò),僅提供外部網(wǎng)際網(wǎng)絡(luò)連路連接,并禁止存取機(jī)關(guān)內(nèi)部網(wǎng)絡(luò)。
認(rèn)證性(Authentication)
建議無(wú)線網(wǎng)絡(luò)安全架構(gòu)應(yīng)提供使用者及設(shè)備進(jìn)行身份驗(yàn)證,讓使用者能確保自己設(shè)備安全性,且能區(qū)分存取控制權(quán)限。無(wú)線網(wǎng)絡(luò)安全架構(gòu)應(yīng)需進(jìn)行使用者身份控管,以杜絶他人(允許的訪客除外)擅用機(jī)關(guān)的無(wú)線網(wǎng)絡(luò)。
因應(yīng)以上無(wú)線局域網(wǎng)絡(luò)安全目標(biāo),應(yīng)將網(wǎng)絡(luò)區(qū)分為內(nèi)部網(wǎng)絡(luò)及一般網(wǎng)絡(luò)等級(jí),依其不同等級(jí)實(shí)施不同的保護(hù)措施及其應(yīng)用,說(shuō)明如下。
內(nèi)部網(wǎng)絡(luò):
為網(wǎng)絡(luò)內(nèi)負(fù)責(zé)傳送一般非機(jī)密性之行政資料,其系統(tǒng)能處理中信任度信息,并使用機(jī)關(guān)內(nèi)部加密認(rèn)證以定期更變密碼,且加裝防火墻、入侵偵測(cè)等作業(yè)。
一般網(wǎng)絡(luò):
主要在提供非企業(yè)內(nèi)部人員或訪客使用之網(wǎng)絡(luò)系統(tǒng),不與內(nèi)部其它網(wǎng)絡(luò)相連,其網(wǎng)絡(luò)系統(tǒng)僅能處與基本信任度信息,并加裝防火墻、入侵偵測(cè)等機(jī)制。
因此建議企業(yè)在建構(gòu)無(wú)線網(wǎng)絡(luò)架構(gòu),須將內(nèi)部網(wǎng)絡(luò)以及提供給一般使用者之一般網(wǎng)絡(luò)區(qū)隔開(kāi),以達(dá)到無(wú)線網(wǎng)絡(luò)安全目標(biāo),以下將提供無(wú)線辦公方案及無(wú)線訪客方案提供給企業(yè)導(dǎo)入無(wú)線網(wǎng)絡(luò)架構(gòu)時(shí)作為參考使用。
3.2內(nèi)部網(wǎng)絡(luò)安全架構(gòu)
減輕無(wú)線網(wǎng)絡(luò)風(fēng)險(xiǎn)之基礎(chǔ)評(píng)估,應(yīng)集中在四個(gè)方面:人身安全、AP位置、AP設(shè)定及安全政策。人身安全方面,須確保非企業(yè)內(nèi)部使用者無(wú)法存取辦公室范圍內(nèi)之無(wú)線內(nèi)部網(wǎng)絡(luò),僅經(jīng)授權(quán)之企業(yè)內(nèi)部使用者可存取。可使用影像認(rèn)證、卡片識(shí)別、使用者賬號(hào)密碼或生物識(shí)別設(shè)備以進(jìn)行人身安全驗(yàn)證使用者身份。企業(yè)信息管理人員須確保AP安裝在受保護(hù)的建筑物內(nèi),且使用者須經(jīng)過(guò)適當(dāng)?shù)纳矸蒡?yàn)證才允許進(jìn)入,而只有企業(yè)信息管理人員允許存取并管理無(wú)線網(wǎng)絡(luò)設(shè)備。
企業(yè)信息管理人員須將未經(jīng)授權(quán)的使用者訪問(wèn)企業(yè)外部無(wú)線網(wǎng)絡(luò)之可能性降至最低,評(píng)估每臺(tái)AP有可能造成的網(wǎng)絡(luò)安全漏洞,可請(qǐng)網(wǎng)絡(luò)工程師進(jìn)行現(xiàn)場(chǎng)調(diào)查,確定辦公室內(nèi)最適當(dāng)放置AP的位置以降低之風(fēng)險(xiǎn)。只要企業(yè)使用者擁有存取無(wú)線內(nèi)部網(wǎng)絡(luò)能力,攻擊者仍有機(jī)會(huì)竊聽(tīng)辦公室無(wú)線網(wǎng)絡(luò)通訊,建議企業(yè)將無(wú)線網(wǎng)絡(luò)架構(gòu)放置于防火墻外,并使用高加密性VPN以保護(hù)流量通訊,此配置可降低無(wú)線網(wǎng)絡(luò)竊聽(tīng)風(fēng)險(xiǎn)。
企業(yè)應(yīng)側(cè)重于AP配置之相關(guān)漏洞。由于大部分AP保留了原廠之預(yù)設(shè)密碼,企業(yè)信息管理人員需使用復(fù)雜度高之密碼以確保密碼安全,并定期更換密碼。企業(yè)應(yīng)制定相關(guān)無(wú)線內(nèi)部網(wǎng)絡(luò)安全政策,包括規(guī)定使用最小長(zhǎng)度為8個(gè)字符且參雜特殊符號(hào)之密碼設(shè)置、定期更換安全性密碼、進(jìn)行使用者M(jìn)AC控管以控制無(wú)線網(wǎng)絡(luò)使用情況。
為提供安全無(wú)線辦公室環(huán)境,企業(yè)應(yīng)進(jìn)行使用者M(jìn)AC控管,并禁用遠(yuǎn)程SNMP協(xié)議,只允許使用者使用本身內(nèi)部主機(jī)。由于大部分廠商在加密SSID上使用預(yù)設(shè)驗(yàn)證金鑰,未經(jīng)授權(quán)之設(shè)備與使用者可嘗試使用預(yù)設(shè)驗(yàn)證金鑰以存取無(wú)線內(nèi)部網(wǎng)絡(luò),因此企業(yè)應(yīng)使用內(nèi)部使用者賬號(hào)與密碼之身份驗(yàn)證以控管無(wú)線內(nèi)部網(wǎng)絡(luò)之存取。
企業(yè)應(yīng)增加額外政策,要求存取無(wú)線內(nèi)部網(wǎng)絡(luò)之設(shè)備系統(tǒng)需進(jìn)行安全性更新和升級(jí),定期更新系統(tǒng)安全性更新和升級(jí)有助于降低攻擊之可能性。此外,政策應(yīng)規(guī)定若企業(yè)內(nèi)部使用者之無(wú)線裝置遺失或被盜,企業(yè)內(nèi)部使用者應(yīng)盡快通知企業(yè)信息管理人員,以防止該IP地址存取無(wú)線內(nèi)部網(wǎng)絡(luò)。
為達(dá)到一個(gè)安全的無(wú)線內(nèi)部網(wǎng)絡(luò)架構(gòu),建議企業(yè)采用IPS設(shè)備以進(jìn)行無(wú)線環(huán)境之防御。IPS設(shè)備有助于辨識(shí)是否有未經(jīng)授權(quán)之使用者試圖存取企業(yè)內(nèi)部無(wú)線內(nèi)部網(wǎng)絡(luò)或企圖進(jìn)行非法攻擊行為,并加以阻擋企業(yè)建筑內(nèi)未經(jīng)授權(quán)私自架設(shè)之非法網(wǎng)絡(luò)。所有無(wú)線網(wǎng)絡(luò)之間的通訊都需經(jīng)過(guò)IPS做保護(hù)與進(jìn)一步分析,為一種整體縱深防御之策略。
考慮前述需求,本篇論文列出建構(gòu)無(wú)線內(nèi)部網(wǎng)絡(luò)應(yīng)具備之安全策略,并提供一建議無(wú)線內(nèi)部網(wǎng)絡(luò)安全架構(gòu)示意圖以提供企業(yè)信息管理人員作為風(fēng)險(xiǎn)評(píng)估之參考,詳見(jiàn)表1。
企業(yè)在風(fēng)險(xiǎn)評(píng)估后確認(rèn)實(shí)現(xiàn)無(wú)線辦公室環(huán)境運(yùn)行之好處優(yōu)于其它威脅風(fēng)險(xiǎn),始可進(jìn)行無(wú)線內(nèi)部網(wǎng)絡(luò)架構(gòu)建置。然而,盡管在風(fēng)險(xiǎn)評(píng)估上實(shí)行徹底,但無(wú)線網(wǎng)絡(luò)環(huán)境之技術(shù)不斷變化與更新,安全漏洞亦日新月異,使用者始終為安全鏈中最薄弱的環(huán)節(jié),建議企業(yè)必須持續(xù)對(duì)企業(yè)內(nèi)部使用者進(jìn)行相關(guān)無(wú)線安全教育,以達(dá)到縱深防御之目標(biāo)。
另外,企業(yè)應(yīng)定期進(jìn)行安全性更新和升級(jí)會(huì)議室公用網(wǎng)絡(luò)之系統(tǒng),定期更新系統(tǒng)安全性更新和升級(jí)有助于降低攻擊之可能性。為達(dá)到一個(gè)安全的會(huì)議室公用網(wǎng)絡(luò)架構(gòu),建議企業(yè)采用IPS設(shè)備以進(jìn)行無(wú)線環(huán)境之防御。
IPS設(shè)備有助于辨識(shí)是否有未經(jīng)授權(quán)之使用者試圖存取企業(yè)內(nèi)部會(huì)議室公用網(wǎng)絡(luò)或企圖進(jìn)行非法攻擊行為,并加以阻擋企業(yè)建筑內(nèi)未經(jīng)授權(quán)私自架設(shè)之非法網(wǎng)絡(luò)。所有無(wú)線網(wǎng)絡(luò)之間的通訊都需經(jīng)過(guò)IPS做保護(hù)與進(jìn)一步分析,為一種整體縱深防御策略。
4 結(jié)論
由于無(wú)線網(wǎng)絡(luò)的存取及使用上存在相當(dāng)程度的風(fēng)險(xiǎn),更顯無(wú)線局域網(wǎng)絡(luò)的安全性之重要,本篇論文考慮無(wú)線網(wǎng)絡(luò)聯(lián)機(jī)存取之相關(guān)風(fēng)險(xiǎn)與安全聯(lián)機(jī)的準(zhǔn)則需求,有鑒于目前行動(dòng)裝置使用量大增,企業(yè)可能面臨使用者要求開(kāi)放無(wú)線網(wǎng)絡(luò)之需求,應(yīng)建立相關(guān)無(wú)線網(wǎng)絡(luò)方案,本研究針對(duì)目前常見(jiàn)之無(wú)線網(wǎng)絡(luò)風(fēng)險(xiǎn)威脅為出發(fā),以及內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)使用者,針對(duì)不同安全需求強(qiáng)度,規(guī)劃無(wú)線網(wǎng)絡(luò)使用方案,提供作為建置參考依據(jù),進(jìn)而落實(shí)傳輸風(fēng)險(xiǎn)管控,加強(qiáng)企業(yè)網(wǎng)絡(luò)安全強(qiáng)度。
參考文獻(xiàn):
[1] Gast M S.Wireless Networks: The Definitive Guide[M].O’Reilly, 2002.
[2] Edney J, Arbaugh W A.Security:Wi-Fi Protected Access and 802.11[M].Addison-Wesley,2004.
[3] R. Guha, Z. Furqan, S. Muhammad.Discovering Man-In-The-Middle Attacks nAuthentication Protocols[J].IEEE Military Communications Conference 2007, Orlando, FL, 2007(10):29-31.
[4] Nam, Seung Yeob.Enhanced ARP: Preventing ARP Poisoning-Based[J].IEEE Commucation Letters,2011,14:187-189.
第3篇
廣播電視網(wǎng)絡(luò)面臨的網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻,業(yè)務(wù)相關(guān)技術(shù)網(wǎng)絡(luò)由相對(duì)簡(jiǎn)單、封閉逐漸向復(fù)雜、無(wú)邊界化發(fā)展,導(dǎo)致面臨的安全風(fēng)險(xiǎn)和威脅越發(fā)突出。行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施的安全防護(hù)能力與其重要地位相比,仍然較為薄弱,難以有效應(yīng)對(duì)高強(qiáng)度的網(wǎng)絡(luò)攻擊。云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)的發(fā)展應(yīng)用,伴隨著新的安全風(fēng)險(xiǎn),尚缺乏有效的應(yīng)對(duì)手段。OTT業(yè)務(wù)屬于廣電網(wǎng)絡(luò)的增值業(yè)務(wù),為了保證各類(lèi)OTT業(yè)務(wù)安全穩(wěn)定的運(yùn)行,在進(jìn)行網(wǎng)絡(luò)與安全規(guī)劃的時(shí)候,既要提高網(wǎng)絡(luò)的可靠性,又要保證OTT業(yè)務(wù)的安全性。
本文探討了通過(guò)采用VRRP+HRP等技術(shù),再通過(guò)路由規(guī)劃,可以實(shí)現(xiàn)業(yè)務(wù)上的圖1 整體網(wǎng)絡(luò)拓?fù)鋱D“主-主”模式,在滿足OTT業(yè)務(wù)可靠性的同時(shí),滿足業(yè)務(wù)的安全性要求。同時(shí),還要考慮廣電網(wǎng)絡(luò)的IPv6 升級(jí)改造,即符合廣電網(wǎng)絡(luò)IPv6 規(guī)模部署和推進(jìn)的整體規(guī)劃,還要充分結(jié)合業(yè)務(wù)發(fā)展和用戶終端的升級(jí)情況等因素,進(jìn)行綜合決策。整體拓?fù)鋱D設(shè)計(jì)如圖1 所示。可靠性設(shè)計(jì)規(guī)劃可靠性是反映網(wǎng)絡(luò)設(shè)備本身的穩(wěn)定性以及網(wǎng)絡(luò)保持業(yè)務(wù)不中斷的能力,主要包括設(shè)備級(jí)可靠性、網(wǎng)絡(luò)級(jí)可靠性和業(yè)務(wù)級(jí)可靠性三個(gè)層次。其中,業(yè)務(wù)級(jí)可靠性更多的是從業(yè)務(wù)管理的層面來(lái)要求的,要求業(yè)務(wù)不中斷。整體網(wǎng)絡(luò)可靠性在99.999%以上。在進(jìn)行OTT網(wǎng)絡(luò)設(shè)計(jì)規(guī)劃時(shí)通常采用星型結(jié)構(gòu)的網(wǎng)絡(luò)設(shè)計(jì),一般考慮如下原則:將網(wǎng)絡(luò)劃分為核心層、匯聚層、接入層;每層功能清晰,架構(gòu)穩(wěn)定,易于擴(kuò)展和維護(hù);將網(wǎng)絡(luò)中不同的OTT業(yè)務(wù)劃分為不同的模塊,模塊內(nèi)部的調(diào)整涉及范圍小,易于進(jìn)行問(wèn)題定位;關(guān)鍵設(shè)備采用雙節(jié)點(diǎn)冗余設(shè)計(jì)、關(guān)鍵鏈路采用Trunk方式冗余備份或者負(fù)載分擔(dān)、關(guān)鍵設(shè)備的電源、主控板等關(guān)鍵部件冗余備份。安全性設(shè)計(jì)規(guī)劃OTT網(wǎng)絡(luò)應(yīng)具備有效的安全控制,按業(yè)務(wù)和權(quán)限進(jìn)行分區(qū)邏輯隔離,對(duì)特別重要的業(yè)務(wù)采取物理隔離。因此,OTT平臺(tái)在搭建過(guò)程中,需要兩臺(tái)數(shù)據(jù)中心級(jí)的安全網(wǎng)關(guān),所有部件均采用全冗余技術(shù),比如主控板、業(yè)務(wù)板及電源等,同時(shí)要支持“主-備”和“主-主”組網(wǎng)模式、端口聚合、VPN冗余、業(yè)務(wù)板負(fù)載均衡、雙主控主備倒換技術(shù)的能力,從而能夠提供高級(jí)別的安全防護(hù)能力和業(yè)務(wù)擴(kuò)展能力。
作為安全網(wǎng)關(guān),優(yōu)異的地址轉(zhuǎn)換性能和VPN性能也是對(duì)OTT業(yè)務(wù)的強(qiáng)大支撐。比如基于IP的轉(zhuǎn)換、基于端口的轉(zhuǎn)換、語(yǔ)音多媒體等業(yè)務(wù)流量的多通道協(xié)議NAT轉(zhuǎn)換、無(wú)數(shù)目限制的PAT方式轉(zhuǎn)換、域內(nèi)NAT以及雙向NAT等,以滿足各種NAT應(yīng)用場(chǎng)景。隨著OTT業(yè)務(wù)更多在公共網(wǎng)絡(luò)上的傳輸,擁有最佳的VPN性能能滿足大量業(yè)務(wù)的加密傳輸要求。比如支持4over6 、6over4 的VPN技術(shù),以保證網(wǎng)絡(luò)從IPv4-IPv6 演進(jìn)過(guò)程中VPN傳輸需求。安全網(wǎng)關(guān)如何抵抗外部威脅,提高網(wǎng)絡(luò)安全,還體現(xiàn)在入侵防御功能上,可以對(duì)系統(tǒng)漏洞、未授權(quán)自動(dòng)下載、欺騙類(lèi)應(yīng)用軟件、廣告類(lèi)軟件、異常協(xié)議、P2P異常等多種威脅進(jìn)行防護(hù)。安全網(wǎng)關(guān)還要求能實(shí)時(shí)捕獲最新的攻擊、蠕蟲(chóng)及木馬等威脅,為網(wǎng)絡(luò)提供強(qiáng)大的防御能力。為滿足網(wǎng)絡(luò)向IPv6 的平滑演進(jìn),保證業(yè)務(wù)的穩(wěn)定運(yùn)行,安全網(wǎng)關(guān)需要支持隨著IPv4 地址的枯竭,網(wǎng)絡(luò)能向IPv6 平滑演進(jìn),并確保業(yè)務(wù)穩(wěn)定運(yùn)行。安全網(wǎng)關(guān)還要具有NAT44 、NAT64 等多種過(guò)渡功能,為未來(lái)的網(wǎng)絡(luò)演進(jìn)及業(yè)務(wù)過(guò)渡提供高效、靈活和放心的解決辦法。IPv6 設(shè)計(jì)規(guī)劃根據(jù)《廣播電視媒體網(wǎng)站IPv6 改造實(shí)施指南(2018)》下達(dá)的廣播電視媒體網(wǎng)站IPv6 改造實(shí)施的總體目標(biāo),確定過(guò)渡技術(shù)的選擇和各網(wǎng)絡(luò)設(shè)備對(duì)過(guò)渡技術(shù)的支持情況,規(guī)劃原則:在不影響現(xiàn)網(wǎng)業(yè)務(wù)的基礎(chǔ)上完成用戶發(fā)展指標(biāo),降低網(wǎng)絡(luò)風(fēng)險(xiǎn);IPv6 改造順序應(yīng)按照“承載環(huán)境先行,業(yè)務(wù)接入隨后,網(wǎng)管安全支撐按需”的原則進(jìn)行;IP承載網(wǎng)是提供IPv6 端到端連接的根本,需要先行改造支持IPv6 ;業(yè)務(wù)網(wǎng)、各類(lèi)接入網(wǎng)是發(fā)展IPv6 用戶的關(guān)鍵,應(yīng)在承載具備條件的基礎(chǔ)上逐步改造,支持IPv4/IPv6 雙棧方式;網(wǎng)管系統(tǒng)、支撐平臺(tái)等應(yīng)根據(jù)網(wǎng)絡(luò)、業(yè)務(wù)的升級(jí)步驟按需改造,相關(guān)接口仍采用IPv4 協(xié)議,接口內(nèi)部相關(guān)字段支持IPv6 地址;從IPv4-only向IPv6-only演進(jìn)還需要遵循兩個(gè)原則:首要原則是“不影響現(xiàn)網(wǎng)業(yè)務(wù)(IPv4/1Pv6)的正常運(yùn)行”。IPv4 設(shè)備上部署IPv6 協(xié)議或者雙棧設(shè)備關(guān)閉IPv4 協(xié)議和服務(wù)時(shí),用戶應(yīng)該感知不到基礎(chǔ)網(wǎng)絡(luò)升級(jí)到IPv4/IPv6 雙棧或者從雙棧到IPv6-only的變化。次要原則是“兼容現(xiàn)有終端設(shè)備,不能強(qiáng)制用戶升級(jí)或者更換自己的終端設(shè)備,如PC、平板電腦和機(jī)頂盒等”。
對(duì)于OTT業(yè)務(wù)網(wǎng)絡(luò),可以建設(shè)為IPv4 和IPv6 雙棧網(wǎng)絡(luò),或者建設(shè)IPv6-only網(wǎng)絡(luò)。如果直接規(guī)劃或建設(shè)成IPv6-only網(wǎng)絡(luò),那么針對(duì)目前IPv4 流量占比相對(duì)較高的情形,就需要考慮IPv4 網(wǎng)絡(luò)和IPv6 網(wǎng)絡(luò)互通場(chǎng)景,考慮IPv4 客戶訪問(wèn)IPv6 服務(wù)場(chǎng)景,IPV6 的客戶訪問(wèn)IPv4 服務(wù)場(chǎng)景,通過(guò)IPv4 網(wǎng)絡(luò)連接兩個(gè)IPv6-only網(wǎng)絡(luò)場(chǎng)景等。對(duì)于現(xiàn)有的OTT業(yè)務(wù)網(wǎng)絡(luò),不可能對(duì)所有不支持IPv6 的設(shè)備進(jìn)行更換,所以對(duì)支持IPv6 的設(shè)備直接開(kāi)啟IPv6 功能,同時(shí)運(yùn)行IPv4 和IPv6 協(xié)議棧,實(shí)現(xiàn)雙棧。OTT業(yè)務(wù)系統(tǒng)在廣電城域網(wǎng)中實(shí)際部署的過(guò)程中,為了保證業(yè)務(wù)系統(tǒng)的穩(wěn)定性、安全性以及未來(lái)IPv6 升級(jí)改造中的擴(kuò)展性,可以通過(guò)在OTT業(yè)務(wù)的互聯(lián)網(wǎng)出口處部署兩臺(tái)高性能的安全網(wǎng)關(guān)。這兩臺(tái)安全網(wǎng)關(guān)可以通過(guò)“主-主”或者“主-備”的模式運(yùn)行,將不同的OTT業(yè)務(wù)通過(guò)劃分不同的DMZ區(qū)進(jìn)行隔離,然后根據(jù)不同OTT業(yè)務(wù)實(shí)際的運(yùn)行流量,在安全網(wǎng)關(guān)上進(jìn)行系統(tǒng)資源的重新分配,其中包括CPU、內(nèi)存等。在DMZ區(qū)之間、Intranet區(qū)、Extranet區(qū)等不同的安全區(qū)之間,通過(guò)安全網(wǎng)關(guān)的安全策略進(jìn)行訪問(wèn)控制,精確到協(xié)議和端口號(hào),嚴(yán)格控制合法流量的流入和流出。通過(guò)安全網(wǎng)關(guān)的NAT功能,實(shí)現(xiàn)私網(wǎng)地址向公網(wǎng)地址,公網(wǎng)地址向私網(wǎng)地址的互相訪問(wèn)。同時(shí),要求安全網(wǎng)關(guān)已經(jīng)實(shí)際配置IPv6 功能,給未來(lái)的NAT46 、NAT64 等業(yè)務(wù)留下充足的擴(kuò)展空間。
