有線無線一體化 節約安全兩手抓
無線網絡+綠色環保,還有比這個更熱的熱點嗎?那么安全跟節約也是其中的要點。那么本文從有線無線一體化出發,為您詳細介紹一體化安全跟節約的內容。希望對您有所幫助。
一體化安全技術
無線局域網WLAN正逐漸發展成為辦公網、企業網等網絡必備的接入手段。無線局域網WLAN應用當前存在的一個突出問題是:多數情況下,無線網作為獨立的網絡與現有網絡(主要指有線網)分開管理。這就導致無線網需要單獨的管理系統和安全策略,使其管理成本居高不下。此外,現有的無線安全技術基本上都是針對物理層和鏈路層安全問題而設計的,而對于網絡層到應用層的攻擊往往力不從心,例如無線入侵檢測系統可以有效的檢測和防御基于802.11管理協議的攻擊,但對于病毒攻擊卻無能為力。
隨著無線網絡的大規模部署,如何將無線安全技術和現有成熟的有線安全技術有機地結合起來形成一套一體化的安全系統已經成為網絡建設者關注的焦點。從網絡發展來看,有線和無線網絡融合是未來網絡發展的趨勢,無線網絡安全也會從原有的單純強調無線網絡內的安全逐漸演化為關注有線無線一體化安全。
有線無線一體化安全方案主要包含以下幾個特點:
◆有線、無線網絡共用一套安全架構;
◆有線、無線網絡共用一套端點準入方案;
◆有線、無線用戶接入控制統一管理。
以下分別進行分析:
1.一體化安全架構
當前業界已經有越來越多的廠商在現有的有線交換設備上集成無線交換功能、防火墻功能、入侵檢測功能、VPN功能。通過在機架式設備上安插不同的安全業務插卡,用戶可以將安全業務和交換設備無縫融合,可以檢測從有線和WLAN接入層到應用層的多層協議,實現高度集成化的有線無線一體化安全解決方案。
這些安全業務插卡往往采用電信級硬件平臺,通過多內核系統實現核心企業用戶對安全設備線性處理能力的需求,實現用戶網絡安全的深度防護。
基于一體化的安全架構,在應用層、IP層可以支持:
◆增強型狀態安全過濾:支持ASPF應用層報文過濾(Application Specific Packet Filter)協議,支持對每一個連接狀態信息的維護監測并動態地過濾數據包,支持對FTP、HTTP、SMTP、RTSP、H.323(包括 Q.931、H.245、RTP/RTCP等)應用層協議的狀態監控,支持TCP/UDP應用的狀態監控。
◆抗攻擊防范能力:包括多種DoS/DDoS攻擊防范(CC、SYN flood、DNS Query Flood等)、ARP欺騙攻擊的防范、ARP主動反向查詢、TCP報文標志位不合法攻擊防范、超大ICMP報文攻擊防范、地址/端口掃描的防范、 ICMP重定向或不可達報文控制功能等;支持智能防范蠕蟲病毒技術。
◆應用層內容過濾:可以有效識別和控制網絡中的各種P2P模式的應用,并且對這些應用采取限流的控制措施,有效保護網絡帶寬;能夠識別和控制IM協議,如QQ、MSN等;支持郵件過濾,提供SMTP郵件地址、標題、附件和內容過濾;支持網頁過濾,提供HTTP URL和內容過濾;支持應用層過濾,提供Java/ActiveX Blocking和SQL注入攻擊防范。
◆集中管理與審計:提供各種日志功能、流量統計和分析功能、各種事件監控和統計功能、郵件告警功能。
一旦在IP層、應用層檢測到安全威脅(如病毒)并且這些攻擊來源于無線用戶,系統將自動通知入侵檢測系統(模塊)將這些用戶加入到黑名單列表中,實現了有線和WLAN接入層到應用層的統一控制。#p#
2.有線無線一體化端點準入
在實際網絡應用中,新的安全威脅不斷涌現,病毒和蠕蟲日益肆虐,其自我繁殖的本性使其對網絡的破壞程度和范圍持續擴大,經常引起系統崩潰、網絡癱瘓,使用戶蒙受嚴重損失。任何一臺終端的安全狀態(主要是指終端的防病毒能力、補丁級別和系統安全設置),都將直接影響到整個網絡的安全。
業界提出了端點準入解決方案來解決上述問題,它可以檢查接入用戶是否滿足安全策略的要求,包括病毒軟件是否安裝、病毒庫是否升級、是否安裝了必要的系統補丁等。但是通常端點準入方案普遍只支持有線用戶,造成無線用戶繼續作為管理的盲區,仍然不受約束的訪問網絡。為了實現全面的安全,必須能夠實現無線和有線終端用戶準入的統一控制。
以H3C有線無線一體化端點準入解決方案(EAD)為例,它從控制用戶終端安全接入網絡的角度入手,整合網絡接入控制與終端安全產品,通過安全客戶端、安全策略服務器、網絡設備以及第三方軟件的聯動,對接入有線、無線網絡的用戶終端強制實施企業安全策略,嚴格控制終端用戶的網絡使用行為,有效地加強了用戶終端的主動防御能力,為網絡管理人員提供了有效、易用的管理工具和手段。
EAD可以配合無線AP和無線控制器,通過802.1x認證方式實現對無線接入用戶的端點準入控制。這種組網方案可以防止采用無線接入的員工訪問企業內網時帶來的安全隱患,同時也有效的解決了用戶有線、無線接入方式的統一安全控制。
擁有合法身份的用戶除了被驗證用戶名、密碼等信息外,還被檢查是否滿足安全策略的要求,包括病毒軟件是否安裝、病毒庫是否升級、是否安裝了必要的系統補丁等等。對于同時滿足了身份檢查和安全檢查的用戶,EAD會根據預定義的策略為其分配對應的網絡訪問權限,避免了非授權的網絡訪問現象。
3.有線無線一體化接入控制統一管理
早期的無線網絡往往獨立于有線網絡建設和管理,網絡維護者往往要維護兩套獨立的認證系統,維護工作量大。用戶需要記住兩套賬號密碼使用,便利性差。有線無線統一認證系統可以既讓無線和有線用戶的認證共用802.1x、計費等多種公共服務,又可以實現對無線業務特有服務策略的控制,如基于無線SSID的控制用戶接入,實現對有線、無線用戶的統一管理,大大簡化維護成本。
