技术领域
[0001] 本
发明涉及一种无线网络通信中的安全防护,具体涉及一种多重防护的无线网络安全防护系统及防护方法。
背景技术
[0002] 无线网络的应用扩展了网络用户的自由,然而,这种自由同时也带来了安全性问题。与传统有线网络不同,无线环境下的安全威胁更加复杂、多变,安全防御的困难更为突出。而且,无线网络发展较晚,新近使用的许多技术还不够成熟,技术
缺陷和安全漏洞在所难免。
[0003] 无线网络一般受到的攻击可分为两类:一类是关于网络
访问控制、数据机密性保护和数据完整性保护而进行的攻击;另一类是基于无线通信网络设计、部署和维护的独特方式而进行的攻击。对于第一类攻击在有线网络的环境下也会发生。可见,无线网络的安全性是在传统有线网络的
基础上增加了新的安全性威胁。
[0004] 对于企业,尤其是大型企业而言,无线网络在为企业工作提供便利的同时,也蕴含的巨大的潜在危险。因此,在构建无线网络架构的同时,如果能够从多方位对网络安全进行防护,将能够为企业的稳定运行提供更好的平台,避免出现重大的网络安全事故。
[0005] 国家
电网公司总部作为全国各个网省电
力公司、分公司、直属单位的管理中枢,网络信息化安全至关重要。所以对于国网总部无线网络安全系统,如果不从各方面整体上进行规划和设计,只孤立地采用单一的某项安全技术是无法满足国网总部高安全性的要求的。本方案将从国家电网公司总部无线网络实际情况出发,从无线认证安全、无线安全防护、有线网络安全、三个方面进行规划,整体提升国网总部无线网络安全性。
发明内容
[0006] 本发明提供了一种采用多种防护措施有机结合起来的防护体系,从多方位来保障网络的安全。
[0007] 具体而言,本发明提供一种多重防护的无线网络安全防护系统,其特征在于,所述无线网络安全防护系统包括:安全认证系统、无线入侵防护模
块、ARP防护模块和数据传输监控模块,所述安全认证系统包括DHCP
服务器、MAC地址认证系统和portal认证系统,[0008] 所述MAC地址认证系统和所述portal认证系统通过IMC服务器实现,[0009] 无线入侵防护模块通过持续地监控上行到无线接入设备AP或无线
控制器AC的流量来检测泛洪攻击,当同类型的报文超出上限时,认为无线网络正受到泛洪攻击,并且中断相应设备的无线访问;
[0010] ARP防护模块用于防护无线网络设备的ARP攻击;
[0011] 所述MAC地址认证系统包括用户认证模块、MAC地址获取模块、IP地址绑定模块、地址存储模块,
[0012] 所述用户认证模块用于基于用户的用户信息对无线接入设备进行认证,[0013] 所述MAC地址获取模块用于获取经认证的无线接入设备的MAC地址,所述IP地址绑定模块用于将经认证用户的MAC地址与IP地址进行绑定,并存储至地址存储模块,[0014] 所述portal认证系统用于对临时访客进行认证并分配临时IP地址。
[0015] 进一步地,所述无线网络安全防护系统包括第一互联网出口和第二互联网出口,所述无线网络安全防护系统将来自临时IP地址的数据通过第一互联网出口传输,来自绑定IP地址的数据通过第二互联网出口传输。
[0016] 进一步地,所述无线网络安全防护系统还包括非法AP检测模块,所述非法AP检测模块为设置成监测模式的无线接入设备,其扫描WLAN中的设备,监听所有的Dot11
帧。
[0017] 另一方面,本发明提供一种多重防护的无线网络安全防护方法,其特征在于,所述无线网络安全防护方法包括:
[0018] 步骤(1)、利用无线接入设备AP进行WIPS检测;
[0019] 步骤(2)、利用POE交换机进行安全访问控制;
[0020] 步骤(3)、设置至少一个无线接入设备AP为监测模式,利用其扫描WLAN中的设备,监听所有Dot11帧,检测无线网络中的非法设备;
[0021] 步骤(4)、构建第一虚拟局域网VLAN和第二虚拟局域网VLAN,对于第一类用户,其使用第一虚拟局域网VLAN,对于第二类用户使用第二虚拟局域网VLAN;
[0022] 步骤(5)在无线网关中,设置ARP防御模块;
[0023] 步骤(6)利用DHCP服务器、无线认证服务器、无线控制器组成无线控制区,在所述无线控制区,采用ACL进行访问控制。
[0024] 优选地,所述方法还包括:
[0025] 将无线用户分为员工、临时员工和访客三种类型,对每种类型的无线用户分配不同的SSID,对于认证为员工的无线用户,获取该用户的MAC地址并且为其分配固定的IP地址,将所述MAC地址与所分配的IP地址绑定,以生成MAC地址和IP地址映射表,将相应用户设定为绑定用户,对于认证为临时员工的无线用户,获取该用户的MAC地址并且为其分配固定的IP地址,将所述MAC地址与所分配的IP地址绑定,并且设定绑定的期限,一旦超过绑定期限则清除对其的绑定,对于被认证为访客的用户,其分配临时IP地址。
[0026] 优选地,所述方法还包括:将绑定的IP地址组成第一虚拟局域网VLAN,将临时IP地址组成第二虚拟局域网VLAN。
[0027] 此外,本发明还提供一种利用本发明的安全防护系统对现有系统进行改造的方法。该方法包括,对现有网络进行设备备份和脚本备份;部署iMC服务器,把现有网络中核心和接入设备全部纳入iMC服务器的网管系统中,在iMC的认证接入设备中添加NAS设备,确保RADIUS和DOMAIN域参数正确无误,随后根据用户准入规定进行接入策略的划分,按照不同用户群的要求进行部署;使用iMC的自动发现功能将现网中网络设备纳入iMC网管中,对不能进行自动发现的设备采用手工添加的方式进行纳管;集成有线网络设备和无线网络设备;获取现有网络中无线SSID的数目及类型与新架构中的无线SSID类型进行映射匹配;把现有设备上的用户登录信息按照要求进行分组迁移至iMC,用户迁移完成后进行认证部署;在iMC上部署802.1x认证功能,按照用户
角色进行服务
申请;根据上面所提到的防护方法,开启各防护模块的防护功能。
[0028] 本发明的防护系统针对不同的用户类型采用两种无线认证方式,领导、正式员工及借调员工均采用MAC地址认证方式提供安全快速的无
感知认证,访客采用portal认证方式对访客身份及访问权限和时间进行精细化控制。
[0029] 在所有无线VLAN中开启二层隔离功能,对二层用户之间进行安全隔离,减少因单个用户终端中毒后广播报文大量泛洪时对同VLAN内其他用户的影响。针对总部私建无线热点的问题采取在相关办公室部署非法AP检测功能,对非法AP进行
信号干扰,使非法AP不能为非法用户提供服务。
[0030] 在无线网关设备上开启无线入侵防护功能和ARP防护功能,对无线网关进行安全防护。同
时针对POE交换机进行部署ACL防护及用户登录限制,在设备上开启SNMP功能,将管理员登陆控制权限迁移到网管平台,对管理人员登陆设备的操作进行统一的管理、认证、授权、审计。
[0031] 在网络出口部署ACG(应用控制网关)针对使用网络出口的无线用户流量及有线用户流量进行监控和限制,对各种P2P、网络游戏、网络多媒体、文件共享、邮件收发、数据传输等各种上网行为提供全方面的行为监控和记录。
[0032] 综上所述,本发明的安全防护系统从无线认证安全、无线安全防护、有线网络安全三方面,从多角度对无线网络系统进行有效全面的安全防护。
附图说明
[0033] 图1为本发明
实施例的无线网络安全防护系统的架构示意图;
[0034] 图2为本发明实施例中针对用户类型进行数据分流的示意图。
具体实施方式
[0035] 以下结合附图及其实施例对本发明进行详细说明,但并不因此将本发明的保护范围限制在实施例描述的范围之中。
[0036] 如图1所示,本实施例中,各个虚线框中分别表示各个安全防护模块。该无线网络安全防护系统包括:安全认证系统、无线入侵防护模块、ARP防护模块和安全访问控
制模块,所述安全认证系统包括DHCP服务器、MAC地址认证系统和portal认证系统。
[0037] 本实施例中,针对不同的用户类型采用两种无线认证方式,领导、正式员工及借调员工均采用MAC地址认证方式提供安全快速的无感知认证,访客采用portal认证方式对访客身份及访问权限和时间进行精细化控制。
[0038] 考虑到无线用户较多且涉及到大量总部领导,因此,采用本发明的对于员工的认证方式,不需要安装任何相关辅助
软件就可以完成无线认证上网。在认证时做到用户完全无感知,在用户连接新无线系统时尽可能减少用户侧的操作。
[0039] 此外,本发明对不同用户组如:总部正式员工、总部非正式员工、白广路用户、访客等分配不同的VLAN及IP地址,通过IP地址控制不同的用户组走不同的办公区互联网出口。
[0040] 从安全性考虑,MAC地址认证使用用户PC的MAC地址作为密码进行认证,而用户的MAC地址再申请无线网时会通过纸质单据申请的方式提交给网络运维部
门,运维部门在进行相关后台的MAC地址绑定工作。该MAC地址绑定后才可以上网,并且针对每个MAC地址只允许一个用户进行认证,防止有人盗用MAC地址进行上网。
[0041] 无线访客使用Portal认证,并且在西单、
银座办公区部署无线上网自助终端设备,无线访客获取无线上网流程为,首先访客需要在传达室使用身份证换取进门卡,如果访客有无线上网需求的话,就在无线上网自助终端设备上输入本人的手机号及一些个人信息。之后终端机通过与国网短信平台联动,通过短信平台推送密码短信到用户手机,目前手机均为实名注册,并且通过用户输入的个人信息及配合进门时的身份证,可以
定位出该人员身份。
[0042] 上面介绍了在用户认证方面的安全防护策略。下面介绍一下各个防护模块的认证模式。
[0043] 非法AP检测
[0044] 非法的Rogue设备对于企业网络安全来说是一个很严重的威胁,会干扰合法用户的无线访问,并且造成信息安全隐患。
[0045] 本发明通过将至少一台无线接入AP设置成Monitor模式来对非法AP进行监测:在这种模式下,该AP需要扫描WLAN中的设备,此时AP仅做监测AP,不做接入AP。当AP工作在Monitor模式时,该AP提供的所有WLAN服务都将关闭。其监听所有Dot11帧,检测无线网络中的非法设备,但不能提供无线接入服务。
[0046] 无线用户VLAN内二层隔离
[0047] 本实施例中,针对不同的用户类型设置不同的虚拟局域网VLAN,每个用户类型被分配以不同的IP地址段,基于IP地址段为每个用户类型建立不同的虚拟局域网VLAN,进而减少不同用户类型IP段之间的互访,减少整个WLAN网络的广播流量,提高WLAN网络的安全性及整体性能。
[0048] 无线入侵防护
[0049] 在无线接入设备中设置并开启无线入侵防护系统或模块,通过持续地监控上行到AP或AC的流量来检测泛洪攻击。当大量同类型的报文超出上限时,认为无线网络正受到泛洪攻击。检测到攻击后无线控制器上自动配置黑名单列表,黑名单列表将被发送到所有与之相连的无线接入点上(AP1、AP2和AP3)。假设用户1、用户5的MAC地址存在于黑名单列表中用户1、用户5不能与任何一个AP发生关联。
[0050] ARP攻击防护
[0051] 本发明采用内置于核心交换机的无线网关中的ARP防护功能,防护主要包括:源MAC地址固定的ARP攻击检测功能、ARP报文源MAC地址一致性检查功能。
[0052] 针对源MAC地址固定的ARP攻击检测功能,根据ARP报文的源MAC地址对上送控制器的ARP报文进行统计,在5秒内如果收到同一源MAC地址(源MAC地址固定)的ARP报文超过一定的
阈值,则认为存在攻击,系统会将此MAC地址添加到攻击检测表项中。在该攻击检测表项老化之前,如果设置的检查模式为过滤模式,则会打印日志信息并且将该源MAC地址发送的ARP报文过滤掉;如果设置的检查模式为监控模式,则只打印日志信息,不会将该源MAC地址发送的ARP报文过滤掉。
[0053] 针对ARP报文源MAC地址一致性检查功能:根据以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同的ARP攻击。网关设备在进行ARP学习前将对ARP报文进行检查。如果以太网数据帧首部中的源MAC地址和ARP报文中的源MAC地址不同,则认为是攻击报文,将其丢弃。
[0054] 此外,本发明还采用POE交换机进行安全访问控制。
[0055] 以上所述仅为本发明的较佳实施例,并非对本发明做任何形式上的限制,凡在本发明的精神和原则之内,依据本发明的技术实质对以上实施例所做的任何简单
修改、等同变化与修饰,均仍属于本发明的保护范围之内。
[0056] 虽然上面结合本发明的优选实施例对本发明的原理进行了详细的描述,本领域技术人员应该理解,上述实施例仅仅是对本发明的示意性实现方式的解释,并非对本发明包含范围的限定。实施例中的细节并不构成对本发明范围的限制,在不背离本发明的精神和范围的情况下,任何基于本发明技术方案的等效变换、简单替换等显而易见的改变,均落在本发明保护范围之内。
