配置安全策略
背景信息
用户配置WLAN安全策略时,建议参考如下,其中用户接入认证的配置请参见《S7700 V200R019C10 配置指南-用户接入与认证配置》中的“NAC配置(统一模式)”。
安全策略 |
参数 |
描述 |
|---|---|---|
开放认证 |
建议配置场景 |
机场、车站、商业中心、会议场馆等公共场所,用户流动性大,结合Portal认证方式,支持认证、计费和授权,可推送各种信息页面。 |
说明 |
单独使用时不安全,任何无线终端均可接入网络,建议同时配置Portal认证或MAC认证。 |
|
配置的用户接入认证 |
|
|
WEP |
建议配置场景 |
无 |
说明 |
WEP安全性低,不建议用户使用。 |
|
配置的用户接入认证 |
无 |
|
WPA/WPA2-PSK认证 |
建议配置场景 |
个人或家庭使用较多。 |
说明 |
安全性高于WEP,无需第三方服务器,成本低。 |
|
配置的用户接入认证 |
无 |
|
WPA/WPA2-802.1X认证 |
建议配置场景 |
移动办公、园区网络、移动政务等,用户较为固定,对安全要求高,集中管理用户和授权。 |
说明 |
安全性高,需要第三方服务器。 |
|
配置的用户接入认证 |
802.1X认证 |
|
WAPI-PSK认证 |
建议配置场景 |
无 |
说明 |
安全性高于WEP,无需第三方服务器,仅部分终端支持该协议。 |
|
配置的用户接入认证 |
无 |
|
WAPI-证书认证 |
建议配置场景 |
无 |
说明 |
安全性高,需要第三方服务器,但仅部分终端支持该协议。 |
|
配置的用户接入认证 |
无 |
配置静态WEP
背景信息
静态WEP使用共享密钥认证用户和加密业务报文,但易被破解,安全性低,不建议使用。如果配置静态WEP,建议用户开启暴力破解密钥攻击检测功能,可参见配置WIDS攻击检测和动态黑名单。
WEP加密算法存在安全风险,对安全要求高的场景建议使用WPA2。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令wlan,进入WLAN视图。
- 执行命令security-profile name profile-name,进入指定的安全模板视图。
- 执行命令security wep [ share-key ],配置安全策略为静态WEP。
缺省情况下,安全策略为open。
配置share-key,表示使用该共享密钥对无线终端认证,并对业务报文加密;不配置该参数则表示仅对业务报文加密。无论该参数是否配置,无线终端上的设置都相同,都需要输入共享密钥。
一个AP只能配置四个密钥索引,且不同的VAP使用的密钥索引不能相同。
- 执行命令wep key key-id { wep-40 | wep-104 | wep-128 } { pass-phrase | hex } key-value,配置静态WEP的共享密钥和密钥索引。
缺省情况下,使用WEP-40方式认证,您可以在《WLAN缺省帐号与密码》(企业网、运营商)文档中获取各种缺省帐号与密码信息。获取该文档需要权限,如需升级权限,请查看网站帮助。
- 执行命令wep default-key key-id,配置WEP使用的共享密钥的密钥索引。
缺省情况下,使用索引为0的密钥。
WEP的密钥可以配置4个,通过该命令配置指定索引的密钥生效,设备的密钥索引ID从0开始。
部分终端扫描到SSID后,无法通过单击或双击该SSID成功接入网络,可能是终端默认设置导致。此时可以在终端上手动添加一个无线网络,输入设备上配置的SSID、网络身份验证和数据加密方式、网络密钥和密钥索引,配置完成可以正常接入网络。部分终端设置密钥索引时,取值是从1开始设置,范围是1~4,这种情况则根据取值范围从小到大和设备上对应,例如设备上配置生效的密钥索引为0,则终端上应设置的密钥索引为1。
配置动态WEP
背景信息
使用静态WEP加密,不同的用户都采用相同的WEP密钥加密,安全性很低。在802.11i标准推出前,无线加密没有统一的标准,厂商对WEP加密进行了增强,结合802.1X接入认证,使用动态WEP加密。动态WEP加密的密钥由服务器动态生成下发,可以实现对不同的用户采用不同的WEP密钥进行加密。
- macOS系统下的配置:
- 进入网络管理页面,在Wi-Fi页签下,单击
,手动添加一个无线网络。
- 在手动添加网络的页面下,输入网络名称为设备上配置的SSID,选择安全策略为动态WEP,并配置用户名和密码。
- 进入网络管理页面,在Wi-Fi页签下,单击
- Windows 7系统下的配置:
- 进入管理无线网络页面,单击添加,选择手动创建网络配置文件,输入网络名称为设备上配置的SSID,并选择认证方式为802.1x,加密方式将自动选择为WEP,单击“下一步”,完成配置。
- 扫描SSID,查找并双击网络,在安全选项卡中,选择EAP类型为PEAP,单击设置,去掉验证服务器证书选项(此处不验证服务器证书),单击“配置”,去掉自动使用Windows登录名和密码选项,然后单击“确定”。
- Windows 10系统下的配置:
- 进入网络和Internet设置页面,单击,进入管理已知网络页面。
- 单击添加新网络,设置网络名称,“安全类型”选择“802.11x WEP”,“EAP方法”选择“受保护的EAP(PEAP)”,“身份验证方法”选择“智能卡或其他证书”。单击“保存”。
,手动添加一个无线网络。WEP加密算法存在安全风险,对安全要求高的场景建议使用WPA2。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令wlan,进入WLAN视图。
- 执行命令security-profile name profile-name,进入指定的安全模板视图。
- 执行命令security wep dynamic,配置安全策略为动态WEP。
缺省情况下,安全策略为open。
- 执行命令wep key key-id { wep-40 | wep-104 | wep-128 } dot1x,配置动态WEP的密钥索引和密钥长度。
缺省情况下,使用WEP-40方式认证,您可以在《WLAN缺省帐号与密码》(企业网、运营商)文档中获取各种缺省帐号与密码信息。获取该文档需要权限,如需升级权限,请查看网站帮助。
- 执行命令wep default-key key-id,配置WEP使用的共享密钥的密钥索引。
缺省情况下,使用索引为0的密钥。
WEP的密钥可以配置4个,通过该命令配置指定索引的密钥生效,设备的密钥索引ID从0开始。
- 配置802.1X的认证,具体请参见《S7700 V200R019C10 配置指南-用户接入与认证配置》中的“NAC配置(统一模式)”。
配置WPA/WPA2-PSK认证
背景信息
WPA和WPA2都可以使用PSK认证,支持TKIP或AES两种加密算法,它们之间的不同主要表现在协议报文格式上,在安全性上几乎没有差别。
WPA/WPA2-PSK认证主要用于个人、家庭与小型SOHO网络,对网络安全要求相对较低,不需要认证服务器。如果无线终端只支持WEP加密,则升级为PSK+TKIP无需升级硬件,而升级为PSK+AES可能需要升级硬件。
无线终端的种类多种多样,支持的认证和加密方式也有所差异,为了便于多种类型的终端接入,方便网络管理员的管理,可以使用混合方式配置WPA和WPA2。配置安全策略为WPA-WPA2,则支持WPA或WPA2的终端都可以接入设备进行认证;配置加密方式为TKIP-AES,则支持TKIP加密或AES加密的终端都可以对业务报文进行加密。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令wlan,进入WLAN视图。
- 执行命令security-profile name profile-name,进入指定的安全模板视图。
- 执行命令security { wpa | wpa2 | wpa-wpa2 } psk { pass-phrase | hex } key-value { aes | tkip | aes-tkip }或security wpa-wpa2 psk { pass-phrase | hex } key-value tkip aes,配置安全策略为WPA/WPA2-PSK。
- (可选)执行命令wpa ptk-update enable,使能PTK的定时更新功能。
缺省情况下,PTK的定时更新功能未使能。
使用PTK的定时更新功能时,由于终端自身的原因,部分终端可能会业务不通或下线。
- (可选)执行命令wpa ptk-update
ptk-update-interval ptk-rekey-interval,配置PTK的定时更新周期。
缺省情况下,PTK的定时更新周期为43200秒。
- (可选)执行命令pmf { optional | mandatory },配置PMF功能。
缺省情况下,VAP的PMF功能未使能。
认证方式需要使用WPA2,加密方式需要使用为AES。
配置WPA/WPA2-802.1X认证
背景信息
WPA和WPA2都可以使用802.1X认证,支持TKIP或AES两种加密算法,它们之间的不同主要表现在协议报文格式上,在安全性上几乎没有差别。
WPA/WPA2-802.1X认证主要用于企业网络等安全要求较高的网络,需要独立的认证服务器。如果用户的设备只支持WEP加密,则升级为802.1X+TKIP无需升级硬件,而升级为802.1X+AES可能需要升级硬件。
无线终端的种类多种多样,支持的认证和加密方式也有所差异,为了便于多种类型的终端接入,方便网络管理员的管理,可以使用混合方式配置WPA和WPA2。配置安全策略为WPA-WPA2,则支持WPA或WPA2的终端都可以接入设备进行认证;配置加密方式为TKIP-AES,则支持TKIP加密或AES加密的终端都可以对业务报文进行加密。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令wlan,进入WLAN视图。
- 执行命令security-profile name profile-name,进入指定的安全模板视图。
- 执行命令security { wpa | wpa2 | wpa-wpa2 } dot1x { aes | tkip | aes-tkip }或security wpa-wpa2 dot1x tkip aes,配置安全策略为WPA/WPA2-802.1X。
请确保配置认证模板,完成802.1X的接入认证配置,具体可参见《S7700 V200R019C10 配置指南-用户接入与认证配置》中的“NAC配置(统一模式)”。
安全模板与认证模板必须同时配置为802.1X认证,通过执行命令display wlan config-errors可以查看是否存在安全模板与认证模板认证类型不匹配的错误信息。
- (可选)执行命令wpa ptk-update enable,使能PTK的定时更新功能。
缺省情况下,PTK的定时更新功能未使能。
使用PTK的定时更新功能时,由于终端自身的原因,部分终端可能会业务不通或下线。
- (可选)执行命令wpa ptk-update
ptk-update-interval ptk-rekey-interval,配置PTK的定时更新周期。
缺省情况下,PTK的定时更新周期为43200秒。
- (可选)执行命令pmf { optional | mandatory },配置PMF功能。
缺省情况下,VAP的PMF功能未使能。
认证方式需要使用WPA2,加密方式需要使用为AES。
配置WAPI-PSK认证
背景信息
WAPI是一种仅允许建立健壮安全网络连接RSNA(Robust Security Network Association)的安全网络,提供比WEP或WPA/WPA2更强的安全性。
WAPI-PSK认证,适用于家庭用户或小型企业网络,不需要额外的证书系统。
WAPI定义了密钥的动态协商,但是如果STA长时间使用相同的加密密钥,仍然存在安全隐患。WAPI提供基于时间的密钥更新机制,单播会话密钥USK(Unicast Session Key)和组播会话密钥MSK(Multicast Session Key)都具有生命周期,当其生命周期结束时需要更新密钥。
AP7030DE、AP9330DN、AirEngine x760系列AP不支持WAPI功能。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令wlan,进入WLAN视图。
- 执行命令security-profile name profile-name,进入指定的安全模板视图。
- 执行命令security wapi psk { pass-phrase | hex } key-value,配置安全策略为WAPI-PSK认证。
- (可选)执行命令wapi { bk-threshold bk-threshold | bk-update-interval bk-update-interval },配置基密钥BK(Base Key)更新间隔和生存期百分比。
缺省情况下,BK生存期百分比为70%,更新间隔为43200秒。
BK的更新间隔*BK生存期百分比建议大于等于300秒,若小于300秒,由于部分终端性能问题,可能还未协商完就已经刷新,导致终端掉线或上不了线。
- (可选)执行命令wapi sa-timeout sa-time,配置建立安全关联的超时时间。
缺省情况下,建立密钥的安全关联的超时时间为60秒。
如果在超时时间内未完成认证过程,则安全关联失败,用户无法上线。
- (可选)执行命令wapi { usk | msk } key-update { disable | time-based },配置WAPI的USK和MSK的更新方式。
缺省情况下,USK和MSK都是基于时间更新。
- (可选)执行命令wapi { usk-update-interval usk-interval | usk-retrans-count usk-count },配置USK的更新间隔和密钥协商报文重传次数。
缺省情况下,USK更新间隔为86400秒,USK密钥协商报文重传次数为3次。
- (可选)执行命令wapi { msk-update-interval msk-interval | msk-retrans-count msk-count },配置MSK的更新间隔和密钥协商报文重传次数。
缺省情况下,MSK更新间隔为86400秒,MSK密钥协商报文重传次数为3次。
配置WAPI-证书认证
背景信息
WAPI是一种仅允许建立健壮安全网络连接RSNA(Robust Security Network Association)的安全网络,提供比WEP或WPA/WPA2更强的安全性。
WAPI-证书认证,适用于大型企业网络或运营商网络,这种认证方式需要部署和维护昂贵的证书系统。
WAPI证书采用X.509 V3证书,X.509 V3证书以Base64 binary为编码类型,以PEM格式进行存储,文件名的后缀为.cer。在为WAPI导入证书前,请确保证书文件存放在存储器的根目录。
WAPI定义了密钥的动态协商,但是如果STA长时间使用相同的加密密钥,仍然存在安全隐患。WAPI提供基于时间的密钥更新机制,单播会话密钥USK(Unicast Session Key)和组播会话密钥MSK(Multicast Session Key)都具有生命周期,当其生命周期结束时需要更新密钥。
AP7030DE、AP9330DN、AirEngine x760系列AP不支持WAPI功能。
操作步骤
- 执行命令system-view,进入系统视图。
- 执行命令wlan,进入WLAN视图。
- 执行命令security-profile name profile-name,进入指定的安全模板视图。
- 执行命令security wapi certificate,配置安全策略为WAPI-证书认证。
- 配置证书文件及ASU服务器。
- (可选)执行命令wapi source interface { vlanif vlan-id | loopback loopback-number },配置VLANIF接口或定LoopBack接口为AC与ASU服务器通信的源接口。
缺省情况下,没有配置AC与ASU服务器通信的源接口。
AC上配置的WAPI源接口的IP地址与ASU服务器的IP地址必须在同一网段。如果不配置WAPI源接口,则默认使用AC源接口的IP地址做为发往WAPI服务器的WAPI报文的源IP地址。
- (可选)执行命令wapi { bk-threshold bk-threshold | bk-update-interval bk-update-interval },配置基密钥BK(Base Key)更新间隔和生存期百分比。
缺省情况下,BK生存期百分比为70%,更新间隔为43200秒。
BK的更新间隔*BK生存期百分比建议大于等于300秒,若小于300秒,由于部分终端性能问题,可能还未协商完就已经刷新,导致终端掉线或上不了线。
- (可选)执行命令wapi sa-timeout sa-time,配置建立安全关联的超时时间。
缺省情况下,建立密钥的安全关联的超时时间为60秒。
如果在超时时间内未完成认证过程,则安全关联失败,用户无法上线。
- (可选)执行命令wapi { usk | msk } key-update { disable | time-based },配置WAPI的USK和MSK的更新方式。
缺省情况下,USK和MSK都是基于时间更新。
- (可选)执行命令wapi { usk-update-interval usk-interval | usk-retrans-count usk-count },配置USK的更新间隔和密钥协商报文重传次数。
缺省情况下,USK更新间隔为86400秒,USK密钥协商报文重传次数为3次。
- (可选)执行命令wapi { msk-update-interval msk-interval | msk-retrans-count msk-count },配置MSK的更新间隔和密钥协商报文重传次数。
缺省情况下,MSK更新间隔为86400秒,MSK密钥协商报文重传次数为3次。
