华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
内网无线网络安全设计
WLAN技术是以无线射频信号作为业务数据的传输介质,这种开放的信道使攻击者很容易对无线信道中传输的业务数据进行窃听和篡改,如非法无线用户、仿冒AP的欺骗、恶意终端的拒绝服务型攻击等。WLAN安全设计主要包括以下方面:
- 无线空口安全:如非法AP、非法终端、非法Ad-hoc网络与拒绝服务型攻击等识别与防护。
- 终端接入安全:确保用户接入无线网络的合法性和安全性。
无线空口安全
- 为了防止非法设备或者干扰设备的入侵,可开启WLAN的WIDS(Wireless Intrusion Detection System,无线入侵检测系统)与WIPS(Wireless Intrusion Prevention System,无线干扰防御系统)功能,对网络的非法设备进行检测与反制。
- 为了防止WLAN网络受到非法攻击,建议在公共场所以及普教等对安全要求高的场景,启用非法攻击检测功能,对泛洪攻击、弱向量和欺骗攻击等进行检测,自动添加攻击者到动态黑名单中,并发送告警信息及时通知管理员。
终端接入安全
WLAN的802.11标准定义提供了WEP、WPA、WPA2和WAPI四种安全策略机制。每种安全策略体现了一整套安全机制,包括无线链路建立时的链路认证方式、无线用户上线时的用户接入认证方式和无线用户传输数据业务时的数据加密方式。
表2-30 WLAN安全策略机制的比较
安全机制 |
特点 |
|---|---|
WEP |
WEP共享密钥认证需要预先配置相同的静态密钥,无论从加密机制还是从加密算法本身,都很容易受到安全威胁,一般不推荐使用。 |
WPA/WPA2 |
WPA和WPA2在安全性上几乎没有差别,WPA/WPA2分为企业版和个人版:
|
WAPI |
WAPI是中国提出的无线安全标准,WAPI能够提供比WEP和WPA更强的安全性。 |
终端接入的安全设计主要是对终端接入策略进行合理规划,在保证安全性的同时提供使用便利性,例如在一个企业中,可采用如下接入认证方式:
- 企业员工:采用WPA/WPA2-802.1X认证方式。
- 访客:采用WPA/WPA2-PPSK或者Portal认证方式。
- 哑终端:采用MAC认证方式。
同时,对于不需要用户间进行互访的场景,建议配置用户间隔离功能。
