部署基础安全
背景信息
随着网络技术的普及以及网络应用的多样性,网络攻击行为出现的越来越频繁。为了提高网络安全,建议通过配置安全策略加强AP的防范能力。
- 将一些与设备相连的固定上行设备或信任用户的MAC地址配置为静态MAC表项,可以保证其安全通信。
- 配置无线安全策略,检测和反制非法AP,保护企业网络和用户不被无线网络上未经授权的设备访问。
- 启用攻击防范,通过分析上送CPU处理的报文内容和行为,判断报文是否具有攻击特性,并配置对具有攻击特性的报文执行一定的防范措施。
- 通过如下方法对允许接入到AP的终端设备进行限制:
- 黑名单(MAC地址)
- 白名单(MAC地址或OUI)
- 通过广播报文和IGMP组播报文限速,使AP的广播报文和IGMP组播报文速率限制在合理的范围内,防止这些报文占用过多网络资源。仅V200R009C00及以后版本支持该功能。
安全配置 |
说明 |
---|---|
暴力破解密钥攻击检测 |
AP通过检测WPA/WPA2-PSK,WAPI-PSK,WEP-Share-Key认证时的密钥协商报文在一定的时间内的密钥协商失败次数是否超过阈值(20),如果超过,则认为该用户在通过暴力破解法破解密码。 |
欺骗攻击检测 |
当AP接收到广播型的去关联帧Disassociation和去认证帧Deauthentication时,会检测报文的源地址是否为AP自身的MAC地址,如果是,则表示WLAN网络受到了解除认证报文或解除关联报文的欺骗攻击。 |
非法设备检测 |
AP可以检测到其覆盖范围内的其它无线设备信息,从而使AP可以了解到整个WLAN网络中无线设备的情况,判断当前网络中是否存在非法设备。 |
泛洪攻击检测 |
AP通过持续的监控每个STA的流量大小来预防泛洪攻击。当流量超出可容忍的上限时(例如1秒中接收到超过100个报文),表明可能发生了泛洪攻击,AP上报告警信息。 |
弱向量检测 |
AP识别每个WEP报文的IV,判断是否是弱IV(IV的第一个字节取值为3~15,第二个字节取值为255时,即为弱IV)。 |
动态黑名单防御 |
AP将检测为泛洪攻击或暴力破解密钥攻击的用户加入到动态黑名单列表中,丢弃该用户的所有报文,直至动态黑名单老化(10分钟)。 |
手动反制设备 |
AP根据非法设备的类型(AP/终端)采取相应的方式对非法设备完成反制。 |
仿冒AP反制 |
AP通过使用仿冒AP的MAC地址发送假的广播解除认证帧对仿冒AP进行反制,抑制合法无线用户和仿冒AP建立连接。 |
Adhoc设备反制 |
AP以Adhoc设备的身份持续发送单播解除认证帧,断开非法设备的连接。 |
开放设备反制 |
AP通过使用认证方式为open的非法AP设备的MAC地址发送假的广播解除认证帧对认证方式为open的非法AP进行反制,抑制合法无线用户和认证方式为open的非法AP建立连接。 |
终端保护 |
AP以保护终端所连接的非法AP的身份持续发送单播解除认证帧,断开其与非法AP的连接。 |
FW安全策略
FW的基本作用是对进出网络的访问行为进行控制,保护特定网络免受“不信任”网络的攻击,但同时还必须允许两个网络之间可以进行合法的通信。FW实现访问控制就是通过安全策略技术来实现的。
安全策略是FW的核心特性,它的作用是对通过FW的数据流进行检验,只有符合安全策略的合法流量才能通过FW进行转发,如图7-9所示。
安全策略是由匹配条件(例如五元组、用户、时间段等)和动作组成的控制规则,FW收到流量后,对流量的属性(五元组、用户、时间段等)进行识别,并将流量的属性与安全策略的匹配条件进行匹配。如果所有条件都匹配,则此流量成功匹配安全策略。流量匹配安全策略后,设备将会执行安全策略的动作。
- 如果动作为“允许”,则对流量进行如下处理:
如果没有配置内容安全检测,则允许流量通过。
如果配置内容安全检测,最终根据内容安全检测的结论来判断是否对流量进行放行。
如果动作为“禁止”,则禁止流量通过。