前言：我們精心挑選了數(shù)篇優(yōu)質(zhì)網(wǎng)絡(luò)安全規(guī)劃與設(shè)計文章，供您閱讀參考。期待這些文章能為您帶來啟發(fā)，助您在寫作的道路上更上一層樓。

第1篇

關(guān)鍵詞：城域網(wǎng)；網(wǎng)絡(luò)安全

前言

隨著現(xiàn)今城域網(wǎng)的普遍使用，城域網(wǎng)方面出現(xiàn)的問題也越來越多，為了保證網(wǎng)絡(luò)能夠安全正常的使用，需要各部門對網(wǎng)絡(luò)安全問題加以重視。根據(jù)網(wǎng)絡(luò)功能的差別，可將城域網(wǎng)分為核心層、匯聚層和接入層這三個層次。根據(jù)業(yè)務(wù)不同，可將城域網(wǎng)分為接入業(yè)務(wù)、寬帶上網(wǎng)業(yè)務(wù)及VPN業(yè)務(wù)這三種業(yè)務(wù)方式。而本文就是針對各層次出現(xiàn)的不同問題，進(jìn)行分析討論，并提出相關(guān)建議。

1城域網(wǎng)的概念分析

根據(jù)網(wǎng)絡(luò)功能的不同，可將城域網(wǎng)分為核心層、匯聚層及接入層這三個層面，同時因為各層的功能不一樣，所以各層網(wǎng)絡(luò)安全問題均不一樣。核心層存在的目的就是對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行快速轉(zhuǎn)換，促使核心設(shè)備正常操作；匯聚層的主要工作就是保護(hù)整個網(wǎng)絡(luò)的安全運行，并利用合理有效的方案管理網(wǎng)絡(luò)，是整個城域網(wǎng)中的重中之重；而接入層則是通過對接入業(yè)務(wù)、寬帶上網(wǎng)業(yè)務(wù)和VPN業(yè)務(wù)進(jìn)行接入，以降低網(wǎng)絡(luò)使用者對網(wǎng)絡(luò)造成的危害。利用有效的監(jiān)控手段調(diào)整網(wǎng)絡(luò)安全，以達(dá)到網(wǎng)絡(luò)優(yōu)化的目的。

2網(wǎng)絡(luò)安全規(guī)劃設(shè)計對城域網(wǎng)發(fā)展的作用

2.1核心層的網(wǎng)絡(luò)安全

城域網(wǎng)中的核心層，是決定網(wǎng)絡(luò)數(shù)據(jù)能否正常快速交換的重要層次，且這一層次與多個匯聚層相連接，通過該層次與多個匯聚層進(jìn)行連接，以達(dá)到網(wǎng)絡(luò)數(shù)據(jù)間的高效轉(zhuǎn)換，所以為了確保網(wǎng)路的正常運行，對該層次進(jìn)行網(wǎng)絡(luò)保護(hù)是比不可少的部分，增加該層的保護(hù)功能。核心層的網(wǎng)絡(luò)安全主要考慮的問題是防止病毒入侵設(shè)備，而降低設(shè)備的操作性能，因此則需要對路由器這一網(wǎng)絡(luò)互連、數(shù)據(jù)轉(zhuǎn)發(fā)及網(wǎng)絡(luò)的管理器進(jìn)行正確操作，以確保網(wǎng)絡(luò)使用更安全。因此則需要做到以下兩點措施。第一點是在路由器之間的協(xié)議添加認(rèn)證功能。就目前而言，動態(tài)路由器是核心層與匯聚層連接之間采取最多的連接設(shè)備，現(xiàn)常用的動態(tài)路由器主要分為OSPF、IS-IS、BGP這三種。而動態(tài)路由器的缺點是路由器動態(tài)設(shè)置會隨著網(wǎng)絡(luò)的拓展而改變，會對路由表進(jìn)行自動更新，如果相同設(shè)置的路由器設(shè)備加入網(wǎng)絡(luò)，該路由器會自動更改為網(wǎng)絡(luò)上的路由設(shè)置，這樣的行為可能導(dǎo)致網(wǎng)絡(luò)信息的外漏，嚴(yán)重的時候，會阻礙網(wǎng)絡(luò)上的路由表正常運行，導(dǎo)致網(wǎng)絡(luò)崩潰。為了有效解決相關(guān)問題的出現(xiàn)，則需要在路由器設(shè)置中添加身份認(rèn)證，只有通過身份上的認(rèn)證，同區(qū)域的路由器才能互相分享路由表上的信息，以此保護(hù)網(wǎng)絡(luò)安全。第二點則是遵循最小化服務(wù)的原則，關(guān)閉網(wǎng)路設(shè)備上不需要的服務(wù)。對此則需要做到以下幾點：（1）保證遠(yuǎn)程訪問管理的安全，在路由器信息進(jìn)行加密保護(hù)，防止外界惡意訪問的攻擊；（2）端口限制訪問，通過使用ACL端口進(jìn)行訪問限制，在設(shè)備接口上添加數(shù)據(jù)訪問限制，增加網(wǎng)絡(luò)信息過濾系統(tǒng)，減少網(wǎng)絡(luò)病毒帶來的路由器資源耗損，防止網(wǎng)絡(luò)病毒入侵，促使網(wǎng)絡(luò)系統(tǒng)崩潰；（3）增強(qiáng)對網(wǎng)絡(luò)系統(tǒng)的檢查控制，目前采用最多的是SNMPV3協(xié)議進(jìn)行網(wǎng)絡(luò)信息加密保護(hù)，在利用ACL控制SNMP訪問，只允許訪問設(shè)備信息，禁止復(fù)制設(shè)備信息，以有效檢查控制網(wǎng)絡(luò)運行情況；（4）禁止使用路由器不需要的服務(wù)，路由器主要分為軟件和硬件的轉(zhuǎn)發(fā)方式，轉(zhuǎn)件轉(zhuǎn)發(fā)的路由器是通過CPU軟件技術(shù)進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)發(fā)的，也就是利用核心技術(shù)進(jìn)行的數(shù)據(jù)轉(zhuǎn)發(fā)，而硬件轉(zhuǎn)發(fā)的路由器時通過網(wǎng)絡(luò)上的硬件處理器進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā)的，所以使用正確的路由器服務(wù)，減少不需要的服務(wù)，促進(jìn)路由器高速運行。

2.2匯聚層的網(wǎng)絡(luò)安全

匯聚層是保護(hù)網(wǎng)絡(luò)安全運行的重要層次，通過合理有效的方式管理網(wǎng)絡(luò)，可以作為城域網(wǎng)中的管理層。為保證匯聚層能安全正常的操作，從接入網(wǎng)設(shè)備和各種類型用戶這兩方面進(jìn)行分析，需要做到以下幾點。第一點是接入網(wǎng)設(shè)備的安全，利用ACL控制接入網(wǎng)設(shè)備的訪問，增加對匯聚層端口的檢查控制，以達(dá)到對連接匯聚層的接入網(wǎng)設(shè)備的控制，確保接入網(wǎng)設(shè)備的安全。第二點是寬帶小區(qū)設(shè)備的安全，為確保寬帶小區(qū)網(wǎng)絡(luò)設(shè)備的正常安全運行，需要采取以下幾點措施：（1）調(diào)整BAS的部署方案，將BAS邊緣化，對VLAN設(shè)置下的用戶數(shù)量加以控制，降低網(wǎng)絡(luò)危害的出現(xiàn)，優(yōu)化網(wǎng)絡(luò)系統(tǒng)，從寬帶接入服務(wù)器中體現(xiàn)出QINQ技術(shù)的特征，減少匯聚層中虛擬局域網(wǎng)的傳播，因此BAS需要采用雙上行的方式保護(hù)網(wǎng)絡(luò)安全；（2）利用BAS+AAA驗證服務(wù)器檢驗網(wǎng)絡(luò)用戶的身份，防止賬號被盜情況的出現(xiàn)，幫助網(wǎng)絡(luò)用戶準(zhǔn)確定位；（3）綁定PPPOE撥號用戶對VLAN、端口及用戶賬號的設(shè)置，以防非原有用戶對原有網(wǎng)絡(luò)用的賬號和密碼進(jìn)行盜取使用，同時也可以對上網(wǎng)用戶位置進(jìn)行準(zhǔn)確定位；（4）為了防止用戶賬號出現(xiàn)非法共享和漫游資費的情況，需要寬帶接入服務(wù)器和個人用戶賬號在radius設(shè)備中進(jìn)行圈定；（5）依據(jù)BAS的內(nèi)存和實際情況決定保留流量數(shù)據(jù)的多少，并控制使用BAS設(shè)備的用戶數(shù)量，以保證網(wǎng)絡(luò)安全正常的運行。第三點是從寬帶專線用戶方面，采取相關(guān)安全措施，對此可以做到以下幾點：（1）控制用戶端口連接的數(shù)量，以防止外界危害的入侵；（2）圈定使用用戶的基本信息，確定網(wǎng)絡(luò)用戶的位置，阻止非法網(wǎng)頁的入侵；（3）設(shè)置ACL設(shè)備的控制列表信息，通過對外界網(wǎng)頁進(jìn)行多層次的過濾，減少對網(wǎng)絡(luò)設(shè)備的危害，并阻止危害網(wǎng)頁消息的出現(xiàn)，確保網(wǎng)絡(luò)更安全。

2.3接入層的網(wǎng)絡(luò)安全

通過對接入業(yè)務(wù)、寬帶上網(wǎng)業(yè)務(wù)和VPN業(yè)務(wù)進(jìn)行接入，以降低網(wǎng)絡(luò)使用者對網(wǎng)絡(luò)造成的危害。其主要連接方式是XDSL、LAN和WLAN這三種，從用戶的網(wǎng)絡(luò)安全進(jìn)行分析，得出以下兩點措施。一方面是阻止側(cè)用戶端口的接入，利用物理隔離和邏輯隔離這兩種方式進(jìn)行網(wǎng)絡(luò)隔離。其物理隔離主要使用的是單主板安全隔離計算機(jī)和隔離卡技術(shù)這兩種隔離方式，以確保內(nèi)部網(wǎng)絡(luò)不直接或間接與公共網(wǎng)絡(luò)進(jìn)行連接，以此達(dá)到真正隔離的目的；而邏輯隔離則是采用虛擬局域網(wǎng)、訪問控制、虛擬專用網(wǎng)、端口綁定等手段進(jìn)行個人網(wǎng)絡(luò)和公共網(wǎng)絡(luò)間的有效隔離。通過以上兩種隔離手段，有效保護(hù)個人網(wǎng)絡(luò)賬號信息的安全，以防外界用戶對原用戶的干擾。另一方面則是對用戶寬帶的流量加以控制，利用完整的軟件應(yīng)用能力和充足的流量管理經(jīng)驗，以達(dá)到完善用戶網(wǎng)絡(luò)的目的，促使接入層網(wǎng)絡(luò)更安全。

3網(wǎng)絡(luò)安全規(guī)劃設(shè)計實行策略

根據(jù)城域網(wǎng)中各層次的特點，從不同方面分析城域網(wǎng)運行過程中出現(xiàn)的問題，采取不同的優(yōu)化措施，制定合理有效的優(yōu)化策略，嚴(yán)格管理控制網(wǎng)絡(luò)數(shù)據(jù)和信息傳送，促進(jìn)城域網(wǎng)安全穩(wěn)定的發(fā)展，并利用有效的控制手段優(yōu)化網(wǎng)絡(luò)信息，以確保網(wǎng)絡(luò)正常安全的運行。除此之外，還需要網(wǎng)絡(luò)用戶對個人路由器信息進(jìn)行認(rèn)真設(shè)置，使用更高級的賬號登錄密碼，防止網(wǎng)絡(luò)病毒的入侵，導(dǎo)致自身網(wǎng)絡(luò)系統(tǒng)癱瘓，使用正確的路由器服務(wù)，有利于網(wǎng)絡(luò)安全平穩(wěn)的運行。

4總結(jié)

綜上所述，根據(jù)城域網(wǎng)各層次出現(xiàn)的網(wǎng)絡(luò)安全均不同和網(wǎng)絡(luò)所承接業(yè)務(wù)的不同，我們應(yīng)采取合適解決問題的安全技術(shù)方案，改善城域網(wǎng)在各階段的不足之處。在網(wǎng)絡(luò)安全技術(shù)實行過程中，需要全面考慮到網(wǎng)絡(luò)各方面的應(yīng)用，制定合理有效的安全技術(shù)方案，利用合理的安全防護(hù)技術(shù)，改善城域網(wǎng)網(wǎng)絡(luò)規(guī)劃設(shè)計中出現(xiàn)的不足之處，只有確保城域網(wǎng)的整體安全，才能達(dá)到全面完善網(wǎng)絡(luò)系統(tǒng)，從而促進(jìn)城域網(wǎng)健康穩(wěn)定的發(fā)展的目的。

參考文獻(xiàn)：

[1]龔儉，陸晟，王倩.計算機(jī)網(wǎng)絡(luò)安全導(dǎo)論(第1版)[M].東南大學(xué)出版社，2000.

[2]李逢天.網(wǎng)絡(luò)運營中的網(wǎng)絡(luò)安全問題及解決思路[J].電信技術(shù)，2002.

[3]楊建紅.計算機(jī)網(wǎng)絡(luò)安全與對策[J].長沙鐵道學(xué)院學(xué)報(社會科學(xué)版)，2005.

[4]劉建偉.企業(yè)網(wǎng)絡(luò)安全問題探討[J].甘肅科技，2006.

第2篇

關(guān)鍵詞：無線網(wǎng)絡(luò)規(guī)劃；無線網(wǎng)絡(luò)風(fēng)險；無線安全檢查項目；無線網(wǎng)絡(luò)安全指引

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2013）28-6262-03

1 概述

有別于有線網(wǎng)絡(luò)的設(shè)備可利用線路找尋設(shè)備信息，無論是管理、安全、記錄信息，比起無線網(wǎng)絡(luò)皆較為方便，相較之下無線網(wǎng)絡(luò)的環(huán)境較復(fù)雜。無線網(wǎng)絡(luò)安全問題最令人擔(dān)心的原因在于，無線網(wǎng)絡(luò)僅透過無線電波透過空氣傳遞訊號，一旦內(nèi)部架設(shè)發(fā)射訊號的儀器，在收訊可及的任一節(jié)點，都能傳遞無線訊號，甚至使用接收無線訊號的儀器，只要在訊號范圍內(nèi)，即便在圍墻外，都能截取訊號信息。

因此管理無線網(wǎng)絡(luò)安全維護(hù)比有線網(wǎng)絡(luò)更具挑戰(zhàn)性，有鑒于政府機(jī)關(guān)推廣于民眾使用以及企業(yè)逐漸在公司內(nèi)部導(dǎo)入無線網(wǎng)絡(luò)架構(gòu)之需求，本篇論文特別針對無線網(wǎng)絡(luò)Wi-Fi之使用情境進(jìn)行風(fēng)險評估與探討，以下將分別探討無線網(wǎng)絡(luò)傳輸可能產(chǎn)生的風(fēng)險，以及減少風(fēng)險產(chǎn)生的可能性，進(jìn)而提出建議之無線網(wǎng)絡(luò)建置規(guī)劃檢查項目。

2 無線網(wǎng)絡(luò)傳輸風(fēng)險

現(xiàn)今無線網(wǎng)絡(luò)裝置架設(shè)便利，簡單設(shè)定后即可進(jìn)行網(wǎng)絡(luò)分享，且智能型行動裝置已具備可架設(shè)熱點功能以分享網(wǎng)絡(luò)，因此皆可能出現(xiàn)不合法之使用者聯(lián)機(jī)合法基地臺，或合法使用者聯(lián)機(jī)至未經(jīng)核可之基地臺情形。倘若企業(yè)即將推動內(nèi)部無線上網(wǎng)服務(wù)，或者考慮網(wǎng)絡(luò)存取便利性，架設(shè)無線網(wǎng)絡(luò)基地臺，皆須評估當(dāng)內(nèi)部使用者透過行動裝置聯(lián)機(jī)機(jī)關(guān)所提供之無線網(wǎng)絡(luò)，所使用之聯(lián)機(jī)傳輸加密機(jī)制是否合乎信息安全規(guī)范。

倘若黑客企圖偽冒企業(yè)內(nèi)部合法基地臺提供聯(lián)機(jī)時，勢必會造成行動裝置之企業(yè)數(shù)據(jù)遭竊取等風(fēng)險。以下將對合法使用者在未知的情況下聯(lián)機(jī)至偽冒的無線網(wǎng)絡(luò)基地臺，以及非法使用者透過加密機(jī)制的弱點破解無線網(wǎng)絡(luò)基地臺，針對這2個情境加以分析其風(fēng)險。

2.1 偽冒基地機(jī)風(fēng)險

目前黑客的攻擊常會偽冒正常的無線網(wǎng)絡(luò)基地臺（Access Point，以下簡稱AP），而偽冒的AP在行動裝置普及的現(xiàn)今，可能會讓用戶在不知情的情況下進(jìn)行聯(lián)機(jī)，當(dāng)連上線后，攻擊者即可進(jìn)行中間人攻擊（Man-in-the-Middle，簡稱MitMAttack），取得被害人在網(wǎng)絡(luò)上所傳輸?shù)臄?shù)據(jù)。情境之架構(gòu)詳見圖1，利用偽冒AP攻擊，合法使用者無法辨識聯(lián)機(jī)上的AP是否合法，而一旦聯(lián)機(jī)成功后黑客即可肆無忌憚的竊取行動裝置上所有的數(shù)據(jù)，造成個人數(shù)據(jù)以及存放于行動裝置上之機(jī)敏數(shù)據(jù)外泄的疑慮存在。企業(yè)在部署無線局域網(wǎng)絡(luò)時，需考慮該類風(fēng)險問題。

2.2 弱加密機(jī)制傳輸風(fēng)險

WEP （Wired Equivalent Privacy）為一無線加密協(xié)議保護(hù)無線局域網(wǎng)絡(luò)（Wireless LAN，以下簡稱WLAN）數(shù)據(jù)安全的加密機(jī)制，因WEP的設(shè)計是要提供和傳統(tǒng)有線的局域網(wǎng)絡(luò)相當(dāng)?shù)臋C(jī)密性，隨著計算器運算能力提升，許多密碼分析學(xué)家已經(jīng)找出WEP好幾個弱點，但WEP加密方式是目前仍是許多無線基地臺使用的防護(hù)方式，由于WEP安全性不佳，易造成被輕易破解。

許多的無線破解工具皆已存在且純熟，因此利用WEP認(rèn)證加密之無線AP，當(dāng)破解被其金鑰后，即可透過該AP連接至該無線局域網(wǎng)絡(luò)，再利用探測軟件進(jìn)行無線局域網(wǎng)絡(luò)掃描，取得該無線局域網(wǎng)絡(luò)內(nèi)目前有哪些聯(lián)機(jī)的裝置。

當(dāng)使用者使用行動裝置連上不安全的網(wǎng)絡(luò)，可能因本身行動裝置設(shè)定不完全，而將弱點曝露在不安全的網(wǎng)絡(luò)上，因此當(dāng)企業(yè)允許使用者透過行動裝置進(jìn)行聯(lián)機(jī)時，除了提醒使用者應(yīng)加強(qiáng)自身終端安全外，更應(yīng)建置安全的無線網(wǎng)絡(luò)架構(gòu)，以提供使用者使用。

3 無線網(wǎng)絡(luò)安全架構(gòu)

近年許多企業(yè)逐漸導(dǎo)入無線局域網(wǎng)絡(luò)服務(wù)以提供內(nèi)部使用者及訪客使用。但在提供便利的同時，如何達(dá)到無線局域網(wǎng)絡(luò)之安全，亦為重要。

3.1 企業(yè)無線局域網(wǎng)安全目標(biāo)

企業(yè)之無線網(wǎng)絡(luò)架構(gòu)應(yīng)符合無線局域網(wǎng)絡(luò)安全目標(biāo)：機(jī)密性、完整性與驗證性。

機(jī)密性（Confidentiality）

無線網(wǎng)絡(luò)安全架構(gòu)應(yīng)防范機(jī)密不可泄漏給未經(jīng)授權(quán)之人或程序，且無線網(wǎng)絡(luò)架構(gòu)應(yīng)將對外提供給一般使用者網(wǎng)絡(luò)以及內(nèi)部所使用之內(nèi)部網(wǎng)絡(luò)區(qū)隔開。無線網(wǎng)絡(luò)架構(gòu)之加密需采用安全性即高且不易被破解的方式，并可對無線網(wǎng)絡(luò)使用進(jìn)行稽核。

完整性（Integrity）

無線網(wǎng)絡(luò)安全架構(gòu)應(yīng)確認(rèn)辦公室環(huán)境內(nèi)無其它無線訊號干擾源，并保證員工無法自行架設(shè)非法無線網(wǎng)絡(luò)存取點設(shè)備，以確保在使用無線網(wǎng)絡(luò)時傳輸不被中斷或是攔截。對于內(nèi)部使用者，可建立一個隔離區(qū)之無線網(wǎng)絡(luò)，僅提供外部網(wǎng)際網(wǎng)絡(luò)連路連接，并禁止存取機(jī)關(guān)內(nèi)部網(wǎng)絡(luò)。

認(rèn)證性（Authentication）

建議無線網(wǎng)絡(luò)安全架構(gòu)應(yīng)提供使用者及設(shè)備進(jìn)行身份驗證，讓使用者能確保自己設(shè)備安全性，且能區(qū)分存取控制權(quán)限。無線網(wǎng)絡(luò)安全架構(gòu)應(yīng)需進(jìn)行使用者身份控管，以杜絶他人（允許的訪客除外）擅用機(jī)關(guān)的無線網(wǎng)絡(luò)。

因應(yīng)以上無線局域網(wǎng)絡(luò)安全目標(biāo)，應(yīng)將網(wǎng)絡(luò)區(qū)分為內(nèi)部網(wǎng)絡(luò)及一般網(wǎng)絡(luò)等級，依其不同等級實施不同的保護(hù)措施及其應(yīng)用，說明如下。

內(nèi)部網(wǎng)絡(luò)：

為網(wǎng)絡(luò)內(nèi)負(fù)責(zé)傳送一般非機(jī)密性之行政資料，其系統(tǒng)能處理中信任度信息，并使用機(jī)關(guān)內(nèi)部加密認(rèn)證以定期更變密碼，且加裝防火墻、入侵偵測等作業(yè)。

一般網(wǎng)絡(luò)：

主要在提供非企業(yè)內(nèi)部人員或訪客使用之網(wǎng)絡(luò)系統(tǒng)，不與內(nèi)部其它網(wǎng)絡(luò)相連，其網(wǎng)絡(luò)系統(tǒng)僅能處與基本信任度信息，并加裝防火墻、入侵偵測等機(jī)制。

因此建議企業(yè)在建構(gòu)無線網(wǎng)絡(luò)架構(gòu)，須將內(nèi)部網(wǎng)絡(luò)以及提供給一般使用者之一般網(wǎng)絡(luò)區(qū)隔開，以達(dá)到無線網(wǎng)絡(luò)安全目標(biāo)，以下將提供無線辦公方案及無線訪客方案提供給企業(yè)導(dǎo)入無線網(wǎng)絡(luò)架構(gòu)時作為參考使用。

3.2內(nèi)部網(wǎng)絡(luò)安全架構(gòu)

減輕無線網(wǎng)絡(luò)風(fēng)險之基礎(chǔ)評估，應(yīng)集中在四個方面：人身安全、AP位置、AP設(shè)定及安全政策。人身安全方面，須確保非企業(yè)內(nèi)部使用者無法存取辦公室范圍內(nèi)之無線內(nèi)部網(wǎng)絡(luò)，僅經(jīng)授權(quán)之企業(yè)內(nèi)部使用者可存取。可使用影像認(rèn)證、卡片識別、使用者賬號密碼或生物識別設(shè)備以進(jìn)行人身安全驗證使用者身份。企業(yè)信息管理人員須確保AP安裝在受保護(hù)的建筑物內(nèi)，且使用者須經(jīng)過適當(dāng)?shù)纳矸蒡炞C才允許進(jìn)入，而只有企業(yè)信息管理人員允許存取并管理無線網(wǎng)絡(luò)設(shè)備。

企業(yè)信息管理人員須將未經(jīng)授權(quán)的使用者訪問企業(yè)外部無線網(wǎng)絡(luò)之可能性降至最低，評估每臺AP有可能造成的網(wǎng)絡(luò)安全漏洞，可請網(wǎng)絡(luò)工程師進(jìn)行現(xiàn)場調(diào)查，確定辦公室內(nèi)最適當(dāng)放置AP的位置以降低之風(fēng)險。只要企業(yè)使用者擁有存取無線內(nèi)部網(wǎng)絡(luò)能力，攻擊者仍有機(jī)會竊聽辦公室無線網(wǎng)絡(luò)通訊，建議企業(yè)將無線網(wǎng)絡(luò)架構(gòu)放置于防火墻外，并使用高加密性VPN以保護(hù)流量通訊，此配置可降低無線網(wǎng)絡(luò)竊聽風(fēng)險。

企業(yè)應(yīng)側(cè)重于AP配置之相關(guān)漏洞。由于大部分AP保留了原廠之預(yù)設(shè)密碼，企業(yè)信息管理人員需使用復(fù)雜度高之密碼以確保密碼安全，并定期更換密碼。企業(yè)應(yīng)制定相關(guān)無線內(nèi)部網(wǎng)絡(luò)安全政策，包括規(guī)定使用最小長度為8個字符且參雜特殊符號之密碼設(shè)置、定期更換安全性密碼、進(jìn)行使用者M(jìn)AC控管以控制無線網(wǎng)絡(luò)使用情況。

為提供安全無線辦公室環(huán)境，企業(yè)應(yīng)進(jìn)行使用者M(jìn)AC控管，并禁用遠(yuǎn)程SNMP協(xié)議，只允許使用者使用本身內(nèi)部主機(jī)。由于大部分廠商在加密SSID上使用預(yù)設(shè)驗證金鑰，未經(jīng)授權(quán)之設(shè)備與使用者可嘗試使用預(yù)設(shè)驗證金鑰以存取無線內(nèi)部網(wǎng)絡(luò)，因此企業(yè)應(yīng)使用內(nèi)部使用者賬號與密碼之身份驗證以控管無線內(nèi)部網(wǎng)絡(luò)之存取。

企業(yè)應(yīng)增加額外政策，要求存取無線內(nèi)部網(wǎng)絡(luò)之設(shè)備系統(tǒng)需進(jìn)行安全性更新和升級，定期更新系統(tǒng)安全性更新和升級有助于降低攻擊之可能性。此外，政策應(yīng)規(guī)定若企業(yè)內(nèi)部使用者之無線裝置遺失或被盜，企業(yè)內(nèi)部使用者應(yīng)盡快通知企業(yè)信息管理人員，以防止該IP地址存取無線內(nèi)部網(wǎng)絡(luò)。

為達(dá)到一個安全的無線內(nèi)部網(wǎng)絡(luò)架構(gòu)，建議企業(yè)采用IPS設(shè)備以進(jìn)行無線環(huán)境之防御。IPS設(shè)備有助于辨識是否有未經(jīng)授權(quán)之使用者試圖存取企業(yè)內(nèi)部無線內(nèi)部網(wǎng)絡(luò)或企圖進(jìn)行非法攻擊行為，并加以阻擋企業(yè)建筑內(nèi)未經(jīng)授權(quán)私自架設(shè)之非法網(wǎng)絡(luò)。所有無線網(wǎng)絡(luò)之間的通訊都需經(jīng)過IPS做保護(hù)與進(jìn)一步分析，為一種整體縱深防御之策略。

考慮前述需求，本篇論文列出建構(gòu)無線內(nèi)部網(wǎng)絡(luò)應(yīng)具備之安全策略，并提供一建議無線內(nèi)部網(wǎng)絡(luò)安全架構(gòu)示意圖以提供企業(yè)信息管理人員作為風(fēng)險評估之參考，詳見表1。

企業(yè)在風(fēng)險評估后確認(rèn)實現(xiàn)無線辦公室環(huán)境運行之好處優(yōu)于其它威脅風(fēng)險，始可進(jìn)行無線內(nèi)部網(wǎng)絡(luò)架構(gòu)建置。然而，盡管在風(fēng)險評估上實行徹底，但無線網(wǎng)絡(luò)環(huán)境之技術(shù)不斷變化與更新，安全漏洞亦日新月異，使用者始終為安全鏈中最薄弱的環(huán)節(jié)，建議企業(yè)必須持續(xù)對企業(yè)內(nèi)部使用者進(jìn)行相關(guān)無線安全教育，以達(dá)到縱深防御之目標(biāo)。

另外，企業(yè)應(yīng)定期進(jìn)行安全性更新和升級會議室公用網(wǎng)絡(luò)之系統(tǒng)，定期更新系統(tǒng)安全性更新和升級有助于降低攻擊之可能性。為達(dá)到一個安全的會議室公用網(wǎng)絡(luò)架構(gòu)，建議企業(yè)采用IPS設(shè)備以進(jìn)行無線環(huán)境之防御。

IPS設(shè)備有助于辨識是否有未經(jīng)授權(quán)之使用者試圖存取企業(yè)內(nèi)部會議室公用網(wǎng)絡(luò)或企圖進(jìn)行非法攻擊行為，并加以阻擋企業(yè)建筑內(nèi)未經(jīng)授權(quán)私自架設(shè)之非法網(wǎng)絡(luò)。所有無線網(wǎng)絡(luò)之間的通訊都需經(jīng)過IPS做保護(hù)與進(jìn)一步分析，為一種整體縱深防御策略。

4 結(jié)論

由于無線網(wǎng)絡(luò)的存取及使用上存在相當(dāng)程度的風(fēng)險，更顯無線局域網(wǎng)絡(luò)的安全性之重要，本篇論文考慮無線網(wǎng)絡(luò)聯(lián)機(jī)存取之相關(guān)風(fēng)險與安全聯(lián)機(jī)的準(zhǔn)則需求，有鑒于目前行動裝置使用量大增，企業(yè)可能面臨使用者要求開放無線網(wǎng)絡(luò)之需求，應(yīng)建立相關(guān)無線網(wǎng)絡(luò)方案，本研究針對目前常見之無線網(wǎng)絡(luò)風(fēng)險威脅為出發(fā)，以及內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)使用者，針對不同安全需求強(qiáng)度，規(guī)劃無線網(wǎng)絡(luò)使用方案，提供作為建置參考依據(jù)，進(jìn)而落實傳輸風(fēng)險管控，加強(qiáng)企業(yè)網(wǎng)絡(luò)安全強(qiáng)度。

參考文獻(xiàn)：

[1] Gast M S.Wireless Networks： The Definitive Guide[M].O’Reilly， 2002.

[2] Edney J， Arbaugh W A.Security：Wi-Fi Protected Access and 802.11[M].Addison-Wesley，2004.

[3] R. Guha， Z. Furqan， S. Muhammad.Discovering Man-In-The-Middle Attacks nAuthentication Protocols[J].IEEE Military Communications Conference 2007， Orlando， FL， 2007（10）：29-31.

[4] Nam， Seung Yeob.Enhanced ARP： Preventing ARP Poisoning-Based[J].IEEE Commucation Letters，2011，14：187-189.

第3篇

廣播電視網(wǎng)絡(luò)面臨的網(wǎng)絡(luò)安全形勢日益嚴(yán)峻，業(yè)務(wù)相關(guān)技術(shù)網(wǎng)絡(luò)由相對簡單、封閉逐漸向復(fù)雜、無邊界化發(fā)展，導(dǎo)致面臨的安全風(fēng)險和威脅越發(fā)突出。行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施的安全防護(hù)能力與其重要地位相比，仍然較為薄弱，難以有效應(yīng)對高強(qiáng)度的網(wǎng)絡(luò)攻擊。云計算、大數(shù)據(jù)、移動互聯(lián)網(wǎng)的發(fā)展應(yīng)用，伴隨著新的安全風(fēng)險，尚缺乏有效的應(yīng)對手段。OTT業(yè)務(wù)屬于廣電網(wǎng)絡(luò)的增值業(yè)務(wù)，為了保證各類OTT業(yè)務(wù)安全穩(wěn)定的運行，在進(jìn)行網(wǎng)絡(luò)與安全規(guī)劃的時候，既要提高網(wǎng)絡(luò)的可靠性，又要保證OTT業(yè)務(wù)的安全性。

本文探討了通過采用VRRP+HRP等技術(shù)，再通過路由規(guī)劃，可以實現(xiàn)業(yè)務(wù)上的圖1 整體網(wǎng)絡(luò)拓?fù)鋱D“主-主”模式，在滿足OTT業(yè)務(wù)可靠性的同時，滿足業(yè)務(wù)的安全性要求。同時，還要考慮廣電網(wǎng)絡(luò)的IPv6 升級改造，即符合廣電網(wǎng)絡(luò)IPv6 規(guī)模部署和推進(jìn)的整體規(guī)劃，還要充分結(jié)合業(yè)務(wù)發(fā)展和用戶終端的升級情況等因素，進(jìn)行綜合決策。整體拓?fù)鋱D設(shè)計如圖1 所示。可靠性設(shè)計規(guī)劃可靠性是反映網(wǎng)絡(luò)設(shè)備本身的穩(wěn)定性以及網(wǎng)絡(luò)保持業(yè)務(wù)不中斷的能力，主要包括設(shè)備級可靠性、網(wǎng)絡(luò)級可靠性和業(yè)務(wù)級可靠性三個層次。其中，業(yè)務(wù)級可靠性更多的是從業(yè)務(wù)管理的層面來要求的，要求業(yè)務(wù)不中斷。整體網(wǎng)絡(luò)可靠性在99.999%以上。在進(jìn)行OTT網(wǎng)絡(luò)設(shè)計規(guī)劃時通常采用星型結(jié)構(gòu)的網(wǎng)絡(luò)設(shè)計，一般考慮如下原則：將網(wǎng)絡(luò)劃分為核心層、匯聚層、接入層；每層功能清晰，架構(gòu)穩(wěn)定，易于擴(kuò)展和維護(hù)；將網(wǎng)絡(luò)中不同的OTT業(yè)務(wù)劃分為不同的模塊，模塊內(nèi)部的調(diào)整涉及范圍小，易于進(jìn)行問題定位；關(guān)鍵設(shè)備采用雙節(jié)點冗余設(shè)計、關(guān)鍵鏈路采用Trunk方式冗余備份或者負(fù)載分擔(dān)、關(guān)鍵設(shè)備的電源、主控板等關(guān)鍵部件冗余備份。安全性設(shè)計規(guī)劃OTT網(wǎng)絡(luò)應(yīng)具備有效的安全控制，按業(yè)務(wù)和權(quán)限進(jìn)行分區(qū)邏輯隔離，對特別重要的業(yè)務(wù)采取物理隔離。因此，OTT平臺在搭建過程中，需要兩臺數(shù)據(jù)中心級的安全網(wǎng)關(guān)，所有部件均采用全冗余技術(shù)，比如主控板、業(yè)務(wù)板及電源等，同時要支持“主-備”和“主-主”組網(wǎng)模式、端口聚合、VPN冗余、業(yè)務(wù)板負(fù)載均衡、雙主控主備倒換技術(shù)的能力，從而能夠提供高級別的安全防護(hù)能力和業(yè)務(wù)擴(kuò)展能力。

作為安全網(wǎng)關(guān)，優(yōu)異的地址轉(zhuǎn)換性能和VPN性能也是對OTT業(yè)務(wù)的強(qiáng)大支撐。比如基于IP的轉(zhuǎn)換、基于端口的轉(zhuǎn)換、語音多媒體等業(yè)務(wù)流量的多通道協(xié)議NAT轉(zhuǎn)換、無數(shù)目限制的PAT方式轉(zhuǎn)換、域內(nèi)NAT以及雙向NAT等，以滿足各種NAT應(yīng)用場景。隨著OTT業(yè)務(wù)更多在公共網(wǎng)絡(luò)上的傳輸，擁有最佳的VPN性能能滿足大量業(yè)務(wù)的加密傳輸要求。比如支持4over6 、6over4 的VPN技術(shù)，以保證網(wǎng)絡(luò)從IPv4-IPv6 演進(jìn)過程中VPN傳輸需求。安全網(wǎng)關(guān)如何抵抗外部威脅，提高網(wǎng)絡(luò)安全，還體現(xiàn)在入侵防御功能上，可以對系統(tǒng)漏洞、未授權(quán)自動下載、欺騙類應(yīng)用軟件、廣告類軟件、異常協(xié)議、P2P異常等多種威脅進(jìn)行防護(hù)。安全網(wǎng)關(guān)還要求能實時捕獲最新的攻擊、蠕蟲及木馬等威脅，為網(wǎng)絡(luò)提供強(qiáng)大的防御能力。為滿足網(wǎng)絡(luò)向IPv6 的平滑演進(jìn)，保證業(yè)務(wù)的穩(wěn)定運行，安全網(wǎng)關(guān)需要支持隨著IPv4 地址的枯竭，網(wǎng)絡(luò)能向IPv6 平滑演進(jìn)，并確保業(yè)務(wù)穩(wěn)定運行。安全網(wǎng)關(guān)還要具有NAT44 、NAT64 等多種過渡功能，為未來的網(wǎng)絡(luò)演進(jìn)及業(yè)務(wù)過渡提供高效、靈活和放心的解決辦法。IPv6 設(shè)計規(guī)劃根據(jù)《廣播電視媒體網(wǎng)站IPv6 改造實施指南(2018)》下達(dá)的廣播電視媒體網(wǎng)站IPv6 改造實施的總體目標(biāo)，確定過渡技術(shù)的選擇和各網(wǎng)絡(luò)設(shè)備對過渡技術(shù)的支持情況，規(guī)劃原則：在不影響現(xiàn)網(wǎng)業(yè)務(wù)的基礎(chǔ)上完成用戶發(fā)展指標(biāo)，降低網(wǎng)絡(luò)風(fēng)險；IPv6 改造順序應(yīng)按照“承載環(huán)境先行，業(yè)務(wù)接入隨后，網(wǎng)管安全支撐按需”的原則進(jìn)行；IP承載網(wǎng)是提供IPv6 端到端連接的根本，需要先行改造支持IPv6 ；業(yè)務(wù)網(wǎng)、各類接入網(wǎng)是發(fā)展IPv6 用戶的關(guān)鍵，應(yīng)在承載具備條件的基礎(chǔ)上逐步改造，支持IPv4/IPv6 雙棧方式；網(wǎng)管系統(tǒng)、支撐平臺等應(yīng)根據(jù)網(wǎng)絡(luò)、業(yè)務(wù)的升級步驟按需改造，相關(guān)接口仍采用IPv4 協(xié)議，接口內(nèi)部相關(guān)字段支持IPv6 地址；從IPv4-only向IPv6-only演進(jìn)還需要遵循兩個原則：首要原則是“不影響現(xiàn)網(wǎng)業(yè)務(wù)(IPv4/1Pv6)的正常運行”。IPv4 設(shè)備上部署IPv6 協(xié)議或者雙棧設(shè)備關(guān)閉IPv4 協(xié)議和服務(wù)時，用戶應(yīng)該感知不到基礎(chǔ)網(wǎng)絡(luò)升級到IPv4/IPv6 雙棧或者從雙棧到IPv6-only的變化。次要原則是“兼容現(xiàn)有終端設(shè)備，不能強(qiáng)制用戶升級或者更換自己的終端設(shè)備，如PC、平板電腦和機(jī)頂盒等”。

對于OTT業(yè)務(wù)網(wǎng)絡(luò)，可以建設(shè)為IPv4 和IPv6 雙棧網(wǎng)絡(luò)，或者建設(shè)IPv6-only網(wǎng)絡(luò)。如果直接規(guī)劃或建設(shè)成IPv6-only網(wǎng)絡(luò)，那么針對目前IPv4 流量占比相對較高的情形，就需要考慮IPv4 網(wǎng)絡(luò)和IPv6 網(wǎng)絡(luò)互通場景，考慮IPv4 客戶訪問IPv6 服務(wù)場景，IPV6 的客戶訪問IPv4 服務(wù)場景，通過IPv4 網(wǎng)絡(luò)連接兩個IPv6-only網(wǎng)絡(luò)場景等。對于現(xiàn)有的OTT業(yè)務(wù)網(wǎng)絡(luò)，不可能對所有不支持IPv6 的設(shè)備進(jìn)行更換，所以對支持IPv6 的設(shè)備直接開啟IPv6 功能，同時運行IPv4 和IPv6 協(xié)議棧，實現(xiàn)雙棧。OTT業(yè)務(wù)系統(tǒng)在廣電城域網(wǎng)中實際部署的過程中，為了保證業(yè)務(wù)系統(tǒng)的穩(wěn)定性、安全性以及未來IPv6 升級改造中的擴(kuò)展性，可以通過在OTT業(yè)務(wù)的互聯(lián)網(wǎng)出口處部署兩臺高性能的安全網(wǎng)關(guān)。這兩臺安全網(wǎng)關(guān)可以通過“主-主”或者“主-備”的模式運行，將不同的OTT業(yè)務(wù)通過劃分不同的DMZ區(qū)進(jìn)行隔離，然后根據(jù)不同OTT業(yè)務(wù)實際的運行流量，在安全網(wǎng)關(guān)上進(jìn)行系統(tǒng)資源的重新分配，其中包括CPU、內(nèi)存等。在DMZ區(qū)之間、Intranet區(qū)、Extranet區(qū)等不同的安全區(qū)之間，通過安全網(wǎng)關(guān)的安全策略進(jìn)行訪問控制，精確到協(xié)議和端口號，嚴(yán)格控制合法流量的流入和流出。通過安全網(wǎng)關(guān)的NAT功能，實現(xiàn)私網(wǎng)地址向公網(wǎng)地址，公網(wǎng)地址向私網(wǎng)地址的互相訪問。同時，要求安全網(wǎng)關(guān)已經(jīng)實際配置IPv6 功能，給未來的NAT46 、NAT64 等業(yè)務(wù)留下充足的擴(kuò)展空間。