無線網(wǎng)絡(luò)+綠色環(huán)保，還有比這個更熱的熱點嗎？那么安全跟節(jié)約也是其中的要點。那么本文從有線無線一體化出發(fā)，為您詳細介紹一體化安全跟節(jié)約的內(nèi)容。希望對您有所幫助。

一體化安全技術(shù)

無線局域網(wǎng)WLAN正逐漸發(fā)展成為辦公網(wǎng)、企業(yè)網(wǎng)等網(wǎng)絡(luò)必備的接入手段。無線局域網(wǎng)WLAN應(yīng)用當前存在的一個突出問題是：多數(shù)情況下，無線網(wǎng)作為獨立的網(wǎng)絡(luò)與現(xiàn)有網(wǎng)絡(luò)(主要指有線網(wǎng))分開管理。這就導致無線網(wǎng)需要單獨的管理系統(tǒng)和安全策略，使其管理成本居高不下。此外，現(xiàn)有的無線安全技術(shù)基本上都是針對物理層和鏈路層安全問題而設(shè)計的，而對于網(wǎng)絡(luò)層到應(yīng)用層的攻擊往往力不從心，例如無線入侵檢測系統(tǒng)可以有效的檢測和防御基于802.11管理協(xié)議的攻擊，但對于病毒攻擊卻無能為力。

隨著無線網(wǎng)絡(luò)的大規(guī)模部署，如何將無線安全技術(shù)和現(xiàn)有成熟的有線安全技術(shù)有機地結(jié)合起來形成一套一體化的安全系統(tǒng)已經(jīng)成為網(wǎng)絡(luò)建設(shè)者關(guān)注的焦點。從網(wǎng)絡(luò)發(fā)展來看，有線和無線網(wǎng)絡(luò)融合是未來網(wǎng)絡(luò)發(fā)展的趨勢，無線網(wǎng)絡(luò)安全也會從原有的單純強調(diào)無線網(wǎng)絡(luò)內(nèi)的安全逐漸演化為關(guān)注有線無線一體化安全。

有線無線一體化安全方案主要包含以下幾個特點：
◆有線、無線網(wǎng)絡(luò)共用一套安全架構(gòu);
◆有線、無線網(wǎng)絡(luò)共用一套端點準入方案;
◆有線、無線用戶接入控制統(tǒng)一管理。

以下分別進行分析：

1.一體化安全架構(gòu)

當前業(yè)界已經(jīng)有越來越多的廠商在現(xiàn)有的有線交換設(shè)備上集成無線交換功能、防火墻功能、入侵檢測功能、VPN功能。通過在機架式設(shè)備上安插不同的安全業(yè)務(wù)插卡，用戶可以將安全業(yè)務(wù)和交換設(shè)備無縫融合，可以檢測從有線和WLAN接入層到應(yīng)用層的多層協(xié)議，實現(xiàn)高度集成化的有線無線一體化安全解決方案。

這些安全業(yè)務(wù)插卡往往采用電信級硬件平臺，通過多內(nèi)核系統(tǒng)實現(xiàn)核心企業(yè)用戶對安全設(shè)備線性處理能力的需求，實現(xiàn)用戶網(wǎng)絡(luò)安全的深度防護。

基于一體化的安全架構(gòu)，在應(yīng)用層、IP層可以支持：

◆增強型狀態(tài)安全過濾：支持ASPF應(yīng)用層報文過濾(Application Specific Packet Filter)協(xié)議，支持對每一個連接狀態(tài)信息的維護監(jiān)測并動態(tài)地過濾數(shù)據(jù)包，支持對FTP、HTTP、SMTP、RTSP、H.323(包括 Q.931、H.245、RTP/RTCP等)應(yīng)用層協(xié)議的狀態(tài)監(jiān)控，支持TCP/UDP應(yīng)用的狀態(tài)監(jiān)控。
◆抗攻擊防范能力：包括多種DoS/DDoS攻擊防范(CC、SYN flood、DNS Query Flood等)、ARP欺騙攻擊的防范、ARP主動反向查詢、TCP報文標志位不合法攻擊防范、超大ICMP報文攻擊防范、地址/端口掃描的防范、 ICMP重定向或不可達報文控制功能等;支持智能防范蠕蟲病毒技術(shù)。
◆應(yīng)用層內(nèi)容過濾：可以有效識別和控制網(wǎng)絡(luò)中的各種P2P模式的應(yīng)用，并且對這些應(yīng)用采取限流的控制措施，有效保護網(wǎng)絡(luò)帶寬;能夠識別和控制IM協(xié)議，如QQ、MSN等;支持郵件過濾，提供SMTP郵件地址、標題、附件和內(nèi)容過濾;支持網(wǎng)頁過濾，提供HTTP URL和內(nèi)容過濾;支持應(yīng)用層過濾，提供Java/ActiveX Blocking和SQL注入攻擊防范。
◆集中管理與審計：提供各種日志功能、流量統(tǒng)計和分析功能、各種事件監(jiān)控和統(tǒng)計功能、郵件告警功能。

一旦在IP層、應(yīng)用層檢測到安全威脅(如病毒)并且這些攻擊來源于無線用戶，系統(tǒng)將自動通知入侵檢測系統(tǒng)(模塊)將這些用戶加入到黑名單列表中，實現(xiàn)了有線和WLAN接入層到應(yīng)用層的統(tǒng)一控制。#p#

2.有線無線一體化端點準入

在實際網(wǎng)絡(luò)應(yīng)用中，新的安全威脅不斷涌現(xiàn)，病毒和蠕蟲日益肆虐，其自我繁殖的本性使其對網(wǎng)絡(luò)的破壞程度和范圍持續(xù)擴大，經(jīng)常引起系統(tǒng)崩潰、網(wǎng)絡(luò)癱瘓，使用戶蒙受嚴重損失。任何一臺終端的安全狀態(tài)(主要是指終端的防病毒能力、補丁級別和系統(tǒng)安全設(shè)置)，都將直接影響到整個網(wǎng)絡(luò)的安全。

業(yè)界提出了端點準入解決方案來解決上述問題，它可以檢查接入用戶是否滿足安全策略的要求，包括病毒軟件是否安裝、病毒庫是否升級、是否安裝了必要的系統(tǒng)補丁等。但是通常端點準入方案普遍只支持有線用戶，造成無線用戶繼續(xù)作為管理的盲區(qū)，仍然不受約束的訪問網(wǎng)絡(luò)。為了實現(xiàn)全面的安全，必須能夠?qū)崿F(xiàn)無線和有線終端用戶準入的統(tǒng)一控制。

以H3C有線無線一體化端點準入解決方案(EAD)為例，它從控制用戶終端安全接入網(wǎng)絡(luò)的角度入手，整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品，通過安全客戶端、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備以及第三方軟件的聯(lián)動，對接入有線、無線網(wǎng)絡(luò)的用戶終端強制實施企業(yè)安全策略，嚴格控制終端用戶的網(wǎng)絡(luò)使用行為，有效地加強了用戶終端的主動防御能力，為網(wǎng)絡(luò)管理人員提供了有效、易用的管理工具和手段。

EAD可以配合無線AP和無線控制器，通過802.1x認證方式實現(xiàn)對無線接入用戶的端點準入控制。這種組網(wǎng)方案可以防止采用無線接入的員工訪問企業(yè)內(nèi)網(wǎng)時帶來的安全隱患，同時也有效的解決了用戶有線、無線接入方式的統(tǒng)一安全控制。

擁有合法身份的用戶除了被驗證用戶名、密碼等信息外，還被檢查是否滿足安全策略的要求，包括病毒軟件是否安裝、病毒庫是否升級、是否安裝了必要的系統(tǒng)補丁等等。對于同時滿足了身份檢查和安全檢查的用戶，EAD會根據(jù)預(yù)定義的策略為其分配對應(yīng)的網(wǎng)絡(luò)訪問權(quán)限，避免了非授權(quán)的網(wǎng)絡(luò)訪問現(xiàn)象。

3.有線無線一體化接入控制統(tǒng)一管理

早期的無線網(wǎng)絡(luò)往往獨立于有線網(wǎng)絡(luò)建設(shè)和管理，網(wǎng)絡(luò)維護者往往要維護兩套獨立的認證系統(tǒng)，維護工作量大。用戶需要記住兩套賬號密碼使用，便利性差。有線無線統(tǒng)一認證系統(tǒng)可以既讓無線和有線用戶的認證共用802.1x、計費等多種公共服務(wù)，又可以實現(xiàn)對無線業(yè)務(wù)特有服務(wù)策略的控制，如基于無線SSID的控制用戶接入，實現(xiàn)對有線、無線用戶的統(tǒng)一管理，大大簡化維護成本。