一体化安全技术

WLAN正逐渐发展成为办公网、企业网等网络必备的接入手段。WLAN应用当前存在的一个突出问题是：多数情况下，无线网作为独立的网络与现有网络（主要指有线网）分开管理。这就导致无线网需要单独的管理系统和安全策略，使其管理成本居高不下。此外，现有的无线安全技术基本上都是针对物理层和链路层安全问题而设计的，而对于网络层到应用层的攻击往往力不从心，例如无线入侵检测系统可以有效的检测和防御基于802.11管理协议的攻击，但对于病毒攻击却无能为力。

随着无线网络的大规模部署，如何将无线安全技术和现有成熟的有线安全技术有机地结合起来形成一套一体化的安全系统已经成为网络建设者关注的焦点。从网络发展来看，有线和无线网络融合是未来网络发展的趋势，无线网络安全也会从原有的单纯强调无线网络内的安全逐渐演化为关注有线无线一体化安全。

有线无线一体化安全方案主要包含以下几个特点：

•  有线、无线网络共用一套安全架构；
• 有线、无线网络共用一套端点准入方案；
• 有线、无线用户接入控制统一管理。

以下分别进行分析：

1.    一体化安全架构

当前业界已经有越来越多的厂商在现有的有线交换设备上集成无线交换功能、防火墙功能、入侵检测功能、VPN功能。通过在机架式设备上安插不同的安全业务插卡，用户可以将安全业务和交换设备无缝融合，可以检测从有线和WLAN接入层到应用层的多层协议，实现高度集成化的有线无线一体化安全解决方案。

这些安全业务插卡往往采用电信级硬件平台，通过多内核系统实现核心企业用户对安全设备线性处理能力的需求，实现用户网络安全的深度防护。

基于一体化的安全架构，在应用层、IP层可以支持：

• 增强型状态安全过滤：支持ASPF应用层报文过滤（Application Specific Packet Filter）协议，支持对每一个连接状态信息的维护监测并动态地过滤数据包，支持对FTP、HTTP、SMTP、RTSP、H.323（包括Q.931、H.245、RTP/RTCP等）应用层协议的状态监控，支持TCP/UDP应用的状态监控。
• 抗攻击防范能力：包括多种DoS/DDoS攻击防范（CC、SYN flood、DNS Query Flood等）、ARP欺骗攻击的防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能等；支持智能防范蠕虫病毒技术。
• 应用层内容过滤：可以有效识别和控制网络中的各种P2P模式的应用，并且对这些应用采取限流的控制措施，有效保护网络带宽；能够识别和控制IM协议，如QQ、MSN等；支持邮件过滤，提供SMTP邮件地址、标题、附件和内容过滤；支持网页过滤，提供HTTP URL和内容过滤；支持应用层过滤，提供Java/ActiveX Blocking和SQL注入攻击防范。
• 集中管理与审计：提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能。

一旦在IP层、应用层检测到安全威胁（如病毒）并且这些攻击来源于无线用户，系统将自动通知入侵检测系统（模块）将这些用户加入到黑名单列表中，实现了有线和WLAN接入层到应用层的统一控制。

2.  一体化端点准入

在实际网络应用中，新的安全威胁不断涌现，病毒和蠕虫日益肆虐，其自我繁殖的本性使其对网络的破坏程度和范围持续扩大，经常引起系统崩溃、网络瘫痪，使用户蒙受严重损失。任何一台终端的安全状态（主要是指终端的防病毒能力、补丁级别和系统安全设置），都将直接影响到整个网络的安全。

业界提出了端点准入解决方案来解决上述问题，它可以检查接入用户是否满足安全策略的要求，包括病毒软件是否安装、病毒库是否升级、是否安装了必要的系统补丁等。但是通常端点准入方案普遍只支持有线用户，造成无线用户继续作为管理的盲区，仍然不受约束的访问网络。为了实现全面的安全，必须能够实现无线和有线终端用户准入的统一控制。

以H3C有线无线一体化端点准入解决方案（EAD）为例，它从控制用户终端安全接入网络的角度入手，整合网络接入控制与终端安全产品，通过安全客户端、安全策略服务器、网络设备以及第三方软件的联动，对接入有线、无线网络的用户终端强制实施企业安全策略，严格控制终端用户的网络使用行为，有效地加强了用户终端的主动防御能力，为网络管理人员提供了有效、易用的管理工具和手段。

http://www.h3c.com.cn/res/200908/12/20090812_814896_image002_644435_30008_0.jpg

图2  一体化端点准入解决方案(EAD)的组网应用

    如图2所示，EAD可以配合无线AP和无线控制器，通过802.1x认证方式实现对无线接入用户的端点准入控制。这种组网方案可以防止采用无线接入的员工访问企业内网时带来的安全隐患，同时也有效的解决了用户有线、无线接入方式的统一安全控制。

    拥有合法身份的用户除了被验证用户名、密码等信息外，还被检查是否满足安全策略的要求，包括病毒软件是否安装、病毒库是否升级、是否安装了必要的系统补丁等等。对于同时满足了身份检查和安全检查的用户，EAD会根据预定义的策略为其分配对应的网络访问权限，避免了非授权的网络访问现象。

3.有线无线接入控制统一管理

    早期的无线网络往往独立于有线网络建设和管理，网络维护者往往要维护两套独立的认证系统，维护工作量大。用户需要记住两套账号密码使用，便利性差。有线无线统一认证系统可以既让无线和有线用户的认证共用802.1x、计费等多种公共服务，又可以实现对无线业务特有服务策略的控制，如基于无线SSID的控制用户接入，实现对有线、无线用户的统一管理，大大简化维护成本。

总结

    有线无线安全一体化代表了WLAN安全的最新发展方向，可以实现有线接入层到应用层、WLAN接入层到应用层、无线和有线终端准入、及无线和有线用户统一认证的统一管理和控制。

参考文献

[1] [IEEE.802-11.2007] "Information technology - Telecommunications and information exchange between systems - Local and metropolitan area networks – Specific requirements - Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) specifications", IEEE Standard 802.11, 2007,

[2] WAPI实施指南 作者：宽带无线IP标准工作组

缩略语

ICV                  Integrity Check Value

PMK                  Pairwise Master Key

PTK                  Pairwise Transient Key

GTK                  Groupwise Transient Key