局域網(wǎng)安全措施方案有哪些?無線局域網(wǎng)是用無線通信技術將終端設備互聯(lián)起來，構成可以互相通信和實現(xiàn)資源共享的局域網(wǎng)絡體系。一起來看看局域網(wǎng)安全措施方案是什么，歡迎查閱!

無線局域網(wǎng)面臨的安全問題

無線局域網(wǎng)已廣泛應用于各行各業(yè)中，受到人們的青睞，并成為無線通信與互聯(lián)網(wǎng)技術相結合的最熱門技術。無線局域網(wǎng)的最大優(yōu)點就是實現(xiàn)了網(wǎng)絡互連的可移動性，它能大幅度提高用戶訪問信息的及時性和有效性，還可以克服有線限制引起的不便性。但因無線局域網(wǎng)應用具有很大的開放性，數(shù)據(jù)傳播的范圍較難控制，無線局域網(wǎng)面臨非常嚴峻的安全問題。無線局域網(wǎng)面臨的基本安全問題如下。

1、非法接入風險

主要是指通過未授權的設備接入無線網(wǎng)絡，例如，企業(yè)內(nèi)部一些員工，購買便宜小巧的無線路由器，通過有線以太網(wǎng)口接入網(wǎng)絡，如果這些設備配置有問題，處于沒加密或弱加密的條件下，那么整個網(wǎng)絡的安全性就大打折扣，造成接入危險?；蛘呤瞧髽I(yè)外部的非法用戶與企業(yè)內(nèi)部的合法無線路由器建立了連接，這也會使網(wǎng)絡安全失控。

2、客戶端連接不當

一些部署在工作區(qū)域周圍的無線路由器可能沒有做安全控制，企業(yè)內(nèi)一些合法用戶的無線網(wǎng)卡可能與這些外部無線路由器連接，一旦這個用戶連接到外部無線路由器，企業(yè)的網(wǎng)絡就處于風險之中。

3、竊聽

一些黑客借助Wi-Fi分析器，會捕捉到所有的無線通信數(shù)據(jù)，如果信息沒有保護，則可以閱讀信號中傳輸?shù)膬?nèi)容。如果黑客手段更高明一點，就可以偽裝成合法用戶，修改空中傳輸?shù)木W(wǎng)絡數(shù)據(jù)等。

4、拒絕服務攻擊

這種攻擊方式，不以獲取信息為目的，黑客只是想讓用戶無法訪問網(wǎng)絡服務而不斷地發(fā)送信息，使合法用戶的信息一直處于等待狀態(tài)，無法正常工作。

上面所述的安全問題的解決，其核心在于安全機制和安全協(xié)議如何制定。當前主流的無線局域網(wǎng)技術Wi-Fi從技術發(fā)明和協(xié)議設計初期到現(xiàn)在，都不能有效解決這些問題。導致根據(jù)協(xié)議開發(fā)出來的所有產(chǎn)品，雖然來自不同的廠家，但均面臨著隨時被解的危險。

企業(yè)局域網(wǎng)安全解決方案

本方案為某大型局域網(wǎng)網(wǎng)絡安全解決方案，包括原有網(wǎng)絡系統(tǒng)分析、安全需求分析、安全目標的確立、安全體系結構的設計、等。本安全解決方案的目標是在不影響某大型企業(yè)局域網(wǎng)當前業(yè)務的前提下，實現(xiàn)對他們局域網(wǎng)全面的安全管理。

將安全策略、硬件及軟件等方法結合起來，構成一個統(tǒng)一的防御系統(tǒng)，有效阻止非法用戶進入網(wǎng)絡，減少網(wǎng)絡的安全風險。

2.定期進行漏洞掃描，審計跟蹤，及時發(fā)現(xiàn)問題，解決問題。

3.通過入侵檢測等方式實現(xiàn)實時安全監(jiān)控，提供快速響應故障的手段，同時具備很好的安全取證措施。

4.使網(wǎng)絡管理者能夠很快重新組織被破壞了的文件或應用。使系統(tǒng)重新恢復到破壞前的狀態(tài)，最大限度地減少損失。

5.在工作站、服務器上安裝相應的防病毒軟件，由中央控制臺統(tǒng)一控制和管理，實現(xiàn)全網(wǎng)統(tǒng)一防病毒。

第二章 網(wǎng)絡系統(tǒng)概況

2.1 網(wǎng)絡概況

這個企業(yè)的局域網(wǎng)是一個信息點較為密集的千兆局域網(wǎng)絡系統(tǒng)，它所聯(lián)接的現(xiàn)有上千個信息點為在整個企業(yè)內(nèi)辦公的各部門提供了一個快速、方便的信息交流平臺。不僅如此，通過專線與Internet的連接，打通了一扇通向外部世界的窗戶，各個部門可以直接與互聯(lián)網(wǎng)用戶進行交流、查詢資料等。通過公開服務器，企業(yè)可以直接對外發(fā)布信息或者發(fā)送電子郵件。高速交換技術的采用、靈活的網(wǎng)絡互連方案設計為用戶提供快速、方便、靈活通信平臺的同時，也為網(wǎng)絡的安全帶來了更大的風險。因此，在原有網(wǎng)絡上實施一套完整、可_作的安全解決方案不僅是可行的，而且是必需的。

2.1.1 網(wǎng)絡概述

這個企業(yè)的局域網(wǎng)，物理跨度不大，通過千兆交換機在主干網(wǎng)絡上提供1000M的獨享帶寬，通過下級交換機與各部門的工作站和服務器連結，并為之提供100M的獨享帶寬。利用與中心交換機連結的Cisco 路由器，所有用戶可直接訪問Internet。

2.1.2 網(wǎng)絡結構

這個企業(yè)的局域網(wǎng)按訪問區(qū)域可以劃分為三個主要的區(qū)域：Internet區(qū)域、內(nèi)部網(wǎng)絡、公開服務器區(qū)域。內(nèi)部網(wǎng)絡又可按照所屬的部門、職能、安全重要程度分為許多子網(wǎng)，包括：財務子網(wǎng)、領導子網(wǎng)、辦公子網(wǎng)、市場部子網(wǎng)、中心服務器子網(wǎng)等。在安全方案設計中，我們基于安全的重要程度和要保護的對象，可以在Catalyst 型交換機上直接劃分四個虛擬局域網(wǎng)(VLAN)，即：中心服務器子網(wǎng)、財務子網(wǎng)、領導子網(wǎng)、其他子網(wǎng)。不同的局域網(wǎng)分屬不同的廣播域，由于財務子網(wǎng)、領導子網(wǎng)、中心服務器子網(wǎng)屬于重要網(wǎng)段，因此在中心交換機上將這些網(wǎng)段各自劃分為一個獨立的廣播域，而將其他的工作站劃分在一個相同的網(wǎng)段。(圖省略)

2.2 網(wǎng)絡應用

這個企業(yè)的局域網(wǎng)可以為用戶提供

1.文件共享、辦公自動化、WWW服務、電子郵件服務;

2.文件數(shù)據(jù)的統(tǒng)一存儲;

3.針對特定的應用在數(shù)據(jù)庫服務器上進行二次開發(fā)(比如財務系統(tǒng));

4.提供與Internet的訪問;

5.通過公開服務器對外發(fā)布企業(yè)信息、發(fā)送電子郵件等;

2.3 網(wǎng)絡結構的特點

在分析這個企業(yè)局域網(wǎng)的安全風險時，應考慮到網(wǎng)絡的如下幾個特點：

1.網(wǎng)絡與Internet直接連結，因此在進行安全方案設計時要考慮與Internet連結的有關風險，包括可能通過Internet傳播進來病毒，黑客攻擊，來自Internet的非授權訪問等。

2.網(wǎng)絡中存在公開服務器，由于公開服務器對外必須開放部分業(yè)務，因此在進行安全方案設計時應該考慮采用安全服務器網(wǎng)絡，避免公開服務器的安全風險擴散到內(nèi)部。

3.內(nèi)部網(wǎng)絡中存在許多不同的子網(wǎng)，不同的子網(wǎng)有不同的安全性，因此在進行安全方案設計時，應考慮將不同功能和安全級別的網(wǎng)絡分割開，這可以通過交換機劃分VLAN來實現(xiàn)。

4.網(wǎng)絡中有二臺應用服務器，在應用程序開發(fā)時就應考慮加強用戶登錄驗證，防止非授權的訪問。

無線局域網(wǎng)安全概述

安全是無線局域網(wǎng)面臨的最大問題，這是由無線信號在空中幾乎無邊界的傳播特性造成的，不論信號中的數(shù)據(jù)要發(fā)送的目的地是哪里，任何無線終端在無線信號覆蓋的范圍內(nèi)都可以接收到。為了保證安全通信，無線局域網(wǎng)中應采取必要的安全技術，包括鑒別、加密、數(shù)據(jù)完整性保護等。

1、鑒別

鑒別提供了用戶身份合法性的保證，這意味著當用戶聲稱具有一個特定的身份時，鑒別技術將提供某種方法來證實這一聲明是正確的。用戶在登錄無線局域網(wǎng)的時候，需要輸入特定的密碼或身份信息等來進行身份合法性的驗證。

盡管不同的鑒別方式?jīng)Q定用戶身份驗證的具體流程不同，但基本功能是一致的。目前，無線局域網(wǎng)中采用的鑒別方式主要有基于瀏覽器頁面的身份鑒別、基于密碼的身份鑒別、基于數(shù)字證書的身份鑒別。

(1)基于瀏覽器頁面的身份鑒別

基于瀏覽器頁面的身份鑒別一個非常重要的特點是客戶端只需要在瀏覽器上輸入正確的接入信息憑證即可。這類身份鑒別的技術在公共場所(如機場、酒店、商場等地方)經(jīng)常用到，用戶輸入手機號碼，通過手機獲得相關的登錄驗證碼，然后將登錄驗證碼輸入到瀏覽器中即可使用網(wǎng)絡服務。

這種身份鑒別技術屬于安全性最低的一種方案，它只是在無線局域網(wǎng)的上層應用簡單進行身份信息的對比，實現(xiàn)對用戶使用某種服務的控制?；跒g覽器頁面的身份鑒別技術并沒有融入密碼學相關技術來實現(xiàn)身份信息的保密性和不可篡改性。在無線局域網(wǎng)底層沒有調(diào)用任何安全技術的保護，所有通信信息明文傳輸，存在較大的安全風險。這種方案類似于所有訪客，先進入大門，然后再用筆寫下自己的聯(lián)系方式。

(2)基于密碼的身份鑒別

基于密碼的身份鑒別是指用戶利用手機或者筆記本電腦原始控制接入無線局域網(wǎng)的界面，輸入所選擇的無線網(wǎng)絡的接入密碼實現(xiàn)網(wǎng)絡登錄。這類身份鑒別的技術在家庭、辦公室等場景經(jīng)常用到。

這種身份鑒別技術屬于安全性中等的一種方案，它通過綁定密碼學的技術實現(xiàn)用戶接入身份的鑒別，同時完成對通信數(shù)據(jù)的加密處理。這種技術的缺點在于密碼容易傳播，且所有人使用相同的密碼，容易造成無法追溯或者“好人辦壞事”的情況。這種方案類似于所有訪客，使用同一張卡進入同一個大門。

(3)基于數(shù)字證書的身份鑒別

基于數(shù)字證書的身份鑒別是指用戶登錄到無線局域網(wǎng)之前，需要由特定的機構對用戶的身份進行嚴格的審核，并為用戶頒發(fā)數(shù)字證書，通過公鑰加密技術對用戶的公鑰信息和用戶的身份信息做數(shù)字簽名，把用戶的身份信息與公鑰綁定在一起。用戶使用證書進行身份鑒別時，可基于對權威鑒別機構的信賴而信賴證書所對應的實體身份，實現(xiàn)對身份的鑒別。

這種技術屬于安全性最高的一種方案，它通過密碼學的技術不但綁定用戶接入身份的鑒別流程，而且還綁定用戶身份本身，同時也完成對通信數(shù)據(jù)的加密處理。使用這樣的方法，每個用戶都有屬于自己個人的接入憑證，無法抵賴。這種方案類似于所有訪客，使用唯一標識自己身份的一張卡進入同一個大門。

2、加密

加密就是保護信息不泄露或不暴露給那些未授權掌握這一信息的實體。通常需要選擇特定的密碼算法來實現(xiàn)。常見的密碼算法如下。

(1)數(shù)據(jù)加密標準DES(Data Encryption Standard)：DES的出現(xiàn)引起了學術界和企業(yè)界的廣泛重視，許多廠家很快生產(chǎn)出實現(xiàn)DES算法的產(chǎn)品，但其最大的缺點在于DES的密鑰太短，不能抵抗無窮搜索密鑰攻擊。

(2)高級加密標準AES(Advanced Encryption Standard)：為了克服DES的缺點，美國國家標準和技術研究所(NIST)開始尋求高強度、高效率的替代算法，并于1997年推出AES標準。

(3)SM4：SM4是在國內(nèi)正式使用并于2006年公布的第一個用于無線局域網(wǎng)的商用分組密碼算法。WAPI的無線局域網(wǎng)保密基礎結構(WPI, WLAN Privacy Infrastructure)采用對稱密碼算法SM4實現(xiàn)對MAC層MSDU的加、解密操作。

3、數(shù)據(jù)完整性保護

數(shù)據(jù)完整性保護，是使接收方能夠確切地判斷所接收到的消息在傳輸過程中是否遭到插入、篡改、重排序等形式的破壞。完善的數(shù)據(jù)完整性業(yè)務不僅能發(fā)現(xiàn)完整性是否遭到破壞，還能采取某種措施從完整性中恢復出來。