WLAN一体化安全

3. 中国WAPI安全标准

针对WLAN安全问题，中国制定了自己的WLAN安全标准：WAPI。与其它WLAN安全体制相比，WAPI认证的优越性集中体现在以下几个方面：

• 支持双向鉴别

在WAPI安全体制下，STA和AP处于对等的地位，二者均具有验证使用的独立身份，在公信的第三方AS控制下相互进行鉴别：AP可以验证STA的合法性；而STA同样也可以验证AP的合法性。

这种双向鉴别机制既可防止假冒的STA接入WLAN网络，同时也可杜绝假冒的AP提供非法接入服务。而在其它WLAN安全体制下，只能实现AP对STA的单向鉴别。

• 使用数字证书

WAPI使用数字证书作为用户身份凭证，在方便了安全管理的同时也提升了WLAN网络的安全性。

当STA或AP退出或加入WLAN网络时，只需吊销其证书或颁发新证书即可，这些操作均可在证书服务器上完成，管理非常方便。而其它WLAN安全机制则多使用用户名和口令作为用户的身份凭证，易被盗用。

从认证等方面看，WAPI标准主要内容包括：

• 认证基于WAPI独有的WAI协议，使用证书作为身份凭证；
• 数据加密采用SMS4算法；
• 完整性校验采用了SMS4算法；　
• 基于3次握手过程完成单播密钥协商，两次握手过程完成组播密钥协商。

无线入侵检测系统

前面介绍的安全标准都是一种被动的安全机制，即通过提高系统自身对威胁的免疫力来抵御进攻。事实上，对于DOS攻击这些攻击模式，这些安全手段是无能为力的。需要一种手段来帮助网络管理者能够主动地发现网络中的隐患，在第一时间对无线攻击者进行主动防御和反攻击。这种技术就是无线入侵检测系统。

它的基本原理是在网络中部署一些AP并配置它们工作在监听模式，捕捉空间中传播的无线报文。通过对这些报文的特征进行分析，识别出特定类型的攻击方式，然后第一时间将安全威胁通知到管理员。此外，系统还可以向这些攻击源进行干扰攻击，也可以结合无线定位系统对非法用户和WLAN设备进行位置定位。

通常入侵检测系统主要提供如下功能：

• 非法AP检测

可以自动监测非法设备（例如Rouge AP，或者Ad Hoc无线终端），并适时上报网管中心，同时对非法设备的攻击可以进行自动防护，最大程度地保护无线网络。

• 白名单功能

支持静态配置白名单功能，该功能一旦启用，只有白名单上的无线用户才被认为是合法用户，其他非法用户的报文全部在AP上被丢弃，从而减少非法报文对无线网络的冲击。

• 黑名单功能

支持静态配置黑名单和动态黑名单功能，用户可以通过配置方式或者设备实时检测侦听的方式来确定设备是否被加入黑名单，被加入到黑名单中的设备发过来的报文全部在AP上丢弃，从而减少攻击报文对无线网络的冲击。

• 无线协议攻击防御

支持多种攻击的检测，例如DOS攻击、Flood攻击，去认证、去连接报文的仿冒检测，以及无线用户Weak IV检测。当控制器检测到上述攻击后，会产生告警或者日志，提醒管理员进行相应处理。无线协议攻击防御可以和动态黑名单配合使用，当控制器检测到攻击时，将发起攻击的无线客户端动态添加到动态黑名单中，从而保证WLAN系统不再被该设备攻击。

一体化安全技术

WLAN正逐渐发展成为办公网、企业网等网络必备的接入手段。WLAN应用当前存在的一个突出问题是：多数情况下，无线网作为独立的网络与现有网络（主要指有线网）分开管理。这就导致无线网需要单独的管理系统和安全策略，使其管理成本居高不下。此外，现有的无线安全技术基本上都是针对物理层和链路层安全问题而设计的，而对于网络层到应用层的攻击往往力不从心，例如无线入侵检测系统可以有效的检测和防御基于802.11管理协议的攻击，但对于病毒攻击却无能为力。

随着无线网络的大规模部署，如何将无线安全技术和现有成熟的有线安全技术有机地结合起来形成一套一体化的安全系统已经成为网络建设者关注的焦点。从网络发展来看，有线和无线网络融合是未来网络发展的趋势，无线网络安全也会从原有的单纯强调无线网络内的安全逐渐演化为关注有线无线一体化安全。

有线无线一体化安全方案主要包含以下几个特点：

• 有线、无线网络共用一套安全架构；
• 有线、无线网络共用一套端点准入方案；
• 有线、无线用户接入控制统一管理。

以下分别进行分析：

1. 一体化安全架构

当前业界已经有越来越多的厂商在现有的有线交换设备上集成无线交换功能、防火墙功能、入侵检测功能、VPN功能。通过在机架式设备上安插不同的安全业务插卡，用户可以将安全业务和交换设备无缝融合，可以检测从有线和WLAN接入层到应用层的多层协议，实现高度集成化的有线无线一体化安全解决方案。

这些安全业务插卡往往采用电信级硬件平台，通过多内核系统实现核心企业用户对安全设备线性处理能力的需求，实现用户网络安全的深度防护。

基于一体化的安全架构，在应用层、IP层可以支持：

• 增强型状态安全过滤：支持ASPF应用层报文过滤（Application Specific Packet Filter）协议，支持对每一个连接状态信息的维护监测并动态地过滤数据包，支持对FTP、HTTP、SMTP、RTSP、H.323（包括Q.931、H.245、RTP/RTCP等）应用层协议的状态监控，支持TCP/UDP应用的状态监控。
• 抗攻击防范能力：包括多种DoS/DDoS攻击防范（CC、SYN flood、DNS Query Flood等）、ARP欺骗攻击的防范、ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能等；支持智能防范蠕虫病毒技术。
• 应用层内容过滤：可以有效识别和控制网络中的各种P2P模式的应用，并且对这些应用采取限流的控制措施，有效保护网络带宽；能够识别和控制IM协议，如QQ、MSN等；支持邮件过滤，提供SMTP邮件地址、标题、附件和内容过滤；支持网页过滤，提供HTTP URL和内容过滤；支持应用层过滤，提供Java/ActiveX Blocking和SQL注入攻击防范。

集中管理与审计：提供各种日志功能、流量统计和分析功能、各种事件监控和统计功能、邮件告警功能。

一旦在IP层、应用层检测到安全威胁（如病毒）并且这些攻击来源于无线用户，系统将自动通知入侵检测系统（模块）将这些用户加入到黑名单列表中，实现了有线和WLAN接入层到应用层的统一控制。

2. 一体化端点准入

在实际网络应用中，新的安全威胁不断涌现，病毒和蠕虫日益肆虐，其自我繁殖的本性使其对网络的破坏程度和范围持续扩大，经常引起系统崩溃、网络瘫痪，使用户蒙受严重损失。任何一台终端的安全状态（主要是指终端的防病毒能力、补丁级别和系统安全设置），都将直接影响到整个网络的安全。

业界提出了端点准入解决方案来解决上述问题，它可以检查接入用户是否满足安全策略的要求，包括病毒软件是否安装、病毒库是否升级、是否安装了必要的系统补丁等。但是通常端点准入方案普遍只支持有线用户，造成无线用户继续作为管理的盲区，仍然不受约束的访问网络。为了实现全面的安全，必须能够实现无线和有线终端用户准入的统一控制。

图2 一体化端点准入解决方案(EAD)的组网应用

如图2所示，EAD可以配合无线AP和无线控制器，通过802.1x认证方式实现对无线接入用户的端点准入控制。这种组网方案可以防止采用无线接入的员工访问企业内网时带来的安全隐患，同时也有效的解决了用户有线、无线接入方式的统一安全控制。

拥有合法身份的用户除了被验证用户名、密码等信息外，还被检查是否满足安全策略的要求，包括病毒软件是否安装、病毒库是否升级、是否安装了必要的系统补丁等等。对于同时满足了身份检查和安全检查的用户，EAD会根据预定义的策略为其分配对应的网络访问权限，避免了非授权的网络访问现象。

3. 有线无线接入控制统一管理

早期的无线网络往往独立于有线网络建设和管理，网络维护者往往要维护两套独立的认证系统，维护工作量大。用户需要记住两套账号密码使用，便利性差。有线无线统一认证系统可以既让无线和有线用户的认证共用802.1x、计费等多种公共服务，又可以实现对无线业务特有服务策略的控制，如基于无线SSID的控制用户接入，实现对有线、无线用户的统一管理，大大简化维护成本。

总结

有线无线安全一体化代表了WLAN安全的最新发展方向，可以实现有线接入层到应用层、WLAN接入层到应用层、无线和有线终端准入、及无线和有线用户统一认证的统一管理和控制。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友