【正文】 ．防病毒技術。防病毒技術將逐步實現(xiàn)由單機防病毒向網(wǎng)絡防病毒方式過渡，而防病毒網(wǎng)關產(chǎn)品的病毒庫更新效率和服務水平，將成為今后防病毒產(chǎn)品競爭的核心要素。 3．身份認證技術。80%的攻擊發(fā)生在內(nèi)部，而不是外部。內(nèi)部網(wǎng)的管理和訪問控制相對外部的隔離來講要復雜得多。在一般人的心目中，基于Radius的鑒別、授權和管理（AAA）系統(tǒng)是一個非常龐大的安全體系，主要用于大的網(wǎng)絡運營商，企業(yè)內(nèi)部不需要這么復雜的東西。這種看法越來越過時，實際上組織內(nèi)部網(wǎng)同樣需要一套強大的AAA系統(tǒng)。 4．入侵監(jiān)測和主動防衛(wèi)技術。入侵檢測和主動防衛(wèi)（IDS、IPS）作為一種實時交互的監(jiān)測和主動防衛(wèi)手段，正越來越多的被政府和企業(yè)應用，但如何解決監(jiān)測效率和錯報、漏報率的矛盾，需要繼續(xù)進行研究。 5．加密和虛擬專用網(wǎng)技術。組織的員工外出、移動辦公、單位和合作伙伴之間、分支機構之間通過公用的互聯(lián)網(wǎng)通信是必需的，因此加密通信和虛擬專用網(wǎng)（VPN）有很大的市場需求。IPSec已經(jīng)成為市場的主流和標準。 6．網(wǎng)管。網(wǎng)絡安全越完善，體系架構就越復雜。管理網(wǎng)絡的多臺安全設備需要集中網(wǎng)管。集中網(wǎng)管是目前安全市場的一大趨勢。 從管理角度講應遵循以下原則 1．整體考慮，統(tǒng)一規(guī)劃。網(wǎng)絡安全取決于系統(tǒng)中最薄弱的環(huán)節(jié)?！耙稽c突破，全網(wǎng)突破”，單個系統(tǒng)考慮安全問題并不能真正有效的保證安全，需要從整體IT體系層次建立網(wǎng)絡安全架構，整體考慮，全面防護。 2．戰(zhàn)略優(yōu)先，合理保護。網(wǎng)絡安全工作應服從組織信息化建設總體戰(zhàn)略，滾動式實現(xiàn)系統(tǒng)安全體系的統(tǒng)一。在此前提之下，追求適度安全，合理保護組織信息資產(chǎn)，安全投入與資產(chǎn)的價值應相匹配。 3．集中管理，重點防護。統(tǒng)籌設計安全總體架構，建立規(guī)范、有序的安全管理流程，集中管理各系統(tǒng)的安全問題，避免安全“孤島”和安全“短板”。 4．七分管理，三分技術。管理是企業(yè)網(wǎng)絡安全的核心，技術是安全管理的保證。只有制定完整的規(guī)章制度、行為準則并和安全技術手段合理結合，網(wǎng)絡系統(tǒng)的安全才會有最大的保障。6．3．2基礎型無線網(wǎng)安全機制（1）更改無線AP的管理員登錄初始口令和初始SSID（2）SSID設置成隱藏，不廣播SSID大多數(shù)破解無線網(wǎng)的初始步驟都是先嗅探出無線AP所使用的頻道和SSID，再進行下一個步抓包、破解。隱藏SSID廣播功能可能對某些嗅探工具有用。（3）WEP加密盡管WEP已經(jīng)被證明是比較脆弱的，但是采用加密方式比明文傳播還是要安全一些。現(xiàn)在可以從互聯(lián)網(wǎng)上下載到很多破解WEP加密的工具軟件，象Airsnort這種工具可以對無線網(wǎng)信號進行抓包，進行破解WEP密鑰，避免這種工具破解最有效的方法就是給WEP設置較為健壯的128位密鑰，而不是40位的密鑰，這樣可以讓破解的難度加大，而需要更長的時間。（4）采用比WEP更安全的WPA，甚至WPA2要破解WPA加密并非易事，需要監(jiān)聽到的數(shù)據(jù)包是合法客戶端正在開始與無線AP進行“握手”的有關驗證操作過程，而且還要提供一個正好包含有這個密鑰的“字典文件”。除非為WPA設置了比如：ADMIN123，111222333444這樣的“大眾式”密鑰，容易被猜中而收錄在“字典”中，那么設置了復雜的密碼組合還是比較安全的。而WPA2是WPA的第二代，它支持更高級的AES加密，因此能夠更好地解決無線網(wǎng)絡的安全問題。（5）MAC地址訪問控制列表對于小型的無線網(wǎng)，可以采用MAC訪問列表功能的精確限制哪些無線工作站可以連接到無線網(wǎng)中，而那些不在訪問列表中的工作站，是無權進入無線網(wǎng)絡中的。每一塊無線網(wǎng)卡都有自己的MAC地址，我們可以在無線網(wǎng)絡節(jié)點設備中創(chuàng)建一張“MAC訪問控制表”，然后將合法的無線網(wǎng)卡MAC地址逐一錄入到這個列表中，允許只有“MAC訪問控制表”中顯示的MAC地址，才能進入到無線網(wǎng)絡中。當然MAC地址是有可能被非法訪問者克隆，這要求我們妥善保管相關網(wǎng)卡的MAC信息，防止遺失。（6）關閉SNMP功能要是無線網(wǎng)絡訪問節(jié)點支持“簡單網(wǎng)絡管理”（SNMP）功能的話，筆者建議你盡量將該功能關閉，以防止非法攻擊者輕易地通過無線網(wǎng)絡節(jié)點，來獲取整個無線局域網(wǎng)中的隱私信息。以上安全機制主要針對分布式胖的部署方式。實現(xiàn)比較簡單有效，主要解決無線覆蓋的問題。6．3．3增強型無線網(wǎng)安全機制若無線網(wǎng)傳輸?shù)臄?shù)據(jù)較為重要，或者連接到一個保密級別較高但又不能進物理隔離的有線網(wǎng)絡的情況下，可以考慮采用增強的無線網(wǎng)安全防范措施。 （1）Web Portal Web Portal認證的基本過程是：客戶機首先通過DHCP協(xié)議獲取到IP地址（也 可以使用靜態(tài)IP地址），但是客戶使用獲取到的IP地址并不能登上Internet，在認證通過前只能訪問特定的IP地址，這個地址通常是PORTAL服務器的IP地址。采用Portal認證的接入設備必須具備這個能力。用戶登錄到Portal Server后，可以瀏 覽上面的內(nèi)容，比如廣告、新聞等免費信息，同時用戶還可以在網(wǎng)頁上輸入用戶名和密碼，它們會被WEB客戶端應用程序傳給Portal Server，再由Portal Server與NAS之間交互來實現(xiàn)用戶的認證。Portal Server在獲得用戶的用戶名和密碼外，還會得到用戶的IP地址，以它為索引來標識用戶。然后Portal Server 與NAS之間用Portal協(xié)議直接通信，而NAS又與RADIUS 服務器直接通信完成用戶的認證和上線過程。因為安全問題，通常支持安全性較強的CHAP式認證。它的優(yōu)點是不需要特殊的客戶端軟件，降低網(wǎng)絡維護工作量。 是一個 IEEE 標準，用于對有線以太網(wǎng)和無線 網(wǎng)絡進行經(jīng)過身份驗證的網(wǎng)絡訪問。IEEE 支持集中化用戶標識、身份驗證、動態(tài)密鑰管理以及記帳。 標準通過允許計算機和網(wǎng)絡彼此驗證身份、生成通過無線連接加密數(shù)據(jù)的每用戶/每會話密鑰以及提供動態(tài)更改密鑰的能力來提高安全性。 （2）VPN虛擬專網(wǎng)系統(tǒng)，在無線網(wǎng)之上采用VPN技術，可以進一步增強關鍵數(shù)據(jù)的安全性。，因此它是一種增強性無線網(wǎng)絡安全解決方案。VPN協(xié)議包括第二層PPTP/L2TP協(xié)議以及第三層的IPsec協(xié)議。VPN只涉及發(fā)起端，終結端，因此對無線訪問點AP來講是透明的，并不需要在無線訪問點支持VPN。IPsec是標準的第三層安全協(xié)議，用于保護IP數(shù)據(jù)包或上層數(shù)據(jù)，它可以定義哪些數(shù)據(jù)流需要保護，怎樣保護以及應該將這些受保護的數(shù)據(jù)流轉(zhuǎn)發(fā)給誰。由于它工作在網(wǎng)絡層，因此可以用于兩臺主機之間，網(wǎng)絡安全網(wǎng)關之間，或主機與網(wǎng)關之間。當對數(shù)據(jù)的安全性要求非常之高時，可以考慮增加VPN虛擬網(wǎng)關，尤其是以IPsec協(xié)議建立的VPN。這是目前可以實現(xiàn)的較高數(shù)據(jù)安全等級的技術。（3）防火墻系統(tǒng)防火墻是建立在被保護網(wǎng)絡與不可信網(wǎng)絡之間的一道安全屏障，用于保護企業(yè)內(nèi)部網(wǎng)絡和資源。它在內(nèi)部和外部兩個網(wǎng)絡之間建立一個安全控制點，對進、出內(nèi)部網(wǎng)絡的服務和訪問進行控制和審計。防火墻產(chǎn)品主要分為兩大類：包過濾防火墻（網(wǎng)絡層）在網(wǎng)絡層提供較低級別的安全防護和控制。應用級防火墻（應用代理）在最高的應用層提供高級別的安全防護和控制。應將無線局域網(wǎng)的流量接入有線網(wǎng)的非信任區(qū)，由整個網(wǎng)絡的安全控制機制統(tǒng)一的進行安全控制。如果專門為無線配置防火墻，會造成不必要的設備成本的增加；分散的安全機制造成安全策略的不一致等。（4）專用無線網(wǎng)入侵檢測系統(tǒng)采用第三方專業(yè)公司生產(chǎn)的無線網(wǎng)專用入侵檢測系統(tǒng)對網(wǎng)絡進行監(jiān)控，及時發(fā)現(xiàn)非法接入的AP以及假冒的客戶端，并且對無線網(wǎng)的安全狀況進行實時的分析和監(jiān)控。，WLAN入侵檢測系統(tǒng)采用了分布式的結構，將進行數(shù)據(jù)采集的Sensor分布在WLAN的邊緣和關鍵地點，并且通過有線的方式將收集到的信息統(tǒng)一傳輸?shù)揭粋€集中的信息處理平臺。，判斷有無異?，F(xiàn)象，比如非法接入的AP和終端設備、中間人攻擊、有無違反規(guī)定傳輸數(shù)據(jù)的情況，以及通過對無線網(wǎng)絡進行的性能和狀態(tài)分析，識別拒絕服務攻擊現(xiàn)象。它能夠自動發(fā)現(xiàn)網(wǎng)絡中存在的Ad Hoc網(wǎng)絡，并且通過通知管理員來及時阻止可能造成的進一步損害?；赪eb界面的安全管理界面讓管理員可以進行策略的集中配置和分發(fā)，以及觀察網(wǎng)絡狀況、產(chǎn)生報表。WLAN入侵檢測系統(tǒng)通過結合協(xié)議分析、特征比對以及異常狀況檢測三種技術，對WLAN網(wǎng)絡流量進行深入分析，并且能夠?qū)崟r阻斷非法連接。 （5）動態(tài)秘鑰技術6．3．4 Ruckus支持的認證方式AP支持認證方式用戶可以通過設置AP自身對無線用戶進行認證。認證方式有以下幾種：1. 開放2. WEP3. WPA/WPA24. Zone Director支持的認證方式用戶可以通過Ruckus ZoneDirector對無線用戶進行認證。認證方式有以下幾種：1. 本地認證2. 與現(xiàn)有的Windows服務器的AD認證3. 與現(xiàn)有的RADIUS 服務器整合進行認證4. 6．3．5安全的AP技術由于Ruckus的AP是不儲存任何網(wǎng)絡配置（IP地址除外）和安全設置，因此Ruckus 管理的AP是不能單獨工作的，因此獲得和接入進Ruckus AP，黑客也不會拿到無線網(wǎng)的網(wǎng)絡和安全配置參數(shù)。6．3．6無線接入點安全偵測和保護采用Ruckus 無線系統(tǒng)的RF偵測功能和保護機制可以實時監(jiān)測園區(qū)無線網(wǎng)覆蓋區(qū)域內(nèi)的所有AP接入情況,如相鄰的AP、設置錯誤的AP以及未經(jīng)認可而連接到網(wǎng)絡中的AP。通過Ruckus 的網(wǎng)絡安全管理系統(tǒng)，網(wǎng)絡安全管理人員可以及時發(fā)現(xiàn)是否有非法的AP接入，發(fā)現(xiàn)后可以開啟自動保護機制，阻止無線終端通過非法AP聯(lián)接到無線網(wǎng)中。6．3．7無線網(wǎng)絡入侵偵測網(wǎng)絡監(jiān)控與入侵檢測系統(tǒng)將網(wǎng)絡上傳輸?shù)臄?shù)據(jù)實時捕獲下來，檢查是否有黑客入侵和可疑活動的發(fā)生，一旦發(fā)現(xiàn)有黑客入侵，系統(tǒng)將做出實時響應和報警。入侵檢測模型可以分為兩大類：基于網(wǎng)絡的入侵檢測：通過實時監(jiān)視網(wǎng)絡上的數(shù)據(jù)流，來尋找具有網(wǎng)絡攻擊特征的活動；基于主機的入侵檢測：通過分析系統(tǒng)的審記數(shù)據(jù)，檢查系統(tǒng)資源的使用情況以及啟動的服務等來檢測本機是否受到了攻擊。對已知攻擊的檢測:通過分析攻擊的原理提取攻擊特征，建立攻擊特征庫，使用模式匹配的方法，來識別攻擊； 對未知攻擊和可疑活動的檢測:通過建立統(tǒng)計模型和智能分析模塊，來發(fā)現(xiàn)新的攻擊和可疑活動。Ruckus向用戶推薦使用第三方的入侵偵測產(chǎn)品。入侵偵測是專業(yè)性非常強的技術，需要對網(wǎng)絡攻擊有深入的認識。入侵偵測做的不專業(yè)，只能是花錢買心理安慰，不能發(fā)揮作用。入侵偵測只是報警并不能防范，所以還要與網(wǎng)絡安全服務商簽訂服務合同，通過人為的方式改變網(wǎng)絡的參數(shù)配置實現(xiàn)網(wǎng)絡的防入侵，防攻擊。Ruckus的專長在天線的技術，射頻的技術，以及網(wǎng)絡接入技術。我們認為在無線產(chǎn)品中加入入侵偵測功能，并不能對用戶的網(wǎng)絡安全做到全方位的保護，同時還增加了用戶不必要的成本。6．3．8無線接入的病毒防護病毒的防護要從客戶端的防護做起。客戶端中毒會造成性能下降，不能正常工作，丟失文件，丟失密碼，形成僵尸被控制機所控制。對網(wǎng)絡有影響主要是蠕蟲類病毒。通過計算機網(wǎng)絡傳播，不改變文件和資料信息，利用網(wǎng)絡從一臺機器的內(nèi)存?zhèn)鞑サ狡渌麢C器的內(nèi)存，計算網(wǎng)絡地址，將自身的病毒通過網(wǎng)絡發(fā)送。像蠕蟲病毒尼坶達，它不但會感染EXE文件，還會通過局域網(wǎng)，電子郵件網(wǎng)頁等途徑進行傳播。對網(wǎng)絡形成壓力，造成網(wǎng)絡系統(tǒng)的不穩(wěn)定。所以病毒的防護，一定要從源頭抓起，要采取各種手段，減少客戶端不中毒的可能性。同時Ruckus AP還可以進行限速，對于每一個客戶端的速率進行嚴格限定，縱然客戶端中毒，病毒在網(wǎng)絡上泛濫也不會造成網(wǎng)絡的癱瘓，減緩病毒在網(wǎng)絡上傳播的速度。同時Ruckus還有較強的訪問控制機制，可以采取阻斷中毒客戶端流量的措施。但所有這些網(wǎng)絡手段只能是輔助性的，是防護性的。6．3．9通過VPN再次加固無線接入 對于數(shù)據(jù)安全性要求非常高的用戶可以考慮VPN的方式，尤其是IPSec的VPN解決方案。IPSec協(xié)議是網(wǎng)絡層協(xié)議, 是為保障IP通信而提供的一系列協(xié)議族。IPSec針對數(shù)據(jù)在通過公共網(wǎng)絡時的數(shù)據(jù)完整性、安全性和合法性等問題設計了一整套隧道、加密和認證方案。IPSec能為IPv4/IPv6網(wǎng)絡提供能共同操作/使用的、高品質(zhì)的、基于加密的安全機制。提供包括存取控制、無連接數(shù)據(jù)的完整性、數(shù)據(jù)源認證、防止重發(fā)攻擊、基于加密的數(shù)據(jù)機密性和受限數(shù)據(jù)流的機密性服務。IPSec的基本目的是把密碼學的安全機制引入 IP協(xié)議，通過使用現(xiàn)代密碼學方法支持保密和認證服務，使用戶能有選擇地使用，并得到所期望的安全服務。IPSec將幾種安全技術結合形成一個完整的安全體系，它包括安全協(xié)議部分和密鑰協(xié)商部分。（1）安全關聯(lián)和安全策略：安全關聯(lián)（Security Association，SA）是構成IPSec的基礎，是兩個通信實體經(jīng)協(xié)商建立起來的一種協(xié)定，它們決定了用來保護數(shù)據(jù)包安全的安全協(xié)議（AH協(xié)議或者ESP協(xié)議）、轉(zhuǎn)碼方式、密鑰及密鑰的有效存在時間等。（2）IPSec 協(xié)議的運行模式：IPSec協(xié)議的運行模式有兩種，IPSec隧道模式及IPSec傳輸模式。隧道模式的特點是數(shù)據(jù)包最終目的地不是安全終點。通常情況下，只要IPSec雙方有一方是安全網(wǎng)關或路由器，就必須使用隧道模式。傳輸模式下，IPSec 主要對上層協(xié)議即IP包的載荷進行封裝保護，通常情況下，傳輸模式只用于兩臺主機之間的安全通信。（3）AH（Authentication Header，認證頭）協(xié)議：設計AH認證協(xié)議的目的是用來增加IP數(shù)據(jù)報的安全性。AH協(xié)議提供無連接的完整性、數(shù)據(jù)源認證和抗重放保護服務，但是AH不提供任何保密性服務。IPSec驗證報頭AH是個用于提供IP數(shù)據(jù)報完整性、身份認證和可選的抗重傳攻擊的機制，但是不提供數(shù)據(jù)機密性保護。 驗證報頭的認證算法有兩種： 一種是基于對稱加密算法（如DES），另一種是基于單向哈希算法（如MD5或SHA1）。 驗證報頭的工作方式有傳輸模式和隧道模式。傳輸模式只對上層協(xié)議數(shù)據(jù)（傳輸層數(shù)據(jù)）和IP頭中的固定字段提供認證保護，把AH插在IP報頭的后面，主要適合于主機實現(xiàn)。隧道模式把需要保護的IP包封裝在新的IP包中，作為新報文的載荷， 然后把AH插在新的IP報頭的后面。隧道模式對整個IP數(shù)據(jù)報提供認證保護。（4）ESP（En