【正文】 安全產(chǎn)品。 2．防病毒技術(shù)。防病毒技術(shù)將逐步實(shí)現(xiàn)由單機(jī)防病毒向網(wǎng)絡(luò)防病毒方式過渡，而防病毒網(wǎng)關(guān)產(chǎn)品的病毒庫更新效率和服務(wù)水平，將成為今后防病毒產(chǎn)品競爭的核心要素。 3．身份認(rèn)證技術(shù)。80%的攻擊發(fā)生在內(nèi)部，而不是外部。內(nèi)部網(wǎng)的管理和訪問控制相對(duì)外部的隔離來講要復(fù)雜得多。在一般人的心目中，基于Radius的鑒別、授權(quán)和管理（AAA）系統(tǒng)是一個(gè)非常龐大的安全體系，主要用于大的網(wǎng)絡(luò)運(yùn)營商，企業(yè)內(nèi)部不需要這么復(fù)雜的東西。這種看法越來越過時(shí)，實(shí)際上組織內(nèi)部網(wǎng)同樣需要一套強(qiáng)大的AAA系統(tǒng)。 4．入侵監(jiān)測和主動(dòng)防衛(wèi)技術(shù)。入侵檢測和主動(dòng)防衛(wèi)（IDS、IPS）作為一種實(shí)時(shí)交互的監(jiān)測和主動(dòng)防衛(wèi)手段，正越來越多的被政府和企業(yè)應(yīng)用，但如何解決監(jiān)測效率和錯(cuò)報(bào)、漏報(bào)率的矛盾，需要繼續(xù)進(jìn)行研究。 5．加密和虛擬專用網(wǎng)技術(shù)。組織的員工外出、移動(dòng)辦公、單位和合作伙伴之間、分支機(jī)構(gòu)之間通過公用的互聯(lián)網(wǎng)通信是必需的，因此加密通信和虛擬專用網(wǎng)（VPN）有很大的市場需求。IPSec已經(jīng)成為市場的主流和標(biāo)準(zhǔn)。 6．網(wǎng)管。網(wǎng)絡(luò)安全越完善，體系架構(gòu)就越復(fù)雜。管理網(wǎng)絡(luò)的多臺(tái)安全設(shè)備需要集中網(wǎng)管。集中網(wǎng)管是目前安全市場的一大趨勢。 從管理角度講應(yīng)遵循以下原則 1．整體考慮，統(tǒng)一規(guī)劃。網(wǎng)絡(luò)安全取決于系統(tǒng)中最薄弱的環(huán)節(jié)?！耙稽c(diǎn)突破，全網(wǎng)突破”，單個(gè)系統(tǒng)考慮安全問題并不能真正有效的保證安全，需要從整體IT體系層次建立網(wǎng)絡(luò)安全架構(gòu)，整體考慮，全面防護(hù)。 2．戰(zhàn)略優(yōu)先，合理保護(hù)。網(wǎng)絡(luò)安全工作應(yīng)服從組織信息化建設(shè)總體戰(zhàn)略，滾動(dòng)式實(shí)現(xiàn)系統(tǒng)安全體系的統(tǒng)一。在此前提之下，追求適度安全，合理保護(hù)組織信息資產(chǎn)，安全投入與資產(chǎn)的價(jià)值應(yīng)相匹配。 3．集中管理，重點(diǎn)防護(hù)。統(tǒng)籌設(shè)計(jì)安全總體架構(gòu)，建立規(guī)范、有序的安全管理流程，集中管理各系統(tǒng)的安全問題，避免安全“孤島”和安全“短板”。 4．七分管理，三分技術(shù)。管理是企業(yè)網(wǎng)絡(luò)安全的核心，技術(shù)是安全管理的保證。只有制定完整的規(guī)章制度、行為準(zhǔn)則并和安全技術(shù)手段合理結(jié)合，網(wǎng)絡(luò)系統(tǒng)的安全才會(huì)有最大的保障。6．3．2基礎(chǔ)型無線網(wǎng)安全機(jī)制（1）更改無線AP的管理員登錄初始口令和初始SSID（2）SSID設(shè)置成隱藏，不廣播SSID大多數(shù)破解無線網(wǎng)的初始步驟都是先嗅探出無線AP所使用的頻道和SSID，再進(jìn)行下一個(gè)步抓包、破解。隱藏SSID廣播功能可能對(duì)某些嗅探工具有用。（3）WEP加密盡管WEP已經(jīng)被證明是比較脆弱的，但是采用加密方式比明文傳播還是要安全一些?，F(xiàn)在可以從互聯(lián)網(wǎng)上下載到很多破解WEP加密的工具軟件，象Airsnort這種工具可以對(duì)無線網(wǎng)信號(hào)進(jìn)行抓包，進(jìn)行破解WEP密鑰，避免這種工具破解最有效的方法就是給WEP設(shè)置較為健壯的128位密鑰，而不是40位的密鑰，這樣可以讓破解的難度加大，而需要更長的時(shí)間。（4）采用比WEP更安全的WPA，甚至WPA2要破解WPA加密并非易事，需要監(jiān)聽到的數(shù)據(jù)包是合法客戶端正在開始與無線AP進(jìn)行“握手”的有關(guān)驗(yàn)證操作過程，而且還要提供一個(gè)正好包含有這個(gè)密鑰的“字典文件”。除非為WPA設(shè)置了比如：ADMIN123，111222333444這樣的“大眾式”密鑰，容易被猜中而收錄在“字典”中，那么設(shè)置了復(fù)雜的密碼組合還是比較安全的。而WPA2是WPA的第二代，它支持更高級(jí)的AES加密，因此能夠更好地解決無線網(wǎng)絡(luò)的安全問題。（5）MAC地址訪問控制列表對(duì)于小型的無線網(wǎng)，可以采用MAC訪問列表功能的精確限制哪些無線工作站可以連接到無線網(wǎng)中，而那些不在訪問列表中的工作站，是無權(quán)進(jìn)入無線網(wǎng)絡(luò)中的。每一塊無線網(wǎng)卡都有自己的MAC地址，我們可以在無線網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備中創(chuàng)建一張“MAC訪問控制表”，然后將合法的無線網(wǎng)卡MAC地址逐一錄入到這個(gè)列表中，允許只有“MAC訪問控制表”中顯示的MAC地址，才能進(jìn)入到無線網(wǎng)絡(luò)中。當(dāng)然MAC地址是有可能被非法訪問者克隆，這要求我們妥善保管相關(guān)網(wǎng)卡的MAC信息，防止遺失。（6）關(guān)閉SNMP功能要是無線網(wǎng)絡(luò)訪問節(jié)點(diǎn)支持“簡單網(wǎng)絡(luò)管理”（SNMP）功能的話，筆者建議你盡量將該功能關(guān)閉，以防止非法攻擊者輕易地通過無線網(wǎng)絡(luò)節(jié)點(diǎn)，來獲取整個(gè)無線局域網(wǎng)中的隱私信息。以上安全機(jī)制主要針對(duì)分布式胖的部署方式。實(shí)現(xiàn)比較簡單有效，主要解決無線覆蓋的問題。6．3．3增強(qiáng)型無線網(wǎng)安全機(jī)制若無線網(wǎng)傳輸?shù)臄?shù)據(jù)較為重要，或者連接到一個(gè)保密級(jí)別較高但又不能進(jìn)物理隔離的有線網(wǎng)絡(luò)的情況下，可以考慮采用增強(qiáng)的無線網(wǎng)安全防范措施。 （1）Web Portal Web Portal認(rèn)證的基本過程是：客戶機(jī)首先通過DHCP協(xié)議獲取到IP地址（也 可以使用靜態(tài)IP地址），但是客戶使用獲取到的IP地址并不能登上Internet，在認(rèn)證通過前只能訪問特定的IP地址，這個(gè)地址通常是PORTAL服務(wù)器的IP地址。采用Portal認(rèn)證的接入設(shè)備必須具備這個(gè)能力。用戶登錄到Portal Server后，可以瀏 覽上面的內(nèi)容，比如廣告、新聞等免費(fèi)信息，同時(shí)用戶還可以在網(wǎng)頁上輸入用戶名和密碼，它們會(huì)被WEB客戶端應(yīng)用程序傳給Portal Server，再由Portal Server與NAS之間交互來實(shí)現(xiàn)用戶的認(rèn)證。Portal Server在獲得用戶的用戶名和密碼外，還會(huì)得到用戶的IP地址，以它為索引來標(biāo)識(shí)用戶。然后Portal Server 與NAS之間用Portal協(xié)議直接通信，而NAS又與RADIUS 服務(wù)器直接通信完成用戶的認(rèn)證和上線過程。因?yàn)榘踩珕栴}，通常支持安全性較強(qiáng)的CHAP式認(rèn)證。它的優(yōu)點(diǎn)是不需要特殊的客戶端軟件，降低網(wǎng)絡(luò)維護(hù)工作量。 是一個(gè) IEEE 標(biāo)準(zhǔn)，用于對(duì)有線以太網(wǎng)和無線 網(wǎng)絡(luò)進(jìn)行經(jīng)過身份驗(yàn)證的網(wǎng)絡(luò)訪問。IEEE 支持集中化用戶標(biāo)識(shí)、身份驗(yàn)證、動(dòng)態(tài)密鑰管理以及記帳。 標(biāo)準(zhǔn)通過允許計(jì)算機(jī)和網(wǎng)絡(luò)彼此驗(yàn)證身份、生成通過無線連接加密數(shù)據(jù)的每用戶/每會(huì)話密鑰以及提供動(dòng)態(tài)更改密鑰的能力來提高安全性。 （2）VPN虛擬專網(wǎng)系統(tǒng)，在無線網(wǎng)之上采用VPN技術(shù)，可以進(jìn)一步增強(qiáng)關(guān)鍵數(shù)據(jù)的安全性。，因此它是一種增強(qiáng)性無線網(wǎng)絡(luò)安全解決方案。VPN協(xié)議包括第二層PPTP/L2TP協(xié)議以及第三層的IPsec協(xié)議。VPN只涉及發(fā)起端，終結(jié)端，因此對(duì)無線訪問點(diǎn)AP來講是透明的，并不需要在無線訪問點(diǎn)支持VPN。IPsec是標(biāo)準(zhǔn)的第三層安全協(xié)議，用于保護(hù)IP數(shù)據(jù)包或上層數(shù)據(jù)，它可以定義哪些數(shù)據(jù)流需要保護(hù)，怎樣保護(hù)以及應(yīng)該將這些受保護(hù)的數(shù)據(jù)流轉(zhuǎn)發(fā)給誰。由于它工作在網(wǎng)絡(luò)層，因此可以用于兩臺(tái)主機(jī)之間，網(wǎng)絡(luò)安全網(wǎng)關(guān)之間，或主機(jī)與網(wǎng)關(guān)之間。當(dāng)對(duì)數(shù)據(jù)的安全性要求非常之高時(shí)，可以考慮增加VPN虛擬網(wǎng)關(guān)，尤其是以IPsec協(xié)議建立的VPN。這是目前可以實(shí)現(xiàn)的較高數(shù)據(jù)安全等級(jí)的技術(shù)。（3）防火墻系統(tǒng)防火墻是建立在被保護(hù)網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)之間的一道安全屏障，用于保護(hù)企業(yè)內(nèi)部網(wǎng)絡(luò)和資源。它在內(nèi)部和外部兩個(gè)網(wǎng)絡(luò)之間建立一個(gè)安全控制點(diǎn)，對(duì)進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問進(jìn)行控制和審計(jì)。防火墻產(chǎn)品主要分為兩大類：包過濾防火墻（網(wǎng)絡(luò)層）在網(wǎng)絡(luò)層提供較低級(jí)別的安全防護(hù)和控制。應(yīng)用級(jí)防火墻（應(yīng)用代理）在最高的應(yīng)用層提供高級(jí)別的安全防護(hù)和控制。應(yīng)將無線局域網(wǎng)的流量接入有線網(wǎng)的非信任區(qū)，由整個(gè)網(wǎng)絡(luò)的安全控制機(jī)制統(tǒng)一的進(jìn)行安全控制。如果專門為無線配置防火墻，會(huì)造成不必要的設(shè)備成本的增加；分散的安全機(jī)制造成安全策略的不一致等。（4）專用無線網(wǎng)入侵檢測系統(tǒng)采用第三方專業(yè)公司生產(chǎn)的無線網(wǎng)專用入侵檢測系統(tǒng)對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)控，及時(shí)發(fā)現(xiàn)非法接入的AP以及假冒的客戶端，并且對(duì)無線網(wǎng)的安全狀況進(jìn)行實(shí)時(shí)的分析和監(jiān)控。，WLAN入侵檢測系統(tǒng)采用了分布式的結(jié)構(gòu)，將進(jìn)行數(shù)據(jù)采集的Sensor分布在WLAN的邊緣和關(guān)鍵地點(diǎn)，并且通過有線的方式將收集到的信息統(tǒng)一傳輸?shù)揭粋€(gè)集中的信息處理平臺(tái)。，判斷有無異?，F(xiàn)象，比如非法接入的AP和終端設(shè)備、中間人攻擊、有無違反規(guī)定傳輸數(shù)據(jù)的情況，以及通過對(duì)無線網(wǎng)絡(luò)進(jìn)行的性能和狀態(tài)分析，識(shí)別拒絕服務(wù)攻擊現(xiàn)象。它能夠自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)中存在的Ad Hoc網(wǎng)絡(luò)，并且通過通知管理員來及時(shí)阻止可能造成的進(jìn)一步損害。基于Web界面的安全管理界面讓管理員可以進(jìn)行策略的集中配置和分發(fā)，以及觀察網(wǎng)絡(luò)狀況、產(chǎn)生報(bào)表。WLAN入侵檢測系統(tǒng)通過結(jié)合協(xié)議分析、特征比對(duì)以及異常狀況檢測三種技術(shù)，對(duì)WLAN網(wǎng)絡(luò)流量進(jìn)行深入分析，并且能夠?qū)崟r(shí)阻斷非法連接。 （5）動(dòng)態(tài)秘鑰技術(shù)6．3．4 Ruckus支持的認(rèn)證方式AP支持認(rèn)證方式用戶可以通過設(shè)置AP自身對(duì)無線用戶進(jìn)行認(rèn)證。認(rèn)證方式有以下幾種：1. 開放2. WEP3. WPA/WPA24. Zone Director支持的認(rèn)證方式用戶可以通過Ruckus ZoneDirector對(duì)無線用戶進(jìn)行認(rèn)證。認(rèn)證方式有以下幾種：1. 本地認(rèn)證2. 與現(xiàn)有的Windows服務(wù)器的AD認(rèn)證3. 與現(xiàn)有的RADIUS 服務(wù)器整合進(jìn)行認(rèn)證4. 6．3．5安全的AP技術(shù)由于Ruckus的AP是不儲(chǔ)存任何網(wǎng)絡(luò)配置（IP地址除外）和安全設(shè)置，因此Ruckus 管理的AP是不能單獨(dú)工作的，因此獲得和接入進(jìn)Ruckus AP，黑客也不會(huì)拿到無線網(wǎng)的網(wǎng)絡(luò)和安全配置參數(shù)。6．3．6無線接入點(diǎn)安全偵測和保護(hù)采用Ruckus 無線系統(tǒng)的RF偵測功能和保護(hù)機(jī)制可以實(shí)時(shí)監(jiān)測園區(qū)無線網(wǎng)覆蓋區(qū)域內(nèi)的所有AP接入情況,如相鄰的AP、設(shè)置錯(cuò)誤的AP以及未經(jīng)認(rèn)可而連接到網(wǎng)絡(luò)中的AP。通過Ruckus 的網(wǎng)絡(luò)安全管理系統(tǒng)，網(wǎng)絡(luò)安全管理人員可以及時(shí)發(fā)現(xiàn)是否有非法的AP接入，發(fā)現(xiàn)后可以開啟自動(dòng)保護(hù)機(jī)制，阻止無線終端通過非法AP聯(lián)接到無線網(wǎng)中。6．3．7無線網(wǎng)絡(luò)入侵偵測網(wǎng)絡(luò)監(jiān)控與入侵檢測系統(tǒng)將網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)實(shí)時(shí)捕獲下來，檢查是否有黑客入侵和可疑活動(dòng)的發(fā)生，一旦發(fā)現(xiàn)有黑客入侵，系統(tǒng)將做出實(shí)時(shí)響應(yīng)和報(bào)警。入侵檢測模型可以分為兩大類：基于網(wǎng)絡(luò)的入侵檢測：通過實(shí)時(shí)監(jiān)視網(wǎng)絡(luò)上的數(shù)據(jù)流，來尋找具有網(wǎng)絡(luò)攻擊特征的活動(dòng)；基于主機(jī)的入侵檢測：通過分析系統(tǒng)的審記數(shù)據(jù)，檢查系統(tǒng)資源的使用情況以及啟動(dòng)的服務(wù)等來檢測本機(jī)是否受到了攻擊。對(duì)已知攻擊的檢測:通過分析攻擊的原理提取攻擊特征，建立攻擊特征庫，使用模式匹配的方法，來識(shí)別攻擊； 對(duì)未知攻擊和可疑活動(dòng)的檢測:通過建立統(tǒng)計(jì)模型和智能分析模塊，來發(fā)現(xiàn)新的攻擊和可疑活動(dòng)。Ruckus向用戶推薦使用第三方的入侵偵測產(chǎn)品。入侵偵測是專業(yè)性非常強(qiáng)的技術(shù)，需要對(duì)網(wǎng)絡(luò)攻擊有深入的認(rèn)識(shí)。入侵偵測做的不專業(yè)，只能是花錢買心理安慰，不能發(fā)揮作用。入侵偵測只是報(bào)警并不能防范，所以還要與網(wǎng)絡(luò)安全服務(wù)商簽訂服務(wù)合同，通過人為的方式改變網(wǎng)絡(luò)的參數(shù)配置實(shí)現(xiàn)網(wǎng)絡(luò)的防入侵，防攻擊。Ruckus的專長在天線的技術(shù)，射頻的技術(shù)，以及網(wǎng)絡(luò)接入技術(shù)。我們認(rèn)為在無線產(chǎn)品中加入入侵偵測功能，并不能對(duì)用戶的網(wǎng)絡(luò)安全做到全方位的保護(hù)，同時(shí)還增加了用戶不必要的成本。6．3．8無線接入的病毒防護(hù)病毒的防護(hù)要從客戶端的防護(hù)做起?？蛻舳酥卸緯?huì)造成性能下降，不能正常工作，丟失文件，丟失密碼，形成僵尸被控制機(jī)所控制。對(duì)網(wǎng)絡(luò)有影響主要是蠕蟲類病毒。通過計(jì)算機(jī)網(wǎng)絡(luò)傳播，不改變文件和資料信息，利用網(wǎng)絡(luò)從一臺(tái)機(jī)器的內(nèi)存?zhèn)鞑サ狡渌麢C(jī)器的內(nèi)存，計(jì)算網(wǎng)絡(luò)地址，將自身的病毒通過網(wǎng)絡(luò)發(fā)送。像蠕蟲病毒尼坶達(dá)，它不但會(huì)感染EXE文件，還會(huì)通過局域網(wǎng)，電子郵件網(wǎng)頁等途徑進(jìn)行傳播。對(duì)網(wǎng)絡(luò)形成壓力，造成網(wǎng)絡(luò)系統(tǒng)的不穩(wěn)定。所以病毒的防護(hù)，一定要從源頭抓起，要采取各種手段，減少客戶端不中毒的可能性。同時(shí)Ruckus AP還可以進(jìn)行限速，對(duì)于每一個(gè)客戶端的速率進(jìn)行嚴(yán)格限定，縱然客戶端中毒，病毒在網(wǎng)絡(luò)上泛濫也不會(huì)造成網(wǎng)絡(luò)的癱瘓，減緩病毒在網(wǎng)絡(luò)上傳播的速度。同時(shí)Ruckus還有較強(qiáng)的訪問控制機(jī)制，可以采取阻斷中毒客戶端流量的措施。但所有這些網(wǎng)絡(luò)手段只能是輔助性的，是防護(hù)性的。6．3．9通過VPN再次加固無線接入 對(duì)于數(shù)據(jù)安全性要求非常高的用戶可以考慮VPN的方式，尤其是IPSec的VPN解決方案。IPSec協(xié)議是網(wǎng)絡(luò)層協(xié)議, 是為保障IP通信而提供的一系列協(xié)議族。IPSec針對(duì)數(shù)據(jù)在通過公共網(wǎng)絡(luò)時(shí)的數(shù)據(jù)完整性、安全性和合法性等問題設(shè)計(jì)了一整套隧道、加密和認(rèn)證方案。IPSec能為IPv4/IPv6網(wǎng)絡(luò)提供能共同操作/使用的、高品質(zhì)的、基于加密的安全機(jī)制。提供包括存取控制、無連接數(shù)據(jù)的完整性、數(shù)據(jù)源認(rèn)證、防止重發(fā)攻擊、基于加密的數(shù)據(jù)機(jī)密性和受限數(shù)據(jù)流的機(jī)密性服務(wù)。IPSec的基本目的是把密碼學(xué)的安全機(jī)制引入 IP協(xié)議，通過使用現(xiàn)代密碼學(xué)方法支持保密和認(rèn)證服務(wù)，使用戶能有選擇地使用，并得到所期望的安全服務(wù)。IPSec將幾種安全技術(shù)結(jié)合形成一個(gè)完整的安全體系，它包括安全協(xié)議部分和密鑰協(xié)商部分。（1）安全關(guān)聯(lián)和安全策略：安全關(guān)聯(lián)（Security Association，SA）是構(gòu)成IPSec的基礎(chǔ)，是兩個(gè)通信實(shí)體經(jīng)協(xié)商建立起來的一種協(xié)定，它們決定了用來保護(hù)數(shù)據(jù)包安全的安全協(xié)議（AH協(xié)議或者ESP協(xié)議）、轉(zhuǎn)碼方式、密鑰及密鑰的有效存在時(shí)間等。（2）IPSec 協(xié)議的運(yùn)行模式：IPSec協(xié)議的運(yùn)行模式有兩種，IPSec隧道模式及IPSec傳輸模式。隧道模式的特點(diǎn)是數(shù)據(jù)包最終目的地不是安全終點(diǎn)。通常情況下，只要IPSec雙方有一方是安全網(wǎng)關(guān)或路由器，就必須使用隧道模式。傳輸模式下，IPSec 主要對(duì)上層協(xié)議即IP包的載荷進(jìn)行封裝保護(hù)，通常情況下，傳輸模式只用于兩臺(tái)主機(jī)之間的安全通信。（3）AH（Authentication Header，認(rèn)證頭）協(xié)議：設(shè)計(jì)AH認(rèn)證協(xié)議的目的是用來增加IP數(shù)據(jù)報(bào)的安全性。AH協(xié)議提供無連接的完整性、數(shù)據(jù)源認(rèn)證和抗重放保護(hù)服務(wù)，但是AH不提供任何保密性服務(wù)。IPSec驗(yàn)證報(bào)頭AH是個(gè)用于提供IP數(shù)據(jù)報(bào)完整性、身份認(rèn)證和可選的抗重傳攻擊的機(jī)制，但是不提供數(shù)據(jù)機(jī)密性保護(hù)。 驗(yàn)證報(bào)頭的認(rèn)證算法有兩種： 一種是基于對(duì)稱加密算法（如DES），另一種是基于單向哈希算法（如MD5或SHA1）。 驗(yàn)證報(bào)頭的工作方式有傳輸模式和隧道模式。傳輸模式只對(duì)上層協(xié)議數(shù)據(jù)（傳輸層數(shù)據(jù)）和IP頭中的固定字段提供認(rèn)證保護(hù)，把AH插在IP報(bào)頭的后面，主要適合于主機(jī)實(shí)現(xiàn)。隧道模式把需要保護(hù)的IP包封裝在新的IP包中，作為新報(bào)文的載荷， 然后把AH插在新的IP報(bào)頭的后面。隧道模式對(duì)整個(gè)IP數(shù)據(jù)報(bào)提供認(rèn)證保護(hù)。