【正文】 隧道模式對整個IP數(shù)據(jù)報提供認(rèn)證保護(hù)。傳輸模式只對上層協(xié)議數(shù)據(jù)（傳輸層數(shù)據(jù)）和IP頭中的固定字段提供認(rèn)證保護(hù)，把AH插在IP報頭的后面，主要適合于主機(jī)實(shí)現(xiàn)。 驗(yàn)證報頭的認(rèn)證算法有兩種： 一種是基于對稱加密算法（如DES），另一種是基于單向哈希算法（如MD5或SHA1）。AH協(xié)議提供無連接的完整性、數(shù)據(jù)源認(rèn)證和抗重放保護(hù)服務(wù)，但是AH不提供任何保密性服務(wù)。傳輸模式下，IPSec 主要對上層協(xié)議即IP包的載荷進(jìn)行封裝保護(hù)，通常情況下，傳輸模式只用于兩臺主機(jī)之間的安全通信。隧道模式的特點(diǎn)是數(shù)據(jù)包最終目的地不是安全終點(diǎn)。（1）安全關(guān)聯(lián)和安全策略：安全關(guān)聯(lián)（Security Association，SA）是構(gòu)成IPSec的基礎(chǔ)，是兩個通信實(shí)體經(jīng)協(xié)商建立起來的一種協(xié)定，它們決定了用來保護(hù)數(shù)據(jù)包安全的安全協(xié)議（AH協(xié)議或者ESP協(xié)議）、轉(zhuǎn)碼方式、密鑰及密鑰的有效存在時間等。IPSec的基本目的是把密碼學(xué)的安全機(jī)制引入 IP協(xié)議，通過使用現(xiàn)代密碼學(xué)方法支持保密和認(rèn)證服務(wù)，使用戶能有選擇地使用，并得到所期望的安全服務(wù)。IPSec能為IPv4/IPv6網(wǎng)絡(luò)提供能共同操作/使用的、高品質(zhì)的、基于加密的安全機(jī)制。IPSec協(xié)議是網(wǎng)絡(luò)層協(xié)議, 是為保障IP通信而提供的一系列協(xié)議族。但所有這些網(wǎng)絡(luò)手段只能是輔助性的，是防護(hù)性的。同時Ruckus AP還可以進(jìn)行限速，對于每一個客戶端的速率進(jìn)行嚴(yán)格限定，縱然客戶端中毒，病毒在網(wǎng)絡(luò)上泛濫也不會造成網(wǎng)絡(luò)的癱瘓，減緩病毒在網(wǎng)絡(luò)上傳播的速度。對網(wǎng)絡(luò)形成壓力，造成網(wǎng)絡(luò)系統(tǒng)的不穩(wěn)定。通過計(jì)算機(jī)網(wǎng)絡(luò)傳播，不改變文件和資料信息，利用網(wǎng)絡(luò)從一臺機(jī)器的內(nèi)存?zhèn)鞑サ狡渌麢C(jī)器的內(nèi)存，計(jì)算網(wǎng)絡(luò)地址，將自身的病毒通過網(wǎng)絡(luò)發(fā)送?？蛻舳酥卸緯斐尚阅芟陆?，不能正常工作，丟失文件，丟失密碼，形成僵尸被控制機(jī)所控制。我們認(rèn)為在無線產(chǎn)品中加入入侵偵測功能，并不能對用戶的網(wǎng)絡(luò)安全做到全方位的保護(hù)，同時還增加了用戶不必要的成本。入侵偵測只是報警并不能防范，所以還要與網(wǎng)絡(luò)安全服務(wù)商簽訂服務(wù)合同，通過人為的方式改變網(wǎng)絡(luò)的參數(shù)配置實(shí)現(xiàn)網(wǎng)絡(luò)的防入侵，防攻擊。入侵偵測是專業(yè)性非常強(qiáng)的技術(shù)，需要對網(wǎng)絡(luò)攻擊有深入的認(rèn)識。對已知攻擊的檢測:通過分析攻擊的原理提取攻擊特征，建立攻擊特征庫，使用模式匹配的方法，來識別攻擊； 對未知攻擊和可疑活動的檢測:通過建立統(tǒng)計(jì)模型和智能分析模塊，來發(fā)現(xiàn)新的攻擊和可疑活動。6．3．7無線網(wǎng)絡(luò)入侵偵測網(wǎng)絡(luò)監(jiān)控與入侵檢測系統(tǒng)將網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)實(shí)時捕獲下來，檢查是否有黑客入侵和可疑活動的發(fā)生，一旦發(fā)現(xiàn)有黑客入侵，系統(tǒng)將做出實(shí)時響應(yīng)和報警。6．3．6無線接入點(diǎn)安全偵測和保護(hù)采用Ruckus 無線系統(tǒng)的RF偵測功能和保護(hù)機(jī)制可以實(shí)時監(jiān)測園區(qū)無線網(wǎng)覆蓋區(qū)域內(nèi)的所有AP接入情況,如相鄰的AP、設(shè)置錯誤的AP以及未經(jīng)認(rèn)可而連接到網(wǎng)絡(luò)中的AP。認(rèn)證方式有以下幾種：1. 開放2. WEP3. WPA/WPA24. Zone Director支持的認(rèn)證方式用戶可以通過Ruckus ZoneDirector對無線用戶進(jìn)行認(rèn)證。WLAN入侵檢測系統(tǒng)通過結(jié)合協(xié)議分析、特征比對以及異常狀況檢測三種技術(shù)，對WLAN網(wǎng)絡(luò)流量進(jìn)行深入分析，并且能夠?qū)崟r阻斷非法連接。它能夠自動發(fā)現(xiàn)網(wǎng)絡(luò)中存在的Ad Hoc網(wǎng)絡(luò)，并且通過通知管理員來及時阻止可能造成的進(jìn)一步損害。，WLAN入侵檢測系統(tǒng)采用了分布式的結(jié)構(gòu)，將進(jìn)行數(shù)據(jù)采集的Sensor分布在WLAN的邊緣和關(guān)鍵地點(diǎn)，并且通過有線的方式將收集到的信息統(tǒng)一傳輸?shù)揭粋€集中的信息處理平臺。如果專門為無線配置防火墻，會造成不必要的設(shè)備成本的增加；分散的安全機(jī)制造成安全策略的不一致等。應(yīng)用級防火墻（應(yīng)用代理）在最高的應(yīng)用層提供高級別的安全防護(hù)和控制。它在內(nèi)部和外部兩個網(wǎng)絡(luò)之間建立一個安全控制點(diǎn)，對進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問進(jìn)行控制和審計(jì)。這是目前可以實(shí)現(xiàn)的較高數(shù)據(jù)安全等級的技術(shù)。由于它工作在網(wǎng)絡(luò)層，因此可以用于兩臺主機(jī)之間，網(wǎng)絡(luò)安全網(wǎng)關(guān)之間，或主機(jī)與網(wǎng)關(guān)之間。VPN只涉及發(fā)起端，終結(jié)端，因此對無線訪問點(diǎn)AP來講是透明的，并不需要在無線訪問點(diǎn)支持VPN。因此它是一種增強(qiáng)性無線網(wǎng)絡(luò)安全解決方案。 標(biāo)準(zhǔn)通過允許計(jì)算機(jī)和網(wǎng)絡(luò)彼此驗(yàn)證身份、生成通過無線連接加密數(shù)據(jù)的每用戶/每會話密鑰以及提供動態(tài)更改密鑰的能力來提高安全性。 是一個 IEEE 標(biāo)準(zhǔn)，用于對有線以太網(wǎng)和無線 網(wǎng)絡(luò)進(jìn)行經(jīng)過身份驗(yàn)證的網(wǎng)絡(luò)訪問。因?yàn)榘踩珕栴}，通常支持安全性較強(qiáng)的CHAP式認(rèn)證。Portal Server在獲得用戶的用戶名和密碼外，還會得到用戶的IP地址，以它為索引來標(biāo)識用戶。采用Portal認(rèn)證的接入設(shè)備必須具備這個能力。6．3．3增強(qiáng)型無線網(wǎng)安全機(jī)制若無線網(wǎng)傳輸?shù)臄?shù)據(jù)較為重要，或者連接到一個保密級別較高但又不能進(jìn)物理隔離的有線網(wǎng)絡(luò)的情況下，可以考慮采用增強(qiáng)的無線網(wǎng)安全防范措施。以上安全機(jī)制主要針對分布式胖的部署方式。當(dāng)然MAC地址是有可能被非法訪問者克隆，這要求我們妥善保管相關(guān)網(wǎng)卡的MAC信息，防止遺失。（5）MAC地址訪問控制列表對于小型的無線網(wǎng)，可以采用MAC訪問列表功能的精確限制哪些無線工作站可以連接到無線網(wǎng)中，而那些不在訪問列表中的工作站，是無權(quán)進(jìn)入無線網(wǎng)絡(luò)中的。除非為WPA設(shè)置了比如：ADMIN123，111222333444這樣的“大眾式”密鑰，容易被猜中而收錄在“字典”中，那么設(shè)置了復(fù)雜的密碼組合還是比較安全的。現(xiàn)在可以從互聯(lián)網(wǎng)上下載到很多破解WEP加密的工具軟件，象Airsnort這種工具可以對無線網(wǎng)信號進(jìn)行抓包，進(jìn)行破解WEP密鑰，避免這種工具破解最有效的方法就是給WEP設(shè)置較為健壯的128位密鑰，而不是40位的密鑰，這樣可以讓破解的難度加大，而需要更長的時間。隱藏SSID廣播功能可能對某些嗅探工具有用。只有制定完整的規(guī)章制度、行為準(zhǔn)則并和安全技術(shù)手段合理結(jié)合，網(wǎng)絡(luò)系統(tǒng)的安全才會有最大的保障。 4．七分管理，三分技術(shù)。 3．集中管理，重點(diǎn)防護(hù)。網(wǎng)絡(luò)安全工作應(yīng)服從組織信息化建設(shè)總體戰(zhàn)略，滾動式實(shí)現(xiàn)系統(tǒng)安全體系的統(tǒng)一。“一點(diǎn)突破，全網(wǎng)突破”，單個系統(tǒng)考慮安全問題并不能真正有效的保證安全，需要從整體IT體系層次建立網(wǎng)絡(luò)安全架構(gòu)，整體考慮，全面防護(hù)。 從管理角度講應(yīng)遵循以下原則 1．整體考慮，統(tǒng)一規(guī)劃。管理網(wǎng)絡(luò)的多臺安全設(shè)備需要集中網(wǎng)管。 6．網(wǎng)管。組織的員工外出、移動辦公、單位和合作伙伴之間、分支機(jī)構(gòu)之間通過公用的互聯(lián)網(wǎng)通信是必需的，因此加密通信和虛擬專用網(wǎng)（VPN）有很大的市場需求。入侵檢測和主動防衛(wèi)（IDS、IPS）作為一種實(shí)時交互的監(jiān)測和主動防衛(wèi)手段，正越來越多的被政府和企業(yè)應(yīng)用，但如何解決監(jiān)測效率和錯報、漏報率的矛盾，需要繼續(xù)進(jìn)行研究。這種看法越來越過時，實(shí)際上組織內(nèi)部網(wǎng)同樣需要一套強(qiáng)大的AAA系統(tǒng)。內(nèi)部網(wǎng)的管理和訪問控制相對外部的隔離來講要復(fù)雜得多。 3．身份認(rèn)證技術(shù)。 2．防病毒技術(shù)。 從技術(shù)角度而言 1．邏輯隔離技術(shù)。安全運(yùn)作體系提供安全管理和安全操作人員具體的實(shí)施指導(dǎo)，是整個安全體系的操作基礎(chǔ)。安全技術(shù)體系主要包括鑒別和認(rèn)證、訪問控制、內(nèi)容安全、冗余和恢復(fù)、審計(jì)和響應(yīng)。 完善的網(wǎng)絡(luò)安全體系應(yīng)包括安全策略體系、安全組織體系、安全技術(shù)體系、安全運(yùn)作體系. 安全策略體系應(yīng)包括網(wǎng)絡(luò)安全的目標(biāo)、方針、策略、規(guī)范、標(biāo)準(zhǔn)及流程等，并通過在組織內(nèi)對安全策略的發(fā)布和落實(shí)來保證對網(wǎng)絡(luò)安全的承諾與支持。6．3 Ruckus無線局域網(wǎng)系統(tǒng)的安全管理6．3．1網(wǎng)絡(luò)安全的體系架構(gòu) 網(wǎng)絡(luò)安全的任何一項(xiàng)工作，都必須在網(wǎng)絡(luò)安全組織、網(wǎng)絡(luò)安全策略、網(wǎng)絡(luò)安全技術(shù)、網(wǎng)絡(luò)安全運(yùn)行體系的綜合作用下才能取得成效。如果AP找到基于TR069的網(wǎng)管系統(tǒng)，則選擇TR069管理系統(tǒng)，否則選擇SNMP的網(wǎng)管系統(tǒng)，但同時AP仍然會繼續(xù)尋找基于TR069的網(wǎng)管系統(tǒng)。如果用戶新建網(wǎng)管系統(tǒng)，則建議采用新的TR069網(wǎng)管系統(tǒng)，如Ruckus公司的基于TR069協(xié)議的FlexMaster網(wǎng)管系統(tǒng)，安裝在一臺通用的Linux服務(wù)器上，就可以管理多達(dá)20000臺Ruckus公司的AP。Ruckus無線公司的AP既支持傳統(tǒng)的SNMP網(wǎng)管，也支持新型的TR069網(wǎng)管。AP的部署簡單，只需要配置好IP地址和TR069的集中網(wǎng)管服務(wù)器的URL，設(shè)備就會自動完成AP的復(fù)雜配置。6．2．5 SNMP和TR069SNMP簡單網(wǎng)管協(xié)議比較適合在企業(yè)網(wǎng)內(nèi)使用，當(dāng)用于管理大規(guī)模網(wǎng)絡(luò)的時候，SNMP會遇到不能穿透防火墻或NAT設(shè)備的難題。RADIUS，ZoneDirector 1000/，ZoneDirector 1000/3000和無線客戶端保存PMK，ZoneDirector 1000/3000把保存的PMK通知鄰近的AP，當(dāng)無線客戶端漫游到鄰近AP，搜索到同樣的SSID，無線客戶端會使用存儲的PMK和新的AP做4次握手，完成快速漫游切換。其效果和無線用戶在同一個ZoneDirector 1000/3000管理下的不同AP之間漫游的效果是一樣的。最高級別的系統(tǒng)冗余則是帶冗余的災(zāi)難恢復(fù)，多個地理冗余的數(shù)據(jù)中心共享同步的數(shù)據(jù)庫，數(shù)據(jù)中心可以是工作工作狀態(tài)，也可以是工作備份狀態(tài)，這樣可以從容應(yīng)對災(zāi)難性事件。最簡單、最初步的系統(tǒng)冗余備份是增加冗余的外置數(shù)據(jù)庫和FlexMaster服務(wù)器，增加一個負(fù)載均衡器來平衡每個FlexMaster服務(wù)器的負(fù)載，所有的FlexMaster服務(wù)器共用一個虛擬的IP地址。由于Ruckus無線公司的2942 AP采用專利的BeamFlex智能天線技術(shù)，AP只往有無線用戶的方向定向發(fā)送無線信號，而不象其它廠商的AP采用360度全向發(fā)送無線信號，因此大大減少了鄰近AP之間的相互干擾，ZoneDirector 1000/3000無需像其它廠商的無線交換機(jī)頻繁地調(diào)整AP的發(fā)射功率，這一點(diǎn)在動態(tài)環(huán)境下尤為重要。Ruckus無線控制器ZoneDirector 1000/3000自動設(shè)定AP的工作信道，當(dāng)檢測到AP工作信道有射頻干擾時，ZoneDirector 1000/3000會自動調(diào)整AP的工作信道來避免干擾。與現(xiàn)有的無線網(wǎng)相比較，工作環(huán)境更綠色環(huán)保，電磁輻射的目的性更強(qiáng)，更有效率。18． 支持智能WiFi MESH功能，有些難以布線的地方或臨時需要部署AP的地方，則可以采用無線MESH的方法，通過其它有以太網(wǎng)連接的2942 AP接入到大樓的有線以太網(wǎng)內(nèi)。16． 支持零配置安裝，全自動配置更新、軟件升級。15． 無線用戶數(shù)據(jù)流量缺省不經(jīng)過ZoneDirector 1000/3000進(jìn)行交換，沒有瓶頸，性能好，擴(kuò)展靈活。13． 支持基于每個SSID的用戶上行、下行數(shù)據(jù)輸率限制，防止使用PtP下載應(yīng)用的用戶大量占用寶貴的網(wǎng)絡(luò)帶寬。10． 支持?jǐn)?shù)據(jù)在無線信道上傳輸?shù)腣PN機(jī)制，以實(shí)現(xiàn)某些特殊的用戶數(shù)據(jù)集中管理；11． 支持無線電波監(jiān)控能力，能自動調(diào)整信道和發(fā)射功率，以減少干擾。具有提供智能化的無線電波自動調(diào)控與切換能力，以確保單個AP接入點(diǎn)在發(fā)生故障時無線用戶自動切換到鄰近AP，不會影響到用戶的無線接入服務(wù)。7． 支持合法用戶在在大樓內(nèi)無線網(wǎng)覆蓋范圍內(nèi)的漫游識別，認(rèn)證和計(jì)費(fèi)。5． 和大樓現(xiàn)有的AAA認(rèn)證計(jì)費(fèi)服務(wù)器相配合，、EAPTTLS等無線用戶認(rèn)證加密機(jī)制，合法用戶必須輸入正確的用戶名和密碼，通過AAA系統(tǒng)認(rèn)證后，才能接入訪問互聯(lián)網(wǎng)。3． 支持8個SSID，支持PoE。 實(shí)現(xiàn)的功能如下：1． 與現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)兼容，無需對現(xiàn)有網(wǎng)絡(luò)進(jìn)行任何調(diào)整和改變。RADIUSAAA服務(wù)器ZF2942 11g AP無線用戶EAP over wireless LAN (EAPOL)EAP over RADIUSPEAP, TTLS, TLS over EAP over wireless LAN (EAPOL) and over RADIUS 用戶的認(rèn)證和計(jì)費(fèi)可以通過ZoneDirector 1000/3000與大樓現(xiàn)有的AAA認(rèn)證計(jì)費(fèi)服務(wù)器聯(lián)系完成。ZoneDirector 1000/3000安裝在XX大樓的管理設(shè)備間，一臺ZoneDirector 1000/3000最多可以管理50/500個部署大樓內(nèi)的 AP。2942 AP如果和ZoneDirector 1000/3000處于同一個二層子網(wǎng)內(nèi)，那么AP通過二層子網(wǎng)內(nèi)廣播自動發(fā)現(xiàn)ZoneDirector 1000/3000，進(jìn)行軟件和配置的更新和管理。如采用Ruckus無線公司2942 11g AP，經(jīng)過3跳MESH連接后，帶寬約為7Mbps。這項(xiàng)技術(shù)對于已裝修的大樓或臨時增加無線覆蓋的應(yīng)用場景尤為重要。如果樓層有些地方難以實(shí)施綜合布線，則可以考慮采用Ruckus無線公司的智能MESH技術(shù)，2942 AP只需部署到所需的位置，通過220V AC/DC電源適配器對其進(jìn)行供電，2942 AP會自動發(fā)現(xiàn)周圍鄰居，并自動發(fā)現(xiàn)一條最佳的路徑連接到有線網(wǎng)。ZoneDirector 1000/3000則可以由部署在網(wǎng)管中心的FlexMaster網(wǎng)管系統(tǒng)集中遠(yuǎn)程管理。這樣無論2942 AP安裝本樓的在什么地方，都集中到安裝在本樓設(shè)備管理間的無線控制器ZoneDirector 1000/3000進(jìn)行管理。（7）實(shí)時監(jiān)視無線RF環(huán)境提供無線信號的熱敏圖，能夠?qū)崟r看到無線頻譜分布、無線信號強(qiáng)度。（6）提供審計(jì)log保存管理員操作日志，內(nèi)容包括時間、審計(jì)類型、重要程度、用戶帳號和日志具體信息。采用加密通道對AP進(jìn)行遠(yuǎn)程管理，管理更安全。FlexMaster網(wǎng)管服務(wù)器能夠查看設(shè)備log信息和存儲log文件。FlexMaster網(wǎng)管服務(wù)器可以實(shí)時查詢設(shè)備狀態(tài)，顯示設(shè)備信息，包括：型號, 設(shè)備名稱, MAC地址, 序列號，F(xiàn)irmware版本, 上次通信事件，組名稱等。(4)性能監(jiān)控和系統(tǒng)日志文件無論是哪種方式，版本的決策都由FlexMaster網(wǎng)管服務(wù)器來控制。（2）集中配置管理配置管理由FlexMaster網(wǎng)管服務(wù)器控制發(fā)起，通過在FlexMaster網(wǎng)管服務(wù)器上按組或設(shè)備