【正文】 并可以使 WiFi 網(wǎng)絡(luò)硬件提供商在 發(fā)布之前提供標(biāo)準(zhǔn)化的高安全性選項(xiàng)。WiFi 聯(lián)盟（一個頂級 WiFi 供應(yīng)商聯(lián)盟）采用 的一個早期版本，并將其發(fā)布到一個稱作 WPA（WiFi 保護(hù)訪問）的行業(yè)標(biāo)準(zhǔn)中。這可能會給 RADIUS 服務(wù)器帶來無法接受的負(fù)載。通過使用加密技術(shù)，攻擊者可以修改 WLAN 框架中的信息并更新框架的整體性校驗(yàn)值，同時不會被接收者發(fā)現(xiàn)。盡管機(jī)密數(shù)據(jù)不可能使用廣播進(jìn)行傳輸，但由于對全局傳輸使用靜態(tài)密鑰，因此使攻擊者可以發(fā)現(xiàn)網(wǎng)絡(luò)相關(guān)信息，例如 IP 地址以及計算機(jī)和用戶名。4 WPA 認(rèn)證盡管使用 動態(tài)重新加密的 WEP 對于多個實(shí)際用途比較安全，但仍存在一些有待解決的問題，包括：WEP 使用單獨(dú)的靜態(tài)密鑰用于諸如廣播數(shù)據(jù)包這樣的全局傳輸。通過域成員身份對訪問進(jìn)行控制可使與 WLAN 有關(guān)的額外管理開銷降到最低。IEEE 為可擴(kuò)展的身份驗(yàn)證協(xié)議 (EAP) 安全類型提供的支持使您能夠使用諸如智能卡、證書以及 Message Digest 5 (MD5) 算法這樣的身份驗(yàn)證方法。中央 RADIUS 服務(wù)器處理此請求并準(zhǔn)予或拒絕連接請求。IEEE 支持 Internet 身份驗(yàn)證服務(wù) (IAS)，這種服務(wù)執(zhí)行遠(yuǎn)程身份驗(yàn)證撥號用戶服務(wù) (RADIUS) 協(xié)議。需要配置同認(rèn)證服務(wù)器（radius server相應(yīng)的CA..客戶端需求：Windows XP SP2 （必須配備支持 和動態(tài) WEP 或 WPA 加密的 WLAN 網(wǎng)絡(luò)適配器）IEEE 身份驗(yàn)證提供對 無線網(wǎng)絡(luò)和對有線以太網(wǎng)網(wǎng)絡(luò)的經(jīng)驗(yàn)證的訪問權(quán)限。需要配置認(rèn)證服務(wù)器（radius server）支持 。使用 PEAP 對于防范目標(biāo)是基于密碼的 EAP 方法的攻擊而言非常重要。思科無線局域網(wǎng)控制器支持使用結(jié)合 MSCHAP v2 協(xié)議的 PEAP 進(jìn)行密碼驗(yàn)證、使用 EAPTLS 進(jìn)行證書驗(yàn)證。這種方法必須與安全可擴(kuò)展驗(yàn)證協(xié)議 (EAP) 結(jié)合使用?？蛻舳诵枰渲谜_的SSID,選用WEP開啟，配置相應(yīng)的WEP的密鑰即可。思科無線局域網(wǎng)控制器比對自己內(nèi)部的用戶數(shù)據(jù)，正確即可正常連接網(wǎng)絡(luò)?？蛻舳顺枰渲谜_的SSID,不需要其他任何配置。 開放式本地網(wǎng)絡(luò)認(rèn)證它可確保訪客如不首先通過公司防火墻，就無法接入公司網(wǎng)絡(luò)。此外，思科已開發(fā)了主動密鑰緩存(PKC)，、可通過AES加密和RADIUS驗(yàn)證實(shí)現(xiàn)安全漫游。安全移動—在移動環(huán)境中保持最高安全水平。 QoS—多個服務(wù)級別，帶寬減少，流量整形和RF利用 VLAN分配 第二層安全功能— (PEAP, LEAP, TTLS), WPA, (WPA2)和L2TP思科無線局域網(wǎng)系統(tǒng)使企業(yè)可為無線用戶或用戶組提供不同的安全策略。這使系統(tǒng)管理員能快速評估威脅級別，立即按需采取措施來抵御威脅。 ，帶多種可擴(kuò)展驗(yàn)證協(xié)議(EAP)類型—受保護(hù)EAP (PEAP)，帶傳輸層安全的EAP(EAPTLS)，帶隧道化TLS的EAP (EAPTTLS)和思科LEAP無線局域網(wǎng)控制器實(shí)現(xiàn)嚴(yán)格的安全性思科無線局域網(wǎng)控制器符合最嚴(yán)格的安全標(biāo)準(zhǔn)，包括：思科無線局域網(wǎng)控制器所管理的特定智能RF功能包括：思科WLAN系統(tǒng)使用即將榮獲專利的無線資源管理(RRM)算法，來實(shí)時發(fā)現(xiàn)空中無線資源使用的變化并作出調(diào)整。同時QoS的擁塞避免機(jī)制，如數(shù)據(jù)包丟棄WRED也可以同時在相應(yīng)的廣域網(wǎng)端口上實(shí)施，以保證高優(yōu)先級業(yè)務(wù)數(shù)據(jù)的服務(wù)質(zhì)量。l 數(shù)據(jù)中心之間的廣域網(wǎng)鏈路，數(shù)據(jù)中心與一級節(jié)點(diǎn)之間的廣域網(wǎng)鏈路都是可能發(fā)生擁塞的網(wǎng)段，需要使用QoS的擁塞管理機(jī)制，CBWFQ。 QoS擁塞管理與擁塞避免l 由于數(shù)據(jù)中心局域網(wǎng)多采用千兆或捆綁的多千兆端口互聯(lián)，應(yīng)該不會存在網(wǎng)絡(luò)擁塞的情況。l OA業(yè)務(wù)及視頻類l 在數(shù)據(jù)中心內(nèi)部，EAS類數(shù)據(jù)服務(wù)和視頻數(shù)據(jù)主要在交換核心一側(cè)，所以，數(shù)據(jù)優(yōu)先級分類可以在數(shù)據(jù)中心核心交換機(jī)等交換機(jī)上根據(jù)應(yīng)用類型或連接相應(yīng)網(wǎng)段的交換端口上完成。 QoS數(shù)據(jù)分類l 業(yè)務(wù)類l 在網(wǎng)絡(luò)數(shù)據(jù)中心內(nèi)部，辦公類應(yīng)用數(shù)據(jù)和業(yè)務(wù)類數(shù)據(jù)主要在業(yè)務(wù)交換核心一側(cè)，所以，數(shù)據(jù)優(yōu)先級分類可以在數(shù)據(jù)中心核心交換機(jī)上根據(jù)連接主機(jī)的端口上完成。 IP優(yōu)先級劃分l 針對本公司信息化網(wǎng)絡(luò)的實(shí)際的應(yīng)用情況，可以把需要使用QOS的各種應(yīng)用劃分為5類：1. 辦公類應(yīng)用：這是對延時非常敏感的一種應(yīng)用，實(shí)時性要求高，應(yīng)該定義為最高級別的優(yōu)先級；2. 視頻/語音： 這類數(shù)據(jù)對延時也非常敏感，但屬于多媒體業(yè)務(wù)，可以定義為次優(yōu)先級；3. 工程類業(yè)務(wù)： 這類數(shù)據(jù)的特點(diǎn)是交易包長度固定，交易時限要求實(shí)時，上下行數(shù)據(jù)流量基本對等，因?yàn)槭蔷W(wǎng)絡(luò)中的關(guān)鍵應(yīng)用，所以應(yīng)定義為比較高的優(yōu)先級；4. 管理類業(yè)務(wù)： 這類數(shù)據(jù)通常對網(wǎng)絡(luò)實(shí)時性要求不高，可定義為一般優(yōu)先級業(yè)務(wù)；5. 其它應(yīng)用： 其它應(yīng)用包括大部分Internet訪問，典型的應(yīng)用是FTP或HTTP等，可以把這類應(yīng)用定義為最低的優(yōu)先級。l 步驟四：報告――具有多種報告功能，它可以產(chǎn)生報告、圖表、數(shù)據(jù)和簡單網(wǎng)絡(luò)管理協(xié)議的管理信息庫（SNMP MIB）。您可以為每個對話（session）、每個應(yīng)用程序指定具體的帶寬。l 步驟二：分析――提供詳細(xì)的應(yīng)用程序性能和網(wǎng)絡(luò)效率分析，描述最大和平均帶寬利用率、響應(yīng)時間（細(xì)分到網(wǎng)絡(luò)與服務(wù)器延遲等）、最主要的用戶、網(wǎng)頁、應(yīng)用程序以及其他信息。l 步驟一：分類――自動根據(jù)應(yīng)用程序的種類、子網(wǎng)、URL 和其他信流特征，將網(wǎng)絡(luò)信息流分成為不同的類別。l 針對貴公司信息網(wǎng)，整網(wǎng)部屬Q(mào)oS以來滿足應(yīng)用數(shù)據(jù)的分類傳輸，保證關(guān)鍵應(yīng)用的網(wǎng)絡(luò)質(zhì)量。它能根據(jù)一個特定信息流的特點(diǎn)，根據(jù)IP地址，子網(wǎng)，服務(wù)器地點(diǎn)，TCP應(yīng)用口，域名及應(yīng)用將這個信息流和其它信息流區(qū)分開來，再根據(jù)不同的需要給予適當(dāng)或應(yīng)有的帶寬分區(qū)（Partition）和帶寬政策（Policy）。專業(yè)流量控制器通過對通訊兩端機(jī)器通訊流量的同時及直接控制，有效地解決擁擠和阻塞。通過國際互聯(lián)網(wǎng)或內(nèi)聯(lián)肉進(jìn)行的各種應(yīng)用遇到響應(yīng)遲緩及中斷等問題，尤其是圖象和語音，通訊質(zhì)量得不到保障。TCP/IP 協(xié)議的天然屬性以及路由器上優(yōu)化技術(shù)的不完美為問題的解決帶來重重障礙。ISP接入的處理ISP接入地址由ISP供應(yīng)商提供。服務(wù)器群地址：在網(wǎng)絡(luò)系統(tǒng)中有大量服務(wù)器，為了對服務(wù)器進(jìn)行統(tǒng)一的管理，（），服務(wù)器群所使用的VLAN ID與網(wǎng)段第三個數(shù)字相同為VLAN 10。IP地址分類網(wǎng)絡(luò)設(shè)備地址：網(wǎng)絡(luò)系統(tǒng)所有網(wǎng)絡(luò)設(shè)備所使用的VLAN/IP地址服務(wù)器群地址：網(wǎng)絡(luò)系統(tǒng)中對內(nèi)/對外的服務(wù)器所使用的VLAN/IP地址；網(wǎng)絡(luò)管理地址：網(wǎng)絡(luò)系統(tǒng)管理人員及中心機(jī)房內(nèi)的電腦所使用的VLAN/IP地址；固定用戶：相對固定的網(wǎng)絡(luò)用戶，分別屬于各個接入層的用戶所使用的VLAN/IP地址；動態(tài)用戶：通過DHCP自動分配地址的接入網(wǎng)絡(luò)的用戶所使用的VLAN/IP地址；VPN用戶：通過VPN接入網(wǎng)絡(luò)的用戶所使用的IP地址ISP接入：需要訪問INTERNET所需要的IP地址網(wǎng)絡(luò)設(shè)備地址為了更好的對網(wǎng)絡(luò)系統(tǒng)進(jìn)行管理監(jiān)控，需要為網(wǎng)絡(luò)設(shè)備分配一個IP地址，根據(jù)前面所建議的，我們采用C類地址，使用24位掩碼（）作為網(wǎng)絡(luò)設(shè)備的地址，這樣就將網(wǎng)絡(luò)內(nèi)部用戶所使用的IP地址與網(wǎng)絡(luò)設(shè)備地址區(qū)分開，所產(chǎn)生的效果是既加強(qiáng)的網(wǎng)絡(luò)系統(tǒng)的安全性，又方便了網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)設(shè)備的管理。為了與用戶地址進(jìn)行區(qū)分，采用C類地址，使用24位掩碼（）作為網(wǎng)絡(luò)設(shè)備的地址。以便于日后的網(wǎng)絡(luò)擴(kuò)展，方便管理，有利于網(wǎng)絡(luò)信息安全。為了域名正確匹配網(wǎng)絡(luò)地址，在省廳網(wǎng)管中心設(shè)置一個域名服務(wù)器（DNS）。一些單位如果不能明確劃分，可劃入“其它”類。第二層域?yàn)橛脩魧佑颍话氵@一層域名與頂層域名一起，基本上可以描述該用戶的名稱等性質(zhì)。域名系統(tǒng)（DNS）是Internet/Intranet解決無意義的IP地址和有意義的名字之間的映射的網(wǎng)絡(luò)服務(wù)機(jī)制。 IP地址規(guī)劃設(shè)計本公司網(wǎng)絡(luò)作為一個覆蓋全各系統(tǒng)，基于TCP/IP協(xié)議的網(wǎng)絡(luò)系統(tǒng)，IP地址和域名應(yīng)該遵循統(tǒng)一規(guī)則。簡化業(yè)務(wù)：通過分布式鏈路聚合技術(shù)，實(shí)現(xiàn)多條上行鏈路的負(fù)載分擔(dān)和互為備份，從而提高整個網(wǎng)絡(luò)架構(gòu)的冗余性和鏈路資源的利用率，并且支持堆疊組內(nèi)所有設(shè)備的單一IP管理。10）、交換機(jī)的管理安全網(wǎng)絡(luò)管理可以說是網(wǎng)絡(luò)中最薄弱的一個環(huán)節(jié)，因?yàn)橐坏┕粽叩卿浗粨Q機(jī)，那么交換機(jī)配置的所有安全防范措施則化為烏有，因此必須重視交換機(jī)管理安全：一般的網(wǎng)絡(luò)管理協(xié)議：SNMPv2，Telnet，Web等都是明文登錄和傳輸信息的，因此，盡量使用SSH、SNMPv3等秘文傳輸方式登錄交換機(jī)，因?yàn)樗鼈兌寂c交換機(jī)之間都是加密傳輸。防范：在交換機(jī)上啟用IGMP 源端口檢查的功能，從而達(dá)到防范非法組播源的目的。打開端口對應(yīng)風(fēng)暴控制開關(guān)，則該端口對應(yīng)輸入報文的速度限制為12288幀/秒，百兆接口缺省限制廣播和未知名單播的速度，限制為12288幀/秒。被監(jiān)控的攻擊主機(jī)數(shù)量、隔離用戶的時間都可以根據(jù)網(wǎng)絡(luò)實(shí)際狀況設(shè)置。7）、IP掃描攻擊許多黑客攻擊、網(wǎng)絡(luò)病毒入侵都是從掃描網(wǎng)絡(luò)內(nèi)活動的主機(jī)開始的，大量的掃描報文也急劇占用網(wǎng)絡(luò)帶寬，導(dǎo)致正常的網(wǎng)絡(luò)通訊無法進(jìn)行。攻擊報文主要是采用偽裝源IP。對于接入層交換機(jī)，在沒有冗余鏈路的情況下，盡量不用開啟STP協(xié)議。防范：使用交換機(jī)具備的BPDU Guard功能，可以禁止網(wǎng)絡(luò)中直接接用戶的端口或接入層交換機(jī)的下連端口收到BPDU報文。防范有以下幾種：? 交換機(jī)端口安全：端口靜態(tài)綁定；? 交換機(jī)整機(jī)綁定IP和MAC地址；? DHCP動態(tài)綁定；? ，可在交換機(jī)上自動綁定用戶的IP和MAC；綁定后，交換機(jī)檢查IP報文中源IP和源MAC是否和交換機(jī)中管理員設(shè)定的是否一致，不一致，報文丟棄（在SAM環(huán)境中，并發(fā)送告警信息）。ARP欺騙的防范：利用交換機(jī)端口ARP檢查安全功能：打開ARP報文檢查ARP報文中的源IP和源MAC是否和綁定的一致，可有效防止安全端口上欺騙ARP，防止非法信息點(diǎn)冒充網(wǎng)絡(luò)關(guān)鍵設(shè)備的IP（如服務(wù)器），造成網(wǎng)絡(luò)通訊混亂。這比僅僅設(shè)定交換機(jī)某個端口可以接受DHCP響應(yīng)報文更合理和可靠。交換機(jī)CPU處理后，以單播的形式發(fā)往指定的DHCP Server。 防范：接入交換機(jī)一般不具有DHCP Relay功能，收到DHCP請求廣播報文后，并在VLAN內(nèi)是向所有端口轉(zhuǎn)發(fā)。DHCP攻擊之二：非法DHCP Server，為合法用戶的IP請求分配不正確的IP地址、網(wǎng)關(guān)、DNS等錯誤信息，不僅影響合法用戶的正常通訊，還導(dǎo)致合法用戶的信息都發(fā)往非法DHCP Server，嚴(yán)重影響合法用戶的信息安全。防范：利用交換機(jī)端口安全功能：MAC動態(tài)地址鎖和端口靜態(tài)綁定MAC、1x端口下的自動動態(tài)綁定用戶IP/MAC，來限定交換機(jī)某個端口上可以訪問網(wǎng)絡(luò)的MAC地址，從而控制：那些通過變化MAC地址來惡意請求不同IP地址和消耗IP資源的DHCP攻擊。防范：利用交換機(jī)端口安全功能下的MAC動態(tài)地址鎖/端口靜態(tài)綁定MAC，或1x端口下端口自動動態(tài)綁定MAC/IP，來限定交換機(jī)某個端口上可以學(xué)習(xí)的源MAC數(shù)量或源MAC地址，當(dāng)該端口學(xué)習(xí)的MAC數(shù)量超過限定數(shù)量時，交換機(jī)將產(chǎn)生違例動作。 防網(wǎng)絡(luò)攻擊設(shè)計網(wǎng)絡(luò)中針對交換機(jī)的攻擊和必須經(jīng)過交換機(jī)的攻擊主要有如下幾種：?MAC 攻擊?DHCP攻擊?ARP攻擊?IP/MAC欺騙攻擊?STP攻擊?DoS/DDoS攻擊?IP掃描攻擊?網(wǎng)絡(luò)設(shè)備管理安全1）、MAC攻擊攻擊一：MAC地址欺騙，將合法的MAC 地址修改成不存在的MAC 地址或其它計算機(jī)的MAC 地址，從而隱藏自己真實(shí)的MAC，來達(dá)到一些不可告人的目的，這就是MAC 地址欺騙。rule 2 deny icmp any any阻斷感染病毒的PC向外發(fā)送大量的ICMP報文，防止其堵塞網(wǎng)絡(luò)。在這里可以利用接入層交換機(jī)的ACL來關(guān)閉ICMP服務(wù)，以及相應(yīng)端口，達(dá)到控制沖擊波病毒傳播的目的。遭到?jīng)_擊波病毒感染的計算機(jī)會出現(xiàn)如下癥狀：用戶上網(wǎng)變慢，ping丟包嚴(yán)重；莫名其妙地死機(jī)或重新啟動計算機(jī)；IE瀏覽器不能正常地打開鏈接；不能復(fù)制粘貼；有時出現(xiàn)應(yīng)用程序，比如Word異常。如果攻擊成功，會監(jiān)聽目標(biāo)系統(tǒng)的TCP/4444端口作為后門。蠕蟲選擇目標(biāo)IP地址的時候會首先選擇受感染系統(tǒng)所在子網(wǎng)的IP，然后再按照一定算法隨機(jī)在互連網(wǎng)上用ICMP 掃描的方法選擇目標(biāo)攻擊，即發(fā)送大量的ICMP報文（Ping包）。然后蠕蟲會在注冊表中添加以下鍵值：“windows auto update”=“”以保證每次用戶登錄的時候蠕蟲都會自動運(yùn)行。因?yàn)樵撀┒从绊懰袥]有安裝MS03026補(bǔ)丁的Windows2000、Windows XP、Windows 2003系統(tǒng)，不僅是服務(wù)器，也包括個人計算機(jī)在內(nèi)，所以危害極大。另外，也提供充足的時間讓網(wǎng)絡(luò)中的客戶進(jìn)行殺毒、修復(fù)等，等攻擊隱患消除后，再開啟對應(yīng)的服務(wù)端口（需要提供Web服務(wù)的服務(wù)器）。根據(jù)監(jiān)聽分析通過一個60多臺IIS服務(wù)主機(jī)的網(wǎng)絡(luò)，RED CODE內(nèi)外相互攻擊包每秒通過路由器平均達(dá)4239個，傳播速度非常驚人；如下圖：紅色代碼及其變種利用微軟IIS遠(yuǎn)程緩存溢出的漏洞獲得系統(tǒng)權(quán)限，并在這個感染的Web服務(wù)器上拷貝一個后門程序，在IIS上設(shè)置完全共享的虛擬目錄，給黑客完全的訪問權(quán)限，從而可以全面控制被攻擊網(wǎng)絡(luò)的全部資源，對網(wǎng)絡(luò)的安全構(gòu)成極高的威脅。病毒大量掃描和DoS攻擊導(dǎo)致網(wǎng)絡(luò)路由器和三層交換機(jī)過載，表現(xiàn)為用戶上網(wǎng)速度變慢，網(wǎng)絡(luò)阻塞。 防網(wǎng)絡(luò)病毒設(shè)計現(xiàn)在網(wǎng)絡(luò)病毒對網(wǎng)絡(luò)的沖擊影響已經(jīng)越來越大，如非常猖狂的紅色代碼（codered）、沖擊波（MS Blaster）等網(wǎng)絡(luò)病毒，所以有必要對網(wǎng)絡(luò)病毒繼續(xù)有效的控制。2）、VLAN Routing每一個VLAN 都具有一個標(biāo)識，不同的VLAN 標(biāo)識亦不相同，交換機(jī)在數(shù)據(jù)鏈路層上可以識別不同的VLAN標(biāo)識，但不能修改該VLAN標(biāo)識，只有VLAN標(biāo)識相同的端口