Cisco 无线安全解决方案.pdf

思科无线安全系统解决方案 Version 1 梁 凯 WLAN3G Product Team 目 录 1.1.1 统一、完善的端到端无线安全解决方案 3 1.1.1.1 用户的认证和加密 5 1.1.1.2 无线接入点的接入认证 6 1.1.1.3 无线控制帧的安全管理（MFP ） 8 1.1.1.4 基于 2-7 层内容的入侵检测系统（无线 IPS 、IDS 系统） 8 1.1.1.5 支持精确的非法 AP 定位和隔离，保证无线网络免受无线类的安全攻击.. 11 1.1.1.6 终端的安全接入保证（NAC ） 13 1.1.1.7 Mesh 回传链路数据的安全加密 14 1.1.1.8 终端快速、安全漫游机制的实现（CCKM ） 14 1.1.1.9 独特的访客隔离机制 14 1.1.1.10 安全的无线网络管理 16 1.1.1 统一、完善的端到端无线安全解决方案 由于无线信号的空间泄漏特性，以及802.11 技术的普及，随之而来的无线网络安全问题 也被广大用户普遍关注。如何在保证 802.11WLAN 的高带宽，便利访问的同时，增加强有力 的安全特性？业界的厂商纷纷研究发展了 802.11 技术，增强了无线局域网安全的各个方面， 并促成了诸如 802.1x/EAP，802.11i，WPA/WPA2 等标准的诞生，以及后续标准（如 802.11w ） 的制定。 Cisco 在无线局域网安全技术和标准制定方面，扮演了极为重要的角色，是 802.1x/EAP 无线环境应用的最早支持厂商，并在无线安全标准工作组中占据领导地位。 与其他网络一样，WLAN 的安全性主要集中于访问控制和隐私保护。健全的WLAN 访 问控制――也被称为身份验证――可以防止未经授权的用户通过接入点收发信息。严格的 WLAN 访问控制措施有助于确保合法的客户端基站只与可靠的接入点――而不是恶意的或者 未经授权的接入点――建立联系。 WLAN 隐私保护有助于确保只有预定的接收者才能了解所传输的数据。在数据通过一个 只供数据的预定接收者使用的密钥进行加密时，所传输的 WLAN 数据的隐私才视为得到了妥 善保护。数据加密有助于确保数据在收发传输过程中不会遭到破坏。 但是，无线局域网的安全并不仅仅局限于接入认证和数据加密。无线接入设备 AP 的物 理安全性，AP 连接到有线网络交换机的安全认证，基于无线访问位置的物理防护手段，如何 避免攻击，如何快速发现非法/假冒 AP ，对一个网络系统来讲也是十分重要的。 同时，随着最新的无线安全技术的发展，新的 802.11w 标准也被提上了议事日程， 802.11w 是对无线信号的管理帧进行安全管理的一种标准，思科已经在无线网络接入点和控制 器以及 CCX 的计划上支持了MFP 。 在部署 Mesh 网络的时候，由于所有信令和数据的传输都是通过 802.11a 的Backhaul 进行 回传，那么对于 11a 上的数据加密也是我们需要关心的安全问题。 思科无线网络的解决方案支持高效、多级别、多种类、多级的认证方式和加密技术，具 体如下： 无线终端用户的用户认证（用户名/密码，数字证书） 无线终端用户的数据加密（WEP ，TKIP，AES ） 无线接入点的接入认证 无线控制帧的安全管理（MFP ） 基于 2-7 层内容的入侵检测系统（无线 IPS 、IDS 系统） 支持精确的非法 AP 定位和隔离 射频干扰的检测和辨别 终端的安全接入保证（NAC ） Mesh 回传链路数据的安全加密 终端快速、安全漫游机制的实现（CCKM ） 独特的访客隔离机制，保证跨地区漫游用户与无线网内部用户的隔离。将访客和 无线网络完全逻辑隔离，在允许访客跨地区无线网络漫游访问互联网的同时保证 内部无线用户的安全 网络的安全管理 所以，思科提供了基于有线无线集成的统一的端到端的安全架构，系统构架如下 Secure Wireless Solution A