中小企业WiFi网络安全接入策略规划

中小企业WiFi网络安全接入策略规划

中小企业对于WLAN的需求在不断的增长中，且这种趋势呈现良好的发展势头，与此同时，企业对于无线的安全接入也存在着不同程度的要求，从简单方便到复杂可靠，从注重个体权限到希望整体易于操作实现，不管企业使用无线的目的如何，或多或少地都对无线地安全接入问题给予一些规划考虑。这里我们基于中小企业WLAN网络应用自身的特点，并结合无线网络现有的技术体系，介绍一些适于中小企业WLAN使用的安全接入策略。

1.     企业整体网络规划为内部员工使用，不希望泄漏的信号为企业外部人员利用，同时要求内部员工无线接入方式要求简单方便。

A.  采用隐藏SSID的方式保证企业外部的人员搜索不到网络。

     在服务模板开启beacon ssid-hide功能后，无线客户端（如无线网卡）将搜索不到SSID。这样企业内部员工可以采用手动在终端添加SSID的方法接入网络，而企业外部的人员则无法搜索到SSID，从而无法接入无线网络。这种方式比较简单，安全性较弱。

B.  采用WEP加密方式保证合法用户才能接入网络

     服务模板配置成crypto方式，加密方式采用WEP，这种方式对于一些要求需要输入密钥才能接入，同时注重主动修改密钥以防人员泄漏造成非法接入的企业来说比较适用，简单方便，安全程度适中。如果在企业内部对于某些人群需要保证内部的隔离安全要求，可以结合SSID隐藏方式，设置一个特殊的SSID并隐藏以供其使用。

2.     无线网络使用规划为给企业内某些群体或者个体使用，亦或是网络规划为不给某些群体或者个体使用时，采用配置黑白名单的方式予以实现。

A.  采用白名单方式确保只有在名单内的无线终端才能接入网络。

在wlan ids域中开启whitelist，在whitelist中添加上允许接入的终端MAC地址，这样就可以实现只有在whitelist中的终端才能接入，不在whitelist中的终端则无法接入。

B.  采用黑名单方式确保在名单内的无线终端无法接入网络。

在wlan ids域中开启static-blacklist名单，在此名单中添加不允许接入无线网络的MAC地址，这样可以保证不在此名单的终端可以接入无线网络。

3.     无线网络安全要求采用密码方式，同时要求无线采用WPA/WPA2安全架构；终端不希望安装认证客户端，但需要对客户终端进行身份合法验证，这种需求可以采用PSK加密认证方式、MAC认证方式、Portal认证方式及三者间柔和方式实现。

A.     采用PSK认证加密方式，输入正确的密钥后才能接入无线网络。

       PSK方式是WPA/WPA2架构中的个人模式，同WEP在应用上相似，输入一个密钥即可接入网络，然而其安全性要高很多，空口报文都是使用WPA/WPA2架构中的安全级别中很高的算法加密的。

B.  采用MAC认证方式，无需输入密钥或者用户密码，无线接入时合法用户即可接入网络。

1)     在AP（FAT）或者AC上配置MAC认证，在本地创建local-user用户，使用无线终端的MAC地址（小写，中间无“：”和者“-”符号）作为用户名和密码（和用户名格式一样）。只有在本地创建的终端才能接入无线网络。本地用户创建容量为1K。

2)     在AP（FAT）或者AC上配置MAC认证，采用IMC（或者CAMS）或者微软IAS作为Radius，验证接入无线终端。Radius上的用户名和密码采用同样的方式，即采用无线终端的MAC地址，小写，中间没有字符连接符。

C.  采用MAC＋PSK认证方式，两种方式合理搭配，PSK保证无线空口安全，MAC确保终端合法，且操作简单方便。

D.  采用Portal认证方式。这种方式采用WEB页面方式认证，客户端无需安装特殊客户端即可支持。终端需要输入用户名和密码才能登录网络。Portal认证方式包括通过外置Portal Server方式实现和本地Portal认证方式实现两种方式。

E.  采用Portal认证＋PSK认证方式。无线空口采用PSK认证保证，用户身份采用Portal认证保证，相得益彰，安全较高，可操作性强。

4.     无线安全更高级别的认证就是采用802.1X认证方式，包括eap-tls和eap-peap两种，都需要安装证书。Radius可以采用IMC（或者CAMS）或者微软IAS。

A.   采用AC（或者AP）配合IMC（或者CAMS）进行802.1X认证，在IMC和客户端上都安装证书，客户端采用微软自带客户端。无线采用WPA/WPA2安全架构，加密方式选择TKIP或者CCMP。

B.  采用AC（或者AP）配合IAS进行802.1X认证，在IAS服务器上同时启用证书服务，客户端采用微软自带客户端，无线同样采用WPA/WPA2安全架构。

5.     通过本地定义ACL访问控制或者通过Radius下发，控制用户使用网络的资源。

A.     采用本地定义基于IP或者MAC的ACL，限制某些客户端的访问权限，如同有线网络的ACL一样，可实现对用户权限具体细化的一些要求。

B.    采用和Radius结合的认证方式，如Portal认证，802.1X认证。在认证通过时，通过Radius下发一些属性限制用户的权限，如下发VLAN属性，ACL属性等。Radius可以采用IMC服务器，或者微软IAS服务器。

6.     采用EAD整体接入安全策略，既保证无线安全接入，又实现对无线客户端的安全检查。

客户端采用iNode客户端，服务器采用IMC，并安装EAD和WSM组件，实现对无线用户的安全端点准入防御控制。