PDF《室外无线安全的最佳实践》

?

2016 思科和/或其附属机构.

版权所有.本文档所含内容为思科公开发布的信息. 第1页,共5页无线网络 室外无线安全的最佳实践 本文将介绍部署室外无线局域网的安全最佳实践. 挑战 很多地方政府都在设法通过部署无线局域网(WLAN)来改造他们的政府流程.WLAN 为改进业务运营、促进交流和向政 府职员、民众提供更好服务带来了创新的方法.另外,室外 WLAN 可以将现有的、面向有线网络的服务和应用拓展到城市 当前的物理基础设施之外. 越来越多的关键任务型业务应用和服务开始被部署到与公共互联网存在大量连接的开放网络之上.如果不采取适当的保护 和安全措施,互联网连接可能会危及那些能够帮助政府机构提高效率的生产率改进成果. 当关键任务型信息通过公共和专用网络基础设施传输时,必须执行必要的安全控制和风险消除策 略,以确保信息得到妥善 的保护和安全等级策略符合政府法规的要求.一个精心设计的、安全的 WLAN 可以帮助机构放心地将网络拓展到移动办公 人员、执法警官 和民众,从而提高生产率、加强安全性和开辟新的收入渠道. 解决方案 尽管将网络拓展到建筑物边界之外的想法可能会引起对安全问题的担忧,但是足以让 IT 管理人员感到放心的是:通过采取 适当的措施,室外无线网络可以像室内有线、无线局域网一样安全. 采用标准的企业安全手段 在室外无线网络行执行的公共安全和市政应用实际上是城市内部网络的延伸.因此,对于那些通过 室外无线网络访问城市 网络的人员,也应当采用与政府网络相同严格的安全措施.这些措施不仅可以保护政府网络的安全,还可以让远程办公人 员在现场办公室、家 中或者外出途中连接政府网络.思科的安全手段建立在思科自防御网络和 SAFE 蓝图架构的基础之上 .它们可以提供集成、安全的有线、无线、数据中心和互联网 访客接入.一个支持安全功能的基础设施可以从网络的核心 拓展到终端系统.网络中的每个设备DD从移动设备到台式机,从LAN 到WANDD都在一个保护网络 环境的、完全分布式的 防御系统中扮演着一定的角色.自防御网络可以发现威胁;

根据严重等级采取适当的措施;

隔离发生故障的服务器、台式 机和移动设备;

以及 针对攻击重新设置网络资源.终端安全设备包括思科网络准入控制(NAC)、思科安全代理和思科信 任代理.这些技术可以为 PC 和服务器提供行为保护,防止受 到过去没有见到过的新型攻击的影响,以及提供关于主机安 全状况的信息DD主机安全策略需要在允许网络访问之前对其进行验证. 思科安全解决方案采取了灵活、可定制的部署方式,可以利用客户对多种平台(例如专用安全设备 和基于路由器、交换机 的安全)和技术(例如防火墙、威胁防御、身份验证、授权和计帐[AAA],URL 过滤,802.1x)的已有投资.如图

1 所示 ,思科 自防御网络的组件可以在三个区域协同保护网络: ? 威胁防御,其中包括: ?

2016 思科和/或其附属机构.版权所有.本文档所含内容为思科公开发布的信息. 第2页,共5页o保护边缘DD利用防火墙和入侵防御系统(IPS)加固网络边缘,防止受到入侵和攻击的影响;

o 保护内部DD在重要节点采取安全措施,防止网络遭受新出现的内部攻击的影响 o 保护终端DD主动地防止主机遭到感染和破坏 ? 信任关系和身份识别,这意味着您始终知道谁在使用网络,并可以控制他们所能访问的内容 ? 加密通信,包括加密的内部、外部语音和数据通信. 图1思科统一无线网络架构 利用现有的无线局域网安全标准和最佳实践 对WLAN 的保护建立在拓展思科自防御网络战略的基础上.室外无线网络应当采用与室内 WLAN 一样的无线安全最佳实 践,确保对网络上的用户进行适当的身份验证和保护数据的隐私性.下面几节将概要介绍保护无线局域网的最佳实践.如 需查看对所 有这些领域的详细讨论,请参阅白皮书《保护企业无线局域网和防止无线威胁的五个步骤》. 加密通信 思科自防御网络的第一个核心原则是加密通信.在有线和无线环境中,这涉及到加密数据和对网络 用户进行身份验证.加 密和身份验证并不一定要配合使用,但是对于大部分企业网络而言,我们建议同时使用这两种手段.室外无线网络的一个 特殊例外是公用应 用,本文稍后将对其进行更加详细的讨论.例外,无线介质的某些特性使得它需要采取其他一些安全技 术来保护网络.这些额外的安全技术包括: ? 修改缺省 SSIDDD通过修改制造商的缺省服务集标识符(SSID),可以防止不速之客进入无线网络.但是,公共接 入SSID(访客接入 SSID)可以公开给普通民众使用. ?