金融WLAN网络的安全与运维
方案相关内容
WLAN网络“三分靠建、七分靠管”。建的安全,管的规范才能让WLAN在金融行业充分发挥作用。
近年来在金融办公网及“精品网点”等场景,无线Wi-Fi技术无论是作为有线网络的补充或是局部取代有线网络,都有其现实意义。
金融业是安全敏感型行业,任何一套系统的运行开通或技术的实施都必须考虑安全问题,业内专家认为,中国的金融信息化要实现“管理集中、风险防范、绩效评估、客户至上、接轨国际和面向未来”这些要求,而由于WLAN其本身的实现机制,需要通过电磁波为传播介质,具有空口开放、容易受到监听等天然缺陷。另外,传统的胖AP逐点部署与管理也给网络管理员带来了较大的安全威胁与管理难度。相对于其他行业,WLAN未能在金融行业大量应用正是由于这个原因,因此必须采用切实有效的手段,建立企业级的安全策略和运维管理机制,既保留WLAN网络灵活、移动的特色,又能保障WLAN网络的安全和高效。本文主要从安全和运维管理两个角度,阐述在金融行业中应用WLAN网络需要注意的一些问题。
一、 建立空口加密,保障链路层安全
由于WLAN的开放式访问方式,非法用户可以未经授权而擅自使用网络资源,不仅会占用宝贵的无线信道资源,增加带宽费用,降低内部用户的服务质量,更重要的是会成为金融的安全泄密点,因此利用WLAN进行通信必须具有较高的通信保密能力,目前有多种技术及手段可保证WLAN的安全管理,首先就是建立无线的空口加密机制。主要的方法为对数据报文进行加密,保证只有特定的设备可以对接收到的报文成功解密,其他的设备虽然可以接收到数据报文,但是由于没有对应的密钥,无法对数据报文解密,从而实现WLAN数据的安全性保护。
二、 开通企业接入策略,保障网络层安全
空口加密只是WLAN安全管理的第一步,只是保证了接入无线网络的空口安全,由于金融客户采用WLAN主要进行办公及开展Wi-Fi Portal推送等业务,必须要和生产网隔离开来,因此有必要对WLAN实施企业级的接入控制策略,对每个接入的终端进行认证鉴权,控制其可达网络的范围。
对终端用户实施接入控制策略包含三方面的手段:
热点用户隔离
通过限制相同SSID下的接入用户的互访,可以保证终端用户无法在AP接入点上做互访,而不同SSID下的用户所对应的是不同的VLAN,因此所有的数据流量必须上行到AC,由AC控制器统一进行转发、交换和策略控制,从而防止信息进行本地交换而造成网络性能下降或病毒的泛滥等安全事件。
用户接入认证
通过用户接入认证实现对接入用户的身份认证,为网络服务提供安全保护。常用的无线接入认证主要有802.1X接入认证、MAC接入认证以及有线网络常用的Portal认证和PPPoE认证等。
动态控制用户权限
接入认证只解决了用户的身份验证问题,而无法对不同身份的用户提供不同等级的服务和访问权限,通过和Radius策略服务器配合,将带宽、VLAN、ACL、优先级等参数动态下发给终端用户,对于不同的用户群和业务可以控制其访问网络的权限,限制网络资源的使用,通过VLAN和优先级来标识用户和业务,并做到业务隔离。
对于内部办公的用户,必要时可部署终端准入控制(EAD)解决方案,通过增强的Radius策略服务器与无线客户端、WLAN设备和第三方软件配合,对接入WLAN网络的用户终端强制实施企业安全策略,比如是否正确安装杀毒软件、版本是否正确,操作系统是否安装了最新的补丁,是否安装了一些违规软件等,严格控制终端用户的网络使用行为,加强WLAN网络的主动防御能力。
另外,再配合Rogue AP检测功能,AC无线控制器可以识别并屏蔽所有非法接入的AP设备,从而确保了无线网络私搭乱建的威胁。通过以上方案,WLAN网络可以保证一个合法的用户被限定到一个唯一的网络访问路径中,并在这个网络中只能访问到限定的网络资源,同时又不会受到外界的侵犯,保证了WLAN网络在金融行业应用的端到端安全。但是金融机构是一个分布广、人员多的大型企业,WLAN规模部署不同于单点建设,安全策略如何便捷、快速、统一的部署变得更为重要,否则即使再安全的方案,也难免存在漏洞。
因此,近两年不仅仅是WLAN网络,甚至是整个IT的运维管理机制已和安全问题受到同等的关注。WLAN网络“三分靠建、七分靠管”,要充分发挥WLAN的作用,使WLAN能够提供高效、可靠的业务,功能强大的网络管理应成为WLAN的重要组成部分,无线网络直接面对最终用户,对管理系统稳定性、实时性、有效性要求都较高。
三、 规范无线业务管理,保障业务运营
WLAN网络实际上包含数据交换、转发和Wi-Fi射频两部分,既具有有线网络的共性,又具有无线的特性,因此运维管理系统需要能够覆盖有线和无线,实现一体化管理。通过统一的规划、监控、控制AC、PoE交换机、AP、终端STA等网络资源的使用和各种网络活动,能够优化网络性能,降低维护成本,提高无线的服务质量。
拓扑管理
当前主流的WLAN组网一般为AC + PoE 交换机 + Fit AP方案,对管理员来说,除了需要了解无线设备,还需要了解给AP供电的PoE交换机,这就要求在一张拓扑视图内能够画出从AP到交换机甚至是路由器到托管的AC的物理路径,一旦网络出现状况,管理员能够迅速定位究竟是无线设备还是有线设备出现问题
如果AP是使用PoE供电的方式,管理员可以在一体化的拓扑内对AP上联的设备进行查询并判断,通过对PoE端口的操作实现对AP的断电、上电;对AP按计划周期性启动和断电,比如在凌晨时段自动关闭设备或射频口,这样既节能减排、降低辐射同时充分提高了管理员的运维效率。如图2所示,左侧显示了PoE供电的详细信息,右侧显示了PoE设备的详细信息,可进一步设置供电计划。
另外,通过无线射频覆盖和物理位置拓扑的集合,可以展现一个房间或楼层目前的无线信号覆盖情况,帮助用户定位信号过弱,上网速度慢或无法上网问题,通过调整AP的部署位置以及发射功率、信道等参数配置,实现最优、最经济的无线的信号覆盖。如图3右侧显示了障碍物的详细情况,便于精准掌握的射频信号的衰减,右侧图显示了按信号强度查看射频的真实覆盖效果。
告警管理
除了设备宕机、超过性能阈值等常见告警外,为了更进一步的定位WLAN网络问题,管理系统应该充分考虑到WLAN设备相关的特性例如提供Radio信道变更、终端STA关联失败、非法设备、Ad-hoc设备等WLAN特有业务告警,真正实现WLAN网络的无线管理。
当管理系统收到告警后会根据告警级别改变拓扑节点颜色(也可根据用户需求定制),还可将告警以email、短信、SNMP Trap等方式转发给管理员,方便管理员在第一时间了解WLAN网络的故障。
性能管理
WLAN技术从802.11b一路走到802.11n,带宽得到了质的飞跃。WLAN逐渐从备份线路转变为承载线路,其资源利用情况逐渐成为用户关注点。以H3C WLAN管理系统为例,管理员可以通过WSM无线管理平台实时了解无线网络中的终端STA在线趋势、宽带趋势、终端STA最多的热点TopN、终端STA最多的SSID TopN等指标并给出形象的图标,从而使管理员能够及时掌握网络的性能负载。
无线入侵防御管理
802.11网络很容易受到大量网络威胁的影响,如未经授权的AP用户、Ad-hoc网络、拒绝服务型攻击等。Rouge非法设备对于金融WLAN网络安全来说是一个很严重的威胁。通过无线入侵防御(WIDS)管理用于对有恶意的用户攻击和入侵无线网络进行早期检测,可以保护WLAN网络和用户不被无线网络上未经授权的设备访问,对于检测出的Rogue AP和Rogue移动用户进行管理,调动WLAN设备对其发起攻击要求其下线,并列入黑名单。
四、 结束语
|