宝界终端准入系统实现无线网络实名认证解决方案

合集下载

移动终端下基于WiFi的身份认证与用户行为分析

移动终端下基于WiFi的身份认证与用户行为分析

移动终端下基于WiFi的身份认证与用户行为分析随着移动互联网的迅速发展,移动终端已经成为人们生活中不可或缺的一部分。

各种智能手机、平板电脑以及其他智能设备的出现,使得人们能够随时随地享受到网络带来的便利。

在这个过程中,WiFi技术的广泛应用也成为了不可忽视的一环。

为了保证WiFi网络的使用安全和可靠,身份认证和用户行为分析显得尤为重要。

一、基于WiFi的身份认证WiFi技术的普及,为人们提供了更加方便快捷的网络连接方式。

大多数公共场所,如酒店、机场、商场等都提供了WiFi网络。

但是,由于WiFi的自由性,也让一些身份不明的人员利用WiFi进行非法活动,给WiFi网络带来了一定的安全隐患。

因此,在使用WiFi网络时,必须进行身份认证,以保证网络安全。

目前常见的WiFi身份认证方法有以下几种:1. MAC地址认证MAC地址认证是一种常见的身份验证方法,由WiFi访问点来判断用户的身份。

MAC地址是硬件设备中的一个独一无二的标识符,可以有效的标识用户的身份。

WiFi访问点可以根据用户设备的MAC地址,来判断用户是否有权利访问网络。

但是,这种方法很容易被攻击者欺骗,因为MAC地址可以伪造。

2. 门户网页认证门户网页认证是一种广泛使用的WiFi认证方法,其工作原理是,在访问WiFi网络时,用户将被重定向到一个门户网页,使用该网页输入身份验证信息以获得网络访问权限。

门户网页认证方法相对来说更为安全,但是其使用过程比较麻烦。

3. EAP认证EAP(Extensible Authentication Protocol)是一种基于802.1X标准的身份验证协议。

其具有更高的安全性,使用时需要在用户设备上安装EAP客户端。

由于EAP协议的可扩展性,在不同的应用场景中可以应用多种不同的身份验证方式,如基于密码、数字证书等。

二、基于WiFi的用户行为分析身份认证能够保证WiFi网络的使用安全性,而对于WiFi网络中的用户行为,也应该进行分析,以便为用户提供更好的服务和体验。

无线认证解决方案

无线认证解决方案

无线认证解决方案篇一:免费Portal(无线接入认证)系统解决方案免费Portal无线接入认证系统解决方案natshell基于多年的产品运营经验及对无线网络运营需求的深刻理解,针对中低端用户推出一套免费的“Web Portal无线接入认证系统”,从打造可管理、可运营的无线网络角度出发,致力于为中低端用户建设一个高效可靠、运营成本低的商用无线网络,使无线网络的部署轻松、可靠、高效。

需求分析在众多的公共场所,如:酒店、咖啡厅、学校、车站、商场等人流众多的地方,商家为了留住客户、解决客户在购物消费和等待时的上网问题,往往配置无线接入点提供给广大客户上网使用,而这种传统的输入密码方式不仅给管理带来了极大的不便,同时也具有一定的不安全性。

为了实现方便易用、安全稳定的无线接入认证,需要满足以下需求:1、方便部署、易于维护;使用此种解决方案的客户,无线认证规模都不是很大,大部分意向用户看到网上此类方案繁琐的安装介绍就已经选择止步了。

而我们提供的免费Portal系统方案,用户可以很方便的进行安装部署,中文管理界面,易于维护。

2、能够在系统中建立上网账户,对用户进行管理;本系统采用Radius认证的方式,支持标准的Radius协议,用户可以自行选择Radius系统或者和现有的Radius系统对接。

免费版Portal系统集成FreeRadius,能够方便的建立用户上网账户,对用户的上网时长、上传下载等进行有效管理。

3、可以设置认证界面,推送相关信息和广告内容;认证页面高度定制,可以随意的设置满足自己需求的认证页面,目前支持JAVA、PHP环境。

方案拓扑方案中所需要的设备主要包括:Portal服务器、胖AP。

Portal服务器:natshell免费版Portal系统,WINDOWS环境,安装在一台WIN系统电脑上即可;胖AP:natshell胖AP产品分为室内型吸顶式AP和室外型壁挂式AP,均为natshell自主开发的AP固件,集成AP、AC及路由等功能,与natshell免费版Portal系统完美对接。

无线准入方案

无线准入方案

无线准入方案1. 引言随着无线网络技术的发展和应用场景的日益增多,无线准入方案成为企业和组织在构建无线网络时的重要考虑因素。

无线准入方案主要指的是确定用户或设备在无线网络中是否能够成功接入,并对接入条件进行相应的限制和控制。

本文将介绍一种基于认证、授权和准入控制的无线准入方案,并详细说明其实施步骤和注意事项。

2. 认证方式在无线准入方案中,认证是保障无线网络安全的重要环节。

常见的无线网络认证方式包括:•预共享密钥(PSK)认证:用户或设备需事先获得预先共享的密钥,通过在认证过程中验证密钥的正确性来完成认证。

•证书认证:用户或设备需事先获得有效的证书,通过证书中的公钥进行加密和解密操作以验证身份。

•远程服务器认证:用户或设备在连接无线网络时,需要向远程服务器发送认证请求,并通过服务器的验证以获得准入权限。

根据实际需要和安全级别要求,可以选择适合的认证方式进行无线准入控制。

3. 授权管理在无线准入方案中,授权管理用于确定用户或设备在接入无线网络后能够享有的权限和访问资源的范围。

常见的授权管理方式包括:•角色和权限控制:为用户或设备分配相应的角色,并根据角色权限来限制其访问资源的范围。

•访问控制策略:根据用户或设备的身份、位置、时间等因素,通过设置访问控制策略来限制其对特定资源的访问。

在制定授权管理策略时,需要综合考虑安全性和便利性,确保用户或设备能够获得足够的授权权限,同时不影响无线网络的正常运行。

4. 准入控制准入控制是无线准入方案中的关键环节,用于判断用户或设备是否具备准入无线网络的条件。

常见的准入控制方式包括:•MAC地址过滤:根据设备的MAC地址进行过滤,只允许特定的设备接入无线网络。

•物理隔离:使用专用的准入设备,将无线网络进行物理隔离,只允许已验证的设备接入。

•网络隔离:使用虚拟局域网(VLAN)等技术将无线网络进行逻辑隔离,限制不同用户或设备之间的互通。

准入控制的方式和方法应根据实际需要和环境进行选择,确保无线网络的安全和稳定。

无线准入方案

无线准入方案

无线准入方案介绍随着无线网络的广泛应用,越来越多的组织和企业需要为员工和访客提供无线网络接入。

然而,无线接入带来了一系列安全风险,例如未经授权的人员接入网络、数据泄露等。

因此,制定一个可靠的无线准入方案变得非常重要。

本文将介绍无线准入方案的基本概念和设计原则,帮助读者更好地了解和应用无线准入方案。

无线准入方案的基本概念无线准入方案是指通过一系列的安全措施和技术手段,对无线网络进行访问控制,确保只有合法用户才能接入网络资源。

无线准入方案通常包括以下几个主要组成部分:1. 身份认证和准入管理在用户接入无线网络之前,需要对用户的身份进行认证,确保其合法性。

常见的身份认证方式包括用户名和密码、数字证书、指纹等。

准入管理则是根据用户的身份和权限,决定用户是否可以接入特定的网络资源。

2. 加密和数据保护为了防止数据被未经授权的人员窃取,无线准入方案通常采用加密技术对数据进行保护。

常见的加密方式包括WEP、WPA、WPA2等。

此外,还可以使用虚拟专用网络(VPN)等技术,进一步保障数据的安全。

3. 访问控制和审计为了防止未经授权的用户接入网络,无线准入方案需要进行访问控制。

通过设置访问策略,对网络资源进行限制,只允许特定用户或设备接入。

此外,准入方案还应该具备审计功能,记录用户的访问日志和操作行为,便于后期查找和分析。

4. 安全策略和风险评估无线准入方案还需要考虑安全策略和风险评估。

安全策略包括制定合适的安全措施和规则,以及培训和教育用户,提高安全意识。

风险评估则是对网络漏洞和威胁进行评估,及时发现和解决潜在的安全风险。

无线准入方案的设计原则在设计无线准入方案时,需要考虑以下几个原则:1. 综合安全性无线准入方案应该综合考虑不同层面的安全需求,包括身份认证、数据加密、访问控制等。

这些安全措施应该形成一个有机整体,相互配合,确保网络的整体安全性。

2. 灵活性和可扩展性无线准入方案需要具备一定的灵活性和可扩展性,以适应不同的业务需求和发展变化。

无线准入方案

无线准入方案

无线准入方案无线准入方案是指在无线通信领域中,为实现设备与网络之间的准入控制而制定的一套方案和机制。

它通过对设备进行身份认证和授权,实现网络的安全接入,保障网络资源的合理分配和使用。

本文将详细介绍无线准入方案的意义、主要原理和实施步骤。

一、无线准入方案的意义在无线通信领域中,随着移动设备的普及和无线网络的发展,无线准入成为了保障网络安全、优化网络效能的重要手段之一。

无线准入方案的实施可以有效控制网络设备的接入,避免未经授权的设备访问网络,防止网络资源被滥用或恶意攻击。

同时,无线准入方案还可以确保网络的稳定性和性能,提升用户的上网体验。

因此,制定一套科学合理的无线准入方案对于构建安全、高效的无线通信环境具有重要意义。

二、无线准入方案的主要原理无线准入方案的实施主要包括以下几个原理:1. 身份认证:无线准入方案通过对设备进行身份认证,判断设备是否合法、具备访问网络的权限。

常用的认证方式包括密码认证、数字证书认证等。

2. 授权管理:在设备通过身份认证后,还需要进行授权管理,确定设备可以访问的网络资源及权限。

授权管理可以根据不同用户或设备的需求,对网络资源进行灵活配置和分配。

3. 安全策略:为了保障无线网络的安全,无线准入方案需要制定相应的安全策略。

安全策略可以包括对无线网络的加密、防火墙设置、权限控制等措施,以防止网络被非法入侵或恶意攻击。

三、无线准入方案的实施步骤无线准入方案的实施步骤主要包括以下几个方面:1. 确定准入策略:根据网络的需求和安全要求,明确无线准入的策略和目标。

例如,确定准入控制的级别、认证方式、授权管理的原则等。

2. 设备认证:实施设备的身份认证措施,对设备进行合法性验证。

可采用密码认证、数字证书认证等方式,确保设备具备访问网络的权限。

3. 授权管理:根据设备身份和权限需求,进行授权管理,配置和分配网络资源。

可以根据不同用户或设备的特点,设定不同的授权策略和权限级别。

4. 安全策略设置:制定并实施相应的安全策略,保障无线网络的安全。

企业网络终端准入控制解决方案

企业网络终端准入控制解决方案

企业网络终端准入控制解决方案作者:李琰来源:《数字技术与应用》2013年第06期摘要:随着IT应用的不断发展,大部分的企业及用户开始意识到对内网终端进行控制和管理的必要性,实施网络终端安全准入控制,确保企业网络安全,已是许多企业网客户的迫切需求。

终端准入控制解决方案从控制用户终端安全接入网络的角度入手,整合网络接入控制与终端安全产品,加强了用户终端的主动防御能力,保障了企业网络的安全。

关键词:终端准入网络安全 802.1x EAD中图分类号:TP393.08 文献标识码:A 文章编号:1007-9416(2013)06-0014-021 引言在创新无处不在的IT世界里,从要求可用性到安全性再到高效率,只经历了短短的几年时间。

如何对终端设备进行高效、安全、全方位控制一直都困扰着众多IT管理者,由于终端设备数量多、分布广、使用者素质及应用水平参差不齐,而且终端设备所接入的网络环境异构化程度很高,导致了终端成为整个IT管理环境中最容易出现问题的一环,对终端问题的响应业已成为IT管理者日常最主要的工作之一,它同样遵循着从可用性到安全性再到追求效率的发展规律。

终端作为网络的关键组成和服务对象,其安全性受到极大关注。

终端准入控制技术是网络安全一个重要的研究方向,它通过身份认证和完整性检查,依据预先设定的安全策略,通过软硬件结合的方式控制终端的访问权限,能有效限制不可信、非安全终端对网络的访问,从而达到保护网络及终端安全的目的。

终端准入控制技术的研究与应用对于提高网络安全性,保障机构正常运转具有重要作用;对于机构解决信息化建设中存在的安全问题具有重要意义。

目前,终端准入控制技术已经得到较大的发展和应用,在安全领域起到越来越重要的作用。

2 发展现状为了解决网络安全问题,安全专家相继提出了新的理念。

上世纪90年代以来,国内外提出了主动防御、可信计算等概念,认为安全应该回归终端,以终端安全为核心来解决信息系统的安全问题。

3.终端准入控制功能及方案解析.pptx

3.终端准入控制功能及方案解析
EAD解决方案概述
—维护网络正常秩序,助力企业核心价值
H3C终端准入限制解决方案(EAD,EndUserAdmissionDomination)是全球首个推向市场的终端管理解决方案,也 是国内应用最广、用户数最多的终端管理系列产品。EAD方案为网络管理者、网络运营者和企业IT人员供应了一套 系统、有效、易用的管理工具,帮助爱护、管理和监控网络终端,使网络能够为企业的核心目标和核心业务服务, 削减了日益困难的网络问题和非法运用对网络用户的牵绊。5EAD终端准入限制解决方案
□支持识别用户设备的归属。该设备是属于公司全部还是属于员工个人,干脆影响企业
对设备的管理。对于个人设备,企业必需遵守相关法律法规,不去触碰设备上的员工私人信息。
•广泛的防病毒厂商协作实力
□可协作病毒厂商:瑞星、江民、金山、卡巴斯基、Symantec.Nod32、McAfee.TrendMicro.安博士、KI1.1.、 趋势、趋势企业无忧平安版css5.0.Vrv、Forfront.Sophos、Avast、odoAntiVirusBeta.CAAnti-Virus›F-SecureInternetSecurity.FortiCIient,FPR。TAntivirusforWindows.VirusChaser.No
在无线局域网中的部署方案
无线局域网(W1.AN)以其安装便捷、运用敏捷、经济节约、易于扩展等有线网络无法比拟的优点,得到越来 越广泛的应用,但敏捷便利的网络接入方式同时也为局域网带来了巨大的平安威逼。
无线局域网的平安问题主要体现在访问限制层面,非授权或者非平安的客户一旦接入网络后,将会干脆面对核 心服务器,威逼核心业务,因此能对无线接入用户进行身份识别、平安检查和网络授权的访问限制系统必不行少。 在无线网络中,结合运用EAD解决方案,可以有效的满意园区网的无线平安准入的需求。

网络准入解决方案

网络准入解决方案一.网络准入现状信息技术的发展导致信息网络所起的作用越来越巨大,连接范围越来越广泛,使用人员越来越众多、终端系统越来越庞杂,终端所面临的各种安全问题也越来越突出。

在当前的信息网络应用环境下,网络管理者普遍面临如下终端安全问题:1、网络边界不清晰网络中有多少台终端在工作?有没有外来终端入侵?有多少网络设备?终端连接状况如何?2、使用人员难以确定谁在操作终端?有没有人进行越权访问?有没有进行非法操作?如何尽快发现和管理?3、BYOD带来巨大挑战BYOD(Bring Your Own Device,自带设备办公)设备是否有漏洞?安全设置是否符合安全规定?带离办公区后会不会被攻击?是否会将外部的攻击带入办公区?4、终端安全状况不清晰终端的操作系统环境是否安全?终端的软件环境是否合规?终端是否符合安全基线要求?5、各种安全制度难以落实针对终端和网络使用的各项安全制度,是否能够快速落实和检查?6、防护系统众多难以整合各种防护系统如何进行统一管理?各防护系统的安全数据如何整合?二:盈高网络准入解决方案ASM6000入网规范管理系统,是盈高科技自主知识产权的新一代集成化终端安全管理平台。

是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统。

是在总结了ASM4000系统及用户需求的基础上,秉承了“不改变网络、灵活客户端、终端安全集成化”的特性。

改变了业界传统的将准入控制系统作为一个单独功能产品的做法,率先提出准入平台的概念。

ASM6000采用了盈高科技独创的“SOPE”安全模型解决当前严峻的终端安全问题,“SOPE”是一个向上滚动的模型体系,通过不断的循环能够让终端安全与业务达到完美平衡:基础架构生成shaping infrastructureASM6000通过智能获取用户网络的整体构成信息,包括:交换设备、入网终端、ip资源等。

生成全网的拓扑图、设备状态视图、终端状态视图等。

观测obsevationASM6000在线实时观测所有终端上下网行为、安全状态并生成统计报告,同时对入网计算机能够精确地定位到边界交换机端口。

终端准入实施方案范本

终端准入实施方案范本一、背景。

随着信息技术的快速发展,终端设备在企业日常办公中扮演着越来越重要的角色。

然而,随之而来的安全风险也日益增加,因此,制定一套科学合理的终端准入实施方案显得尤为重要。

二、目的。

本方案的制定旨在规范和加强企业终端设备的准入管理,保障企业信息系统的安全稳定运行,防范各类安全威胁,提高企业信息化管理水平。

三、适用范围。

本方案适用于企业内部所有终端设备的准入管理,包括但不限于计算机、笔记本、平板电脑、手机等各类终端设备。

四、实施方案。

1. 准入条件。

a. 终端设备必须安装企业指定的安全防护软件,并保持及时更新;b. 终端设备必须定期接受企业安全管理部门的安全漏洞扫描和安全评估;c. 终端设备必须符合企业信息安全管理政策的相关要求。

2. 准入流程。

a. 用户申请,用户向企业安全管理部门提交终端设备准入申请;b. 审批流程,企业安全管理部门对申请进行审批,审批通过后方可进行下一步操作;c. 准入测试,通过审批的终端设备需进行准入测试,确保符合安全要求;d. 准入登记,准入测试通过后,将终端设备信息登记入企业终端设备管理系统。

3. 准入标准。

a. 终端设备硬件配置需符合企业规定的最低配置要求;b. 终端设备操作系统需安装最新的安全补丁,并开启防火墙;c. 终端设备上的重要数据需进行加密存储,确保数据安全;d. 终端设备需接入企业内部安全网络,禁止连接未经授权的外部网络。

4. 准入监控。

a. 企业安全管理部门需对准入的终端设备进行定期监控和检查;b. 对于发现存在安全隐患或违规行为的终端设备,需立即停止其网络访问权限,并进行处理;c. 对于长时间未接入企业网络的终端设备,需及时清理其准入信息。

五、责任分工。

a. 企业安全管理部门负责制定和完善终端准入管理制度,并对终端设备的准入进行监控和管理;b. 各部门负责自身终端设备的准入申请和测试工作,确保终端设备符合准入要求。

六、总结。

终端准入实施方案的制定和执行,对于企业信息系统的安全稳定运行具有重要意义。

网络准入解决方案

网络准入解决方案网络准入解决方案一.网络准入现状信息技术的发展导致信息网络所起的作用越来越巨大,连接范围越来越广泛,使用人员越来越众多、终端系统越来越庞杂,终端所面临的各种安全问题也越来越突出。

在当前的信息网络应用环境下,网络管理者普遍面临如下终端安全问题:1、网络边界不清晰网络中有多少台终端在工作?有没有外来终端入侵?有多少网络设备?终端连接状况如何?2、使用人员难以确定谁在操作终端?有没有人进行越权访问?有没有进行非法操作?如何尽快发现和管理?3、BYOD带来巨大挑战BYOD(Bring Your Own Device,自带设备办公)设备是否有漏洞?安全设置是否符合安全规定?带离办公区后会不会被攻击?是否会将外部的攻击带入办公区?4、终端安全状况不清晰终端的操作系统环境是否安全?终端的软件环境是否合规?终端是否符合安全基线要求?5、各种安全制度难以落实针对终端和网络使用的各项安全制度,是否能够快速落实和检查?6、防护系统众多难以整合各种防护系统如何进行统一管理?各防护系统的安全数据如何整合?二:盈高网络准入解决方案ASM6000入网规范管理系统,是盈高科技自主知识产权的新一代集成化终端安全管理平台。

是完全基于最先进的第三代准入控制技术的纯硬件网络准入控制系统。

是在总结了ASM4000系统及用户需求的基础上,秉承了“不改变网络、灵活客户端、终端安全集成化”的特性。

改变了业界传统的将准入控制系统作为一个单独功能产品的做法,率先提出准入平台的概念。

ASM6000采用了盈高科技独创的“SOPE”安全模型解决当前严峻的终端安全问题,“SOPE”是一个向上滚动的模型体系,通过不断的循环。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

宝界终端准入控制系统保障无线网络安全解决方案
一、应用背景
由于无线网络通过无线电波在空中传输数据, 在数据发射机覆盖区域内的几乎所有的无线网络用户都能接触到这些
数据。只要具有相同接收频率就可能获取所传递的信息。要将无线网络环境中传递的数据仅仅传送给一个目标接收者是不
可能的。另一方面, 由于无线移动设备在存储能力、计算能力和电源供电时间方面的局限性, 使得原来在有线环境下的许
多安全方案和安全技术不能直接应用于无线环境, 例如: 防火墙对通过无线电波进行的网络通讯起不了作用, 任何人在区
域范围之内都可以截获和插入数据。计算量大的加密、解密算法不适宜用于移动设备等。因此, 需要研究新的适合于无线
网络环境的安全理论、安全方法和安全技术。与有线网络相比, 无线网络所面临的安全威胁更加严重。所有常规有线网络
中存在的安全威胁和隐患都依然存在于无线网络中; 外部人员可以通过无线网络绕过防火墙, 对专用网络进行非授权访
问; 无线网络传输的信息容易被窃取、篡改和插入; 无线网络容易受到拒绝服务攻击(DoS) 和干扰; 内部员工可以设置无
线网卡以端对端模式与外部员工直接连接。此外, 无线网络的安全技术相对比较新, 安全产品还比较少。以无线局域网
(WLAN ) 为例, 移动节点、A P 等每一个实体都有可能是攻击对象或攻击者。由于无线网络在移动设备和传输媒介方面
的特殊性, 使得一些攻击更容易实施, 对无线网络安全技术的研究比有线网络的限制更多, 难度更大。
常见的无线网络安全技术有以下几种
1、服务集标识符(SSID)
通过对多个无线接入点AP(Access Point)设置不同的SSID,并要求无线工作站出示正确的SSID才能访问AP,这样
就可以允许不同群组的用户接入,并对资源访问的权限进行区别限制。因此可以认为SSID是一个简单的口令,从而提供
一定的安全,但如果配置AP向外广播其SSID,那么安全程度还将下降。由于一般情况下,用户自己配置客户端系统,所
以很多人都知道该SSID,很容易共享给非法用户。目前有的厂家支持"任何(ANY)"SSID方式,只要无线工作站在任何AP
范围内,客户端都会自动连接到AP,这将跳过SSID安全功能。
2、物理地址过滤(MAC)
由于每个无线工作站的网卡都有唯一的物理地址,因此可以在AP中手工维护一组允许访问的MAC地址列表,实现物
理地址过滤。这个方案要求AP中的MAC地址列表必需随时更新,可扩展性差;而且MAC地址在理论上可以伪造,因此这
也是较低级别的授权认证。物理地址过滤属于硬件认证,而不是用户认证。这种方式要求AP中的MAC地址列表必需随时
更新,目前都是手工操作;如果用户增加,则扩展能力很差,因此只适合于小型网络规模。
3、连线对等保密(WEP)
在链路层采用RC4对称加密技术,用户的加密密钥必须与AP的密钥相同时才能获准存取网络的资源,从而防止非授
权用户的监听以及非法用户的访问。WEP提供了40位(有时也称为64位)和128位长度的密钥机制,但是它仍然存在许
多缺陷,例如一个服务区内的所有用户都共享同一个密钥,一个用户丢失钥匙将使整个网络不安全。而且40位的钥匙在
今天很容易被破解;钥匙是静态的,要手工维护,扩展能力差。目前为了提高安全性,建议采用128位加密钥匙。
4、Wi-Fi保护接入(WPA)
WPA(Wi-Fi Protected Access)是继承了WEP基本原理而又解决了WEP缺点的一种新技术。由于加强了生成加密密钥
的算法,因此即便收集到分组信息并对其进行解析,也几乎无法计算出通用密钥。其原理为根据通用密钥,配合表示电脑
MAC地址和分组信息顺序号的编号,分别为每个分组信息生成不同的密钥。然后与WEP一样将此密钥用于RC4加密处理。
通过这种处理,所有客户端的所有分组信息所交换的数据将由各不相同的密钥加密而成。无论收集到多少这样的数据,要
想破解出原始的通用密钥几乎是不可能的。WPA还追加了防止数据中途被篡改的功能和认证功能。由于具备这些功能,WEP
中此前倍受指责的缺点得以全部解决。WPA不仅是一种比WEP更为强大的加密方法,而且有更为丰富的内涵。作为802.11i
标准的子集,WPA包含了认证、加密和数据完整性校验三个组成部分,是一个完整的安全性方案。
5、端口访问控制技术(802.1x)
该技术也是用于无线局域网的一种增强性网络安全解决方案。当无线工作站STA与无线访问点AP关联后,是否可以
使用AP的服务要取决于802.1x的认证结果。如果认证通过,则AP为STA打开这个逻辑端口,否则不允许用户上网。802.1x
要求无线工作站安装802.1x客户端软件,无线访问点要内嵌802.1x认证代理,同时它还作为Radius客户端,将用户的
认证信息转发给Radius服务器。802.1x除提供端口访问控制能力之外,还提供基于用户的认证系统及计费,特别适合于
公共无线接入解决方案。本方案需要无线设备支持802.1X协议,并且接入PC需要安装802.1X客户端,设置烦锁,部置
费用较高。

二、宝界解决方案
通过采用宝界局域网准入网关产品可以解决以上问题:
1、宝界局域网准入网关实现的功能
 对用户按组、按部门、按人实现IP地址管理
 对用户的IP地址实现实名制的分发和管理
 强制安装健康检查客户端
 兼容老旧网络(兼容非802.1x交换机、hub 等),实现实名IP地址管理
 对IP地址的改变进行监管,防止非法篡改IP地址
 新接入IP地址的侦测和自动收集
 IP地址的实名查找
 多网段的IP分配和管理
2、产品部署拓朴图
系统部署图
3、无线终端PC入网流程图
① 无线终端PC搜索无线路由器,选择接入点
② 接入终端接入PC可以将无线网卡设置成固定IP地址或DHCP动态获得IP地址,一般建议特权主机设定为固定
IP地址,其他主机动态分配IP地址。
③ 对于固定IP地址的无线接入PC,系统检查其MAC地址、IP地址、主机名、网卡类型、对应交换机端口等信息,
如果是非法主机,系统将阻止其入网;合法主机允许其入网,此类主机无需实名认证,无需健康检查。
④ 对于DHCP动态获取IP地址的无线接入PC,首先系统会临时分配一个隔离网段IP地址,允许它访问隔离网段
服务器(例如:杀毒服务器、补丁服务器、实名认证服务器等)
⑤ 系统如果启动了实名认证模块,无线接入PC获取动态IP地址后,打开IE浏览器访问外网时,系统会自动推送
实名认证网页,要求其输入管理员分配的用户名及密码,如果身份认证未通过,系统将不会分配内网IP地址,其无法访
问内网任何资源。如果身份认证通过,并且系统没有启动健康检查模块,无线接入PC将获取管理员分配的内网合法IP
地址,无线接入PC被允许访问内网应用服务器资源。
⑥ 系统如果启动了健康检查/桌面管理模块,无线接入PC实名认证通过后,系统在其打开IE浏览器访问外网时,
会自动推送健康检查/桌面管理客户端下载网页,当其安装完健康检查/桌面管理客户端后,无线接入PC将获取管理员分
配的内网合法IP地址,接入主机被允许访问内网应用服务器资源。
⑦ 系统运行过程中,将自动收集当前限制主机、允许主机、离线主机、在线主机列表,每台主机当前使用MAC地
址、IP地址、组名/主机名、部门/用户名、接入交换机及端口号、接入时间等待信息,管理员可实时查看到对应交换机上
接入主机的信息,并可手动/自动关闭其端口,完全隔离非法主机。

终端准入认证流程
三、解决方案价值
 加强企业无线网络控制,实现每用户分别用自己的帐号登陆无线局域网,杜绝了共享密码的弊端,保证非授权主
机不能进入无线局域网;
 对无线网络的主机,也纳入了内网主机一样管理,不经过无线路由NAT地址转换,可以直接定位主机。
 加强内网IP地址管理,防止了IP地址随意修改,服务器与客户端IP地址冲突;
 进入局域网的主机可强制安装健康检查客户端,集中查杀病毒木马,集中打补丁,保证了局域网安全

相关文档
最新文档