无线城市网络故障和安全解决思路

无线城市网络故障及安全的解决思路一：出口带宽解决思路如何利用最小的成本，实现最大的功能？这个一直是我们在组网时，考虑的重点。目前四大主城区，总出口带宽不到1G，故直接使用一台上网行为审计设备作为出口。但是随着前端的建设不断完工，考虑到后期单个主城区业务带宽可能会超过20G，这样就会出现网络堵塞，出口带宽不足的现象。如果采用多台行为审计设备并联作为出口，这将会造成组网成本的增加，且网络配置变的更加复杂！故采用一台防火墙设备作为出口，行为审计设备旁路的组网模式。二：系统可靠性解决思路关键网络设备和通信线路提供硬件冗余，保证系统的可用性。目前4大主城区，核心交换机分别有两台。汇聚设备以双上行的方式到达网络核心层。当其中一台核心设备宕机后，另外一台设备可以保证业务不中断。其次四大主城区的无线控制器AC设备也是两台，分别是一主一备。深信服出口链路规划有多条，多条链路之间实现负载均衡，确保可实现每个区20G带宽出口，甚至更高。三：Vlan规划与ARP攻击防范目前一个热点规划三个vlan，分别是POE交换机管理vlan；AP管理vlan；用户的业务vlan。VLAN技术目的在于将交换机划分成多个逻辑组（VLAN），减小广播域的范围，抑制arp攻击(把arp攻击的范围缩小一点)。还可以确保了某VLAN的信息不会被其他VLAN的人所窃听，从而实现信息的保密。ARP攻击的目的有两个，一是窃取数据；二是破坏他人的网络。对于无线网络来说最有效的方法是划分vlan，开启AP隔离，开启用户隔离，这样ARP攻击就没办法了。四：信息系统安全解决思路：如何防止非法用户接入，如何防止恶意攻击（ARP攻击、DHCP攻击），如何防止AP过载（广播风暴），如何防止木马、病毒等在内网的传播，如何防止用户发表不当言论，如何防止ddos攻击，如何防止网页篡改。总之如何保护我们的信息系统不被攻击。针对以上安全问题，我认为应该做好以下几个方面。1）在互联网出口部署深信服AC12000设备，该设备是一台用户上网行为管控和审计的设备，该设备具有以下功能可以有效的提升内网安全：a）支持在设置流量策略后，根据整体线路或者某流量通道内的空闲情况，自动启用和停止使用流量控制策略，以提升带宽的高使用率；b）支持通过抑制P2P的下行流量，来减缓P2P的上行流量，从而解决网络出口在做流控后仍然压力较大的问题；(QOS)c）支持外发信息过滤，防止信息泄露；d）识别异常流量、阻断网络攻击与异常行为的发生；可以避免无安全防护的STA终端被病毒感染或被劫持2)在认证平台区部署华为下一代usg6500防火墙防火墙作为不同网络或网络安全域之间信息的出入口，能根据安全策略控制出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。该设备具有以下功能也可以有效的提升内网安全：a）支持对常见应用服务和数据库软件的口令暴力破解防护功能；b）支持针对B/S架构应用抵御SQL注入、XSS、系统命令等注入型攻击；支持跨站请求伪造CSRF攻击防护；支持对ASP,PHP,JSP等主流脚本语言编写的webshell后门脚本上传的检测和过滤；支持对网站的扫描防护和防止恶意爬虫攻击；支持其他类型的Web攻击，如文件包含，目录遍历，信息泄露攻击等；c）具备针对主流网站内容管理系统CMS的安全防护能力，如dedecms，phpcms，phpwind等；支持的CMS类型数量不少10种；d）支持B/S服务漏洞扫描功能，可扫描WEB网站是否存在SQL注入、XSS、跨站脚本、目录遍历、文件包含、命令执行等脚本漏洞；3）在互联网出口部署入侵防御设备，IPS设备具有以下功能,也可以有效的提升内网安全：a）支持对网络蠕虫、木马后门、间谍软件等各种攻击行为进行检测及防御；b）支持对国内流行木马的检测及防御功能；c）支持服务器防护功能，能有效检测服务器的非法外联行为；d）提供SQL注入攻击、XSS攻击的检测和防御，对Web服务系统提供保护；e）具备Web过滤功能，支持黑白名单、关键字过滤、禁止HTTP代理、URL分类过滤、内容过滤等方法；f）系统支持恶意代码动态检测联动功能，能够和基于虚拟机或沙箱的检测系统联动，系统将流经的http、ftp、邮件协议中包含的office文档、图片文档及压缩文档提交给APT检测系统，并获得APT的检测结果，并可以登录到APT检测系统查看检测到恶意行为等结果；g）可通过授权扩展支持对HTTP、FTP、SMTP、POP3、IMAP协议的病毒检测和过滤功能；h）支持对文件感染型病毒、蠕虫病毒、脚本病毒、宏病毒、木马、恶意软件等的过滤。4）在认证平台区以旁路的模式部署IDS设备，该设备是一台入侵检测设备，该设备具有以下功能可以有效的提升内网安全：a）具有对网络病毒、蠕虫、间谍软件、木马后门、刺探扫描、暴力破解、拒绝服务、缓冲区溢出、欺骗劫持、僵尸网络、SQL注入、XSS、Xpath、网页木马、钓鱼网站、Webshell、数据库攻击、网络设备攻击、0day攻击、可疑行为等常见攻击具有高精度的检测能力；b）具备对IPV4/IPV6网络中双协议的入侵攻击、网络病毒等进行检测、报警功能；c）系统需提供SQL注入、XSS及其各种语法变形、语义变形、编码等环境下的精确检测能力；d）在监测到攻击之后，系统提供多种响应方式，如：SNMP、SYSLOG、写入日志、发送邮件、实时报警、TCPKiller阻断连接、防火墙联动、捕获原始报文等；5）在认证平台区服务器上部署防恶意代码软件，该软件可以对服务器上的恶意代码进行检测和清除。其恶意代码库不同于网络型防恶意代码设备的恶意代码库。另外该软件支持全网统一的管理和升级。通过部署恶意代码软件，可以提高内网认证平台区的安全。6）在认证平台区部署WAF设备，该设备是一台针对web服务器安全防护的设备，建议在平台区部署Web应用防护系统。其功能在于实现Web应用加速以及防止敏感信息泄露，以及网页防篡改、确保数据完整性等。部署WAF可为Web应用提供全方位的防护解决方案。a）具备网站盗链、网页挂马、HTTPFlood（CC攻击）、SQL注入、XSS跨站脚本等攻击行为进行检测与防御能力；b）具备SQL注入攻击的检测与防御能力；c）具备XSS攻击的检测与防御能力；d）支持根据扫描结果自动生成防护策略e）支持篡改后的自动恢复功能，恢复不依赖访问事件，直接由篡改动作触发恢复机制进行恢复；7）在认证平台区部署运维审计堡垒机。堡垒机是一种运维安全审计系统。主要的功能是对运维人员的运维操作进行审计和权限控制。同时堡垒机还有账号集中管理，单点登陆的功能。可实现对IT运维人员操作的事前预防、事中控制、事后审计，进而提高企业的IT运维管理水平。8）在认证平台区部署内网平台部署专用的日志服务器。日志服务器，可以方便统一查看服务器上以及网络设备上的日志，并且写入数据库，进行web显示,方便查看；另外也起到了一定的安全的作用如：可以避免本地日志被攻击者恶意覆盖或篡改，当攻击者离开的时候，日志服务器可以追踪。9）在异地设立数据灾备中心。建议对重要数据进行备份。设立异地数据灾备中心，每天对重要数据进行全备份并传输到异地进行保存。10）在认证平台区部署防病毒网关。对进入认证平台的恶意代码进行硬件检测和清除。从而大大提高认证平台区的安全。五：用户端安全解决思路：WLAN利用了不可见的公用媒介进行空中信号传播，故用户端的安全问题是忽庸置疑。主要是如何防止用户的数据不被非法窃听、篡改。即如何确保用户的账号安全，邮件安全等。1）提供对无线链路进行加密功能，如WEP、WPA、WPA-PSK、WPA2等加密方式，实现对所有无线数据进行加密传输。2）提供防钓鱼AP功能，可以进行钓鱼AP信号的实时监测，一旦发现钓鱼AP信号，我方AP将自动发起无线攻击，使正常客户无法连接到非法的信号，从而保证客户信息3）利用WAPI机制增加用户端安全。a）国际wlan标准存在的安全缺陷。目前国际wifi联盟的加密算法已被破解，即使加密的数据报文，在黑客面前也是类似明文一样。用户端的安全问题受到极大的冲击。但是这并不代表wifi就是彻底的不安全。因为大型公司如支付宝、微信，其app本身就对账户等敏感数据进行加密处理和传输，故使用这些app并没有安全问题。™IEEE802.11定义的WEP保密机制：在很短的时间内WEP密钥即可被破解；且该安全漏洞是由WEP机制本身引起的，与密钥的长度没有关系，目前各种基于WEP的改进措施（WPA）并不能使其安全性能得到根本改善。针对这种现象，我国自主研发了WAPI标准，即无线局域网用户身份认证和数据报文加解密标准。该标准是我国自主知识产权的。b）WAPI安全标准要求用户端从CA中心下载数字证书，故WAPI机制和标准会大大降低用户的体验，适用于高端群体：数字凭证申请并下载存在两种应用场景，一种为离线方式，下面的流程为离线下载方式，具体如下：1)STA或AP设备首先需要在WUAS管理端进行凭证信息注册申请；2)完胜注册信息填写后，管理员需要对申请请求进行审核；3)通过审核请求后，既可以进行凭证下载；4)将下载的数字凭证通过“手动方式“导入到STA或AP；另外一种是在线申请方式。需要通过手机APP配合完成，具体流程如下：1)STA设备通过安装在手机或PAD中的手机中间件APP进行凭证信息注册申请（前提条件是可以通过网络连接到WUAS服务端）；2)系统自动记录请求信息，然后由管理员对申请请求进行审核；3)通过审核请求后，WUAS直接将凭证下载到STA终端；应提供支持对windows日志和syslog日志等多种日志监控管理，可接收相关日志信息，进行存储、分析并告警。总结：信息系统安全问题可以得到不断的加强和完善。但是用户端的安全问题，一方面靠用户自己的安全意识如不随便下载，不随便输入敏感信息，尽量使用安全的app等；另一方面作为wlan的建设者，我们会加强用户端的安全，解决用户端数据的保密性问题。