Administrator-无锡宝界科技有限公司.doc

宝界无线准入网关 技术白皮书 无锡宝界科技有限公司 2014年11月12日  目 录 第一章 引言 3 1.1、产品研发背景 3 1.2、无线网络的安全需求分析 4 第二章 产品简介 5 2.1、产品部署拓朴方式 5 2.2、无线用户接入流程 7 第三章 产品功能 7 3.1、全网DHCP服务 7 3.2、实名认证 8 3.3、强制安装第三方安全软件 9 3.4、非法终端扫描、阻断、审计 10 3.5、智能流量控制 12 3.6、网络应用协议过滤 13 3.7、VPN远程访问 14 3.8、防火墙功能 14 3.9、日志分析系统 15 第四章 产品优势 16 4.1、无线覆盖工程成本降低50% 16 4.2、兼容所有厂家的无线设备 16 4.3、应用准入、终端准入二合一 16 4.4、强制安装第三方安全软件 17 4.5、强化对无线入网终端的安全设置 17 4.6、安全策略对应到人 17 4.7、面向对象的中文图形化界面 17 4.8、全面日志审计 18 第五章 成功案例 18 第一章 引言 1.1、WLAN的安全挑战 无线局域网络WLAN（Wireless Local Area Networks）是采用射频的技术，利用电磁波在空气中发送和接收数据。它具有可移动性、安装简单、高灵活性和扩展能力，作为对传统有线网络的延伸，在许多特殊环境中得到了广泛的应用。随着无线数据网络解决方案的不断推出，“不论您在任何时间、任何地点都可以轻松上网”这一目标被轻松实现了。 WLAN给我们带来便捷性的同时，也带来了无线安全隐患。很多最新部署的 WLAN 根本没有采用安全措施或使用的 WLAN “第一代”的无线安全标准。黑客通过简单的无线网络嗅探软件即可破解无线共享密码，在另外一个房间或本建筑之外的另一层楼，绕过出口防火墙，轻松进入企业内网，窃取公司机密文件，造成巨大的经济损失。WLAN的明显的安全隐患如下： 所有常规有线网络存在的安全威胁和隐患都存在； 外部人员可以通过无线网络绕过防火墙，对公司网络进行非授权访问； 无线网络传输的信息没有加密或者加密很弱，易被窃取、窜改和插入； 缺乏细粒度的安全访问控制； 缺乏对客户端的安全检查； 无线网络的安全产品相对较少，技术相对比较新。 1.2、无线准入方面的政策法规 随着信息技术快速发展，网络的规模越来越大，接入网络的计算机也越来越多，虽然大多数网络已经在互联网出口部署了防火墙、IPS等安全防护设施，但在内网接入层，依然采用开放式的网络结构，开放式网络犹如企业没有门卫一样，任何人都可以随意进出，不受任何检查和限制。可以想象开放式网络为恶意访问提供了入侵网络的便利条件，采用非常简单的攻击技术便可以进行网络攻击，轻则影响信息系统的正常运行，重则业务数据被窃取、篡改，引发信息安全事件。另一方面，不进行网络准入管理就不能准确掌握终端计算机的IP 等网络信息，不利于网络日常维护工作，并且一旦发生信息安全事件难于追踪审计。 针对开放式网络，如何在内部网络构建起一道安全屏障，积极主动诊断多种网络访问设备的健康性，采用隔离管控和有效引导的方法，做到可信计算机有条件的访问网络，阻止非授权的以及有“问题”的计算机私自访问网络带来的安全隐患，这已经成为政府、金融、电信、企事业单位迫切需要解决的问题。 针对以上情况，国家相关权威机构也提出如下法令法规，明确对内网接入控制提出了相关要求。 1、《信息安全等级保护GB/T 22239-2008标准》 具备三级以上防护能力的网络对“边界完整性检查”要求： 1、应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效的阻断。 2、应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。 2、《ISO27001信息安全管理体系》 ISO27001指出信息安全是通过实现组合控制获得的，以防止信息受到的各种威胁，确保业务连续性，使业务受到损害的风险减至最小，使投资回报和业务机会最大。 安全控制可以是策略、惯例、规程、组织结构和软件功能。 ISO27001中明确指出接入网络的管理规范和设备要求规范。 3、《萨班斯SOX法案》 IT内控体系 萨班斯法案对公司治理、内部控制及外部审计同时做出了严格的要求。萨班斯法案覆盖了非常全面的管理层面，其中404（内部控制的管理评估） 按萨班斯法案信息安全提出了IT内控要求涉及到下面四个方面： 一是针对网络准入控制; 二是针对补丁管理; 三是针对配置管理; 四是终端所遵从的一些检查。 1.3、无线网络常见的安全需求分析 现有的无线路由使用共享简单密码，极易泄漏 实名认证账号不能与内部主机绑定，实名账号泄漏，同样存在非法接入可能性 集中监控内网所