一种多重防护的无线网络安全防护系统及防护方法技术方案

本发明专利技术公开了一种多重防护的无线网络安全防护系统及防护方法，所述无线网络安全防护系统包括：安全认证系统、无线入侵防护模块、ARP防护模块和数据传输监控模块，所述安全认证系统包括DHCP服务器、MAC地址认证系统和portal认证系统。本发明专利技术的安全防护系统从无线认证安全、无线安全防护、有线网络安全三方面，从多角度对无线网络系统进行有效全面的安全防护。

Multiple protection wireless network security protection system and protection method

The invention discloses a wireless network security protection system for multiple protection and protection methods, including the wireless network security protection system: security authentication system, wireless intrusion prevention module, ARP protection module and data transmission control module, the security authentication system includes DHCP server, MAC address authentication system and portal authentication system. Safety protection system of the present invention from the wireless security authentication security, wireless security, wired network security, effective and comprehensive of the wireless network system from multi angle.

【技术实现步骤摘要】
一种多重防护的无线网络安全防护系统及防护方法
本专利技术涉及一种无线网络通信中的安全防护，具体涉及一种多重防护的无线网络安全防护系统及防护方法。
技术介绍
无线网络的应用扩展了网络用户的自由，然而，这种自由同时也带来了安全性问题。与传统有线网络不同，无线环境下的安全威胁更加复杂、多变，安全防御的困难更为突出。而且，无线网络发展较晚，新近使用的许多技术还不够成熟，技术缺陷和安全漏洞在所难免。无线网络一般受到的攻击可分为两类：一类是关于网络访问控制、数据机密性保护和数据完整性保护而进行的攻击；另一类是基于无线通信网络设计、部署和维护的独特方式而进行的攻击。对于第一类攻击在有线网络的环境下也会发生。可见，无线网络的安全性是在传统有线网络的基础上增加了新的安全性威胁。对于企业，尤其是大型企业而言，无线网络在为企业工作提供便利的同时，也蕴含的巨大的潜在危险。因此，在构建无线网络架构的同时，如果能够从多方位对网络安全进行防护，将能够为企业的稳定运行提供更好的平台，避免出现重大的网络安全事故。国家电网公司总部作为全国各个网省电力公司、分公司、直属单位的管理中枢，网络信息化安全至关重要。所以对于国网总部无线网络安全系统，如果不从各方面整体上进行规划和设计，只孤立地采用单一的某项安全技术是无法满足国网总部高安全性的要求的。本方案将从国家电网公司总部无线网络实际情况出发，从无线认证安全、无线安全防护、有线网络安全、三个方面进行规划，整体提升国网总部无线网络安全性。
技术实现思路
本专利技术提供了一种采用多种防护措施有机结合起来的防护体系，从多方位来保障网络的安全。具体而言，本专利技术提供一种多重防护的无线网络安全防护系统，其特征在于，所述无线网络安全防护系统包括：安全认证系统、无线入侵防护模块、ARP防护模块和数据传输监控模块，所述安全认证系统包括DHCP服务器、MAC地址认证系统和portal认证系统，所述MAC地址认证系统和所述portal认证系统通过IMC服务器实现，无线入侵防护模块通过持续地监控上行到无线接入设备AP或无线控制器AC的流量来检测泛洪攻击，当同类型的报文超出上限时，认为无线网络正受到泛洪攻击，并且中断相应设备的无线访问；ARP防护模块用于防护无线网络设备的ARP攻击；所述MAC地址认证系统包括用户认证模块、MAC地址获取模块、IP地址绑定模块、地址存储模块，所述用户认证模块用于基于用户的用户信息对无线接入设备进行认证，所述MAC地址获取模块用于获取经认证的无线接入设备的MAC地址，所述IP地址绑定模块用于将经认证用户的MAC地址与IP地址进行绑定，并存储至地址存储模块，所述portal认证系统用于对临时访客进行认证并分配临时IP地址。进一步地，所述无线网络安全防护系统包括第一互联网出口和第二互联网出口，所述无线网络安全防护系统将来自临时IP地址的数据通过第一互联网出口传输，来自绑定IP地址的数据通过第二互联网出口传输。进一步地，所述无线网络安全防护系统还包括非法AP检测模块，所述非法AP检测模块为设置成监测模式的无线接入设备，其扫描WLAN中的设备，监听所有的Dot11帧。另一方面，本专利技术提供一种多重防护的无线网络安全防护方法，其特征在于，所述无线网络安全防护方法包括：步骤(1)、利用无线接入设备AP进行WIPS检测；步骤(2)、利用POE交换机进行安全访问控制；步骤(3)、设置至少一个无线接入设备AP为监测模式，利用其扫描WLAN中的设备，监听所有Dot11帧，检测无线网络中的非法设备；步骤(4)、构建第一虚拟局域网VLAN和第二虚拟局域网VLAN，对于第一类用户，其使用第一虚拟局域网VLAN，对于第二类用户使用第二虚拟局域网VLAN；步骤(5)在无线网关中，设置ARP防御模块；步骤(6)利用DHCP服务器、无线认证服务器、无线控制器组成无线控制区，在所述无线控制区，采用ACL进行访问控制。优选地，所述方法还包括：将无线用户分为员工、临时员工和访客三种类型，对每种类型的无线用户分配不同的SSID，对于认证为员工的无线用户，获取该用户的MAC地址并且为其分配固定的IP地址，将所述MAC地址与所分配的IP地址绑定，以生成MAC地址和IP地址映射表，将相应用户设定为绑定用户，对于认证为临时员工的无线用户，获取该用户的MAC地址并且为其分配固定的IP地址，将所述MAC地址与所分配的IP地址绑定，并且设定绑定的期限，一旦超过绑定期限则清除对其的绑定，对于被认证为访客的用户，其分配临时IP地址。优选地，所述方法还包括：将绑定的IP地址组成第一虚拟局域网VLAN，将临时IP地址组成第二虚拟局域网VLAN。此外，本专利技术还提供一种利用本专利技术的安全防护系统对现有系统进行改造的方法。该方法包括，对现有网络进行设备备份和脚本备份；部署iMC服务器，把现有网络中核心和接入设备全部纳入iMC服务器的网管系统中，在iMC的认证接入设备中添加NAS设备，确保RADIUS和DOMAIN域参数正确无误，随后根据用户准入规定进行接入策略的划分，按照不同用户群的要求进行部署；使用iMC的自动发现功能将现网中网络设备纳入iMC网管中，对不能进行自动发现的设备采用手工添加的方式进行纳管；集成有线网络设备和无线网络设备；获取现有网络中无线SSID的数目及类型与新架构中的无线SSID类型进行映射匹配；把现有设备上的用户登录信息按照要求进行分组迁移至iMC，用户迁移完成后进行认证部署；在iMC上部署802.1x认证功能，按照用户角色进行服务申请；根据上面所提到的防护方法，开启各防护模块的防护功能。本专利技术的防护系统针对不同的用户类型采用两种无线认证方式，领导、正式员工及借调员工均采用MAC地址认证方式提供安全快速的无感知认证，访客采用portal认证方式对访客身份及访问权限和时间进行精细化控制。在所有无线VLAN中开启二层隔离功能，对二层用户之间进行安全隔离，减少因单个用户终端中毒后广播报文大量泛洪时对同VLAN内其他用户的影响。针对总部私建无线热点的问题采取在相关办公室部署非法AP检测功能，对非法AP进行信号干扰，使非法AP不能为非法用户提供服务。在无线网关设备上开启无线入侵防护功能和ARP防护功能，对无线网关进行安全防护。同时针对POE交换机进行部署ACL防护及用户登录限制，在设备上开启SNMP功能，将管理员登陆控制权限迁移到网管平台，对管理人员登陆设备的操作进行统一的管理、认证、授权、审计。在网络出口部署ACG(应用控制网关)针对使用网络出口的无线用户流量及有线用户流量进行监控和限制，对各种P2P、网络游戏、网络多媒体、文件共享、邮件收发、数据传输等各种上网行为提供全方面的行为监控和记录。综上所述，本专利技术的安全防护系统从无线认证安全、无线安全防护、有线网络安全三方面，从多角度对无线网络系统进行有效全面的安全防护。附图说明图1为本专利技术实施例的无线网络安全防护系统的架构示意图；图2为本专利技术实施例中针对用户类型进行数据分流的示意图。具体实施方式以下结合附图及其实施例对本专利技术进行详细说明，但并不因此将本专利技术的保护范围限制在实施例描述的范围之中。如图1所示，本实施例中，各个虚线框中分别表示各个安全防护模块。该无线网络安全防护系统包括：安全认证系统、无线入本文档来自技高网...

【技术保护点】
一种多重防护的无线网络安全防护系统，其特征在于，所述无线网络安全防护系统包括：安全认证系统、无线入侵防护模块、ARP防护模块和数据传输监控模块，所述安全认证系统包括DHCP服务器、MAC地址认证系统和portal认证系统，所述MAC地址认证系统和所述portal认证系统通过IMC服务器实现，无线入侵防护模块通过持续地监控上行到无线接入设备AP或无线控制器AC的流量来检测泛洪攻击，当同类型的报文超出上限时，认为无线网络正受到泛洪攻击，并且中断相应设备的无线访问；ARP防护模块用于防护无线网络设备的ARP攻击,如果收到同一源MAC地址或同一IP地址的ARP报文超过一定的阈值，则认为存在攻击，将此MAC地址或IP地址添加到攻击检测表项中；所述MAC地址认证系统包括用户认证模块、MAC地址获取模块、IP地址绑定模块、地址存储模块，所述用户认证模块用于基于用户的用户信息对无线接入设备进行MAC认证或Portal认证，对于MAC认证用户，所述MAC地址获取模块用于获取经认证的无线接入设备的MAC地址，所述IP地址绑定模块用于将经认证用户的MAC地址与IP地址进行绑定，并存储至地址存储模块，所述portal认证系统用于对临时访客进行认证并分配临时IP地址。...

【技术特征摘要】
1.一种多重防护的无线网络安全防护系统，其特征在于，所述无线网络安全防护系统包括：安全认证系统、无线入侵防护模块、ARP防护模块和数据传输监控模块，所述安全认证系统包括DHCP服务器、MAC地址认证系统和portal认证系统，所述MAC地址认证系统和所述portal认证系统通过IMC服务器实现，无线入侵防护模块通过持续地监控上行到无线接入设备AP或无线控制器AC的流量来检测泛洪攻击，当同类型的报文超出上限时，认为无线网络正受到泛洪攻击，并且中断相应设备的无线访问；ARP防护模块用于防护无线网络设备的ARP攻击,如果收到同一源MAC地址或同一IP地址的ARP报文超过一定的阈值，则认为存在攻击，将此MAC地址或IP地址添加到攻击检测表项中；所述MAC地址认证系统包括用户认证模块、MAC地址获取模块、IP地址绑定模块、地址存储模块，所述用户认证模块用于基于用户的用户信息对无线接入设备进行MAC认证或Portal认证，对于MAC认证用户，所述MAC地址获取模块用于获取经认证的无线接入设备的MAC地址，所述IP地址绑定模块用于将经认证用户的MAC地址与IP地址进行绑定，并存储至地址存储模块，所述portal认证系统用于对临时访客进行认证并分配临时IP地址。2.根据权利要求1所述的多重防护的无线网络安全防护系统，其特征在于，所述无线网络安全防护系统包括第一互联网出口和第二互联网出口，所述无线网络安全防护系统将来自临时IP地址的数据通过第一互联网出口传输，来自绑定IP地址的数据通过第二互联网出口传输。3.根据权利要求1所述的多重防护的无线网络安全防护系统，其特征在于，所述无线网络安全防护系统还包括非法AP检测模块，所述非法AP...

【专利技术属性】
技术研发人员：来风刚，李雨泰，尚智婕，董希杰，王栋，
申请(专利权)人：国家电网公司信息通信分公司，
类型：发明
国别省市：北京,11