1、 安全域划分:
根据安全域划分原则和网络优化和边界整合策略,经过对业务数据流分析,WLAN认证系统的安全域,可以划分以下安全域,按重要性从高至低分别为:
① 系统认证鉴权区域
认证鉴权区域主要包含radiu服务器,radius做为认证数据库,包含着大量WLAN用户认证信息,是WLAN系统网络的核心,所以安全级别为最高,要求是与外网逻辑上隔离开来,保证数据库的安全性。
② 业务系统接入控制区
认证鉴权区域主要包含Portal认证服务器和无线控制器,由于无线网络的开放性和透明性,接入的无线终端与此区域的设备保持相应的联通性,从安全的角度上来说,应当保证一定的访问控制策略。
③ 热点接入区
热点接入控制区主要包含热点交换机及无线接入点等设备。主要负责用户的接入,从安全的角度上来讲应当在热点接入控制区将无线终端隔离,降低无线侧的安全风险。
2、 防火墙部署:
对于网络边界来说,主要是WLAN认证系统与CMNET之间的边界部署防火墙,用来保护portal应用边界。在数据库服务器区域与核心交换机之间的边界部署防火墙,用来保护数据库应用。
3、 入侵检测设备部署:
入侵检测系统是对防火墙有益的补充,对网络进行检测,提供对内部攻击、外部攻击和误操作的实时监控,提供动态保护以大幅提高网络的安全性,在接入控制区域、认证权鉴区域必须部署入侵检测探头,统一管理。
4、 Web应用安全防护部署:
根据WLAN认证系统的需要,在网络中部署针对WEB应用防护、以及抗DDoS攻击类设备,与网络整体规划手段相结合,形成立体的Web应用防护体系。
5、 集中的安全审计系统:
安全审计系统用以对用户接入状态的记录,主要记录用户登录的时间,退出时间,在线的状态和登录的的IP地址。并且对安全事件现场进行取证,对WEB应用系统的日志进行审计,以及对用户的网络行为进行实时监测、报警、记录等。
