定義政策合規(guī)性報告執(zhí)行符合監(jiān)控定義7.3.19無線網(wǎng)絡(luò)仿真對于企業(yè)未來需要擴建的無線網(wǎng)絡(luò)，需要合理、準確的規(guī)劃無線基站或傳感器的位置。通常采用人工測量的方法既費時費力又不準備，增加了企業(yè)部署無線的成本，影響了日后網(wǎng)絡(luò)運行的穩(wěn)定性。MotorolaAirdefense無線網(wǎng)絡(luò)仿真器可以根據(jù)建筑物特征設(shè)計與仿真RF訊號、提供業(yè)界最精準的基站與傳感器部署的優(yōu)化工具、可以結(jié)合Site-Survery工具來預(yù)測實際無線網(wǎng)絡(luò)效能與RF信號覆蓋的狀況、有效降低部署基站和傳感器的失敗率、有效降低人工Site-Survery的費用和誤判率。輸入平面圖輸入平面圖Step1定義建材與環(huán)境Step2立體繪圖Step3RF模擬與優(yōu)化Step47.3.20Airdefense-企業(yè)級的可擴展性可擴展的和易于管理的平臺——數(shù)百個位置可回報中央服務(wù)器——每個服務(wù)器支持達100000個設(shè)備和數(shù)百個傳感器——啟動安裝向?qū)б员愫喕跏枷到y(tǒng)設(shè)置和配置——低帶寬要求（每個傳感器<3Kbps）——基于設(shè)備的解決方案——零配置傳感器簡單的日常管理——易于使用的表盤和安裝向?qū)АW(wǎng)絡(luò)設(shè)備的自動分類——基于角色和基于域的視圖——根據(jù)威脅級別對事件進行排序——可控報警允許管理員有效解決問題7.4有線網(wǎng)絡(luò)的安全方案本章從整體安全防護體系的角度出發(fā)，分網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全、網(wǎng)絡(luò)準入技術(shù)等方面進一步介紹此次項目網(wǎng)絡(luò)架構(gòu)設(shè)計的相關(guān)技術(shù)及部署方案。網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全：作為網(wǎng)絡(luò)安全最重要的防護手段，網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全是設(shè)計的重點。訪問控制和網(wǎng)絡(luò)準入：作為訪問控制和網(wǎng)絡(luò)準入的兩個階段，本部分分別介紹了建立在802.1x標準之上的基于身份的網(wǎng)絡(luò)服務(wù)(IBNS)，以及在此技術(shù)上協(xié)作式安全的具體實現(xiàn)：網(wǎng)絡(luò)準入控制(NAC)方案；端口安全控制技術(shù)PortSecurity交換機主動學(xué)習(xí)客戶端的MAC地址，并建立和維護端口和MAC地址的對應(yīng)表以此建立交換路徑，這個表就是通常我們所說的CAM表。CAM表的大小是固定的，不同的交換機的CAM表大小不同。MAC/CAM攻擊是指利用工具產(chǎn)生欺騙MAC，快速填滿CAM表，交換機CAM表被填滿。黑客發(fā)送大量帶有隨機源MAC地址的數(shù)據(jù)包，這些新MAC地址被交換機CAM學(xué)習(xí)，很快塞滿MAC地址表，這時新目的MAC地址的數(shù)據(jù)包就會廣播到交換機所有端口，交換機就像共享HUB一樣工作，黑客可以用sniffer工具監(jiān)聽所有端口的流量。此類攻擊不僅造成安全性的破壞，同時大量的廣播包降低了交換機的性能。防范方法限制單個端口所連接MAC地址的數(shù)目可以有效防止類似macof工具和SQL蠕蟲病毒發(fā)起的攻擊，macof可被網(wǎng)絡(luò)用戶用來產(chǎn)生隨機源MAC地址和隨機目的MAC地址的數(shù)據(jù)包，可以在不到10秒的時間內(nèi)填滿交換機的CAM表。利用交換機的端口安全(PortSecurity)和動態(tài)端口安全功能可被用來阻止MAC泛濫攻擊。例如交換機連接單臺工作站的端口，可以限制所學(xué)MAC地址數(shù)為1；連接IP電話和工作站的端口可限制所學(xué)MAC地址數(shù)為3：IP電話、工作站和IP電話內(nèi)的交換機。通過端口安全功能，網(wǎng)絡(luò)管理員也可以靜態(tài)設(shè)置每個端口所允許連接的合法MAC地址，實現(xiàn)設(shè)備級的安全授權(quán)。動態(tài)端口安全則設(shè)置端口允許合法MAC地址的數(shù)目，并以一定時間內(nèi)所學(xué)習(xí)到的地址作為合法MAC地址。通過配置PortSecurity可以控制：端口上最大可以通過的MAC地址數(shù)量端口上學(xué)習(xí)或通過哪些MAC地址對于超過規(guī)定數(shù)量的MAC處理進行違背處理端口上學(xué)習(xí)或通過哪些MAC地址可以通過靜態(tài)手工定義，也可以在交換機自動學(xué)習(xí)。交換機動態(tài)學(xué)習(xí)端口MAC，直到指定的MAC地址數(shù)量，交換機關(guān)機后重新學(xué)習(xí)。目前較新的技術(shù)是StickyPortSecurity，交換機將學(xué)到的mac地址寫到端口配置中，交換機重啟后配置仍然存在。對于超過規(guī)定數(shù)量的MAC處理進行處理一般有三種方式：Shutdown：端口關(guān)閉。Protect：丟棄非法流量，不報警。Restrict：丟棄非法流量，報警。DHCP窺探保護DHCPSnooping采用DHCPserver可以自動為用戶設(shè)置網(wǎng)絡(luò)IP地址、掩碼、網(wǎng)關(guān)、DNS、WINS等網(wǎng)絡(luò)參數(shù)，簡化了用戶網(wǎng)絡(luò)設(shè)置，提高了管理效率。但在DHCP管理使用上也存在著一些另網(wǎng)管人員比較問題，常見的有：1．DHCPserver的冒充。2．DHCPserver的DOS攻擊。3．有些用戶隨便指定地址，造成網(wǎng)絡(luò)地址沖突。4．由于DHCP的運作機制，通常服務(wù)器和客戶端沒有認證機制，如果網(wǎng)絡(luò)上存在多臺DHCP服務(wù)器將會給網(wǎng)絡(luò)照成混亂。5．由于不小心配置了DHCP服務(wù)器引起的網(wǎng)絡(luò)混亂也非常常見。黑客利用類似Goobler的工具可以發(fā)出大量帶有不同源MAC地址的DHCP請求，直到DHCP服務(wù)器對應(yīng)網(wǎng)段的所有地址被占用，此類攻擊既可以造成DOS的破壞，也可和DHCP服務(wù)器欺詐結(jié)合將流量重指到意圖進行流量截取的惡意節(jié)點。DHCP服務(wù)器欺詐可能是故意的，也可能是無意啟動DHCP服務(wù)器功能，惡意用戶發(fā)放錯誤的IP地址、DNS服務(wù)器信息或默認網(wǎng)關(guān)信息，以此來實現(xiàn)流量的截取。DHCPSnooping技術(shù)DHCPSnooping技術(shù)是DHCP安全特性，通過建立和維護DHCPSnooping綁定表過濾不可信任的DHCP信息，這些信息是指來自不信任區(qū)域的DHCP信息。

通過截取一個虛擬局域網(wǎng)內(nèi)的DHCP信息，交換機可以在用戶和DHCP服務(wù)器之間擔任就像小型安全防火墻這樣的角色，“DHCP監(jiān)聽”功能基于動態(tài)地址分配建立了一個DHCP綁定表，并將該表存貯在交換機里。在沒有DHCP的環(huán)境中，綁定條目可能被靜態(tài)定義，每個DHCP綁定條目包含客戶端地址（一個靜態(tài)地址或者一個從DHCP服務(wù)器上獲取的地址）、客戶端MAC地址、端口、VLANID、租借時間、綁定類型（靜態(tài)的或者動態(tài)的）。這張表不僅解決了DHCP用戶的IP和端口跟蹤定位問題，為用戶管理提供方便，而且還供給動態(tài)ARP檢測(DAI)和IPSourceGuard使用。防范方法為了防止這種類型的攻擊，CatalystDHCP偵聽(DHCPSnooping)功能可有效阻止此類攻擊，當打開此功能，所有用戶端口除非特別設(shè)置，被認為不可信任端口，不應(yīng)該作出任何DHCP響應(yīng)，因此欺詐DHCP響應(yīng)包被交換機阻斷，合法的DHCP服務(wù)器端口或上連端口應(yīng)被設(shè)置為信任端口。首先定義交換機上的信任端口和不信任端口，對于不信任端口的DHCP報文進行截獲和嗅探，DROP掉來自這些端口的非正常DHCP響應(yīng)應(yīng)報文。IP源地址保護技術(shù)IPSourceGuard 黑客經(jīng)常使用的另一手法是IP地址欺騙。常見的欺騙種類有MAC欺騙、IP欺騙、IP/MAC欺騙，其目的一般為偽造身份或者獲取針對IP/MAC的特權(quán)。此方法也被廣泛用作DOS攻擊，目前較多的攻擊是：PingOfDeath、Synflood、ICMPUnreacheableStorm。如黑客冒用A地址對B地址發(fā)出大量的ping包，所有ping應(yīng)答都會返回到B地址，通過這種方式來實施拒絕服務(wù)(DoS)攻擊，這樣可以掩蓋攻擊系統(tǒng)的真實身份。富有侵略性的TCPSYN洪泛攻擊來源于一個欺騙性的IP地址，它是利用TCP三次握手會話對服務(wù)器進行顛覆的又一種攻擊方式。一個IP地址欺騙攻擊者可以通過手動修改地址或者運行一個實施地址欺騙的程序來假冒一個合法地址。另外病毒和木馬的攻擊也會使用欺騙的源IP地址?；ヂ?lián)網(wǎng)上的蠕蟲病毒也往往利用欺騙技術(shù)來掩蓋它們真實的源頭主機。防范方法IP源地址保護(IPSourceGuard)功能打開后，可以根據(jù)DHCP偵聽記錄的IP綁定表動態(tài)產(chǎn)生PVACL，強制來自此端口流量的源地址符合DHCP綁定表的記錄，這樣攻擊者就無法通過假定一個合法用戶的IP地址來實施攻擊了，這個功能將只允許對擁有合法源地址的數(shù)據(jù)保進行轉(zhuǎn)發(fā)，合法源地址是與IP地址綁定表保持一致的，它也是來源于DHCPSnooping綁定表。因此，DHCPSnooping功能對于這個功能的動態(tài)實現(xiàn)也是必不可少的，對于那些沒有用到DHCP的網(wǎng)絡(luò)環(huán)境來說，該綁定表也可以靜態(tài)配置。IPSourceGuard不但可以配置成對IP地址的過濾也可以配置成對MAC地址的過濾，這樣，就只有IP地址和MAC地址都于DHCPSnooping綁定表匹配的通信包才能夠被允許傳輸。此時，必須將IP源地址保護IPSourceGuard與端口安全PortSecurity功能共同使用，并且需要DHCP服務(wù)器支持Option82時，才可以抵御IP地址＋MAC地址的欺騙。8.無線網(wǎng)絡(luò)管理方案管理一個具有規(guī)模的無線局域網(wǎng)（通常在一百個AP以上），需要考慮很多方面的問題，包括無線覆蓋，帶寬，用戶的認證，以及接入的安全都要考慮。由于傳統(tǒng)的無線局域網(wǎng)是單純基于AP，因此對于無線網(wǎng)絡(luò)的管理，其大量工作是要在每個AP上進行設(shè)置和更改。其工作量在有一定數(shù)量AP的無線網(wǎng)里是非常大和煩瑣的，而且無線局域網(wǎng)是一個整體系統(tǒng)，AP之間必須互協(xié)調(diào)工作，單獨改變一個AP參數(shù)和配置會引起AP之間的無線電波干擾，用戶漫游重認證和授權(quán)也可能會產(chǎn)生問題。Motorola的無線網(wǎng)絡(luò)系統(tǒng)具有非常強的無線局域網(wǎng)集中管理功能，通過AdaptiveAP技術(shù)，無線交換機RFS7000可以非常方便地管理整個無線網(wǎng)絡(luò)，網(wǎng)管人員只需在無線交換機上就可開通、管理、維護所有AP設(shè)備以及移動終端，包括無線電波頻譜、無線安全、接入認證、移動漫游以及接入用戶。Motorola提供了RFMS對Motorola的WLAN所有產(chǎn)品進行管理，包括無線交換機、AP、AirDefense無線入侵防護系統(tǒng)。8.1配置管理Motorola的網(wǎng)管可以自動發(fā)現(xiàn)無線網(wǎng)絡(luò)設(shè)備，包括無線網(wǎng)絡(luò)交換機和AP，按照站點對無線交換機和AP組織成Site，然后分級顯示，然后顯示網(wǎng)絡(luò)拓撲：摩托羅拉的網(wǎng)管既可以通過HTTP頁面對特定設(shè)備進行配置，也可以通過配置文件方式對設(shè)備進行批量配置。另外Motorola的網(wǎng)管可以對無線網(wǎng)絡(luò)設(shè)備的配置文件定期進行檢查，如果發(fā)現(xiàn)配置文件不符合策略設(shè)置，將自動恢復(fù)配置，并產(chǎn)生告警自動通知網(wǎng)絡(luò)管理員。8.2性能管理另外它采用創(chuàng)新的算法，給出關(guān)于AP擺放位置的最佳建議以幫助妥善規(guī)劃，同時提供關(guān)鍵績效指標和200多種統(tǒng)計數(shù)據(jù)，使您能夠快速評估網(wǎng)絡(luò)的健康狀況。用戶可以查看無線基礎(chǔ)設(shè)施設(shè)備和客戶端的狀況，排除網(wǎng)絡(luò)問題，生成報表以及導(dǎo)出原始數(shù)據(jù)。RF管理軟件以圖形方式顯示RF覆蓋范圍、負載平衡、冗余、安全級別和網(wǎng)絡(luò)利用率等統(tǒng)計信息，使IT人員可以即時評估網(wǎng)絡(luò)狀況。除了支持傳統(tǒng)的基于瀏覽器的管理方式以外，MotorolaRFMS還特別針對移動用戶設(shè)計的Web頁面使用戶可以從PDA/MotorolapocketPC（如MC70）對網(wǎng)絡(luò)進行管理。通過Motorola的網(wǎng)管的KPI（關(guān)鍵性能指標），可以對無線網(wǎng)絡(luò)狀況有一個直觀的了解，包括：負載分擔無線信號覆蓋區(qū)域無線網(wǎng)絡(luò)的利用率無線網(wǎng)絡(luò)的安全指標無線網(wǎng)絡(luò)的冗余特性網(wǎng)管可以對移動用戶Avg.RSSI（平均信號接收強度）和Avg.SNR（平均信噪比），和AP的Avg.RSSI（平均信號接收強度）andAvg.SNR（平均信噪比）進行統(tǒng)計。8.3故障管理摩托羅拉的網(wǎng)管可以檢測各種故障，摩托羅拉的網(wǎng)管可以由網(wǎng)管人員自由定義告警的重要性，出現(xiàn)告警時可以自動通過發(fā)送郵件等手段告知網(wǎng)管人員，甚至可以自動運行一些預(yù)選設(shè)定的腳本。Motorola的網(wǎng)管可以實時發(fā)現(xiàn)無線交換機和AP發(fā)生的多種故障情況：當AP發(fā)生故障時，摩托羅拉的網(wǎng)管可以迅速檢查到哪一個AP發(fā)生了故障，而且在鄰居AP發(fā)現(xiàn)周圍AP發(fā)生了故障自動調(diào)大功率后，摩托羅拉的網(wǎng)管也可以反映這個AP的狀態(tài)為自愈狀態(tài)。當無