日期:2015-12-22 點(diǎn)擊: 關(guān)鍵詞:無(wú)線wifi覆蓋方案
下面我們看看如何三步構(gòu)建網(wǎng)絡(luò)架構(gòu),無(wú)線wifi覆蓋方案在不斷的改進(jìn)。一個(gè)無(wú)線覆蓋網(wǎng)絡(luò)的安全系統(tǒng)主要靠防火墻和網(wǎng)絡(luò)防病毒系統(tǒng)等技術(shù),在網(wǎng)絡(luò)層構(gòu)建一道安全屏障,并通過(guò)把不同的無(wú)線覆蓋產(chǎn)品集成一個(gè)安全管理平臺(tái)上,實(shí)現(xiàn)網(wǎng)絡(luò)層的統(tǒng)一的安全管理。
1、網(wǎng)絡(luò)層安全平臺(tái)
挑選網(wǎng)絡(luò)層安全渠道時(shí)首要考慮這個(gè)安全平臺(tái)能否與其他有關(guān)的網(wǎng)絡(luò)安全產(chǎn)品集成,能否對(duì)這些安全產(chǎn)品進(jìn)行一致的管理,包含配置各有關(guān)安全產(chǎn)品的安全策略、保護(hù)有關(guān)安全產(chǎn)品的系統(tǒng)配置、檢查并調(diào)整有關(guān)安全產(chǎn)品的系統(tǒng)狀況等。無(wú)線wifi運(yùn)營(yíng)要涉及到很多方面。
一個(gè)完善的網(wǎng)絡(luò)安全平臺(tái)至少需要部署以下產(chǎn)品:
防火墻:網(wǎng)絡(luò)的安全核心,提供邊界安全防護(hù)和訪問(wèn)權(quán)限控制;
網(wǎng)絡(luò)防病毒系統(tǒng):杜絕病毒傳播,提供全網(wǎng)同步的病毒更新和策略設(shè)置,提供全網(wǎng)殺毒。
2、安全網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)劃分
防火墻主要是防備不相同網(wǎng)段之間的進(jìn)攻和不合法訪問(wèn)。因?yàn)楣舻哪繕?biāo)主要是各類計(jì)算機(jī),所以要科學(xué)地區(qū)分計(jì)算機(jī)的類別來(lái)細(xì)化安全設(shè)計(jì)。在整個(gè)內(nèi)網(wǎng)中,依據(jù)使用用途可以將計(jì)算機(jī)區(qū)分為三類:內(nèi)部運(yùn)用的工作站與終端、對(duì)外提供服務(wù)的應(yīng)用服務(wù)器,以及重要數(shù)據(jù)服務(wù)器。這三類在計(jì)算機(jī)的作用不一樣,重要程度也不一樣,安全需求也不一樣:
第一,重點(diǎn)保護(hù)各種應(yīng)用服務(wù)器,特別是要確保數(shù)據(jù)庫(kù)服務(wù)的代理服務(wù)器的絕對(duì)安全,不能允許用戶直接訪問(wèn)。對(duì)應(yīng)用服務(wù)器,則要確保用戶的訪問(wèn)是被我們所控制的,要可以約束訪問(wèn)該服務(wù)器的用戶,使其只能經(jīng)過(guò)指定的方法進(jìn)行訪問(wèn)。
第二,數(shù)據(jù)服務(wù)器的安全性要大于對(duì)外供給的多種服務(wù)的WWW服務(wù)器、E-mail服務(wù)器等應(yīng)用服務(wù)器。所以數(shù)據(jù)庫(kù)服務(wù)器在防火墻定義的規(guī)則上要嚴(yán)于其他服務(wù)器。
第三,內(nèi)部網(wǎng)絡(luò)有可能會(huì)對(duì)各種服務(wù)器和應(yīng)用系統(tǒng)的直接的網(wǎng)絡(luò)攻擊,所以內(nèi)部辦公網(wǎng)絡(luò)也需要和代理服務(wù)器、對(duì)外服務(wù)器(WWW、E-mail)等隔離開(kāi)。
第四,不能允許外網(wǎng)用戶直接訪問(wèn)內(nèi)部網(wǎng)絡(luò)。
上述安全需求,必須要經(jīng)過(guò)區(qū)分出安全的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),并經(jīng)過(guò)VLAN劃分、安全路由器配置和防火墻網(wǎng)關(guān)的配置來(lái)控制不同網(wǎng)段之間的拜訪。區(qū)分網(wǎng)絡(luò)拓?fù)錁?gòu)造時(shí),一方面要確保網(wǎng)絡(luò)的安全,另一方面不能對(duì)原有網(wǎng)絡(luò)構(gòu)造做太大的更改,為此主張選用以防火墻為中心的支持非軍事化區(qū)的三網(wǎng)段安全網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。
根據(jù)這種應(yīng)用模式,使用非軍事化區(qū)結(jié)構(gòu)的網(wǎng)絡(luò)拓?fù)涫且环N很自然的提高安全性的措施。在防火墻上安裝三塊網(wǎng)卡,分別連接三個(gè)不同網(wǎng)段:外網(wǎng)、內(nèi)網(wǎng)和DMZ。
3、三網(wǎng)段安全網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),無(wú)線wifi定制
1. 內(nèi)網(wǎng)用戶可以被授權(quán)訪問(wèn)外網(wǎng)和DMZ中的服務(wù)器;
2. 外網(wǎng)用戶只能夠訪問(wèn)到DMZ中的相關(guān)服務(wù)器,不能訪問(wèn)內(nèi)網(wǎng);
3. DMZ還放置各種應(yīng)用服務(wù)器,應(yīng)用模式中,對(duì)應(yīng)的是各種Web服務(wù)器。這些服務(wù)器允許有控制地被各種用戶訪問(wèn),也能主動(dòng)訪問(wèn)Internet。建議不允許DMZ服務(wù)器主動(dòng)訪問(wèn)內(nèi)網(wǎng)主機(jī);
4. 在內(nèi)網(wǎng)某臺(tái)服務(wù)器上安裝網(wǎng)絡(luò)版防病毒軟件的系統(tǒng)中心,定制全網(wǎng)殺毒策略并監(jiān)控網(wǎng)絡(luò)病毒情況;
5. 通過(guò)網(wǎng)絡(luò)版防病毒軟件的漏洞檢測(cè)功能可以及時(shí)發(fā)現(xiàn)內(nèi)網(wǎng)機(jī)器存在的漏洞,及時(shí)查堵防患未然。
總結(jié):構(gòu)建安全的企業(yè)無(wú)線覆蓋網(wǎng)絡(luò)架構(gòu)就少不了網(wǎng)絡(luò)防火墻。然而網(wǎng)絡(luò)防火墻又涉及到網(wǎng)絡(luò)安全的核心,所以想要架構(gòu)一個(gè)安全、快捷的企業(yè)無(wú)線覆蓋首先就要完成防火墻的架構(gòu)。
來(lái)源:互聯(lián)網(wǎng)
企業(yè)通訊