局域網安全措施方案有哪些?無線局域網是用無線通信技術將終端設備互聯起來，構成可以互相通信和實現資源共享的局域網絡體系。一起來看看局域網安全措施方案是什么，歡迎查閱!

無線局域網面臨的安全問題

無線局域網已廣泛應用于各行各業(yè)中，受到人們的青睞，并成為無線通信與互聯網技術相結合的最熱門技術。無線局域網的最大優(yōu)點就是實現了網絡互連的可移動性，它能大幅度提高用戶訪問信息的及時性和有效性，還可以克服有線限制引起的不便性。但因無線局域網應用具有很大的開放性，數據傳播的范圍較難控制，無線局域網面臨非常嚴峻的安全問題。無線局域網面臨的基本安全問題如下。

1、非法接入風險

主要是指通過未授權的設備接入無線網絡，例如，企業(yè)內部一些員工，購買便宜小巧的無線路由器，通過有線以太網口接入網絡，如果這些設備配置有問題，處于沒加密或弱加密的條件下，那么整個網絡的安全性就大打折扣，造成接入危險?；蛘呤瞧髽I(yè)外部的非法用戶與企業(yè)內部的合法無線路由器建立了連接，這也會使網絡安全失控。

2、客戶端連接不當

一些部署在工作區(qū)域周圍的無線路由器可能沒有做安全控制，企業(yè)內一些合法用戶的無線網卡可能與這些外部無線路由器連接，一旦這個用戶連接到外部無線路由器，企業(yè)的網絡就處于風險之中。

3、竊聽

一些黑客借助Wi-Fi分析器，會捕捉到所有的無線通信數據，如果信息沒有保護，則可以閱讀信號中傳輸的內容。如果黑客手段更高明一點，就可以偽裝成合法用戶，修改空中傳輸的網絡數據等。

4、拒絕服務攻擊

這種攻擊方式，不以獲取信息為目的，黑客只是想讓用戶無法訪問網絡服務而不斷地發(fā)送信息，使合法用戶的信息一直處于等待狀態(tài)，無法正常工作。

上面所述的安全問題的解決，其核心在于安全機制和安全協議如何制定。當前主流的無線局域網技術Wi-Fi從技術發(fā)明和協議設計初期到現在，都不能有效解決這些問題。導致根據協議開發(fā)出來的所有產品，雖然來自不同的廠家，但均面臨著隨時被解的危險。

企業(yè)局域網安全解決方案

本方案為某大型局域網網絡安全解決方案，包括原有網絡系統分析、安全需求分析、安全目標的確立、安全體系結構的設計、等。本安全解決方案的目標是在不影響某大型企業(yè)局域網當前業(yè)務的前提下，實現對他們局域網全面的安全管理。

將安全策略、硬件及軟件等方法結合起來，構成一個統一的防御系統，有效阻止非法用戶進入網絡，減少網絡的安全風險。

2.定期進行漏洞掃描，審計跟蹤，及時發(fā)現問題，解決問題。

3.通過入侵檢測等方式實現實時安全監(jiān)控，提供快速響應故障的手段，同時具備很好的安全取證措施。

4.使網絡管理者能夠很快重新組織被破壞了的文件或應用。使系統重新恢復到破壞前的狀態(tài)，最大限度地減少損失。

5.在工作站、服務器上安裝相應的防病毒軟件，由中央控制臺統一控制和管理，實現全網統一防病毒。

第二章 網絡系統概況

2.1 網絡概況

這個企業(yè)的局域網是一個信息點較為密集的千兆局域網絡系統，它所聯接的現有上千個信息點為在整個企業(yè)內辦公的各部門提供了一個快速、方便的信息交流平臺。不僅如此，通過專線與Internet的連接，打通了一扇通向外部世界的窗戶，各個部門可以直接與互聯網用戶進行交流、查詢資料等。通過公開服務器，企業(yè)可以直接對外發(fā)布信息或者發(fā)送電子郵件。高速交換技術的采用、靈活的網絡互連方案設計為用戶提供快速、方便、靈活通信平臺的同時，也為網絡的安全帶來了更大的風險。因此，在原有網絡上實施一套完整、可_作的安全解決方案不僅是可行的，而且是必需的。

2.1.1 網絡概述

這個企業(yè)的局域網，物理跨度不大，通過千兆交換機在主干網絡上提供1000M的獨享帶寬，通過下級交換機與各部門的工作站和服務器連結，并為之提供100M的獨享帶寬。利用與中心交換機連結的Cisco 路由器，所有用戶可直接訪問Internet。

2.1.2 網絡結構

這個企業(yè)的局域網按訪問區(qū)域可以劃分為三個主要的區(qū)域：Internet區(qū)域、內部網絡、公開服務器區(qū)域。內部網絡又可按照所屬的部門、職能、安全重要程度分為許多子網，包括：財務子網、領導子網、辦公子網、市場部子網、中心服務器子網等。在安全方案設計中，我們基于安全的重要程度和要保護的對象，可以在Catalyst 型交換機上直接劃分四個虛擬局域網(VLAN)，即：中心服務器子網、財務子網、領導子網、其他子網。不同的局域網分屬不同的廣播域，由于財務子網、領導子網、中心服務器子網屬于重要網段，因此在中心交換機上將這些網段各自劃分為一個獨立的廣播域，而將其他的工作站劃分在一個相同的網段。(圖省略)

2.2 網絡應用

這個企業(yè)的局域網可以為用戶提供

1.文件共享、辦公自動化、WWW服務、電子郵件服務;

2.文件數據的統一存儲;

3.針對特定的應用在數據庫服務器上進行二次開發(fā)(比如財務系統);

4.提供與Internet的訪問;

5.通過公開服務器對外發(fā)布企業(yè)信息、發(fā)送電子郵件等;

2.3 網絡結構的特點

在分析這個企業(yè)局域網的安全風險時，應考慮到網絡的如下幾個特點：

1.網絡與Internet直接連結，因此在進行安全方案設計時要考慮與Internet連結的有關風險，包括可能通過Internet傳播進來病毒，黑客攻擊，來自Internet的非授權訪問等。

2.網絡中存在公開服務器，由于公開服務器對外必須開放部分業(yè)務，因此在進行安全方案設計時應該考慮采用安全服務器網絡，避免公開服務器的安全風險擴散到內部。

3.內部網絡中存在許多不同的子網，不同的子網有不同的安全性，因此在進行安全方案設計時，應考慮將不同功能和安全級別的網絡分割開，這可以通過交換機劃分VLAN來實現。

4.網絡中有二臺應用服務器，在應用程序開發(fā)時就應考慮加強用戶登錄驗證，防止非授權的訪問。

無線局域網安全概述

安全是無線局域網面臨的最大問題，這是由無線信號在空中幾乎無邊界的傳播特性造成的，不論信號中的數據要發(fā)送的目的地是哪里，任何無線終端在無線信號覆蓋的范圍內都可以接收到。為了保證安全通信，無線局域網中應采取必要的安全技術，包括鑒別、加密、數據完整性保護等。

1、鑒別

鑒別提供了用戶身份合法性的保證，這意味著當用戶聲稱具有一個特定的身份時，鑒別技術將提供某種方法來證實這一聲明是正確的。用戶在登錄無線局域網的時候，需要輸入特定的密碼或身份信息等來進行身份合法性的驗證。

盡管不同的鑒別方式決定用戶身份驗證的具體流程不同，但基本功能是一致的。目前，無線局域網中采用的鑒別方式主要有基于瀏覽器頁面的身份鑒別、基于密碼的身份鑒別、基于數字證書的身份鑒別。

(1)基于瀏覽器頁面的身份鑒別

基于瀏覽器頁面的身份鑒別一個非常重要的特點是客戶端只需要在瀏覽器上輸入正確的接入信息憑證即可。這類身份鑒別的技術在公共場所(如機場、酒店、商場等地方)經常用到，用戶輸入手機號碼，通過手機獲得相關的登錄驗證碼，然后將登錄驗證碼輸入到瀏覽器中即可使用網絡服務。

這種身份鑒別技術屬于安全性最低的一種方案，它只是在無線局域網的上層應用簡單進行身份信息的對比，實現對用戶使用某種服務的控制?；跒g覽器頁面的身份鑒別技術并沒有融入密碼學相關技術來實現身份信息的保密性和不可篡改性。在無線局域網底層沒有調用任何安全技術的保護，所有通信信息明文傳輸，存在較大的安全風險。這種方案類似于所有訪客，先進入大門，然后再用筆寫下自己的聯系方式。

(2)基于密碼的身份鑒別

基于密碼的身份鑒別是指用戶利用手機或者筆記本電腦原始控制接入無線局域網的界面，輸入所選擇的無線網絡的接入密碼實現網絡登錄。這類身份鑒別的技術在家庭、辦公室等場景經常用到。

這種身份鑒別技術屬于安全性中等的一種方案，它通過綁定密碼學的技術實現用戶接入身份的鑒別，同時完成對通信數據的加密處理。這種技術的缺點在于密碼容易傳播，且所有人使用相同的密碼，容易造成無法追溯或者“好人辦壞事”的情況。這種方案類似于所有訪客，使用同一張卡進入同一個大門。

(3)基于數字證書的身份鑒別

基于數字證書的身份鑒別是指用戶登錄到無線局域網之前，需要由特定的機構對用戶的身份進行嚴格的審核，并為用戶頒發(fā)數字證書，通過公鑰加密技術對用戶的公鑰信息和用戶的身份信息做數字簽名，把用戶的身份信息與公鑰綁定在一起。用戶使用證書進行身份鑒別時，可基于對權威鑒別機構的信賴而信賴證書所對應的實體身份，實現對身份的鑒別。

這種技術屬于安全性最高的一種方案，它通過密碼學的技術不但綁定用戶接入身份的鑒別流程，而且還綁定用戶身份本身，同時也完成對通信數據的加密處理。使用這樣的方法，每個用戶都有屬于自己個人的接入憑證，無法抵賴。這種方案類似于所有訪客，使用唯一標識自己身份的一張卡進入同一個大門。

2、加密

加密就是保護信息不泄露或不暴露給那些未授權掌握這一信息的實體。通常需要選擇特定的密碼算法來實現。常見的密碼算法如下。

(1)數據加密標準DES(Data Encryption Standard)：DES的出現引起了學術界和企業(yè)界的廣泛重視，許多廠家很快生產出實現DES算法的產品，但其最大的缺點在于DES的密鑰太短，不能抵抗無窮搜索密鑰攻擊。

(2)高級加密標準AES(Advanced Encryption Standard)：為了克服DES的缺點，美國國家標準和技術研究所(NIST)開始尋求高強度、高效率的替代算法，并于1997年推出AES標準。

(3)SM4：SM4是在國內正式使用并于2006年公布的第一個用于無線局域網的商用分組密碼算法。WAPI的無線局域網保密基礎結構(WPI, WLAN Privacy Infrastructure)采用對稱密碼算法SM4實現對MAC層MSDU的加、解密操作。

3、數據完整性保護

數據完整性保護，是使接收方能夠確切地判斷所接收到的消息在傳輸過程中是否遭到插入、篡改、重排序等形式的破壞。完善的數據完整性業(yè)務不僅能發(fā)現完整性是否遭到破壞，還能采取某種措施從完整性中恢復出來。