无线网络安全的深层次管理

无线网络已经成为企业网络组成的一部分了。无线网络的易接入，运用灵活受到公司的亲睐。在无线网络提供便捷的同时，企业也在受到外部攻击和不正当应用的困扰。现在，我们来看看企业具体会面对哪些问题，常规处理方法的缺点。

　　问题一、未经授权的无线连接。由于无线AP不受建筑线路的限制，任何电脑只要在无线AP的范围内，就可以进行无线连接尝试。其他客户可以在企业办公地以外登录到企业网络中。这样给非法入侵者提供了便捷的攻击手段，无须通过防火墙就能够直接进入内部网络。

　　通常处理方法，就是通过使用AP加密技术，但是对于现在的破解技术来说确并非难事。同时，如果外来人员第一次通过授权访问无线网络之后，之后再到该企业时就可以继续进行访问，无须通过授权。而且，AP密钥由于保存在外来人员的电脑中，其他人员可以轻易的获取密钥。

　　问题二、网络操作的无限制性。现在企业的客户和供应商需要借用企业网络进行一些网络应用时，企业网管人员往往会让对方使用无线网络进行操作。同时无线AP直接连接到交换机。这样就导致外来人员可以直接访问到内部网络中，一旦外来人员的电脑存在病毒或木马程序，就有可能对内网产生网络攻击或病毒传播现象。同时，外来人员可以无限制来获取到企业的内部信息。

　　通常企业网络管理人员可以一些无线AP内的防火墙功能设定规则来限制，但是由于无线AP往往只能够通过IP来设置访问控制策略。同时，无线AP的性能有限，对设定访问控制策略数量和实现的功能有制约。导致网管人员需要时时更改策略来为新的用户开放网络应用。大大增加了网管人员的工作量。

　　问题三、无线接入的流量控制。由于无线网络接入主机在访问外部网络时，会占用到企业的带宽资源。当出现大流量时，必然会干扰到企业正常网络的运营。

　　常见处理方法，专门申请一条线路给外部人员进行网络访问使用。这种方法需要公司额外花费带宽的租用费用，而且由于专门给客户使用，会导致带宽资源无法充分利用的现象。同时让企业内，不允许访问外网的内部人员有了可乘之机，制造了新的安全漏洞。网管人员处于多头管理中，在日常维护中需要进行两边平衡，增加了工作难度。

　　现在我们来看看利用DAC(Data Access Control)数据访问控制技术对以上问题的处理方式。

　　一、在登录认证上，既可以自己设定帐户密码，也可以和AD/SMTP/LDAP/ RADIUS进行整合，简化网络管理人员的维护工作量。由于可以对登录帐户的可登录时间区段和使用时间进行限制，在用户第二次登录时，则需要重新进行帐户验证。避免一次授权永久通行的现象。

　　二、针对不同的登录用户限制其网络访问区域和访问行为。例如外来人员帐户，则可以限制其只能够访问外网的HTTP/SMTP/POP3，其它应用一概禁止。而对于内部员工登录的帐户，则可以允许其访问内部网络，进行相关的网络应用。

　　三、对登录帐户的带宽进行限制，可以利用QoS流量控制技术对指定网段进行流量限制。从而无须设置单独申请线路就能够避免线路堵塞的现象，也能够提高线路使用效率。另外在QoS功能针对一些P2P软件进行特定限制，增强网络的畅通性。另外对登录帐户的登录机器可以通过来源IP/来源MAC进行有效限制，避免内部员工使用外来人员的帐号来访问外网。

　　以上所描述的DAC数据访问控制技术在上海立佰瀚信息科技有限公司的BandPower提供了完整的解决方案。同事，BandPower提供了多链路整合和链路备份功能，网络流量监控，VPN应用和防火墙功能。完全可以替代原有的网关设备，网管人员只要管理一台机器就能够完成所有网络管理应用，降低维护工作时间。