【IT168 资讯】随着SOHO、电子商务、移动办公等全新的互联需求形态的出现和普及，无线网络产品以及相应的适用于各种不同应用的解决方案，成为网络市场的新宠，并凭借其灵活的联接方式以及领先的网络应用理念，“网聚”了新的注意力。

    一、无线局域网的安全隐患

    虽然无线网络和无线局域网的应用扩展了网络用户的自由，它安装时间短，增加用户或更改网络结构时灵活、经济，可提供无线覆盖范围内的全功能漫游服务。然而，这种自由也同时带来了新的挑战，无线网络的安全隐患日益突出，例如：

    常规有线网络的安全问题

    由于无线网络只是在传输方式上和传统的有些网络有区别，所以常规的安全风险如病毒，恶意攻击，非授权访问等都是存在的，关于这方面的安全隐患和解决方案请参考《阿姆瑞特UTM在企业网应用》。

    本区域任何人都可以接触到无线传输的数据

    由于无线局域网通过无线电波在空中传输数据，所以在数据发射机覆盖区域内的几乎任何一个无线局域网用户都能接触到这些数据。无论接触数据者是在另外一个房间、另一层楼或是在本建筑之外，如何数据被黑客获得后，有可能会进行数据的窃听，获得其他人一些敏感信息（例如：用户名、口令、聊天信息等）。

    内部员工私自搭建AP

    无线局域网易于访问和配置简单，企业任何部门或者个儿都通过购买AP搭建一个接入企业网络的无线网络，而这些私自搭建的AP大多数没有对接入用户对外访问进行控制；

    因此黑客可能会通过这些AP接入到网络，不仅会增加带宽费用，跟有可能非法用户通过网络去攻击政府、银行、电信等敏感网络或者浏览反动网页，使得企业去“背黑锅”，为其他人而承受法律责任。

    使用AP缺省配置

    一半以上的用户在使用AP时候，只是在其默认基础上进行很少的修改。几乎所有的AP都是按照默认配置未开启WEP进行加密或者使用原厂商提供的默认密码。因此黑客可能使用缺省的密钥接入到企业网络，同样会攻击政府、银行、电信等敏感网络或者浏览反动网页，使得企业去“背黑锅”，为其他人而承受法律责任。

    多AP的用户账号/口令管理问题

    当企业使用多台AP的时候，因为每个AP所覆盖的范围有限，但使用无线网络的用户是移动的，因此对于这些AP的用户账号管理是管理员比较头痛的问题。一旦忘了添加新加用户账号或者删除离职员工的账号，都会带来一些问题。

    二、阿姆瑞特UTM在无线局域网的应用

    **公司内部有员工200多人，采用无线形式进行网络连接，为了保证员工上网速度，该公司租用2条网通链路。同时该公司有对外的HTTP、MAIL服务器系统.，公司的交换机没有三层功能，只是根据部门划分了VLAN，VLAN之间路由由阿姆瑞特UTM来做。采用阿姆瑞特F100-UTM作为网络的接入和网络安全的保护，网络接入示意图如下：

    阿姆瑞特UTM（Unified Threat Management）是将防火墙、VPN、入侵检测、防病毒、内容过滤和应用控制等功能结合于一体，提供从物理层到应用层7层安全防护的产品。阿姆瑞特UTM产品内部集成了专用的ASIC加速芯片，突破了传统安全设备在进行内容处理方面与性能的矛盾，保证网络的安全性、高效性。具体在本方案中，阿姆瑞特UTM体现的技术特点为：

    多链路接入，负载均摊

    为了保证员工上网快捷，该公司租用了2条CNC链路，因为通过这2个出口都可以访问Internet，因此使用了阿姆瑞特UTM基于策略路由功能，通过这个功能可以基于不同的策略定义不同的路由，因此可以根据源地址、服务等定义不同的路由。从而达到不需要其他设备可以连接多个ISP，应用在多个出口的环境。

    F100-UTM多接口，进行多外网、DMZ保护

    F100-UTM提供4个访问控制接口和6个交换机接口，并且所有的访问控制接口都是对称设计，因此可以作多个内网，多个外网或者多个DMZ区。因此，在本案例中，使用了2个接口接外网、1个接口接内网、另外一个接内网。形成了对服务器和内网用户多重保护。

    VLAN之间路由和VLAN之间访问控制

    在本方案中，因为企业核心交换机划分了VLAN，但因为没有三层功能，因此Vlan 之间路由工作由阿姆瑞特UTM来完成。在配置中，每一个VLAN在防火墙的配置中将出现一个虚拟接口，这样可以与物理存在的网卡一样进行具体的过滤并控制带宽，因此可以作VLAN之间的访问控制，从而具有更高的安全性和配置灵活性。

    全网用户账号集中管理

    在无线网络中，因为存在内部员工私自搭建AP、使用AP缺省配置、不同的AP的用户账号/口令管理问题、用户在不同AP之间进行漫游等众多问题。如何管理网络，只有合法用户才能通过UTM访问Internet是管理员比较头疼的问题，通过阿姆瑞特UTM的灵活的用户认证功能，可以完全满足在无线网络环境中全网用户帐号集中管理功能。

    阿姆瑞特UTM支持本地用户任何、CA、LDAP和RADIUS多种认证模式，通过用户认证功能，可以实现对网络更有效的管理。

    在同一台PC上，输入用户名和口令可以访问对应的目标网络，没有用户名和口令无法访问；
    在同一台PC上，输入不同的用户名和口令可以访问不同的目标地址；
    在同一台PC上，输入不同的用户名和口令可以获得不同的带宽对外访问；
    在同一台PC上，分别对不同用户进行计费管理，当超出预定流量后阻断该用户所有对外的访问行为或者特定目标地址的访问行为。

    用户数据加密传输

    由于无线局域网通过无线电波在空中传输数据，所以在数据发射机覆盖区域内的几乎任何一个无线局域网用户都能接触到这些数据，因此对于一些关键数据必须进行加密传输。

    阿姆瑞特UTM提供IPSEC、PPTP、L2TP等众多加密方式，用户在进行数据通讯前，先与UTM产品建立一条加密隧道，然后再进行数据传输，保证了数据在传输过程的机密性。

    用户上网流量整形

    通过阿姆瑞特UTM专业的带宽管理功能，对用户的网络进行流量整形，例如：对企业生产数据和ERP数据等业务性非常强服务进行带宽保证、对于员工浏览网页、FTP下载等非生产数据进行带宽限制、对非重要部门的每一个员工进行带宽控制、以及通过VPN传输数据的带宽管理等。

    入侵防御（IDP）

    阿姆瑞特UTM内置数以千计的攻击定义，保护企业网络免受应用程序和操作系统漏洞的攻击以及蠕虫和病毒的侵扰；同时开启P2P限制功能，对员工聊天、BT下载等进行控制；

    实时的反病毒网关

    依托卡巴斯基强大的病毒特征库和基于特征和启发式的扫描阿姆瑞特UTM可以在网关处过滤各种已知和未知病毒,提供针对未知病毒、蠕虫、特洛伊木马和其它恶意内容的高性能保护。

    内容过滤

    网页内容过滤则为企业提供了一个管理服务，使得企业可以控制员工对Internet资源的访问方式，同时屏蔽互联网上恶意网站和“钓鱼”网站，最小化了恶意内容所带来的危险。通过提高生产力并降低带宽成本，它有助于帮您节约资金，同时使得您的网络更加安全。