52info.NET » 防火墙

多元化无线局域网网络安全攻略

KiRinHu — Sun, 08 Nov 2009 11:06:25 +0000

　　安全问题始终是无线局域网的软肋，一直制约着无线局域网技术的进一步推广。从无线局域网技术的发展来看，人们一直都致力于解决无线局域网的安全问题。了解无线网络的安全进程，有助于用户采取有效的安全措施。

　　在无线局域网的早期发展阶段，物理地址(MAC)过滤和服务区标识符(SSID)匹配是两项主要的安全技术。物理地址过滤技术可以在无线访问点AP中维护一组允许访问的MAC地址列表，实现物理地址过滤。服务区标识符匹配则要求无线工作站出示正确的SSID，才能访问AP，通过提供口令认证机制，实现一定的无线安全。

　　物理地址过滤和服务区标识符匹配只能解决有限的安全问题。为了进一步解决安全问题，有线等效保密(Wired Equivalent Privacy，WEP)协议被推到台前。WEP用于在无线局域网中保护链路层数据。WEP使用40位、64位和128位钥匙，采用RC4对称加密算法，在链路层加密数据和访问控制。WEP具有很好的互操作性，所有通过Wi-Fi组织认证的产品都可以实现WEP互操作。

　　不过，WEP的密钥机制存在被破译的安全隐患，势必要被趋于完善的其他安全技术所取代。端口访问控制技术(Port Based Network Access Control，IEEE 802.1x)和可扩展认证协议(Extensible Authentication Protocol，EAP)可以看成是完善的安全技术出现之前的过渡方案。IEEE 802.1x标准定义了基于端口的网络访问控制，可以提供经过身份验证的网络访问。基于端口的网络访问控制使用交换局域网基础结构的物理特征来对连接到交换机端口的设备进行身份验证。如果身份验证失败，使用以太网交换机端口来发送和接收帧的行为就会被拒绝。虽然这个标准是为有线以太网络设计的，但是经过改编后可以在IEEE 802.11无线局域网上应用。EAP不专属于某一厂商，它能够弥补WEP的弱点，并且同时能够解决在接入点之间的移动性问题。EAP还解决了VPN瓶颈问题，使用户能够以有线网络的速度进行工作。不过，配置EAP不是一件容易的事情，这也就是为什么PEAP受到欢迎的原因。PEAP是由微软，思科和 RSA Security共同开发，致力于简化客户端、服务器端以及目录的端到端整合。

　　Wi-Fi保护接入(Wi-Fi Protected Access，WPA)是作为通向802.11i道路的不可缺失的一环而出现，并成为在IEEE 802.11i 标准确定之前代替WEP的无线安全标准协议。WPA是IEEE 802.11i的一个子集，其核心就是IEEE 802.1x和暂时密钥完整协议(Temporal Key Integrity Protocol，TKIP)。 WPA使包括802.11b、802.11a和802.11g在内的无线装置的安全性得到保证。这是因为WPA采用新的加密算法以及用户认证机制，满足 WLAN的安全需求。WPA沿用了WEP的基本原理同时又克服了WEP缺点。由于加强了生成加密密钥的算法，即使黑客收集到分组信息并对其进行解析，也几乎无法计算出通用密钥，解决了WEP倍受指责的缺点。不过，WPA不能向后兼容某些遗留设备和操作系统。此外，除非无线局域网具有运行WPA和加快该协议处理速度的硬件，否则WPA将降低网络性能。

　　WPA2是Wi-Fi联盟发布的第二代WPA标准。WPA2与后来发布的802.11i具有类似的特性，它们最重要的共性是预验证，即在用户对延迟毫无察觉的情况下实现安全快速漫游，同时采用CCMP加密包来替代TKIP。

　　2004 年6月，802.11工作组正式发布了IEEE 802.11i，以加强无线网络的安全性和保证不同无线安全技术之间的兼容性，802.11i标准包括WPA和RSN两部分。WPA在文章前面已经提过。 RSN是接入点与移动设备之间的动态协商认证和加密算法。802.11i的认证方案是基于802.1x 和EAP，加密算法是AES。动态协商认证和加密算法使RSN可以与最新的安全水平保持同步，不断提供保护无线局域网传输信息所需要的安全性。与WEP和 WPA相比，RSN更可靠，但是RSN不能很好地在遗留设备上运行。

　　在Wi-Fi推出的初期，专家也建议用户通过VPN进行无线连接。 VPN采用DES、3DES等技术来保障数据传输的安全。IPSec VPN和SSL VPN是目前两种具有代表意义的VPN技术。IPSec VPN运行在网络层，保护在站点之间的数据传输安全，要求远程接入者必须正确地安装和配置客户端软件或接入设备，将访问限制在特定的接入设备、客户端程序、用户认证机制和预定义的安全关系上，提供了较高水平的安全性。SSL被预先安装在主机的浏览器中，是一种无客户机的解决方案，可以节省安装和维护成本。

　　对于安全性要求高的用户，将VPN安全技术与其他无线安全技术结合起来，是目前较为理想的无线局域网安全解决方案。

　　面对形形色色的无线安全方案，用户需要保持清醒：即使最新的802.11i也存在缺陷，没有一种方案就能解决所有安全问题。例如，许多Wi-Fi解决方案当前所提供的128位加密技术，不可能阻止黑客蓄意发起的攻击活动。许多用户也常常会犯一些简单错误，如忘记启动WEP功能，从而使无线连接成为不设防的连接，用户没有在企业防火墙的外部设置AP，结果使攻击者利用无线连接避开防火墙，入侵局域网。对于用户来说，与其依赖一种安全技术，不如选择适合实际情况的无线安全方案，建立多层的安全保护机制，这样才能有助于避免无线技术带来的安全风险。

　　企业用户通常把无线连接视为一个系统的组成部分，这种系统必须能适应其网络基础架构的需要，提供更高水平的保护功能，以确保企业信息、用户身份和其他网络资源的安全性。企业用户需要对无线网络受到的威胁以及无线网络所需求的安全等级进行评估，尤其需要保护含有敏感数据的对外开放的网络服务器，它们需要的安全保护往往要超过网络中的其他服务器。同时，企业用户需要在AP和客户机之间建立多层次保护的无线连接，以加强安全性。

　　40位的WEP和128位共享密钥加密技术能够提供基本的安全需求，并能抵御最低水平的危险。IT管理员也可以在AP内部创建和维护无线客户机设备的MAC地址表，并在替换或增加无线设备时，以人工方式改变 MAC地址表。由于WEP是一种共享密钥，如果用户密钥受到破坏，黑客就有可能获取专用信息和网络资源。随着网络规模的不断扩展，IT管理员需要加强无线网络的管理工作。

　　为了增加无线网络的安全机制，企业可以使用“基于用户”，而不是“基于设备MAC地址”的验证机制。这样，即使用户的笔记本电脑被盗，盗贼如果没有笔记本电脑用户的用户名和口令，也无法访问网络。这种方法简单易行，同时还会减轻管理负担，因为不需要以人工方式管理MAC 地址表，但企业需要评估和部署AP，以支持基于用户的验证数据库。该验证数据库可以通过本地方式，在AP内部进行维护。

　　企业可以启动由AP执行的动态密钥管理功能。有些无线供应商提供这种管理功能，以此作为一个附加安全层。

　　这种多层次策略，使每个用户均拥有一个独特的密钥，该密钥可以经常改变。即使黑客破坏了加密机制，并获得网络访问权，但黑客获取的密钥的有效期很短暂，从而限制了可能造成的破坏。这种方法因为具有在AP内部设计动态密钥管理的功能，从而简化了日益扩展的IT资源的管理负担。与128位共享密钥加密技术相比，动态密钥管理的功能更强劲，因为经常改变密钥进一步增加了黑客侵入系统的难度。

　　具体来来说，用户只需采取以下措施，就可以将无线网络的安全风险大大降低。一是控制无线客户机，实现WLAN网卡的标准化，防止WLAN网卡被任意改动;二是像对待Internet那样，对待WLAN，在 WLAN和有线网络之间安装防火墙，阻止非授权的WLAN用户向有线网络发送二层数据包;三是保护接入点，将接入点隐藏在不容易被发现的地方，防止被非法篡改;四是防止无线电波“泄漏”到站点之外，用户可以利用各用措施“改变”无线电波的形态，在站点边缘尤其需要用户这么做;五是不要仅依靠WPA，这是因为WPA仍然使用流密码加密无线数据流，而没有使用更安全的分组密码;六是使用VPN，IPSec VPN或SSL VPN仍被视为是最佳的保护技术;七是利用第三方无线安全控制器完善VPN;八是选择合适的EAP方式;九是监测网络，利用分析器和监测器分析WLAN无线数据流，发现未经授权的接入点，并且根据需要阻止或断开客户机，以及检测入侵者。

　　总之，只要结合企业实际，合理组合安全机制，用户就可以回避无线网络的风险而享受到无线接入的便捷。

安装防火墙需要注意的十个重要事项

KiRinHu — Tue, 20 Oct 2009 00:36:51 +0000

1 防火墙实现了你的安全政策

　　防火墙加强了一些安全策略。如果你没有在放置防火墙之前制定安全策略的话，那么现在就是制定的时候了。它可以不被写成书面形式，但是同样可以作为安全策略。如果你还没有明确关于安全策略应当做什么的话，安装防火墙就是你能做的最好的保护你的站点的事情，并且要随时维护它也是很不容易的事情。要想有一个好的防火墙，你需要好的安全策略 ——写成书面的并且被大家所接受。

2 一个防火墙在许多时候并不是一个单一的设备

　　除非在特别简单的案例中，防火墙很少是单一的设备，而是一组设备。就算你购买的是一个商用的“all-in-one”防火墙应用程序，你同样得配置其他机器 (例如你的网络服务器)来与之一同运行。这些其他的机器被认为是防火墙的一部分，这包含了对这些机器的配置和管理方式，他们所信任的是什么，什么又将他们作为可信的等等。你不能简单的选择一个叫做“防火墙”的设备却期望其担负所有安全责任。

3 防火墙并不是现成的随时获得的产品

　　选择防火墙更像买房子而不是选择去哪里度假。防火墙和房子很相似，你必须每天和它待在一起，你使用它的期限也不止一两个星期那么多。都需要维护否则都会崩溃掉。建设防火墙需要仔细的选择和配置一个解决方案来满足你的需求，然后不断的去维护它。需要做很多的决定，对一个站点是正确的解决方案往往对另外站点来说是错误的。

4 防火墙并不会解决你所有的问题

　　并不要指望防火墙靠自身就能够给予你安全。防火墙保护你免受一类攻击的威胁，人们尝试从外部直接攻击内部。但是却不能防止从LAN内部的攻击，它甚至不能保护你免首所有那些它能检测到的攻击。

5 使用默认的策略

　　正常情况下你的手段是拒绝除了你知道必要和安全的服务以外的任何服务。但是新的漏洞每天都出现，关闭不安全的服务意味着一场持续的战争。

6 有条件的妥协，而不是轻易的

　　人们都喜欢做不安全的事情。如果你允许所有的请求的话，你的网络就会很不安全。如果你拒绝所有的请求的话，你的网络同样是不安全的，你不会知道不安全的东西隐藏在哪里。那些不能和你一同工作的人将会对你不利。你需要找到满足用户需求的方式，虽然这些方式会带来一定量的风险。

7 使用分层手段

　　不要依赖单一的设备，使用多个安全层来避免某个失误造成对你关心的问题的侵害。

8 只安装你所需要的

　　防火墙机器不能像普通计算机那样安装厂商提供的全部软件分发。作为防火墙一部分的机器必须保持最小的安装。即使你认为有些东西是安全的也不要在你不需要的时候安装它。

9 不断的重新评价决定

　　你五年前买的房子今天可能已经不适合你了。同样的，你一年以前所安装的防火墙对于你现在的情况已经不是最好的解决方案了。对于防火墙你应当经常性的评估你的决定并确认你仍然有合理的解决方案。更改你的防火墙，就像搬新家一样，需要明显的努力和仔细的计划。

10要对失败有心理准备

　　做好最坏的心理准备。机器可能会停止运行，动机良好的用户可能会做错事情，有恶意动机的用户可能做坏的事情并成功的打败你。但是一定要明白当这些事情发生的时候这并不是一个完全的灾难。

合理设置Vista系统防火墙

KiRinHu — Fri, 21 Aug 2009 15:34:28 +0000

一、采用两种界面来满足不同需求
    Vista防火墙有两种独立的图形配置界面：一是基本的配置界面，可以通过“安全中心”和“控制面板”来访问; 二是高级配置界面，用户在创建自定义的MMC后，可作为插件来访问。
    这可以防止新手用户无意中的改变而导致连接中断，又为高级用户对防火墙设置进行更细化地定制以及控制出站和入站流量提供了一种方法。用户还可以在netsh advfirewall上下文中使用命令，从命令行对Vista防火墙进行配置; 也可以编写脚本，针对一组计算机自动对防火墙进行配置; 还可以通过组策略来控制Vista防火墙的设置。
    二、默认设置下的安全
    Vista中的 Windows防火墙在默认状态下采用安全配置，同时仍支持最佳易用性。默认状态下，大多数入站流量被阻挡，出站连接被允许。Vista防火墙可与 Vista的Windows服务加固这项新功能协同工作，所以如果防火墙检测到被Windows服务加固网络规则禁止的行为，它就会阻挡该行为。防火墙还完全支持纯IPv6的网络环境。
    三、基本配置选项
    利用基本配置界面，用户可以启动或者关闭防火墙，或者设置防火墙完全阻挡所有程序; 还可以允许有例外情况存在(可以指定不阻挡哪些程序、服务或者端口)，并且指定每种例外情况的范围(是否适用于来自所有计算机的流量，包括互联网上的计算机、局域网/子网上的计算机，或者是你指定了IP地址或者子网的计算机); 还可以指定希望防火墙保护哪些连接，并且配置安全日志和ICMP设置。
    四、ICMP消息阻挡
    默认状态下，入站ICMP回应请求可以通过防火墙，而其他所有ICMP信息被阻挡在外。这是因为，Ping工具定期用来发送回应请求消息，用于故障诊断。不过，黑客也可以发送回应请求消息来锁定目标主机。用户可以通过基本配置界面上的“高级”选项卡，阻挡回应请求消息。
    五、多个防火墙配置文件
    附带高级安全MMC插件的Vista防火墙可以让用户在计算机上创建多个防火墙配置文件，那样就可以针对不同环境使用不同的防火墙配置。这对便携式计算机来说特别有用。譬如说，当用户连接到公共无线热点时，可能需要比连接到家庭网络时更安全的配置。用户最多可以创建三个防火墙配置文件：一个用于连接到Windows域、一个用于连接到专用网络，另一个用于连接到公共网络。
    六、IPSec功能
    通过高级配置界面，用户可以定制IPSec设置，指定用于加密和完整性的安全方法、确定密钥的生命周期按时间计算还是按会话计算，并且选择所需的Diffie-Hellman密钥交换算法。默认状态下，IPSec连接的数据加密功能是禁用的，但可以启用它，并且选择哪些算法用于数据加密和完整性。
    七、安全规则
    通过向导程序，用户可以逐步创建安全规则，从而控制单台计算机或者一组计算机之间如何及何时建立安全连接; 也可以根据域成员或者安全状况等标准来限制连接，但允许指定的计算机可以不符合连接验证要求; 还可以创建规则，要求两台特定的计算机(服务器到服务器)连接时需要验证，或者使用隧道规则对网关之间的连接进行验证。
    八、自定义的验证规则
    在创建自定义的验证规则时，要指定单台计算机或者一组计算机(通过IP地址或者地址范围)成为连接端点。用户可以请求或者要求对入站连接、出站连接或者两者进行验证。
    九、入站和出站规则
    用户可以创建入站和出站规则，从而阻挡或者允许特定程序或者端口进行连接; 可以使用预先设置的规则，也可以创建自定义规则，“新建规则向导”可以帮用户逐步完成创建规则的步骤；用户可以将规则应用于一组程序、端口或者服务，也可将规则应用于所有程序或者某个特定程序；可以阻挡某个软件进行所有连接、允许所有连接，或者只允许安全连接，并要求使用加密来保护通过该连接发送的数据的安全性; 可以为入站和出站流量配置源IP地址及目的地IP地址，同样还可以为源TCP和UDP端口及目的地TCP和UPD端口配置规则。
    十、基于活动目录的规则
    用户可以创建规则来阻挡或者允许基于活动目录用户、计算机或者组账户的连接，只要连接通过带有Kerberos v5(包含活动目录账户信息)的IPSec来保护安全。用户还可以使用具有高级安全功能的Windows防火墙，执行网络访问保护(NAP)策略。
    Windows Meeting Space(WMS)是Windows Vista内置的一个新程序，它便于最多10个协作者共享桌面、文件和演示文档，并通过网络传送个人消息给对方。

52info.NET » 防火墙

多元化无线局域网网络安全攻略

Related Posts：

安装防火墙需要注意的十个重要事项

Related Posts：

合理设置Vista系统防火墙

Related Posts：