月度归档： 2015 年 10 月

本文主要围绕作者所在单位无线网络使用过程中遇到的安全问题和防范措施技术展开讨论，首先就企业生产过程上无线网络过渡技术使用中遇到的安全问题进行介绍 ，比如无线接入密码脆弱性、无线信号相互之间的干扰、无线流量控制、非法接入、审计困难等方面进行介绍，其次阐述作者企业在无线网络改造过程中使用的安全措施，主要包括无线接入的认证方式，无线网络的审计、无线信号的分类、无线上网行为管理等技术，最后讨论项目交付后的效果和需要进一步改进的地方，主要包括对无线网络架构的稳定性、可用性、安全性方面进行评估。通过本次无线项目的改造，提升了企业网络的安全性、改善的无线网络的可用性、提高了网络运维的高效性、扩大了无线范围的覆盖面。在经过一段时期的使用后，得到了企业员工和上级领导的一致认可。

无线网络技术因其天然的开放性、移动性、扩展性得到了企业大规模部署和应用。随着公司业务快速增长和业务系统的不断接入，企业无线网络已经滞后于业务的发展，2022年5月公司决定升级现有无线网络，由我担任项目负责人，整个项目工期2个月，工程预算200万元，对公司总部和各生产基地无线网络进行升级。公司主要业务系统包括WMS系统，MES系统、SAP系统等。由于公司成立时间较长，网络初期并没有将无线接入纳入到企业网络规划和设计中，在后续的生产过程上，企业各部门主要通过常规的无线路由器接入提供员工无线访问需求，对无线接入的监管机制薄弱，作为信息中心运维部门的负责人，按照公司无线网络使用需求对无线网络进行重新规划升级，项目实施过程中主要使用了主流了AC+AP方式对公司无线网络进行覆盖，结合portal+mac地址对员工和设备进行接入认证，同时部署上网行为管理对无线上线用户进行审计，对互联网用户对外访问行为和内容进行检测和过滤，加强了无线网络访问过程中的入侵防御和溯源能力；对无线信号根据内部员工和外部访客划分了对应的SSID和vlan ，内部员工通过RADIS服务器绑定windows域账号实现一次认证多次登录，外部访客可以通过手机短信等认证方式接入，访客网络与员工网络之间相互隔离。得益于项目的顺利交付，提升了企业网络的安全性、易用性、扩展性，得到企业员工和上级领导的认可，以下就先前网络中存在的问题和项目改造中使用的技术进行讨论。

一、前期无线网络暴露的安全问题

前期导致无线网络在使用过程中存在下列问题：

（1）无线网络非法接入的问题。无线网络虽然具有其天然的开放性、便捷性，但对管理性也提出的更高的要求。在企业无线使用过程中需要对不同用户设置区别访问权限，例如对日常办公员工和一线作业人员接入无线网络有着不同要求，企业对外用户通过破解工具能够破解无线密码非法接入公司的网络，对公司共享资源的访问构成威胁，很容易造成信息的泄露。

(2) 信号稳定性与干扰问题。常规无线路由器在投入使用时通常设置为默认的无线信道，无线信号相互之间的干扰严重，默认信道划分主要使用1、6、11三个信道，相信无线路由器之间信号存在重叠，终端在移动过程经常会出现掉线情况。传统无线路由器采用2.4GHz频段电磁波，虽然相较5G无线信号传输远，穿透强但信号传输速率低容易受相同频率无线设备的干扰。

(3) 密码脆弱性问题。前期使用传统无线路由器，为方便用户的接入各部门密码设置往往以连续数字为主。无线加密算法在配置过程中由于专业领域不同，员工在老式无线路由器无线加密算法使用wep加密等弱点，容易被非法用户破解。

（4) DHCP 仿冒攻击问题。传统无线路由器默认使用NAT上网，内置DHCP服务，用户在使用的过程中由于不够专业，在办公位置迁移后重新架设无线路由更换了网络的接口导致DHCP server仿冒攻击，造成员工办公网络中断。

(5) 无线上网行为审计问题。出于无线终端种类的多样性，复杂性，在使用无线使用的过程中网络中存在大量的P2P下载、在线音视频等行为，导致网络带宽被超出正常使用范围。经常遭受用户的投诉出现web请求卡顿，消息发送延迟等现象。

二、无线项目改造及安全措施

（1）对无线覆盖率进行勘测，绘制无线AP空间分布图，根据各部门业务需求和空间物理结构规划无线AP的放置地点，根据无线AP的性能参数，无线信号覆盖有效范围以无线AP为中心半径18米计算各部门AP放置个数和地点，尽量避开对无线信号穿透和存在干扰的区域。

(2)重新规划无线网络架构与设备选型，使用主流的AC+AP统一部署，为保障AC的使用过程中的可靠性，使用一主一备的方式。根据业务流量与管理流量可以选择AC直连与旁路2种模式，基于尽量不改变现有网络拓扑结构的情况下采用AC旁路方式连接核心交换机部署方式，AC通过CAPWAP协议实现对AP的管理，业务流量可以通过2种方式进行转发，一种是直接转发方式，无线业务流量通过上级核心交换机不经过AC 直接转发，此种方式特点是快捷高效，安全性低；另一各转发方式是隧道转发，无线业务流量通过AC转发给上级核心交换机，此种方式的特点是安全性高，转发速率受阻且对AC性能有一定要求。为保障安全性选择使用隧道转发的方式。设备使用华为AC6805和Ap7060DN相结合支持WIFI6,具有大容量、低延迟、广连接等特点。无线信号使用2.4GHz和5GHz混合覆盖。无线终端优先选择5G频段进行传输,最大传输速率4.8Gbps，2.4频段最大支持1.15Gbps,整机速率最大5.95Gbps。为防止非法AP的接入，AC端配置无线AP白名单机制有效阻止非法AP的入侵。

(3)无线接入认证和审计，无线接入认证主要措施采用了 portal+mac认证方式、无线vlan的划分与控制、无线SSID分类与隔离。Portal+Mac地址认证确保用户一次认证，多次接入。普通的移动用户一般在首次接通过用户名和密码接入无线，后续接入使用MAC认证，无需再输入用户名和密码，设置用户账户过期时间，账户过期后重新输入用户和密码进行认证。通过对一些固定办公资产例如无线打印机、仓库收发货使用的PAD设备通过MAC地址认证访问无线网络。根据终端类型配置不同的业务流量策略，限制信号弱用户接入或者强制下线，对内部和外部用户设置不同的SSID 实施，限制内部员工和来宾访客的网络之间的相互通信，来访客户仅能访问Internet无法访问公司网络，限制音视频流量的上网速率，来宾无线网络限时开放。

(4)加强内容审计，利用深信服AC-1000上网行为管理实现对员工上网行为的管控与内容的审计。为保护员工正常工作期间的带宽，针对P2P流量和音视流量通过设置不同的业务类型、应用组、IP组等策略有效限制了上述带宽消耗严重的应用流量。设置关键字过滤，禁止敏感词汇和涉密资料字句通过AC转发。

通过项目组同事发共同努力，历时2个月项目得以成功交付并通过验收。实现公司无线网线的安全接入与访问，保障了网络接入的安全性和可用性。在项目成功交付后，通过发送全员邮件告知无线接入的步骤，组织和培训无线接入和网络安全知识讲座，宣传合规上网，避免浏览恶意网站，提升网络带宽使用质量，规范和合理使用网络资源。项目的成功实施一方面归功于项目组对前期无线网络的调研，准确识别用户使用过程中的问题，深入用户无线网络使用需求。另一方面归功于项目组对无线技术的成熟运用。本次无线网络的升级改造，也为公司在wifi7到来积累了宝贵的经验，为公司无线技术使用打下坚实基础。

本文主要讨论作者所在的某传统制造企业网络VPN规划与设计、该企业业务分布全国主要大区，在主要城市建设有生产加工基地。数据中心位于北京总部，各分支生产基地通过运营商数据专线业务连接总部网络访问各业务系统。本人作为信息中心运维主管，全面负责企业信息化过程中网络规划与设计。随着公司经营范围的扩展和各种业务系统的不断加入，为后续各生产基地和远程办公人员提供各业务系统访问的便捷性和安全性是企业组网过程中必须考虑的因素。集团希望建立自己的内部专用网络实现总部和各生产基地的联通，改造和降低运营商数据专线业务费用占比，同时为企业提供一个安全可靠、经济实用的网络环境。本文主要探讨在企业发展过程中不同VPN技术的接入场景、主要分为企业内部访问虚拟专网，远程访问虚拟专网的接入技术，以及在虚拟专用网络实施过程上VPN设备选型、IP规划、密钥交换技术与流量加密技术及实施过程中遇到的问题和解决方案。

本人所在一家传统制造企业，业务范围分布较广。在全国有多处生产基地，生产业务系统主要通过运营商专线访问。在分支较少的情况下通过租用运营商专线访问北京总部数据中心网络，随着公司业务的不断扩展、分布范围的不断扩大、合作伙伴的日益增多，运营商数据专线租赁费用在企业经营过程中的占比也不断攀升。集团信息中心希望通过部署VPN方式来缓解IT成本所占经营数据分析中的费用比例，作为公司运维部门的负责人，并由我牵头优化改造集团网络内部互联互通，降低数据专线使用带来的成本，同时也要满足各分支和移动用户远程访问的需求。并对项目提出如下目标:1）通过Internet公共网络实现分支到总部的站点到站点的虚拟通道联接；2）保障虚拟通信线路中数据机密性、完整性、真实性；3）保证生产业务流量在虚拟通道中的通信质量；4）实现总部到分支的互通，分支到分支的互通。目标确定后，我在企业现有网络架构分析的基础上，我对总部网络架构和各分支网络架构进行了梳理，总部网络为典型的核心、汇聚、接入三层架构、出口部署华为USG6600E系列防火墙通过移动和电信双线接入保障链路可靠性。各分支网络架构使用简单的核心、接入架构，出口部署华为USG6600E系统防火墙。以下具体探讨VPN实施过程中的所采用关键技术及实施过程中遇到的问题。

一）内网互联方案的选型

由于分公司分布范围较广，通常实现分公司与总部内部网络的互通可以通过以下几种方式：

1）通过租用运营商数据专线的方式实现互通，该种方式优点是保证数据通过的安全性、通信质量的稳定性，施工周期长、费用根据距离和带宽进行选择；该种方案的弊端是成本太高，且不支持Internet通信，各分支之间无法互通，项目开通周期长，如果需要访问互联网需要额外开通互联网专线。

2）通过租用运营商的互联网线路，各分支与总部租用固定的公网IP地址或者采用拨号获取的动态的公网IP，通过企业自行通过在公共网络上创建虚拟专用通道实现各分支与总部、分支与分支之间的通信。该方式的优点是节省了租用专线成本、缩短了项目的周期。缺点是链路质量无法保证，业务配置复杂、运维维护成本增加。

通过上述技术方案的对比和分析最终为以解决企业运营成本为前提选择了第2种方案，根据项目的前期规划，后续分支在硬件采购上为方便运维和故障排查，统一使用了华为USG6600E系统防火墙作为企业的出口，该款防火墙设备根据应用场景的不同可以选择IpsecVPN/GREVPN等。以下举例说明使用IPSECVPN实现总部与分支站点到站点的访问、使用SSLVPN实现终端用户个人到站点的访问过程。

二）VPN关键技术与配置

虚拟专线网络是在公网上仿真一条点到点或者点到多点的专线技术，是通过一种协议传输另一种协议的技术，下面通过以IPSECVPN实现总部到分支的网络互通为例说明IPSECVPN关键技术的应用与配置过程。IPSEC 隧道的建立主要分为下列2个阶段：

1）第一阶段建立 IKE SA（安全联盟）验证会话双方真实性，为IPSEC SA生成密钥

IPSEC是基于IP协议的安全隧道协议，位于开放系统参考模型的网络层，是对IP协议安全性的补充，为IP网络通信提供透明的安全服务。由于公网数据传输无法保证传输过程安全，如何验证验证通信双方的真实性，第一阶段是建立IKE 自己的（SA)安全会话，在这一阶段，通信双方之间通过IKE协议先协商建立IKE SA用于身份验证和密钥信息交换，然后在IKE SA的基础上协商建立IPsec SA用于数据安全传输。为保护密钥在公网传递的安全，IKE自身提供了一套自我保护机制利用SHA/SM3认证算法实现身份认证,利用AES/SM4加密算法实现对身份数据的保护，利用DH密钥交换方法生产密钥交换材料来保证密钥的安全交换、传输和存储。

2）第二阶段建立 IPSEC SA（安全联盟）加密数据流

IPsec为了保证数据传输的安全性，在这一阶段需要通过AH或ESP协议对数据进行加密和验证。IPSEC 基于IKE 密钥交换协议协商的密钥提供通信双方数据加密，有了这个密钥建立 IPSEC 自己的安全会话（SA），在IPSEC 安全SA协商过程中指定IPSECVPN 使用的封装模式、保护数据传输的安全协议、需要保护的数据流量、数据连接生存周期和密钥刷新方式等。其中封装模式可以有传输模式和隧道模式，主要区别在于是否使用原始的IP报头和加密范围的不同，保护数据传输的安全协议有AH/ESP/AH+ESP 三种方式，AH提供认证功能不提供加密功能，保证数据来源合法性和完整性验证，不支持IPSEC NAT穿越。ESP提供认证和加密功能保证数据来源合法性、完整性、机密性，支持IPSEC NAT 穿越。

3）IPSEC配置步骤

IKE对等体之间建立一个IKE SA完成身份验证和密钥信息交换后，在IKE SA的保护下，根据配置的AH/ESP安全协议等参数协商出一对IPSec SA。此后，对等体间的数据将在IPSec隧道中加密传输。有了上述IPSEC工作原理的阐述，IPSEC的配置一般有如下步骤1、配置通信双方数据保护流（也称为兴趣流）一般通过ACL来定义IPSEC 需要保护的协议5元组；2、配置IKE安全联盟协商所使用的密钥交换方法、加密方法等、3、配置IPSEC安全联盟协商所使用的封装模式、加密算法、认证算法等.

三）远程用户访问

根据用户使用场景的不同，为满足出差办公和居家办公接入访问公司业务系统的需求，新增一台SSLVPN 服务器提供用户的拨号接入，配合使用windows域身份认证功能和CA功能实现远程访问过程的安全性。相比IPSECVPN ，SSLVPN 配置相对简单，维护成本相对较低。

四）项目实施过程中的问题

在总部与分支通过VPN 实现互通后，由于生产基地MES系统一般位于各分支本地部署，各分支之间的MES系统数据库同步必须通过总部迂回的传递，无法实现各分支之间的直接通信，为此华为针对以上场景通过私有的DSVPN协议（动态智能VPN）技术结合IPSEC技术解决了企业各分支之间的直接通信的需求，降低了总部VPN网关的负荷，减少了数据转发的延迟，提升了转发性能和效率。

综合所述跟随企业业务经营的调整，IT业务需求跟随企业经营的需要也随之变化，通过上述措施实现企业内部资源共享的同时也保障了信息在公共网络传输的安全性要求。降低企业生产成本，扩展了企业网络的边界。得到了领导和同行的认可，期望在今后的企业网络规划与设计过程中再接再厉。

防火墙旁挂模式可以有选择地将流量引导 到防火墙上，即对需要进行安全检测的流量引导到防火墙上进行处理、对不需要进行安全检测的流量直接通过路由器进行转发。

防火墙在线部署也就是串接部署，可以检测也可以起到实时阻止的作用，但是转发会对大流量数据产生延迟。旁路部署本模式，防毒墙和网络是并联的，可以通过数据镜像后，传给防毒墙审查，审查的数据并不会直接影响到网络中的数据。

型号	参考 用户数  1	防火墙 吞吐量数  2	最大 并发连接	每秒 新建连接	IPSec 吞吐量数  3	IPSec 最大连接	SSL VPN 并发用户	固定接口	内存	产品形态	冗余电源
USG6510E-AC	50-100	1.2 Gbit/s	300000	20000	1 Gbit/s	100/100	1000	2*GE(SFP)+10*GE		桌面	外置适配器
USG6525EAC	200~500	2 Gbit/s	3000000	70000	2Gbit/s	100/500	4000	2*10GE(SFP+)+8*GE Combo+2*GE WAN		1U机架	可选双电
USG6555E-AC	500~700	4 Gbit/s	4000000	78000	4Gbit/s	100/1000	4000	3*10GE(SFP+)+8*GE Combo+2*GE WAN		1U机架	可选双电
USG6565E-AC	700~1100	6 Gbit/s	4000000	80000	6Gbit/s	100/1000	4000	4*10GE(SFP+)+8*GE Combo+2*GE WAN		1U机架	可选双电
USG6585E-AC	1100~1600	9 Gbit/s	4000000	80000	6Gbit/s	100/1000	4000	5*10GE(SFP+)+8*GE Combo+2*GE WAN		1U机架	可选双电
USG6615E-AC	1600-2500	12 Gbit/s	6000000	200000	10 Gbit/s	100/2000	8000	6*10GE(SFP+)+6*GE(SFP)+16*GE		1U机架	可选双电

试题一（25分）
阅读下列说明，回答问题1至问题4，将解答填入答题纸的对应栏内。
【说明】
某物流公司采用云管理平台构建物流网络,如图1-1所示(以1个配送站为例) , 数据规划如表1-1所示。

项目特点:
1.单个配送站人员少于20人,仅一台云防火墙就能满足需求;
2.总部与配送站建立IPSec ,配送站通过IPSec接入总部,内部用户需要认证后才有访问网络的权限;
3.配送站的云防火墙采用IPSec智能选路与总部两台防火墙连接, IPSec智能选路探测隧道质量,当质量不满足时切换另外一条链路;
4.配送站用户以无线接入为主。

【问题1】（10分）
补充传统防火墙FW—A配置命令的注释。

• （1）~（10）备选答案：
• A.配置IKE Peer
• B.引用安全策略模板并应用到接口
• C.配置访问控制列表
• D.配置序号为10的IKE安全提议
• E.配置接口加入安全域
• F.允许封装前和解封后的报文能通过FW_A
• G.配置接口IP地址
• H.配置名称为tran1的IPSec安全提议
• I.配置名称为map_temp、序号为1的IPSec安全策略模板
• J.允许IKE协商报文能正常通过FW_A