《中国移动东莞分公司WLAN网络安全提升》由会员分享,可在线阅读,更多相关《中国移动东莞分公司WLAN网络安全提升(25页珍藏版)》请在金锄头文库上搜索。
1、东莞分公司2010年12月 “一月一事 消灭最差”总结,WLAN网络安全性能提升,“一月一事 消灭最差”工作开展情况,概述,项目背景:,网络流量急剧增长,对网络安全及性能的要求越来越高。 黑客攻击时有发生并且影响业务数据的正常转发。 为网络规模的扩大做好准备。,本月事项:WLAN网络安全性能提升,解除网络存在的安全隐患、提高网络的安全性能。 通过优化项目提高中心相关人员的技术水平。,项目实施进程:,“一月一事 消灭最差”工作开展情况,“一月一事 消灭最差”工作开展情况,WLAN网络性能提升项目,共对22台核心侧设备及10个热点进行了相应30余项的细项优化工作。根据项目的四个阶段,进行具体优化工
2、作如下:,“一月一事 消灭最差”工作开展情况,实施过程,通过项目四个阶段的优化实施工作,对核心侧设备的安全性能及热点的性能进行了优化: 核心侧设备的安全性能优化: 对22台核心侧网络设备进行了约30个细项的优化工作。 热点的性能优化: 对10个热点进行了针对性的优化。,核心设备的安全管理优化,“一月一事 消灭最差”工作开展情况,通过AAA服务,配置用户的认证及授权:,“一月一事 消灭最差”工作开展情况,利用防火墙构建安全管理VPN。,利用Eudemon-500作为安全管理VPN网关,只有通过Eudemon-500的VPN认证用户才能向设备发起管理会话。,VPN方案逻辑图,“一月一事 消灭最差”
3、工作开展情况,只有通过VPN认证才能对网络设备进行远程HTTP、Telnet管理。 防止通过对AC等开启HTTP管理服务设备发起HTTP会话,消耗设备资源,造成设备拒绝服务或死机。,在未配置VPN前,可以直接打开HTTP管理认证页面,以下日志为9月20日,某人尝试猜测HTTP管理认证密码的攻击。 %Sep 20 06:47:12:458 2010 H3C_SW1 WEB/4/USERIN:User Administrator(125.89.72.123) login failed %Sep 20 06:47:12:619 2010 H3C_SW1 WEB/4/USERIN:User Admin
4、istrator(125.89.72.123) login failed %Sep 20 06:47:12:791 2010 H3C_SW1 WEB/4/USERIN:User Administrator(125.89.72.123) login failed %Sep 20 06:47:12:952 2010 H3C_SW1 WEB/4/USERIN:User Administrator(125.89.72.123) login failed %Sep 20 06:47:13:114 2010 H3C_SW1 WEB/4/USERIN:User Administrator(125.89.72
5、.123) login failed %Sep 20 06:47:13:286 2010 H3C_SW1 WEB/4/USERIN:User Administrator(125.89.72.123) login failed %Sep 20 06:47:13:447 2010 H3C_SW1 WEB/4/USERIN:User Administrator(125.89.72.123) login failed %Sep 20 06:47:13:608 2010 H3C_SW1 WEB/4/USERIN:User Administrator(125.89.72.123) login . 在配置了
6、VPN后,只有通过VPN认证才能打开设备的HTTP连接,有效地阻止此类攻击。,通过管理VPN解除的曾经发生过的攻击威胁。,在未配置VPN前,可以直接打开Telnet会话,以下日志为非法用户尝试猜测Telnet密码,以获得设备的管理权限。 %Stp 20 06:48:13:145 2010 H3C_SW1 SHELL/4/USERIN:User Administrator(125.87.67.133) login failed %Stp 20 06:48:13:307 2010 H3C_SW1 SHELL/4/USERIN:User Administrator(125.87.67.133) lo
7、gin failed %Stp 20 06:48:13:471 2010 H3C_SW1 SHELL/4/USERIN:User Administrator(125.87.67.133) login failed %Stp 20 06:48:13:638 2010 H3C_SW1 SHELL/4/USERIN:User Administrator(125.87.67.133) login failed %Stp 20 06:48:13:800 2010 H3C_SW1 SHELL/4/USERIN:User Administrator(125.87.67.133) login failed %
8、Stp 20 06:48:13:961 2010 H3C_SW1 SHELL/4/USERIN:User Administrator(125.87.67.133) login failed %Stp 20 06:48:14:121 2010 H3C_SW1 SHELL/4/USERIN:User Administrator(125.87.67.133) login failed . 在配置了VPN后,只有通过VPN认证才能打开设备的Telnet会话,这有效地阻止此类攻击。,“一月一事 消灭最差”工作开展情况,细调线路参数及安全的日志服务。,核心设备的安全防范优化:,“一月一事 消灭最差”工作开
9、展情况,“一月一事 消灭最差”工作开展情况,配置交换网络设备的安全特性,“一月一事 消灭最差”工作开展情况,STP安全攻击防范配置,保证交换网络结构稳定,解除STP安全隐患。 ARP安全攻击防范配置,防止各种ARP相关攻击保证数据正常转发。 常见病毒及DOS攻击的安全防范配置,阻止常见的病毒及攻击到达WLAN核心网侧。,配置交换网络设备的安全特性,提高交换网络安全,解除安全隐患,阻止病毒和攻击。,“一月一事 消灭最差”工作开展情况,通过本项优化措施,有效防止非法用户使用网络资源,提高热点内合法用户的空口可用带宽。,配置用户的二层隔离。,热点性能提升优化,“一月一事 消灭最差”工作开展情况,“一
10、月一事 消灭最差”工作开展情况,WLAN网络热点性能优化手段,核心侧设备配置优化,“一月一事 消灭最差”工作开展情况,删除设备多余配置,规范配置模板,添加配置描述,删除设备的多余配置,提高配置的可读性及可读性,减轻网维人员的工作难度。,配置标准的配置模板,实现配置的标准化、统一化,为将来加入新的热点、设备提供良好的参考。,添加适当的配置描述,便于网络维护与排错工作的进行,为网络维护人员阅读理解配置提供便利,通过以上配置,减轻维护人员的工作。提高网络维护、排障等工作的效率,“一月一事 消灭最差”工作开展情况,优化效果,经过1、2阶段的优化工作,WLAN核心侧网络的安全性有了很大的提升:如下表所示,“一月一事 消灭最差”工作开展情况,通过WLAN网络热点性能优化,WLAN网络热点的各项性能指标都有了一定的提升,如下表所示:,项目总结,谢 谢!,
