校園無線網(wǎng)絡(luò)安全策略規(guī)劃與設(shè)計.ppt

《校園無線網(wǎng)絡(luò)安全策略規(guī)劃與設(shè)計.ppt》由會員分享，可在線閱讀，更多相關(guān)《校園無線網(wǎng)絡(luò)安全策略規(guī)劃與設(shè)計.ppt（21頁珍藏版）》請在裝配圖網(wǎng)上搜索。

無線校園網(wǎng)絡(luò)的規(guī)劃與設(shè)計,姓名:覃美玲指導(dǎo)教師：周躍,本課題設(shè)計目的,近年來，隨著校園信息化環(huán)境的日益成熟，學(xué)校的筆記本電腦的普及率不斷上升，師生們對無線網(wǎng)絡(luò)的呼聲也日益增高，普遍希望能夠盡早擺脫網(wǎng)線的限制，可以隨時隨地上網(wǎng)，隨時隨地投入教與學(xué)。與有線網(wǎng)絡(luò)相比,無線網(wǎng)絡(luò)所面臨的安全威脅更加嚴(yán)重。1﹑所有常規(guī)有線網(wǎng)絡(luò)中存在的安全威脅和隱患都依然存在于無線網(wǎng)絡(luò)中；2﹑外部人員可以通過無線網(wǎng)絡(luò)繞過防火墻,對專用網(wǎng)絡(luò)進(jìn)行非授權(quán)訪問；3﹑無線網(wǎng)絡(luò)傳輸?shù)男畔⑷菀妆桓`取、篡改和插入；4﹑無線網(wǎng)絡(luò)容易受到拒絕服務(wù)攻擊(DoS)和干擾；,本課題設(shè)計目的,5﹑內(nèi)部員工可以設(shè)置無線網(wǎng)卡以端對端模式與外部員工直接連接。此外,無線網(wǎng)絡(luò)的安全技術(shù)相對比較新,安全產(chǎn)品還比較少。以無線局域網(wǎng)(WLAN)為例,移動節(jié)點、AP等每一個實體都有可能是攻擊對象或攻擊者。由于無線網(wǎng)絡(luò)在移動設(shè)備和傳輸媒介方面的特殊性,使得一些攻擊更容易實施,對無線網(wǎng)絡(luò)安全技術(shù)的研究比有線網(wǎng)絡(luò)的限制更多,難度更大。,本課題研究意義,現(xiàn)在無線網(wǎng)絡(luò)的需求越來越大，通信安全性越來越重要，現(xiàn)有的無線局域網(wǎng)安全機(jī)制已無法滿足我們對通信安全的需求，解決無線網(wǎng)絡(luò)安全問題就顯得特別重要。,本課題實現(xiàn)功能,校園無線網(wǎng)絡(luò)部分拓?fù)鋱D,校園ip地址分配,校園申請公用IP地址為12.1.1.3，12.1.1.4校園內(nèi)部地址為vlan1：10.0.0.xvlan2：10.0.1.x服務(wù)器server1的IP地址：10.0.2.10路由器R0端口s2/0的IP地址：12.1.1.1路由器R1端口s2/0的IP地址：12.1.1.2,實現(xiàn)NAT地址轉(zhuǎn)換功能,網(wǎng)絡(luò)地址轉(zhuǎn)換NAT是一種將私有地址轉(zhuǎn)化為合法IP地址的轉(zhuǎn)換技術(shù)，主要用于實現(xiàn)私有網(wǎng)絡(luò)訪問公共網(wǎng)絡(luò)的功能。NAT不僅完美地解決了IP地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡(luò)外部的攻擊，隱藏并保護(hù)網(wǎng)絡(luò)內(nèi)部的計算機(jī)。本課題是實現(xiàn)將內(nèi)部的IP地址10.0.0.x和10.0.1.x轉(zhuǎn)換成外部合法IP地址12.1.1.3跟12.1.1.4,實現(xiàn)核心匯聚功能,三層交換機(jī)作為校園網(wǎng)絡(luò)的核心層，三層交換機(jī)就是具有部分路由器功能的交換機(jī)，三層交換機(jī)的最重要目的是加快大型局域網(wǎng)內(nèi)部的數(shù)據(jù)交換，既可實現(xiàn)網(wǎng)絡(luò)路由功能，又可根據(jù)不同網(wǎng)絡(luò)狀況做到最優(yōu)網(wǎng)絡(luò)性能。,實現(xiàn)802.1x的認(rèn)證,在無線控制器AC上的配置實現(xiàn)802.1x的認(rèn)證啟用DHCP功能并配置地址池dhcpenabledhcpserverip-poolpool1配置APwlanap123modelxxxserial-idxxx配置802.1x認(rèn)證的無線接口dot1xauthentication-methodeapport-securityport-modeuserlogin-secure-extport-securitytx-key-type11keyport-securityenable,配置無線服務(wù)模板wlanservice-template7crypto//創(chuàng)建crypto類型的服務(wù)模板1。cipher-suitetkip//使能tkip加密套件security-iewpa//配置信標(biāo)和探查幀攜帶wpa信息service-templateenable配置無線射頻radio7type11g//設(shè)置radio1的射頻類型為802.11gserivce-template1//crypto類型的服務(wù)模板2與射頻1進(jìn)行關(guān)聯(lián)radioenable,配置Radius,radiusscheme1primaryauthentication10.0.2.10primaryaccounting10.0.2.10keyauthenticationh3ckeyaccountingh3cnas-ip10.0.0.100,配置域,domainispauthenticationlan-accessradius-scheme1accountinglan-accessradius-scheme1authorizationlan-accessradius-scheme1domaindefaultenableisp,Radius認(rèn)證服務(wù)器的安裝,交換機(jī)和RADIUS服務(wù)器的共享密碼,添加用戶并設(shè)置其密碼,AP安全設(shè)置,在AP上進(jìn)行WEB界面設(shè)置,圖1AP上的SSID設(shè)置,SNMP協(xié)議配置,SNMP使用DES算法加密數(shù)據(jù)通信；SNMP還使用MD5和SHA技術(shù)驗證節(jié)點的標(biāo)識符，從而防止攻擊者冒充管理節(jié)點的身份操作網(wǎng)絡(luò)。,QoS的設(shè)置,QoS服務(wù)質(zhì)量，是網(wǎng)絡(luò)的一種安全機(jī)制，是用來解決網(wǎng)絡(luò)延遲和阻塞等問題的一種技術(shù)。,Https的設(shè)置,測試結(jié)果,Thankyou,