您的位置:360文档中心› 华为AR系列路由器 01-04 WLAN-FAT AP安全配置

华为AR系列路由器 01-04 WLAN-FAT AP安全配置

相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

4 WLAN-FAT AP安全配置关于本章

WLAN技术是以无线射频信号作为业务数据的传输介质,这种开放的信道使攻击者很

容易对无线信道中传输的业务数据进行窃听和篡改。通过配置WLAN安全,可以防止

攻击者对WLAN网络的攻击,并有效保护合法用户的信息和业务。

4.1 WLAN-FAT AP安全介绍

介绍WLAN安全的定义和目的。

4.2 用户接入安全原理描述

介绍安全策略和STA黑白名单的实现原理。

4.3 WLAN-FAT AP安全应用

介绍WLAN安全的应用场景。

4.4 WLAN-FAT AP安全缺省配置

介绍WLAN安全特性中常见参数的缺省配置。

4.5 WLAN-FAT AP安全配置注意事项

介绍WLAN-FAT AP安全的配置注意事项。

4.6 配置WLAN-FAT AP安全

WLAN技术是以无线射频信号作为业务数据的传输介质,这种开放的信道使攻击者很

容易对无线信道中传输的业务数据进行窃听和篡改。通过配置WLAN安全,可以防止

攻击者对WLAN网络的攻击,并有效保护合法用户的信息和业务。

4.7 WLAN-FAT AP安全配置举例

介绍WLAN-FAT AP安全的配置举例,包括组网需求、配置思路、操作步骤和配置文

件。

4.1 WLAN-FAT AP安全介绍

介绍WLAN安全的定义和目的。

定义

WLAN安全主要包括以下方面:

●用户接入安全:用户接入无线网络的合法性和安全性,包括:链路认证,用户接

入认证和数据加密。

●业务安全:保证用户的业务数据在传输过程中的安全性,避免合法用户的业务数

据在传输过程中被非法捕获。

目的

WLAN技术具有安装便捷、使用灵活、经济节约、易于扩展等优点。但是WLAN技术

是以无线射频信号作为业务数据的传输介质,这种开放的信道使攻击者很容易对无线

信道中传输的业务数据进行窃听和篡改。因此,安全性成为阻碍WLAN技术发展的最

重要因素。

为了保障无线用户的安全性,WLAN安全可以提供:

●针对无线用户的安全策略机制,包括链路认证,用户接入认证和数据加密。

4.2 用户接入安全原理描述

介绍安全策略和STA黑白名单的实现原理。

4.2.1 安全策略

WLAN安全提供了WEP、WPA、WPA2和WAPI四种安全策略机制。每种安全策略体现

了一整套安全机制,包括无线链路建立时的链路认证方式,无线用户上线时的用户接

入认证方式和无线用户传输数据业务时的数据加密方式。

4.2.1.1 WEP

有线等效加密WEP(Wired Equivalent Privacy)协议是由802.11标准定义的,用来保

护无线局域网中的授权用户所传输的数据的安全性,防止这些数据被窃听。WEP的核

心是采用RC4算法,加密密钥长度有64位和128位,其中有24bit的IV(初始向量)是

由系统产生的,所以WLAN服务端和WLAN客户端上配置的密钥长度是40位或104位。

WEP加密采用静态的密钥,接入同一SSID下的所有STA使用相同的密钥访问无线网

络。

WEP安全策略包括了链路认证机制和数据加密机制。

链路认证分为开放系统认证和共享密钥认证。详细的内容请参见2.2.4 STA接入过程中

的“链路认证阶段”。

●如果选择开放系统认证方式,链路认证过程不需要WEP加密。用户上线后,可以

通过配置选择是否对业务数据进行WEP加密。

●如果选择共享密钥认证方式,链路认证过程中完成了密钥协商。用户上线后,通

过协商出来的密钥对业务数据进行WEP加密。

4.2.1.2 WPA/WPA2

由于WEP共享密钥认证采用的是基于RC4对称流的加密算法,需要预先配置相同的静

态密钥,无论从加密机制还是从加密算法本身,都很容易受到安全威胁。为了解决这

个问题,在802.11i标准没有正式推出安全性更高的安全策略之前,Wi-Fi联盟推出了针

对WEP改良的WPA。WPA的核心加密算法还是采用RC4,在WEP基础上提出了临时密

钥完整性协议TKIP(Temporal Key Integrity Protocol)加密算法,采用了802.1X的身

份验证框架,支持EAP-PEAP、EAP-TLS等认证方式。随后802.11i安全标准组织又推出

WPA2,区别于WPA,WPA2采用安全性更高的区块密码锁链-信息真实性检查码协议

CCMP(Counter Mode with CBC-MAC Protocol)加密算法。

为了实现更好的兼容性,在目前的实现中,WPA和WPA2都可以使用802.1X的接入认

证、TKIP或CCMP的加密算法,他们之间的不同主要表现在协议报文格式上,在安全性

上几乎没有差别。

综上所述,WPA/WPA2安全策略涉及了链路认证阶段、接入认证阶段、密钥协商和数

据加密阶段。

链路认证阶段

链路认证分为开放式系统认证和共享式密钥认证,详细内容请参见STA接入过程中的

“链路认证阶段”。

WPA/WPA2仅支持开放式系统认证。

接入认证阶段

WPA/WPA2分为企业版和个人版:

●WPA/WPA2企业版:采用WPA/WPA2-802.1X的接入认证方式,使用RADIUS服务

器和可扩展认证协议EAP(Extensible Authentication Protocol)进行认证。用户

提供认证所需的凭证,如用户名和密码,通过特定的用户认证服务器(一般是

RADIUS服务器)来实现对用户的接入认证。

在大型企业网络中,通常采用WPA/WPA2企业版的认证方式。

说明

关于802.1X的原理描述,请参见《配置指南-安全》中的“802.1X认证”。

WPA/WPA2支持基于EAP-TLS和EAP-PEAP的802.1X认证方式,其认证流程如图

4-1和图4-2所示。

相关文档
最新文档