无线网络已经成为企业网络组成的一部分了。无线网络的易接入,运用灵活受到公司的亲睐。在无线网络提供便捷的同时,企业也在受到外部攻击和不正当应用的困扰。现在,我们来看看企业具体会面对哪些问题,常规处理方法的缺点。
问题一、未经授权的无线连接。由于无线AP不受建筑线路的限制,任何电脑只要在无线AP的范围内,就可以进行无线连接尝试。其他客户可以在企业办公地以外登录到企业网络中。这样给非法入侵者提供了便捷的攻击手段,无须通过防火墙就能够直接进入内部网络。
通常处理方法,就是通过使用AP加密技术,但是对于现在的破解技术来说确并非难事。同时,如果外来人员第一次通过授权访问无线网络之后,之后再到该企业时就可以继续进行访问,无须通过授权。而且,AP密钥由于保存在外来人员的电脑中,其他人员可以轻易的获取密钥。
问题二、网络操作的无限制性。现在企业的客户和供应商需要借用企业网络进行一些网络应用时,企业网管人员往往会让对方使用无线网络进行操作。同时无线AP直接连接到交换机。这样就导致外来人员可以直接访问到内部网络中,一旦外来人员的电脑存在病毒或木马程序,就有可能对内网产生网络攻击或病毒传播现象。同时,外来人员可以无限制来获取到企业的内部信息。
通常企业网络管理人员可以一些无线AP内的防火墙功能设定规则来限制,但是由于无线AP往往只能够通过IP来设置访问控制策略。同时,无线AP的性能有限,对设定访问控制策略数量和实现的功能有制约。导致网管人员需要时时更改策略来为新的用户开放网络应用。大大增加了网管人员的工作量。
问题三、无线接入的流量控制。由于无线网络接入主机在访问外部网络时,会占用到企业的带宽资源。当出现大流量时,必然会干扰到企业正常网络的运营。
常见处理方法,专门申请一条线路给外部人员进行网络访问使用。这种方法需要公司额外花费带宽的租用费用,而且由于专门给客户使用,会导致带宽资源无法充分利用的现象。同时让企业内,不允许访问外网的内部人员有了可乘之机,制造了新的安全漏洞。网管人员处于多头管理中,在日常维护中需要进行两边平衡,增加了工作难度。
现在我们来看看利用DAC(Data Access Control)数据访问控制技术对以上问题的处理方式。
一、在登录认证上,既可以自己设定帐户密码,也可以和AD/SMTP/LDAP/ RADIUS进行整合,简化网络管理人员的维护工作量。由于可以对登录帐户的可登录时间区段和使用时间进行限制,在用户第二次登录时,则需要重新进行帐户验证。避免一次授权永久通行的现象。
二、针对不同的登录用户限制其网络访问区域和访问行为。例如外来人员帐户,则可以限制其只能够访问外网的HTTP/SMTP/POP3,其它应用一概禁止。而对于内部员工登录的帐户,则可以允许其访问内部网络,进行相关的网络应用。
三、对登录帐户的带宽进行限制,可以利用QoS流量控制技术对指定网段进行流量限制。从而无须设置单独申请线路就能够避免线路堵塞的现象,也能够提高线路使用效率。另外在QoS功能针对一些P2P软件进行特定限制,增强网络的畅通性。另外对登录帐户的登录机器可以通过来源IP/来源MAC进行有效限制,避免内部员工使用外来人员的帐号来访问外网。
以上所描述的DAC数据访问控制技术在上海立佰瀚信息科技有限公司的BandPower提供了完整的解决方案。同事,BandPower提供了多链路整合和链路备份功能,网络流量监控,VPN应用和防火墙功能。完全可以替代原有的网关设备,网管人员只要管理一台机器就能够完成所有网络管理应用,降低维护工作时间。
