1、2023年9 月计算机应用文摘第39 卷第17 期ENSP在企业WLAN中的安全设计邢之浩(北京信息职业技术学院,北京10 0 0 0 5)摘要:随着企业WLAN技术的不断发展和普及,确保企业WLAN网络的安全性成为一个重要的问题。ENSP(Enterprise Network Security Policy)作为一种常用的安全设计模型,在企业WLAN中的应用越来越受到关注。文章首先介绍了ENSP模型的概念和基本原理,然后探讨了ENSP在企业WLAN中的安全设计,包括网络拓扑结构、身份认证、访问控制、加密通信等。最后,结合实际案例分析了ENSP在企业WLAN安全设计中的应用,总结了ENSP模型
2、在企业WLAN安全设计中的优势和不足,为企业WLAN安全设计提供了一定的参考价值。关键词:ENSP;企业WLAN;安全设计;身份认证;访问控制;加密通信XING Zhihao中图法分类号:TP393Abstract:With the continuous development and popularization of enterprise WLAN technology,ensuring the security of enterprise WLAN networks has become an important issue.Therefore,ENSP(Enterprise Netwo
3、rk Security Policy),as a commonly used security design model,is receivingincreasing attention in its application in enterprise WLAN.This article first introduces the conceptand basic principles of the ENSP model,and then explores the security design of ENSP in enterpriseWLAN,including network topolo
4、gy,identity authentication,access control,encryptedcommunication,and other aspects.Finally,combined with practical cases,the application of ENSPin enterprise WLAN security design was analyzed,and the advantages and disadvantages of ENSPmodel in enterprise WLAN security design were summarized,providi
5、ng certain reference value forenterprise WLAN security design.Key words:ENSP,enterprise WLAN,safety design,identity authentication,access control,encryptedcommunication1引言随着移动互联网的快速发展和企业数字化转型的深入推进,企业WLAN技术的应用越来越广泛。企业WLAN网络的安全性不仅关系到企业信息的安全和业务的稳定性,也关系到企业声誉和客户信任的建立。因此,保障企业WLAN网络的安全性成为一个呕待解决的问题 1ENSP是一种
6、常用的安全设计模型,通过制定企业网络安全政策,指导网络的安全设计和管理 2 。在企业WLAN网络的安全设计中,采用ENSP模型可以有效地保障WLAN网络的安全性。本文将探讨ENSP模型在企业WLAN安全设计中的应用,包括网络拓扑结构、身份认证、访问控制、加密通信等,为企业文献标识码:ASecurity design of ENSP in enterprise WLAN(Beijing Information Technology College,Beijing 100005,China)WLAN安全设计提供一定的参考价值。2企业WLAN的安全需求企业WLAN安全设计的目标是保护企业无线网络中的
7、数据不被未经授权的人员或设备访问和盗用 3。为实现这一目标,企业WLAN的安全需求主要包括以下几个方面。(1)认证和授权:企业WLAN需要对接人其网络的设备进行身份验证,并确定其所能访问的资源。只有通过身份验证的设备才能连接到企业WLAN,并访问企业网络中的资源。(2)机密性:企业WLAN需要对数据进行加密保护,防止敏感信息被未经授权的人员或设备读取或窃取。企业需要采取一些加密技术来确保数据的机密2023 年第17 期性,如WPA2、A ES等。(3)安全管理:企业WLAN需要能够管理和监控网络的安全状态。网络管理员需要能够追踪网络中的安全事件,如人侵和攻击,并采取措施进行应对。(4)无线威胁
8、防护:企业WLAN需要能够预防和应对各种无线网络攻击和威胁,如DoS攻击、中间人攻击、恶意软件和病毒等。3ENSP的安全功能ENSP是企业网络安全解决方案,具有以下几个主要的安全功能。(1)认证和授权:ENSP支持各种认证和授权方式,如8 0 2.1x、MA C 地址认证、LDAP认证等。此外,ENSP还可以通过RADIUS服务器进行身份验证和访问控制。(2)数据加密:ENSP支持各种数据加密技术,如WPA2、A ES等。这些加密技术能够保护数据的机密性,防止敏感信息被未经授权的人员或设备读取或窃取。(3)安全管理:ENSP提供了全面的安全管理功能,可以管理和监控网络的安全状态。网络管理员可以
9、使用ENSP来追踪网络中的安全事件,并采取措施进行应对。(4)无线威胁防护:ENSP提供了完备的无线威胁防护功能,可以预防和应对各种无线网络攻击和威胁,如DoS攻击、中间人攻击、恶意软件和病毒等。4ENSP无线WLAN配置案例4.1组网需求为了保障工作人员的无线接人安全,某中小企业构建了无线办公网络环境。这是一个开放式场所,容易受到网络入侵的威胁。例如,攻击者可能在WLAN网络中放置一台非法AP(A P3),并将其SSID设置为“wlan-net”,以冒充合法AP,从而与用户建立无线连接并窃取企业信息。为了防止这类入侵,企业可以部署监控AP(A P2),并配置WIDS和WIPS功能。基于此,A
10、C((访问控制器)能够检测出非法AP3(既不是由本AC管理的AP,也不在合法AP列表中),从而确保用户的正常接入并及时发现潜在的安全威胁 44.2酉配置思路(1)配置AP、A C 和上层网络设备之间实现网络互通。(2)配置AC作为DHCP服务器,为STA和AP分配IP地址。(3)配置VLANpool,用于作为业务VLAN。(4)配置AP上线。计算机应用文摘(5)配置WLAN业务参数,实现STA访问WLAN网络功能(6)配置AP2工作在监控模式,能够检测无线设备信息并上报给AC(7)配置WIDS和WIPS功能,AC对检测出的非法AP进行反制。4.3#操作步骤(1)配置AC与上层网络设备互通。配置
11、AC连接商城设备的接口CEO/0/2加入VLAN101(业务VLAN)和VLAN102(业务VLAN)。AC:vlan batch 101 102interf g0/0/2port link-type trunkport trunk allow-pass vlan 101 102q(2)配置AC作为DHCP服务器,为STA和AP分配IP地址。AC上新建接口地址池VLANIF100、V L A NI F 10 1和VLANIF102。其中,VLANIF100为AP提供IP地址,VLANIF101和VLANIF102加人VLANpool,由VLANpool下VLAN对应的接口地址池为STA分配地址
12、。dhcp enableinterf vlanif 100ip add 192.168.100.1 24dhcp select interfinerf vlanif 101ip add 192.168.101.1 24dhcp select interfinerf vlanif 102ip add 192.168.102.1 24dhcp select interfq(3)配置VLANpool,用于作为业务VLAN。新建VLANpool并将VLAN101和VLAN102加人其中,配置VLAN pool中的VLAN分配算法为“hash。ACvlan pool sta-poolvlan 101 1
13、02assignment hashq(4)配置AP上线。创建AP组,用于将相同配置的AP都加入同一AP组中。3536wlanap-group name ap-grouplq创建域管理模板,在域管理模板下配置AC的国家码并在AP组下引用域管理模板。regulatory-domain-profile name domainlcountry-code cnqap-group name ap-grouplregulatory-domain-profile domain1yq配置AC的源接口capwap source iterf vlanif 100在AC上离线导人AP并将AP加人AP组ap-group
14、中,假设AP的MAC地址为6 0 de-4476-e360和60de-4474-9640,根据AP的部署位置为AP配置名称,以便从名称上了解AP的部署位置,如MAC地址为6 0 de-4476-e360的AP部署在1号区域,命令此AP为area_1。wlanap auth-mode mac-authap-id 0 ap-mac 1111-1111-11111(ap 的 mac 地址)ap-name arealap-group ap-grouplyqap-id 1 ap-mac 1111-1111-11111(ap 的mac 地址)ap-name area2ap-group ap-group1y
15、q(dis ap unauthorized record)查看 ap 的 mac 未授权(ap-confirm all)ap 全部授权display ap allAP上电后,当执行命令displayapall查看到的AP的“state字段为“nor时,表示AP正常上线。(5)配置WLAN业务参数。创建名为“wlan-security”的安全模板,并配置安全策略。security-profile name wlan-securitysecurity wpa2 psk pass-phrase a1234567 aes创建名为“wlan-ssid”的SSID模板,并配置SSID名称为“wlan-ne
16、t。wlan计算机应用文摘ssid-profile name wlan-ssidssid wlan-netq创建名为“wlan-vap的VAP模板,配置业务数据转发模式、业务WLAN,并引用安全模板和SSID模板。wlanvap-profile name wlan-vapforward-mode tunnelservice-vlan vlan-pool sta-poolsecurity-profile wlan-securityssid-profile wlan-ssidq配置AP组引用VAP模板,AP上射频O和射频1都使用VAP模板“wlan-vap的配置。ap-group name ap-
17、group1vap-profile wlan-vap wlan 1 radio 0vap-profile wlan-vap wlan 1 radio 1q配置AP射频的信道和功率。关闭射频的信道和功率自动调优功能。射频的信道和功率自动调优功能默认开启,若不关闭此功能,则会导致手动配置不生效。wlanrrm-profile name defaultcalibrate auto-channel-select disablecalibrate auto-txpower-select disableq配置AP射频0 的信道和功率。wlanap-id 0radio 0channel 20mhz 6yei
18、rp 127q配置AP射频1的信道和功率。radio 1channel 20mhz 149yeirp 127q(6)配置vap2的模板,引用SSID模板。vap-profile name vap2ssid-profile wlan-ssidq2023年第17 期2023 年第17 期配置AP组ap-group2引用vap2模板ap-group name ap-group2vap-profile vap2 wlan 2 radio 0vap-profile vap2 wlan 2 radio 1在AP2的射频0 工作在监控模式,配置WIDS 和WIPS功能,开启设备检测和非法设备反制功能。ap-
19、group name ap-group2ap-id 1ap-group ap-group2radio 0work-mode monitorwids device detect enablewids contain enableqq(7)创建WIDS模板,并配置反制模式及反制非法AP设备。(上接第33页)论内容则应选择专业标准与技能等级标准涉及的相关知识点进行同步设计。活页式教材建设要求学校、企业、评价组织共同合作,结合专业实际和行业用人需求,将技能证书标准与课程标准相结合。3结束语Web前端开发岗位是目前极具前景的IT岗位,市场对Web前端开发人才的需求非常多,急切需要高校为社会输送更多技术过
20、硬的人才。实施“1+X”证书制度,将专业课程与技能等级标准相融合,形成课程与证书融通的人才培养模式,为培养复合型技能人才指明了方向。目前,“1+X”证书制度试行不久,很多内容还处在探索阶段。在这个证书制度下,如何实现人才培养供给侧与产业需求侧的无缝对接,以及培养德智体美劳全面发展的复合型IT人才,是“1+X”证书制度下面临的新的更大挑战。参考文献:1】黄娥“1+X证书制度体系构建的困境与出路基于利益相关者视角 J.成人教育,2 0 2 0,40(4):42-49.2 李永健,邓桂兵,李一辉.高职院校“1+X”证书制度试点的计算机应用文摘wlanwids-profile name wlan-wi
21、dscontain-mode spoof-ssid-apqap-group name ap-group2wids-profliewlan-widsq参考文献:1 段景山,马立香,毛玉明,等.基于分层体系的WLAN实验室建设研究 J.实验技术与管理,2 0 14,31(5):136-139.2华为技术有限公司,技术支持EB/OL.http:/s u p p o r J.实验室研究与探索,2 0 2 2,41(2):12 5+12 9+296.4郭湘,郑镇礼.基于eNSP的WLAN保护倒换试验平台J.铁道通信信号,2 0 2 0,5 6(10):5 5-5 8.理解、思考与准备J.湖北成人教育学院
22、学报,2 0 19,2 5(5):1-3.3韦莉莉.1+X证书制度的书证融通及其价值指向 J.职教论坛,2 0 2 0(1):15 0-15 3.4】李静.1+X证书角色与功能定位研究 J.职教论坛,2 0 19(7):152-155.5童洪志.本科旅游管理专业课程体系研究现状 J.吕梁教育学院学报,2 0 19(2):12-15.6宣峰.机电一体化技术专业人才培养模式创新与改革J.湖北农机化,2 0 19(2 2):2 2.7温舒.新时代“双师型”教师队伍建设:成就、困境与破解J.天津商务职业学院学报,2 0 2 0(1):7 3-7 8.8王辉.职业院校智能新能源汽车领域“1+X”课证融通建设J.湖北成人教育学院学报,2 0 2 1(1):2 6-30.9】郑根让.1+X证书制度下以书证融通重构专业核心课程体系以WEB前端开发证书与软件技术专业为例 J.职业教育研究,2 0 2 0(1):12-17.作者简介:温剑锋(19 7 9 一),硕士,副教授,研究方向:人工智能技术。覃一海(19 8 6 一),硕士,高级工程师,研究方向:数值模拟。马丽芳(19 8 0 一),硕士,副教授,研究方向:计算机应用。37
浙ICP备2021020529号-1 | 浙B2-20240490 
