中国移动东莞分公司WLAN网络安全提升

1、东莞分公司2010年12月 “一月一事 消灭最差”总结,WLAN网络安全性能提升,“一月一事 消灭最差”工作开展情况,概述,项目背景：,网络流量急剧增长，对网络安全及性能的要求越来越高。 黑客攻击时有发生并且影响业务数据的正常转发。 为网络规模的扩大做好准备。,本月事项：WLAN网络安全性能提升,解除网络存在的安全隐患、提高网络的安全性能。 通过优化项目提高中心相关人员的技术水平。,项目实施进程：,“一月一事 消灭最差”工作开展情况,“一月一事 消灭最差”工作开展情况,WLAN网络性能提升项目，共对22台核心侧设备及10个热点进行了相应30余项的细项优化工作。根据项目的四个阶段，进行具体优化工

2、作如下：,“一月一事 消灭最差”工作开展情况,实施过程,通过项目四个阶段的优化实施工作，对核心侧设备的安全性能及热点的性能进行了优化： 核心侧设备的安全性能优化： 对22台核心侧网络设备进行了约30个细项的优化工作。 热点的性能优化： 对10个热点进行了针对性的优化。,核心设备的安全管理优化,“一月一事 消灭最差”工作开展情况,通过AAA服务，配置用户的认证及授权：,“一月一事 消灭最差”工作开展情况,利用防火墙构建安全管理VPN。,利用Eudemon-500作为安全管理VPN网关，只有通过Eudemon-500的VPN认证用户才能向设备发起管理会话。,VPN方案逻辑图,“一月一事 消灭最差”

3、工作开展情况,只有通过VPN认证才能对网络设备进行远程HTTP、Telnet管理。 防止通过对AC等开启HTTP管理服务设备发起HTTP会话，消耗设备资源，造成设备拒绝服务或死机。,在未配置VPN前，可以直接打开HTTP管理认证页面，以下日志为9月20日，某人尝试猜测HTTP管理认证密码的攻击。 %Sep 20 06:47:12:458 2010 H3C_SW1 WEB/4/USERIN:User Administrator(23) login failed %Sep 20 06:47:12:619 2010 H3C_SW1 WEB/4/USERIN:User Admin

4、istrator(23) login failed %Sep 20 06:47:12:791 2010 H3C_SW1 WEB/4/USERIN:User Administrator(23) login failed %Sep 20 06:47:12:952 2010 H3C_SW1 WEB/4/USERIN:User Administrator(23) login failed %Sep 20 06:47:13:114 2010 H3C_SW1 WEB/4/USERIN:User Administrator(125.89.72

5、.123) login failed %Sep 20 06:47:13:286 2010 H3C_SW1 WEB/4/USERIN:User Administrator(23) login failed %Sep 20 06:47:13:447 2010 H3C_SW1 WEB/4/USERIN:User Administrator(23) login failed %Sep 20 06:47:13:608 2010 H3C_SW1 WEB/4/USERIN:User Administrator(23) login . 在配置了

6、VPN后，只有通过VPN认证才能打开设备的HTTP连接,有效地阻止此类攻击。,通过管理VPN解除的曾经发生过的攻击威胁。,在未配置VPN前，可以直接打开Telnet会话，以下日志为非法用户尝试猜测Telnet密码，以获得设备的管理权限。 %Stp 20 06:48:13:145 2010 H3C_SW1 SHELL/4/USERIN:User Administrator(33) login failed %Stp 20 06:48:13:307 2010 H3C_SW1 SHELL/4/USERIN:User Administrator(33) lo

7、gin failed %Stp 20 06:48:13:471 2010 H3C_SW1 SHELL/4/USERIN:User Administrator(33) login failed %Stp 20 06:48:13:638 2010 H3C_SW1 SHELL/4/USERIN:User Administrator(33) login failed %Stp 20 06:48:13:800 2010 H3C_SW1 SHELL/4/USERIN:User Administrator(33) login failed %

8、Stp 20 06:48:13:961 2010 H3C_SW1 SHELL/4/USERIN:User Administrator(33) login failed %Stp 20 06:48:14:121 2010 H3C_SW1 SHELL/4/USERIN:User Administrator(33) login failed . 在配置了VPN后，只有通过VPN认证才能打开设备的Telnet会话，这有效地阻止此类攻击。,“一月一事 消灭最差”工作开展情况,细调线路参数及安全的日志服务。,核心设备的安全防范优化：,“一月一事 消灭最差”工作开

9、展情况,“一月一事 消灭最差”工作开展情况,配置交换网络设备的安全特性,“一月一事 消灭最差”工作开展情况,STP安全攻击防范配置，保证交换网络结构稳定，解除STP安全隐患。 ARP安全攻击防范配置，防止各种ARP相关攻击保证数据正常转发。 常见病毒及DOS攻击的安全防范配置，阻止常见的病毒及攻击到达WLAN核心网侧。,配置交换网络设备的安全特性，提高交换网络安全，解除安全隐患，阻止病毒和攻击。,“一月一事 消灭最差”工作开展情况,通过本项优化措施，有效防止非法用户使用网络资源，提高热点内合法用户的空口可用带宽。,配置用户的二层隔离。,热点性能提升优化,“一月一事 消灭最差”工作开展情况,“一月一事 消灭最差”工作开展情况,WLAN网络热点性能优化手段,核心侧设备配置优化,“一月一事 消灭最差”工作开展情况,删除设备多余配置,规范配置模板,添加配置描述,删除设备的多余配置，提高配置的可读性及可读性，减轻网维人员的工作难度。,配置标准的配置模板，实现配置的标准化、统一化，为将来加入新的热点、设备提供良好的参考。,添加适当的配置描述，便于网络维护与排错工作的进行，为网络维护人员阅读理解配置提供便利,通过以上配置，减轻维护人员的工作。