专利名称:无线局域网安全防卫墙系统设备的制作方法
技术领域:
本发明涉及一种组合硬件支持软件工作的AirGuard-无线局域网安全防卫墙系统设备,属无线通信设备技术领域。
背景技术:
目前在无线局域网中单一的安全手段、措施和方案较多,常用的技术有以下几种在ESSID配置中,当移动节点(如便携式电脑)和无线接入点AP(Access Point)建立通讯连接时,要求移动台和无线接入点AP配置为具有相同的网络扩展服务集标识ESSID。每个无线接入点AP具有一个唯一的网络扩展服务集标识ESSID,若无线接入点AP的网络扩展服务集标识ESSID设置和用户的集标识ESSID设置不一致,则用户无法访问无线接入点AP。这种方式提供了无线网络最基本的安全措施。然而这种安全措施是十分有限的,现在许多无线网卡能自动搜索周围环境中的无线接入点AP和无线接入点AP的集标识ESSID,并允许用户自由选择连接的无线接入点AP,这是因为无线接入点AP会定期广播自己的集标识ESSID。其次,在MAC地址过滤中,MAC地址过滤需要在无线接入点AP设备的存储器中存放一组用户的MAC地址,只有列表中的用户可以访问对应的无线接入点AP,其它用户被拒绝。管理员可以对无线接入点AP中存储的用户MAC地址列表进行添加、删除等修改,以控制访问无线接入点AP的用户。这是目前无线局域网中最简单、最基本的安全手段。但使用MAC地址列表也是一种比较脆弱、麻烦的安全手段,因为许多无线网卡支持通过重新配置的方法来改变网卡的MAC地址,另一方面,很多生产厂商为方便用户,会把网卡的MAC地址印刷在无线网卡背面的标签上。非法入侵者可以从无线电波中截获数据帧分析出合法用户的MAC地址,进而修改自己的MAC地址,伪装成合法地址以访问网络。一般地,无线接入点AP设备所支持的无线用户的数量是有限的,而在一个无线环境中有上千个无线接入点AP都采用手工方式配置用户MAC地址列表,这样是十分麻烦的。此外,采用静态WEP加密法和有线局域网相比,无线网络使用更加开放的传输介质,所以在802.11规范中包涵了一个对数据基于共享密钥的加密机制,称为有线等效保密WEP技术。移动用户和无线接入点AP可以配置四组WEP密钥,加密传输数据时可以轮流使用,这就允许加密密钥动态改变,但密钥只能是四组中的一个,实质上还是静态WEP加密。同时,无线接入点AP和它所连接的所有用户都使用相同的加密密钥,即使用同一无线接入点AP的用户也使用相同的加密密钥。若其中一个用户的密钥不慎泄漏,其他用户的密钥也就无法保密了。因此,静态WEP加密也是一种比较脆弱的安全手段。现已证明静态WEP加密技术通过“截获数据报”后进行分析,高速计算设备只需几秒钟即可计算出40位WEP密钥。在802.1x认证协议中,IEEE 802.1x又称为基于端口的访问控制协议,它可提供对无线网络的用户验证及访问权限的控制,协议仅仅关注端口的打开与关闭,对于合法用户接入时,该端口打开,而对于非法用户接入或没有用户接入时,则该端口处于关闭状态。802.1x协议仅仅提供了一种用户接入认证的手段,并简单地通过控制接入端口的开/关状态来实现,802.1x并不提供真正的认证机制。当利用802.1x时,需要选择一种EAP的类型来定义认证,如传输层安全协议(EAP-TLS)或隧道传输层安全协议(EAP-TTLS)。而支持特定EAP类型的软件是认证服务器和用户的操作系统或应用软件,无线接入点AP只是802.1x数据报的传输通道而已。为了使无线局域网更安全,又进一步提出了一些解决无线局域网安全的不同方案,如1.ZDNet China的无线局域网解决方案启用无线局域网缺省的、内建的安全措施;更改内建设置,不使用缺省设置、空标识以及预设口令;在交换网络的端口实施无线接入点,为部门的无线局域网制定和颁布安全标准和政策;如必须依赖WEP,可能的话坚持使用128位的密匙;对报文签名码址进行跟踪,以便控制网络安全;检查访问日志或者使用网络入侵检测工具,检测未经授权的访问或攻击。2.Cisco的无线局域网安全解决方案Cisco LEAP是基于802.1x的解决方案,它使用了一个专用算法以支持移动台(用户)和认证(AAA)服务器的相互认证,为此,AAA服务器必须支持LEAP算法。其核心是,可扩展身份验证协议(EAP),使无线客户机适配器与RADIUS服务器进行通信远程访问拨号用户服务(RADIUS)扩展;推荐IEEE 802.11x,用作控制端口通信标准。3.Agere的无线局域网安全解决方案Agere解决方案提供了在移动台(用户)和无线接入点AP之间使用非标准对话完成标准PPP认证的方法;4.Symbol Technologies无线局域网安全解决方案Symbol Technologies支持基于Kerberos认证服务器。5.3COM的无线局域网安全解决方案3COM提供了能产生一个PPTP隧道和使用标准RADIUS进行认证的隧道方法;6.WindowsXP部署的安全无线网Microsoft在Windows XP中,支持IEEE 802.1x用于需要验证网络访问的标准协议,在以太网和802.11网中支持用户和机器使用Radius验证,Windows 2000 Internet Authentication Server(认证服务器)可以和ActiveDirectory(激活目录)用户数据集成,网络访问的级别由管理员控制分为禁止访问(即使获得了IP地址)、完全访问和Guest(来宾)访问,并支持向客户分发加密密钥。尽管以上改进方案解决了一些无线局域网的安全问题,然而,在无线局域网安全中,必需考虑三个基本服务审计、认证和机密性,以上改进,有的只考虑了三者之一,有的虽然考虑了三个方面,但没有提供一个统一的、方便、集成的安全监管工具。为了克服已有技术方案的不足,让网络管理员能方便地配置和使用各种安全策略,全面管理和控制网络中的无线设备及用户,并能在网络安全技术不断发展的基础上丰富、扩充自身,本发明研发提出了一种安全、方便、全面的无线局域网信息保护平台AirGuard-无线局域网安全防卫墙系统。
发明内容
本发明的目的是,组合支持软件工作的硬件,构成AirGuard-无线局域网安全防卫墙系统设备,从无线网卡的认证、识别和管理,用户的身份认证、隔离和管理及无线接入点AP保护等方面全方位多层次进行信息保护;从身份认证、数据保密和系统监控等角度完成对无线网卡、移动用户和传输数据全面控制、管理以及监测和预警,使网络管理员方便地配置和使用各种安全策略,全面地管理和控制网络中的无线设备及用户,并能根据网络安全技术的发展而不断丰富、扩充自身。从而综合和包容了无线局域网现有技术方案,扩展了实用范围,实现了“全面信息安全保护”解决方案。
本发明联结计算机的AirGuard无线安全防卫墙独立系统设备,主要由高于850MHz CPU、Intel 440BX芯片组成的主板、128M以上内存、大于30G容量的硬盘、TP-LINK标准外置Modem、显卡、板载[SiliconMotionLynxEM+,网卡(Wired)Intel 82559ER*3,网卡(Wireless)ACPC2000-11/USB]等组装在机箱内构成。通过四个相互依赖和支撑的数据库服务、Radius认证服务、AirGuard管理平台和操作系统功能组件操作运行,即采用RADIUS认证机制对用户进行认证,采用ESSID认证机制和MAC地址访问控制列表对访问者进行过滤,使用WEP密钥对传输数据进行加密,采用VLAN和单用户隔离技术保护用户私密性,使用户在不同接入点之间安全方便地漫游。其中,无线安全防卫墙系统依赖的AirGuard管理平台是对整个无线网络进行管理的前端工具,数据库服务和Radius认证服务提供AirGuard管理平台执行特定功能信息与服务。整个系统利用AirGuard管理平台管理网络系统中的无线接入点AP,达到安全管理的目的。AirGuard管理平台把安全管理的主要对象聚焦在无线局域网的关键无线接入点AP上,只要控制了无线接入点AP,对无线接入点AP实施安全监管,也就保护了整个无线局域网的信息安全,并实现对用户漫游有效管理的目的。AirGuard是一个基于多层安全技术,统一的可扩展的无线安全防卫墙系统,管理员可以方便地配置各种安全参数,通过对无线环境进行策略管理来构筑安全的网络体系。AirGuard系统作用架构分成三个层面一、无线设备层,主要包含系统操作对象,直接对象为无线接入点AP设备,间接对象是由无线接入点AP进行连接并通过无线接入点AP设备进行网络访问的从业人员。这个层面对外提供两个操作访问界面,分别是无线接入点AP设备访问(利用SNMP协议实现)和Radius数据库访问(利用Steel-Belted Radius实现),所有外界对此层的操作必须通过这两个访问模块进行。二、无线安全及漫游管理层,主要是对系统无线环境进行管理,加强安全性,方便实现用户、设备、安全一体化管理。为此,在该层中包含了安全策略分析引擎、用户漫游管理引擎、用户管理模块、无线设备安全策略引擎、预警模块、日志管理引擎、无线设备发现引擎、无线设备组群管理引擎、无线设备维护模块等多个相互作用的模块和引擎。三、数据库访问层,是上层无线安全及漫游管理层的基石,利用SQL Server 2000服务器能很好地实现无线通信安全和漫游管理,能够对各类数据进行统一有效地处理,存放。AirGuard-无线局域网安全防卫墙系统三个层次的功能分别由子系统运作,让合法用户平滑进入网络,将非法用户拒之门外。其中,用户管理子系统(User Management Subsystem)通过界面体现,管理目前在线用户和可以访问网络的用户,可以对有关用户进行添加、删除、修改等操作;了解目前合法用户的信息,可显示用户的有关信息;为漫游等子系统提供用户管理。无线设备管理子系统(AP ManagementSubsystem)进行实时监控网络中的无线设备,将设备的变化和数据库中的数据保持同步,从而达到配置和获取无线设备中的安全属性的功能,并添加系统中新的无线设备。由维护模块管理无线接入点AP设备,对无线接入点AP设备进行读、写操作;由发现引擎模块操作无线接入点AP数据库,添加一个新的无线接入点AP,生成数据库中新的无线接入点AP的相关信息。操作时,可采用人工方式输入或自动采集无线接入点AP信息以形成初始数据库;由维护模块删除一个无线接入点AP设备,修改一个无线接入点AP的有关信息等;以及为组群等子系统提供设备管理。安全策略分析管理子系统(Security Policy Analysis and Management Subsystem)可根据系统中搜集的当前信息对整个系统环境进行分析,找出系统安全策略中的问题和提升安全的解决方案。并对系统中的安全策略进行统一管理,不仅包含预定义安全策略,同时还允许网络管理人员自己定制安全策略。产生策略中,生成预定义的完全安全策略和管理员自定义的非完全安全策略,以及产生对应安全策略数据库;应用策略时,选择不同安全策略方案分别应用于组群、无线接入点AP或用户;编辑策略时,对有关安全策略方案进行修改;删除策略时,对不合适的策略方案进行删除;锁定安全参数时,禁止非管理员修改设备参数。设置报警参数中,对不同策略设置不同报警参数;VLAN配置可使处于同一个VLAN网段中的移动用户相互访问,不同VLAN的用户之间无法互访;单用户隔离将使移动用户“看不到”同一无线接入点AP下的其他用户,无法互访。无线设备群组管理子系统(AP Group Management Subsystem)以组群为单位管理系统中的设备,可简化系统中安全策略的应用。把不同局域网中的多个无线接入点AP或单一局域网中的某些无线接入点AP分成组群,并将其配置成具有相同安全级别的一个单元,管理员可以组群为单位方便地管理局域网中的所有无线接入点AP。当然,管理员也可根据需要不为无线接入点AP分组,而进行单独管理和安全参数的设置;或把某一无线接入点AP加入到具有某种安全策略或安全级别的组群中;或从某种安全策略、安全级别的组群中删除一个无线接入点AP;以及修改某一安全级别的组群的安全策略,修改其安全性能。日志和预警子系统(Log and Warning Subsystem)可将系统中发生的各类事件记录下来,包括重要时间,警告,出错,以供系统其它部分跟踪报警以及作为安全记录留档,并根据日志数据库,显示非法用户侵入系统的信息,显示系统中无线设备的工作状态,自动从日志数据库中删除已过期作废的日志记录,按类型(系统报警、入侵报警信息、无线接入点AP消息、系统开启等)排序显示日志数据库中的记录,并对系统中出现的与安全有关的可疑迹象进行预警,消除系统可能存在的安全隐患。漫游监管子系统(Roaming View and Management Subsystem)可对漫游用户进行管理和组织,控制漫游用户并及时了解用户漫游情况,提供支持,以保障合法用户的安全漫游。同时,根据漫游数据库,了解某一用户在无线接入点AP之间的迁移情况。根据无线接入点AP数据库,确定无线接入点AP在一具体时刻所连接的用户情况和状态。
本发明的优点是,组合硬件支持软件工作构成的AirGuard-无线局域网安全防卫墙系统设备,从无线网卡的认证、识别和管理,用户的身份认证、隔离和管理及无线接入点AP保护等方面全方位多层次进行信息保护;从身份认证、数据保密和系统监控等角度完成对无线网卡、移动用户和传输数据的全面控制、管理以及监测、预警。AirGuard-无线局域网安全防卫墙系统可以让网络管理员方便地配置和使用各种安全策略,全面管理和控制网络中的无线设备及用户,并根据网络安全技术的不断发展而丰富、扩充自身。从而综合和包容了无线局域网信息安全的现有技术,并扩展了现有技术和它们的实用范围。整个系统利用AirGuard管理平台管理网络系统中的无线接入点AP设备,达到了安全管理的目的,实现了“全面信息安全保护”的解决方案。
图1是本发明AirGuard-无线局域网安全防卫墙系统设备外形图。其中,1是机箱。
图2是本发明AirGuard-无线局域网安全防卫墙系统设备中的四个相互依赖的功能组件。其中,2是数据库服务功能组件,3是Radius认证服务功能组件,4是AirGuard管理平台,5是操作系统功能组件。
图3是本发明AirGuard-无线局域网安全防卫墙系统整体架构图。其中,6是数据库服务层,7是无线安全及漫游管理层,8是用户认证和无线设备层。
图4是本发明AirGuard-无线局域网安全防卫墙系统用户管理子系统(User Management Subsystem)界面显示图。其中,9是用户管理视窗界面。
图5是本发明AirGuard-无线局域网安全防卫墙系统无线设备管理子系统(AP Management Subsystem)界面显示图。其中,10是无线设备管理视窗界面。
图6是本发明AirGuard-无线局域网安全防卫墙系统安全策略分析管理子系统(Security Policy Analysis and Management Subsystem)界面显示图。其中,11是安全策略分析管理视窗界面。
图7是本发明AirGuard-无线局域网安全防卫墙系统无线设备群组管理子系统(AP Group Management Subsystem)界面显示图。其中,12是无线设备群组管理视窗界面。
图8是本发明AirGuard-无线局域网安全防卫墙系统日志和预警子系统(Log and Warning Subsystem)界面显示图。其中,13是日志和预警视窗界面。
图9是本发明AirGuard-无线局域网安全防卫墙系统漫游监管子系统(Roaming View and Management Subsystem)界面显示图。其中,14是漫游监管视窗界面。
图10是本发明AirGuard-无线局域网安全防卫墙系统工作流程图。其中,15是开始,16是管理员对无线接入点AP进行分组并为组群应用安全策略,17是移动台(无线网卡)申请接入网络(AP),18是检查移动台的集标识ESSID和网络(AP)的集标识ESSID是否相同,19是用户(网卡)MAC地址是否在无线接入点AP的MAC地址控制列表中,20是用户被拒绝访问网络流程,21是启用40位或128位WEP密钥对传输数据加密,22是启用802.1x的EAP-MD5算法对用户身份验证,23是用户名和密码是否在服务器的用户数据库中流程,24是用户安全、平滑地访问网络流程,25是对用户划分VLAN网段和实施单用户隔离流程,26流程结束。
图11是本发明AirGuard-无线局域网安全防卫墙系统应用示意图。其中,27是局域网。
下面结合
符合本发明主题的实施例。
具体实施例方式
将Celron II 850MHz CPU、PCM-9576(Intel 440BX芯片组)主板、128M内存、30G容量硬盘、TP-LINK标准外置Modem、显卡、板载SiliconMotionLynxEM+、网卡(Wired)Intel 82559ER*3、网卡(Wireless)ACPC2000-11/USB等组件配置安装在机箱1内,联结计算机构成本实施例AirGuard无线安全防卫墙独立系统设备。然后在AirGuard无线安全防卫墙独立系统中,创建数据库服务2、Radius认证服务3、AirGuard管理平台4和操作系统5四个相互依赖的运行功能组件,并通过四个相互依赖的功能组件在数据库服务层6,无线安全及漫游管理层7,用户认证和无线设备层8等三个层面进行子系统操作运行,即采用Radius认证3机制对用户进行认证,采用集标识ESSID认证机制和MAC地址访问控制列表对访问者进行过滤,使用WEP密钥对传输数据进行加密,采用VLAN和单用户隔离技术保护用户私密性,实现用户在不同接入点之间的安全漫游。本实施例应用在局域网27中时,借助应用环境AirGuard服务器Win2000 Server+AirGuard防卫墙;Radius服务器Win2000 Server+Steel-Belted Radius;数据库服务器Win2000 Server+SQL Server 2000;无线接入点AP上海宽讯公司的AboveCable ACAP2001-11;客户机环境WinXP+Above Cable无线网卡;以及网络环境以太局域网和无线局域网(WLAN)。实现无线局域网安全防卫墙AirGuard系统通过安全管理平台,“消除无线设备的不一致性,填补设备安全漏洞,保护信息完整性”,并从无线网卡的认证和识别、用户的身份认证和隔离及无线接入点AP保护等方面提供了全方位的信息保护;从身份认证3、数据保密和系统监控等角度完成了对无线网卡、移动用户和传输数据的全面控制、管理及监测和预警。该安全平台将各种安全手段或措施整合成系统的安全策略,可以根据实际应用需要选取不同的安全策略,更重要的是该系统可以随着无线安全技术的不断发展而提升自己的安全性能,从而达到了保护无线局域网安全的目的。在实现目标时,系统分为三个层面,即无线设备管理层8、无线安全及漫游管理层7、数据库访问层6。设备管理可以将各种无线接入点AP设备的参数,尤其是其安全参数集中管理,使得整个设备完全在管理者的控制之下。无线安全及漫游管理层7将各种安全技术或防范措施纳入系统。数据库访问层6利用SQL Server 2000服务器能很好地实现无线通信安全和漫游管理,对各类数据进行统一有效地处理,存放。AirGuard-无线局域网安全防卫墙系统的功能通过子系统对用户进行集中管理,便于对合法用户进行分组和应用不同的安全策略,让合法用户平滑进入网络,将非法用户拒之门外。其中用户管理子系统(User Management Subsystem)管理目前在线用户和可以访问网络的用户,可以对有关用户进行添加、删除等修改操作,了解目前合法用户的信息,通过用户管理视窗界面9显示用户的有关信息;为漫游等子系统提供用户管理。无线设备管理子系统(APManagement Subsystem)通过无线设备管理视窗界面10实时监控网络中的无线设备,将设备的变化和数据库中的数据保持同步,从而达到配置和获取无线设备中的安全属性的功能,并添加系统中新的无线设备。具体由维护模块管理无线接入点AP设备,对无线接入点AP设备进行读、写操作;由发现引擎模块操作AP数据库添加一个新的AP,生成数据库中新的无线接入点AP的相关信息。可以采用人工方式输入或自动采集无线接入点AP的信息以形成初始数据库;由维护模块删除一个无线接入点AP设备,修改一个AP的有关信息;以及为组群等子系统提供设备管理的基础。安全策略分析管理子系统(Security Policy Analysis and Management Subsystem)根据系统中搜集的当前信息,通过安全策略分析管理视窗界面11对整个系统环境进行分析,找出系统安全策略中的问题和提升安全的解决方案。对系统中的安全策略进行统一管理,系统中不仅包含预定义的安全策略,同时还允许网络管理人员自己定制安全策略。如产生策略即生成预定义的完全安全策略和管理员自定义的非完全安全策略两大类,并产生对应安全策略数据库;应用策略即选择不同安全策略方案分别应用于组群、无线接入点AP或用户;编辑策略对有关安全策略方案进行修改;删除策略对不合适的策略方案进行删除;锁定安全参数禁止非管理员修改设备参数;设置报警参数对不同策略设置不同报警参数;VLAN配置处于同一个VLAN网段中的移动用户可相互访问,不同VLAN的用户之间无法互访;单用户隔离移动用户“看不到”同一无线接入点AP下的其他用户,无法互访。无线设备群组管理子系统(AP Group Management Subsystem)以组群为单位通过无线设备群组视窗界面12管理系统中的设备,简化系统中安全策略的应用。把不同局域网中的多个无线接入点AP或单一局域网中的某些无线接入点AP分成组群,并将其配置成具有相同安全级别的一个单元,管理员就可以以组群为单位方便地管理局域网中的所有无线接入点AP。当然,管理员也可以根据需要不为无线接入点AP分组,而进行单独管理和安全参数的设置。把某一无线接入点AP加入到具有某种安全策略或安全级别的组群中;从某种安全策略或安全级别的组群中删除一个无线接入点AP;修改某一安全级别的组群的安全策略以修改其安全性能。日志和预警子系统(Log and WarningSubsystem)将系统中发生的各类事件记录下来,包括重要时间,警告,出错,供系统其它部分跟踪报警以及作为安全记录留档,并根据日志数据库,通过视窗界面13显示非法用户侵入系统的信息等。如显示系统中无线设备的工作状态;自动地从日志数据库中删除已过期作废的日志记录;按类型(系统报警、入侵报警信息、无线接入点AP消息、系统开启等)对日志数据库中的记录进行排序显示;对系统中出现的与安全有关的可疑迹象进行预警,消除系统可能存在的安全隐患。漫游监管子系统(Roaming View andManagement Subsystem)通过视窗界面14对漫游用户进行管理和组织,为系统控制漫游用户,及时了解用户的漫游情况提供支持,从而保障合法用户的安全漫游。AirGuard-无线局域网安全防卫墙可以让网络管理员方便地配置和使用各种安全策略,全面地管理和控制网络中的无线设备及用户,并能够根据网络安全技术的不断发展而丰富、扩充自身。根据技术进步,只需增添相应子系统(或模块)就可以使无线局域网达到最新的安全水平,达到快速技术更新的目的。本发明AirGuard-无线局域网安全防卫墙系统工作流程如下从开始15→管理员对无线接入点AP分组并为组群应用安全测量16→移动台(无线网卡)申请接入网络(AP)17→检查移动台的集标识ESSID和网络(AP)的集标识ESSID是否相同18→用户(网卡)MAC地址是否在无线接入点AP的MAC地址控制列表中19,同时,检查移动台的集标识ESSID和网络(AP)的集标识ESSID是否相同18→用户被拒绝访问网络20。接着,一方面用户(网卡)MAC地址是否在无线接入点AP的MAC地址控制列表中19→用户被拒绝访问网络20;另一方面用户(网卡)MAC地址是否在无线接入点AP的MAC地址控制列表中19→再由启用40位或128位WEP密钥对传输数据加密21→启用802.1x的EAP-MD5算法对用户身份验证22→用户名和密码是否在Radius服务器的用户数据库中23→用户被拒绝访问网络20。同时,用户名和密码是否在Radius服务器的用户数据库中23→用户安全、平滑地访问网络24→对用户划分VLAN网段和实施单用户隔离25→结束26。
权利要求
1.一种无线局域网安全防卫墙系统设备,包括高于850MHz CPU、Intel440BX芯片组成的主板、128M以上内存、大于30G容量的硬盘、TP-LINK标准外置Modem、显卡、板载[SiliconMotionLynxEM+,网卡(Wired)Intel82559ER*3,网卡(Wireless)ACPC2000-11/USB]、联结的计算机和机箱,其特征在于有基于硬件创建的四个相互依赖和支撑的系统功能组件数据库服务组件、Radius认证服务组件、AirGuard管理平台组件和操作系统组件以及三层面系统作用架构无线设备管理层、无线安全及漫游管理层和数据库访问层。
2.根据权利要求1所述的无线局域网安全防卫墙系统设备,其特征在于系统对用户进行集中管理的功能子系统有用户管理子系统、无线设备管理子系统、安全策略分析管理子系统、无线设备群组管理子系统、日志和预警子系统、漫游监管子系统。
3.根据权利要求1所述的无线局域网安全防卫墙系统设备,其特征在于无线设备层有无线接入点AP设备访问(利用SNMP协议实现)和Radius数据库访问(利用Steel-Belted Radius实现),两个访问模块。
4.根据权利要求1所述的无线局域网安全防卫墙系统设备,其特征在于,在无线安全及漫游管理层中有相互作用的安全策略分析引擎、用户漫游管理引擎、用户管理模块、无线设备安全策略引擎、预警模块、日志管理引擎、无线设备发现引擎、无线设备组群管理引擎、无线设备维护模块。
5.根据权利要求1所述的无线局域网安全防卫墙系统设备,其特征在于数据库访问层有实现无线通信安全和漫游管理,对各类数据进行处理、存放的SQL Server 2000服务器。
6.根据权利要求1所述的无线局域网安全防卫墙系统设备,其特征在于应用在局域网中借助的环境为AirGuard服务器Win2000 Server+AirGuard防卫墙;Radius服务器Win2000 Server+Steel-Belted Radius;数据库服务器Win2000 Server+SQL Server 2000;无线接入点AP上海宽讯公司的Above Cable ACAP2001-11;客户机环境为WinXP+Above Cable无线网卡;以及网络环境为以太局域网和无线局域网(WLAN)。
全文摘要
本发明组合硬件支持软件构成的无线局域网安全防卫墙系统设备,主要由CPU、主板、内存、硬盘、标准外置Modem、显卡、网卡等组装在机箱内构成,并创建四个相互依赖和支撑的数据库服务、Radius认证服务、AirGuard管理平台和操作系统功能组件。作用架构分三个层面,分别由各子系统运作。从无线网卡的认证、识别和管理,用户的身份认证、隔离和管理及无线接入点AP保护等方面全方位多层次进行信息保护;从身份认证、数据保密和系统监控等角度完成对无线网卡、移动用户和传输数据的全面控制、管理以及监测、预警。可方便地配置和使用各种安全策略,全面管理和控制无线设备及用户,发展、扩充自身,是一种“全面信息安全保护”方案。
文档编号H04L12/24GK1501637SQ0214527
公开日2004年6月2日 申请日期2002年11月13日 优先权日2002年11月13日
发明者顾君忠, 张毅斌, 贺樑, 孙树峰, 石兴方, 苏鹏, 费杨奕 申请人:上海宽讯时代科技有限公司