[发明专利]一种多重防护的无线网络安全防护系统及防护方法

说明书

本发明公开了一种多重防护的无线网络安全防护系统及防护方法，所述无线网络安全防护系统包括：安全认证系统、无线入侵防护模块、ARP防护模块和数据传输监控模块，所述安全认证系统包括DHCP服务器、MAC地址认证系统和portal认证系统。本发明的安全防护系统从无线认证安全、无线安全防护、有线网络安全三方面，从多角度对无线网络系统进行有效全面的安全防护。

技术领域

本发明涉及一种无线网络通信中的安全防护，具体涉及一种多重防护的无线网络安全防护系统及防护方法。

背景技术

无线网络的应用扩展了网络用户的自由，然而，这种自由同时也带来了安全性问题。与传统有线网络不同，无线环境下的安全威胁更加复杂、多变，安全防御的困难更为突出。而且，无线网络发展较晚，新近使用的许多技术还不够成熟，技术缺陷和安全漏洞在所难免。

无线网络一般受到的攻击可分为两类：一类是关于网络访问控制、数据机密性保护和数据完整性保护而进行的攻击；另一类是基于无线通信网络设计、部署和维护的独特方式而进行的攻击。对于第一类攻击在有线网络的环境下也会发生。可见，无线网络的安全性是在传统有线网络的基础上增加了新的安全性威胁。

对于企业，尤其是大型企业而言，无线网络在为企业工作提供便利的同时，也蕴含的巨大的潜在危险。因此，在构建无线网络架构的同时，如果能够从多方位对网络安全进行防护，将能够为企业的稳定运行提供更好的平台，避免出现重大的网络安全事故。

国家电网公司总部作为全国各个网省电力公司、分公司、直属单位的管理中枢，网络信息化安全至关重要。所以对于国网总部无线网络安全系统，如果不从各方面整体上进行规划和设计，只孤立地采用单一的某项安全技术是无法满足国网总部高安全性的要求的。本方案将从国家电网公司总部无线网络实际情况出发，从无线认证安全、无线安全防护、有线网络安全、三个方面进行规划，整体提升国网总部无线网络安全性。

发明内容

本发明提供了一种采用多种防护措施有机结合起来的防护体系，从多方位来保障网络的安全。

具体而言，本发明提供一种多重防护的无线网络安全防护系统，其特征在于，所述无线网络安全防护系统包括：安全认证系统、无线入侵防护模块、ARP防护模块和数据传输监控模块，所述安全认证系统包括DHCP服务器、MAC地址认证系统和portal认证系统，

所述MAC地址认证系统和所述portal认证系统通过IMC服务器实现，

无线入侵防护模块通过持续地监控上行到无线接入设备AP或无线控制器AC的流量来检测泛洪攻击，当同类型的报文超出上限时，认为无线网络正受到泛洪攻击，并且中断相应设备的无线访问；

ARP防护模块用于防护无线网络设备的ARP攻击；

所述MAC地址认证系统包括用户认证模块、MAC地址获取模块、IP地址绑定模块、地址存储模块，

所述用户认证模块用于基于用户的用户信息对无线接入设备进行认证，

所述MAC地址获取模块用于获取经认证的无线接入设备的MAC地址，所述IP地址绑定模块用于将经认证用户的MAC地址与IP地址进行绑定，并存储至地址存储模块，

所述portal认证系统用于对临时访客进行认证并分配临时IP地址。

进一步地，所述无线网络安全防护系统包括第一互联网出口和第二互联网出口，所述无线网络安全防护系统将来自临时IP地址的数据通过第一互联网出口传输，来自绑定IP地址的数据通过第二互联网出口传输。

进一步地，所述无线网络安全防护系统还包括非法AP检测模块，所述非法AP检测模块为设置成监测模式的无线接入设备，其扫描WLAN中的设备，监听所有的Dot11帧。