【51CTO.com綜合報(bào)道】近日，一種號稱能夠破解他人的無線網(wǎng)絡(luò)信號實(shí)現(xiàn)免費(fèi)上網(wǎng)的新型無線網(wǎng)卡在各大IT賣場銷售火爆。其實(shí)，這種名為“蹭網(wǎng)卡”、“卡王”、“卡皇”的“新型設(shè)備”只是將早已泛濫的BT3無線網(wǎng)絡(luò)破解軟件與大功率無線網(wǎng)卡結(jié)合而得的產(chǎn)品，目前能對WEP加密的無線網(wǎng)絡(luò)進(jìn)行破解，而對WPA、WPA2加密的網(wǎng)絡(luò)尚且無能為力。

現(xiàn)有無線網(wǎng)絡(luò)采用的加密標(biāo)準(zhǔn)有WEP、WPA、WPA2三種方式，其中的WEP早已被宣布為不安全的加密方式，密碼及密鑰的容易竊取在網(wǎng)上幾乎到了路人皆知的地步。而看似加密程度較高的WPA和WPA2也不再安全，大量流傳于網(wǎng)上的各種軟件、教程尤其高級黑客更為強(qiáng)勁的破解技術(shù)都給無線網(wǎng)絡(luò)的安全蒙上了一層陰影。

無線網(wǎng)絡(luò)——便利之下的危機(jī)重重

不可否認(rèn)，無線網(wǎng)絡(luò)技術(shù)的發(fā)展給生活、工作帶來了許多便利，許多大型機(jī)構(gòu)都在其辦公區(qū)域設(shè)置了WLAN用于發(fā)布內(nèi)網(wǎng)應(yīng)用及實(shí)現(xiàn)互聯(lián)網(wǎng)的無線訪問。但這種便利的訪問方式卻正在受到越來越多的威脅：

◇WLAN密碼安全問題

現(xiàn)在WEP、WPA無線接入密碼的安全性都難以得到很好的保證，一旦WLAN密碼遭到竊取，入侵者就從任意一無線網(wǎng)絡(luò)覆蓋點(diǎn)接入并享有對整個網(wǎng)絡(luò)的訪問權(quán)限，進(jìn)行深度攻擊。

◇應(yīng)用權(quán)限安全問題

絕大多數(shù)內(nèi)網(wǎng)都沒有采用很好的權(quán)限控制，用戶接入WLAN后面對的直接是一個完全開放內(nèi)網(wǎng)。對于采用單一帳號密碼進(jìn)行認(rèn)證的應(yīng)用系統(tǒng)，完全不能防范因盜用帳號密碼或暴力破解所造成的越權(quán)訪問，更有甚者直接對整個應(yīng)用服務(wù)器實(shí)施破壞，導(dǎo)致不可挽回的重大損失。

◇數(shù)據(jù)傳輸安全問題

數(shù)據(jù)劫獲并還原成明文是入侵者竊取內(nèi)網(wǎng)數(shù)據(jù)經(jīng)常采用的另外一種方式，采用WEP、WPA 簡單的RC4算法加密的無線傳輸數(shù)據(jù)極易遭到劫取并還原成明文。這樣一來，即使入侵者并沒有對WLAN接入密碼及內(nèi)網(wǎng)服務(wù)器進(jìn)行攻破，同樣能通過監(jiān)聽加破解的手段竊取最核心的機(jī)密。

◇整網(wǎng)安全問題

通過WLAN上網(wǎng)的主機(jī)自身的防火墻、殺毒軟件等安全防護(hù)往往水平不一，甚至根本沒有采取任何安全防護(hù)措施，在上網(wǎng)時極易感染上各種木馬、病毒。當(dāng)這些主機(jī)通過WLAN訪問內(nèi)部局域網(wǎng)時，就直接將各種木馬、病毒一同帶入到內(nèi)部網(wǎng)絡(luò)中，造成極大的安全漏洞。
面對以上種種安全隱患，無線網(wǎng)絡(luò)技術(shù)似乎被逼到了無可退路的境地。一方面是WLAN帶來的無限便利性，另一方面是WLAN安全隱患帶來的無限威脅。有沒有一種強(qiáng)加密的WLAN訪問控制方案能在解決以上所有安全問題的基礎(chǔ)上，實(shí)現(xiàn)便利的網(wǎng)絡(luò)接入與管控？

應(yīng)對之策——SSL VPN隔離、身份認(rèn)證、權(quán)限分配

SSL VPN綜合WLAN訪問的各個特點(diǎn)，提出防止WLAN非法接入的解決方案，全面解決各種WLAN安全問題。
 
◇多種密碼安全保障

SSL VPN采用多因素組合認(rèn)證技術(shù)讓接入“不再簡單”，除了支持帳號密碼認(rèn)證之外，還支持Radius、LDAP、CA等第三方認(rèn)證，動態(tài)令牌、短信、USBKey、硬件特征碼等軟硬件結(jié)合認(rèn)證方式，并支持多因素的捆綁認(rèn)證。結(jié)合全面的防暴力破解功能，將讓入侵者對SSL VPN的密碼關(guān)口無能為力，WLAN接入的安全性將得到前所未有的保障。

◇細(xì)致權(quán)限劃分綁定

SSL VPN基于角色實(shí)現(xiàn)用戶、用戶組、內(nèi)網(wǎng)應(yīng)用、安全策略的綁定，并結(jié)合專利主從帳號綁定進(jìn)行SSL VPN帳號與應(yīng)用帳號強(qiáng)綁定，實(shí)現(xiàn)指定用戶只能使用指定帳號訪問指定資源的細(xì)致權(quán)限劃分，防止因越權(quán)訪問造成的數(shù)據(jù)泄漏威脅。

◇高強(qiáng)度傳輸安全

SSL VPN支持AES、3DES、DES等國際主流的加密算法，并采用多種哈希算法防止數(shù)據(jù)遭惡意篡改的威脅。入侵者即使破解出傳輸密鑰對數(shù)據(jù)進(jìn)行還原，得到的也將是經(jīng)SSL強(qiáng)加密的密文。而SSL的加密安全性是公認(rèn)有保障的，眾多網(wǎng)銀、加密郵箱等都是采用SSL實(shí)現(xiàn)安全傳輸。

◇整網(wǎng)安全全面保障

提供完整的安全鑒別、準(zhǔn)入和授權(quán)相結(jié)合的客戶端安全檢查技術(shù)實(shí)現(xiàn)接入終端的高可控性。管理員可依據(jù)組織自身的安全需求，設(shè)定相應(yīng)的如殺毒軟件、防火墻等安全檢查策略進(jìn)行安全檢測，當(dāng)終端安全未滿足所設(shè)定的安全檢查策略，拒絕SSL VPN接入；當(dāng)終端滿足較低安全級別，為分配一定的應(yīng)用訪問權(quán)限；當(dāng)終端滿足高級安全級別，為其分配應(yīng)享用的完整應(yīng)用訪問權(quán)限。靈活組合，根據(jù)終端自身的安全級別實(shí)現(xiàn)接入的靈活控制。

◇更多安全防護(hù)技術(shù)

SSL VPN還支持多種安全技術(shù)提供更為周到的訪問控制。支持VPN專線功能讓終端接入內(nèi)網(wǎng)后自動斷開與互聯(lián)網(wǎng)的其他一切連接，防止黑客以終端主機(jī)作為跳板進(jìn)攻內(nèi)網(wǎng)；支持公有帳號/私有帳號可提供給組織來訪者，完整開放互聯(lián)網(wǎng)服務(wù)并有限開放或關(guān)閉內(nèi)網(wǎng)應(yīng)用實(shí)現(xiàn)來訪者權(quán)限方便的高可控，并可為該帳號單獨(dú)設(shè)置過期時間，實(shí)現(xiàn)人性化自動化訪問管理。

SSL VPN防止WLAN非法接入解決方案得到了眾多客戶的一致認(rèn)可，尤其在一些對安全性要求較高的銀行、保險(xiǎn)等金融機(jī)構(gòu)得到廣泛應(yīng)用。其中廈門國際銀行正是采用了SSL VPN進(jìn)行WLAN的接入訪問強(qiáng)控制。結(jié)合AD域?qū)崿F(xiàn)用戶安全認(rèn)證、內(nèi)網(wǎng)應(yīng)用權(quán)限指定，并采用短信二次校驗(yàn)等技術(shù)保證接入用戶身份的安全。廈門國際銀行通過SSL VPN的多重安全保障，打造WLAN信息網(wǎng)絡(luò)平臺的高效“金網(wǎng)”。