本發(fā)明公開了一種多重防護的無線網絡安全防護系統(tǒng)及防護方法，所述無線網絡安全防護系統(tǒng)包括：安全認證系統(tǒng)、無線入侵防護模塊、ARP防護模塊和數(shù)據傳輸監(jiān)控模塊，所述安全認證系統(tǒng)包括DHCP服務器、MAC地址認證系統(tǒng)和portal認證系統(tǒng)。本發(fā)明的安全防護系統(tǒng)從無線認證安全、無線安全防護、有線網絡安全三方面，從多角度對無線網絡系統(tǒng)進行有效全面的安全防護。

技術領域

本發(fā)明涉及一種無線網絡通信中的安全防護，具體涉及一種多重防護的無線網絡安全防護系統(tǒng)及防護方法。

背景技術

無線網絡的應用擴展了網絡用戶的自由，然而，這種自由同時也帶來了安全性問題。與傳統(tǒng)有線網絡不同，無線環(huán)境下的安全威脅更加復雜、多變，安全防御的困難更為突出。而且，無線網絡發(fā)展較晚，新近使用的許多技術還不夠成熟，技術缺陷和安全漏洞在所難免。

無線網絡一般受到的攻擊可分為兩類：一類是關于網絡訪問控制、數(shù)據機密性保護和數(shù)據完整性保護而進行的攻擊；另一類是基于無線通信網絡設計、部署和維護的獨特方式而進行的攻擊。對于第一類攻擊在有線網絡的環(huán)境下也會發(fā)生。可見，無線網絡的安全性是在傳統(tǒng)有線網絡的基礎上增加了新的安全性威脅。

對于企業(yè)，尤其是大型企業(yè)而言，無線網絡在為企業(yè)工作提供便利的同時，也蘊含的巨大的潛在危險。因此，在構建無線網絡架構的同時，如果能夠從多方位對網絡安全進行防護，將能夠為企業(yè)的穩(wěn)定運行提供更好的平臺，避免出現(xiàn)重大的網絡安全事故。

國家電網公司總部作為全國各個網省電力公司、分公司、直屬單位的管理中樞，網絡信息化安全至關重要。所以對于國網總部無線網絡安全系統(tǒng)，如果不從各方面整體上進行規(guī)劃和設計，只孤立地采用單一的某項安全技術是無法滿足國網總部高安全性的要求的。本方案將從國家電網公司總部無線網絡實際情況出發(fā)，從無線認證安全、無線安全防護、有線網絡安全、三個方面進行規(guī)劃，整體提升國網總部無線網絡安全性。

發(fā)明內容

本發(fā)明提供了一種采用多種防護措施有機結合起來的防護體系，從多方位來保障網絡的安全。

具體而言，本發(fā)明提供一種多重防護的無線網絡安全防護系統(tǒng)，其特征在于，所述無線網絡安全防護系統(tǒng)包括：安全認證系統(tǒng)、無線入侵防護模塊、ARP防護模塊和數(shù)據傳輸監(jiān)控模塊，所述安全認證系統(tǒng)包括DHCP服務器、MAC地址認證系統(tǒng)和portal認證系統(tǒng)，

所述MAC地址認證系統(tǒng)和所述portal認證系統(tǒng)通過IMC服務器實現(xiàn)，

無線入侵防護模塊通過持續(xù)地監(jiān)控上行到無線接入設備AP或無線控制器AC的流量來檢測泛洪攻擊，當同類型的報文超出上限時，認為無線網絡正受到泛洪攻擊，并且中斷相應設備的無線訪問；

ARP防護模塊用于防護無線網絡設備的ARP攻擊；

所述MAC地址認證系統(tǒng)包括用戶認證模塊、MAC地址獲取模塊、IP地址綁定模塊、地址存儲模塊，

所述用戶認證模塊用于基于用戶的用戶信息對無線接入設備進行認證，

所述MAC地址獲取模塊用于獲取經認證的無線接入設備的MAC地址，所述IP地址綁定模塊用于將經認證用戶的MAC地址與IP地址進行綁定，并存儲至地址存儲模塊，

所述portal認證系統(tǒng)用于對臨時訪客進行認證并分配臨時IP地址。

進一步地，所述無線網絡安全防護系統(tǒng)包括第一互聯(lián)網出口和第二互聯(lián)網出口，所述無線網絡安全防護系統(tǒng)將來自臨時IP地址的數(shù)據通過第一互聯(lián)網出口傳輸，來自綁定IP地址的數(shù)據通過第二互聯(lián)網出口傳輸。

進一步地，所述無線網絡安全防護系統(tǒng)還包括非法AP檢測模塊，所述非法AP檢測模塊為設置成監(jiān)測模式的無線接入設備，其掃描WLAN中的設備，監(jiān)聽所有的Dot11幀。