安全实践与LPV

大型公共场所网络安全加固建议,包括网络分段、访问控制配置、基础设施保护和威胁缓解策略。解决高密度访客网络中的常见漏洞,并提供针对安全部署的具体配置指南。

提供开放访客网络的高密度区域大型公共场所,容易成为随意和恶意黑客的目标。以下网络加固选项被视为最佳实践,推荐采用:

  • 如果可能,除非使用强制登录页面并需要重定向,否则不要在无线用户子网(包括安全子网)上配置第3层接口。网关或控制器应仅在所有用户可连接的无线子网上使用第2层。
  • 不要将网关或控制器配置为任何用户子网的默认网关。
  • 将 DHCP 服务器放置在一个 Layer 3 分离的子网中,并使用 DHCP 转发。
  • 避免将网关或控制器配置为任何用户子网的 DHCP 转发。
  • 配置 validuser ACL 以允许已配置和已知用户子网,并禁止那些应受到保护的 IP 地址或 IP 地址范围,例如每个子网的默认网关、DNS、DHCP、强制门户等。
  • 来宾角色应明确禁止通过 TCP 端口 22 和 4343 连接到网络基础设施元素。
  • 来宾角色应明确禁止 Telnet、SSH 以及其他不属于来宾服务所需的协议。
  • 在无线用户子网的默认网关上启用 ARP 欺骗防护,如果任何无线用户 VLAN 上有 L3 地址,也在控制器上启用。
  • 使用专用的基础设施子网连接所有的 Wi-Fi 网关或控制器、接入点和服务器。
  • 使用 ClearPass 通过 RADIUS 和/或 TACACS 进行管理员认证。监控日志。
  • 使用入侵检测系统(IDS)解决方案监控基础设施和用户子网的可疑活动。
  • 关闭网关/控制器上所有未使用的以太网接口。
  • 在 Central 以及网关或控制器上监控Rogues设备和潜在的Rogues设备。
  • 在 AAA 配置文件中启用“enforce-dhcp”,以防止用户分配静态地址并访问不允许的网络或伪造网络资源。

最后修改时间:2025年6月18日(9ee346a)

返回顶部

© Copyright 2025 Hewlett Packard Enterprise Development LP