Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

配置 AP 威胁防护

总结 为了保护您的网络,请启用瞻博网络 Mist™ 来检测站点上未经授权的接入点 (AP)。

瞻博网络接入点包括专用扫描无线电,可以检测出错的接入点。默认情况下,蜜罐和邻居检测处于启用状态,您还可以启用恶意检测。这是一项站点范围的功能,支持站点中的所有瞻博网络接入点进行检测。

注意:

什么是恶意接入点、蜜罐接入点和邻居接入点?请参阅 恶意接入点、蜜罐和邻居接入点

启用威胁防护后,你将在“监控>警报”页面上看到检测到的 AP,如下所示。

图 1:查看恶意程序、蜜罐和邻居 AP Viewing Alerts for Rogues, Honeypots, and Neighbor APs 的警报

查看这些提醒时,可能需要调整某些设置以满足业务需求。例如,您可以豁免已知的 SSID 和 BSSID,这样它们就不会被归类为威胁。您可以根据信号强度和持续时间调整邻居 AP 的检测阈值。

要配置 AP 威胁防护:

  1. 从瞻博网络 Mist 门户的左侧菜单中,选择组织>管理员 |站点配置
  2. 单击要配置的站点。
  3. 在“安全配置”组中,选择要启用的选项。
    Security Configuration Section of the Site Configuration Page
    • 检测恶意接入点和邻居 AP — 如果启用此选项,“警报”页面将包含“ 检测到恶意 AP ”和 “检测到与恶意 AP 的客户端连接”等警报。

      您可以调整检测阈值:

      • 邻居 RSSI 阈值 — 此阈值基于 AP 信号的强度。例如,当默认阈值为 -80 dBm 时,瞻博网络 Mist 会忽略 RSSI 为 -80 或以上的接入点。支持的范围为 -40 dBm 到 -100 dBm。

      • 邻居时间阈值 — 此阈值基于 AP 信号的持续时间。例如,如果您注意到随着信号的起伏,邻居 AP 不断从“监控>警报”页面中出现和消失,则可以设置更长的时间阈值。这样,只有具有持久信号的接入点才会被检测为潜在威胁。

    • 检测蜜罐接入点 — 选择此选项时,“警报”页面将包含警报,例如 检测到蜜罐 SSID

    • 批准的 SSID 和批准的 BSSID - 使用这些字段标识要忽略的任何已知 SSID 或 BSSID。输入其 MAC 地址,用逗号分隔(无空格)。

      您可以在这些字段中使用通配符。如果要允许多个名称相似的 SSID,此功能非常有用,当用户通过 Wi-Fi Direct 连接到打印机或电视时,您可能会看到此功能。例如,如果在“批准的 SSID”列表中输入 direct*,瞻博网络 Mist 将忽略 DIRECT-roku-123-44AABBDIRECT-printer9999 等 SSID。同样,“已批准的 BSSID”字段支持部分匹配,例如“cc-73-*”。

    • 自动阻止客户端 - 选择此选项可防止来自多次授权失败的客户端的连接。“警报”页将包括“ 802.11 身份验证被拒绝 ”和 “已阻止:重复授权失败”等警报。

      根据需要调整设置:

      • 设置阻止客户端与 WLAN 关联的 数。例如,使用默认值 60 秒时,客户端将被禁止 60 秒。

      • 设置触发自动阻止操作的 身份验证失败 次数。例如,使用默认设置 4 时,客户端在失败四次后将被禁止。

  4. 单击“站点配置”页右上角的“保存”。