2009/05/08

　　WLAN部署最主要的障礙之一是無(wú)線等效隱私(WEP)加密――一種薄弱的、獨(dú)立的加密方法。而且，附加安全解決方案的復(fù)雜性讓很多IT管理人員都無(wú)法采用最先進(jìn)的WLAN安全技術(shù)。思科統(tǒng)一無(wú)線網(wǎng)絡(luò)將安全組件整合到了一個(gè)簡(jiǎn)單的策略管理器之中，由其在每個(gè)WLAN的基礎(chǔ)上定制整個(gè)系統(tǒng)的安全策略。為了便于連接客戶(hù)端，制造商通常不會(huì)對(duì)接入點(diǎn)的無(wú)線加密方式進(jìn)行設(shè)置。但是在部署完畢之后，很容易忘記這個(gè)步驟――這是WLAN被未經(jīng)授權(quán)的人員破解或者盜用的最常見(jiàn)原因。因此，您應(yīng)當(dāng)在部署完畢之后立即設(shè)置一個(gè)無(wú)線安全加密方法。思科建議您使用最安全的無(wú)線加密機(jī)制――IEEE802.11i或者VPN。


　　如果客戶(hù)端因?yàn)檫^(guò)于陳舊或者驅(qū)動(dòng)程序不兼容而無(wú)法支持802.11i、WPA2或者WPA，您可能無(wú)法使用這些加密和身份驗(yàn)證類(lèi)型。在這種情況下，VPN可以作為保護(hù)無(wú)線客戶(hù)端連接的備用解決方案。通過(guò)使用VPN，以及利用多個(gè)SSID和VLAN進(jìn)行網(wǎng)絡(luò)分段(詳見(jiàn)下文)，可以為擁有多種不同客戶(hù)端的網(wǎng)絡(luò)提供一個(gè)強(qiáng)大的解決方案。IP安全(IPSec)和SSLVPN可以提供與802.11i和WPA類(lèi)似的安全等級(jí)。思科無(wú)線局域網(wǎng)控制器可以終止IPSecVPN隧道，消除集中VPN服務(wù)器的潛在瓶頸。另外，思科統(tǒng)一無(wú)線網(wǎng)絡(luò)支持跨越子網(wǎng)的透明漫游，因此那些對(duì)延遲敏感的應(yīng)用(例如無(wú)線IP語(yǔ)音[VoIP]或者Citrix)在漫游時(shí)不會(huì)因?yàn)檠舆t過(guò)長(zhǎng)而中斷連接。

　　如果這些方法都無(wú)法使用，您應(yīng)當(dāng)設(shè)置WEP。盡管WEP容易受到一些來(lái)自互聯(lián)網(wǎng)的工具的威脅，但是它至少可以對(duì)隨意監(jiān)聽(tīng)者起到一定的威懾作用。加上基于VLAN的用戶(hù)分段(詳見(jiàn)下文)，WEP可以有效地消除安全威脅。思科WLAN解決方案還支持本地和RADIUSMAC過(guò)濾，這種方法適用于擁有一個(gè)已知的802.11接入卡MAC地址列表的小型客戶(hù)端群組。如果使用這種方法，就應(yīng)當(dāng)立即為采取更加嚴(yán)格的安全形式制定計(jì)劃。

　　無(wú)論選擇何種無(wú)線安全解決方案，思科無(wú)線局域網(wǎng)控制器和采用輕型接入點(diǎn)協(xié)議(LWAPP)的CiscoAironet接入點(diǎn)之間的所有第二層有線通信，都可以通過(guò)將數(shù)據(jù)經(jīng)由LWAPP隧道傳輸而得到保護(hù)。作為進(jìn)一步的安全措施，也使用禁用功能，在達(dá)到由操作員限定的身份驗(yàn)證嘗試失敗次數(shù)之后，制止第二層訪問(wèn)請(qǐng)求。

通信世界網(wǎng)(www.cww.net.cn)