構建安全的無(wú)線(xiàn)局域網(wǎng)

使用射頻（RF）技術(shù)，無(wú)線(xiàn)局域網(wǎng)通過(guò)空氣發(fā)送和接收數據，最大限度減少了對有線(xiàn)連接的需要。它的優(yōu)勢就在于能夠輕松快速安裝。例如，員工能夠很輕松地改變無(wú)線(xiàn)局域網(wǎng)設備的位置，從而讓辦公室布局煥然一新。在發(fā)生緊急情況（如自然災難）時(shí)，誰(shuí)還有時(shí)間拔掉電話(huà)線(xiàn)和其它線(xiàn)纜？無(wú)線(xiàn)局域網(wǎng)使這一切不復存在，從而將破壞降低到最低限度。小巧便攜的無(wú)線(xiàn)局域網(wǎng)基站可以在最短的時(shí)間內安裝完畢?；净蚪尤朦c(diǎn)是無(wú)線(xiàn)局域網(wǎng)的橋梁，將無(wú)線(xiàn)局域網(wǎng)客戶(hù)連接到網(wǎng)絡(luò )上。
安全方面的考慮
安全性是廣泛部署無(wú)線(xiàn)局域網(wǎng)需要考慮的主要問(wèn)題之一。因為無(wú)線(xiàn)局域網(wǎng)使用無(wú)線(xiàn)電波傳輸數據信號，所以較易受到攻擊。無(wú)線(xiàn)電波能夠穿透墻壁和隔板，使黑客有機會(huì )截獲電波并進(jìn)入未受保護的公司局域網(wǎng)。
盡管無(wú)線(xiàn)局域網(wǎng)不是100％安全，但是有許多解決方案能夠提供安全保護，如虛擬專(zhuān)用網(wǎng)（VPN）、IPSec加密和利用IEEE 802.1x的EAP（可擴展鑒權協(xié) 議）。所有這些解決方案都使實(shí)施者能夠享受到使用無(wú)線(xiàn)局域網(wǎng)的優(yōu)勢，而不必犧牲安全性。VPN是目前市場(chǎng)上最安全的解決方案，能夠阻止無(wú)線(xiàn)黑客入侵公司局域網(wǎng)或從汽車(chē)、建筑物內、甚至建筑物附近截取機密信息。

以保護無(wú)線(xiàn)局域網(wǎng)安全為己任的網(wǎng)絡(luò )管理員應該慎重考慮鑒權和保密性。無(wú)線(xiàn)局域網(wǎng)無(wú)線(xiàn)電波在整個(gè)企業(yè)內部傳播，有時(shí)會(huì )傳播到企業(yè)外部，使保護網(wǎng)絡(luò )安全成為一項艱巨任務(wù)。
鑒權
鑒權是通過(guò)使用數字證書(shū)或令牌識別服務(wù)器用戶(hù)的過(guò)程。為了獲得更出色的安全性，企業(yè)可以在每個(gè)彼此鑒權的用戶(hù)和服務(wù)器處部署相互鑒權機制，以阻止所謂的“內部用戶(hù)攻擊”。利用相互鑒權，沒(méi)有必需數字證書(shū)的黑客將不能通過(guò)鑒權程序，從而不被允許訪(fǎng)問(wèn)無(wú)線(xiàn)網(wǎng)絡(luò )。目前市場(chǎng)中的大多數無(wú)線(xiàn)基站都支持 EAP 802.1x鑒權。利用EAP，企業(yè)可以選擇實(shí)施TLS（傳輸層安全）或TTLS（隧 道傳輸層安全）協(xié)議來(lái)保護鑒權服務(wù)器和無(wú)線(xiàn)用戶(hù)之間的相互鑒權。
除了使用EAP 802.1x，企業(yè)還可以部署VPN來(lái)支持鑒權和加密要求。通常的 做法是將無(wú)線(xiàn)局域網(wǎng)設置成單獨的局域網(wǎng)部分，并通過(guò)VPN網(wǎng)關(guān)將該部分連接到公司局域網(wǎng)上。利用VPN，所有無(wú)線(xiàn)用戶(hù)在得到許可訪(fǎng)問(wèn)公司局域網(wǎng)之前首先由 VPN網(wǎng)關(guān)進(jìn)行鑒權。VPN網(wǎng)關(guān)只向擁有機器中所具有的有效軟件證書(shū)或令牌的用戶(hù)授權?？蛻?hù)機到VPN服務(wù)器的數據包使用IPSec加密。因此黑客將無(wú)法破解這些數據包的內容。這些安全措施需要額外的程序（如要求用戶(hù)登錄VPN網(wǎng)關(guān)、在所有無(wú)線(xiàn)機器上安裝VPN客戶(hù)端程序）。
保密性
IEEE 802.11標準使用有線(xiàn)等效保密(WEP)加密技術(shù)。它的基礎是使用40位 密鑰和RC4加密算法。不知道WEP密鑰的用戶(hù)將發(fā)現自己被排除在網(wǎng)絡(luò )通信之 外。
不幸的是，現在有很多方法可以算出WEP加密密鑰。一旦密鑰被人獲得，它就可以用于破解信息。有很多工具可以攻擊WEP加密。英特爾建議使用支持 802.11a和802.11b WLAN的VPN解決方案增強無(wú)線(xiàn)安全性。
IEEE 802.11TGi (任務(wù)組I)委員會(huì )已經(jīng)制訂了臨時(shí)密鑰完整性協(xié)議(TKIP)， 作為過(guò)渡解決方案。TKIP像WEP一樣基于RC4加密，但以另一種方式實(shí)施，解決了WEP目前存在的脆弱性。它提供了快速更新密鑰的功能。利用TKIP，隨著(zhù)各個(gè)廠(chǎng)商計劃推出TKIP固件補丁，消費者在無(wú)線(xiàn)局域網(wǎng)硬件上的投資將得到保護。
最后，IEEE 802.11TGi正在開(kāi)發(fā)一個(gè)使用AES (高級加密標準)的新協(xié)議，以 實(shí)施更強大的加密和信息完整性檢查。IEEE 802.11i預計將采用IEEE 802.1x鑒 權。
互操作性和漫游
盡管802.11a和802.11b是在不同頻帶上工作，但同時(shí)支持802.11a和802.11b的雙?；疽呀?jīng)在市場(chǎng)中出現，使兩種網(wǎng)絡(luò )中的用戶(hù)能夠進(jìn)行通信。英特爾公司已經(jīng)推出了支持802.11a和802.11b技術(shù)的雙模無(wú)線(xiàn)網(wǎng)卡。這些產(chǎn)品設能夠推動(dòng)從 2.4GHz 802.11b網(wǎng)絡(luò )向更快的5GHz 802.11a WLAN過(guò)渡。
Intel Pro Wireless Proset Utility允許用戶(hù)創(chuàng )建不同的無(wú)線(xiàn)簡(jiǎn)檔，以在不同 的無(wú)線(xiàn)局域網(wǎng)位置使用，而自動(dòng)簡(jiǎn)檔掃描功能還使用戶(hù)能夠選擇在每個(gè)位置所使用的適合簡(jiǎn)檔。
漫游可以分為三類(lèi)：在企業(yè)內不同基站之間漫游；在同一運營(yíng)商提供的不同熱點(diǎn)（hotspot）之間漫游；以及在不同運營(yíng)商提供的熱點(diǎn)之間漫游。
在一個(gè)企業(yè)無(wú)線(xiàn)局域網(wǎng)中，在不同接入點(diǎn)之間的漫游被作為802.11b協(xié)議的一部分進(jìn)行處理。當在同一運營(yíng)商提供的不同熱點(diǎn)之間漫游時(shí)，用戶(hù)可能需要在新熱點(diǎn)重新登錄，以便在新熱點(diǎn)與前一熱點(diǎn)相距較遠時(shí)獲得一個(gè)新的IP地址。例如，如果您離開(kāi)酒店的熱點(diǎn)漫游到相距10千米之遙的機場(chǎng)熱點(diǎn)，您就可能需要重新登錄。
然而，如果用戶(hù)在由不同運營(yíng)商服務(wù)的不同國家或地區的不同熱點(diǎn)之間漫 游，在各熱點(diǎn)運營(yíng)商之間必須達成雙方協(xié)議。此外，運營(yíng)商們的后端設備必須能夠跟蹤漫游用戶(hù)，以進(jìn)行計費。
有時(shí)，需要第三方公司作為清算機構并提供必要的鑒權和計費服務(wù)，以支持在不同運營(yíng)商運行的熱點(diǎn)之間的漫游服務(wù)。無(wú)線(xiàn)局域網(wǎng)基礎設施提供了基本的互聯(lián)網(wǎng)連接。使用VPN建立返回公司網(wǎng)絡(luò )的安全隧道的外出用戶(hù)還應安裝殺毒軟件及個(gè)人防火墻，以使他們的數據鏈路在漫游期間免受黑客攻擊。
即將推出的解決方案
IEEE 802.11工作組正在制訂802.11i標準。這個(gè)安全標準將包括增強的加密 格式和鑒權機制，如RADIUS、Kerberos和IEEE 802.1x。IEEE 802.11i的許多安 全增強特性都可以通過(guò)固件升級來(lái)完成，而有些必須通過(guò)硬件來(lái)完成。
802.11i將解決無(wú)線(xiàn)安全問(wèn)題。大多數制造商都將在這些標準制訂完畢時(shí)進(jìn)行實(shí)施。此外，他們還必須提供在不同廠(chǎng)商的無(wú)線(xiàn)局域網(wǎng)產(chǎn)品之間的互操作性，并確保他們的產(chǎn)品符合802.11i標準。
未來(lái)之路
企業(yè)無(wú)須等到 802.11i安全標準最終完成才開(kāi)始部署無(wú)線(xiàn)局域網(wǎng)。隨著(zhù)無(wú)線(xiàn) 局域網(wǎng)覆蓋的熱點(diǎn)數量的不斷增長(cháng)，公司移動(dòng)員工均裝備了VPN客戶(hù)機以寬帶接入，無(wú)線(xiàn)連接已成為一個(gè)日益普及和安全的解決方案。
公眾接入無(wú)線(xiàn)局域網(wǎng)現在已經(jīng)部署在機場(chǎng)、酒店、會(huì )議中心，甚至是飯館 中。這些熱點(diǎn)使帶有支持802.11b的電腦的員工能夠通過(guò)共享11Mbps鏈路連接到基于互聯(lián)網(wǎng)的服務(wù)和公司網(wǎng)絡(luò )。
在等待802.11i標準問(wèn)世的同時(shí)，管理員們應部署無(wú)線(xiàn)VPN作為過(guò)渡解決方 案。VPN將提供比基于WEP的加密機制更強大的安全性。
無(wú)線(xiàn)局域網(wǎng)補充了現有的有線(xiàn)解決方案。采用現有有線(xiàn)解決方案的企業(yè)應該在公共地點(diǎn)（如會(huì )議室、會(huì )場(chǎng)、食堂或餐廳）部署一個(gè)無(wú)線(xiàn)局域網(wǎng)。因為用戶(hù)在這些場(chǎng)所也能夠自由地檢索信息，工作效率大大提高。

(完)

附錄
無(wú)線(xiàn)局域網(wǎng)的發(fā)展

像所有IEEE 802標準一樣，802.11標準也是以ISO模型最低的兩層為中心： 物理層和數據鏈路層。所有局域網(wǎng)應用、網(wǎng)絡(luò )操作系統或協(xié)議（包括TCP/IP）在 符合802.11-標準的WLAN上運行都將像在以太網(wǎng)上運行一樣輕松。目前已有多個(gè) 標準制訂完成或正在制訂之中，以滿(mǎn)足用戶(hù)對帶寬和安全性不斷增長(cháng)的需求。

802.11a – 802.11a 是802.11標準家族的擴展，在5GHz頻帶工作。該標準使 用正交頻分多路復用編碼方案，而不是802.11b 的直接序列擴頻傳輸技術(shù)，利用 8個(gè)無(wú)重疊信道提供高達54Mbps的速度。

802.11b or Wi-Fi – 作為高速無(wú)線(xiàn)標準的發(fā)展結果，802.11b提供了完全類(lèi) 似以太網(wǎng)的數據速率－11Mbps，并已經(jīng)成為公司內部無(wú)線(xiàn)局域網(wǎng)網(wǎng)絡(luò )的主要標 準。它工作在2.4GHz頻帶，支持3個(gè)無(wú)重疊信道。

802.11g – 802.11g標準的草案已經(jīng)完成，但尚未得到IEEE的批準和聯(lián)邦通 信委員會(huì )的批準。802.11g使用與802.11a相同的編碼方案，并將能提供與 802.11a相同的速度。它在2.4GHz頻譜內工作，將可兼容現有的802.11b基礎設 施。

藍牙技術(shù)－英特爾是藍牙標準的主要推動(dòng)者和支持者。藍牙技術(shù)是覆蓋范圍為10米的個(gè)人域網(wǎng)絡(luò )的理想解決方案。像802.11b一樣，藍牙也在2.4GHz頻譜內工作（全球均可使用這一頻譜），并使用擴展頻譜技術(shù)提供高達1Mbps的傳輸速度。

用戶(hù)應選擇最適合其企業(yè)需要的標準。802.11b標準是常規辦公環(huán)境或無(wú)線(xiàn)家庭網(wǎng)絡(luò )的理想選擇。更高帶寬的802.11a則適用于需要視頻點(diǎn)播或視頻數據流應用（如電子學(xué)習）或CAD-CAM設計應用的用戶(hù)。然而，802.11g還需要進(jìn)一步完 善， 因此不同的802.11g產(chǎn)品之間還可能存在互操作問(wèn)題。