2009/05/08
WLAN部署最主要的障礙之一是無線等效隱私(WEP)加密――一種薄弱的、獨立的加密方法。而且,附加安全解決方案的復雜性讓很多IT管理人員都無法采用最先進的WLAN安全技術。思科統(tǒng)一無線網(wǎng)絡將安全組件整合到了一個簡單的策略管理器之中,由其在每個WLAN的基礎上定制整個系統(tǒng)的安全策略。為了便于連接客戶端,制造商通常不會對接入點的無線加密方式進行設置。但是在部署完畢之后,很容易忘記這個步驟――這是WLAN被未經(jīng)授權的人員破解或者盜用的最常見原因。因此,您應當在部署完畢之后立即設置一個無線安全加密方法。思科建議您使用最安全的無線加密機制――IEEE802.11i或者VPN。如果客戶端因為過于陳舊或者驅(qū)動程序不兼容而無法支持802.11i、WPA2或者WPA,您可能無法使用這些加密和身份驗證類型。在這種情況下,VPN可以作為保護無線客戶端連接的備用解決方案。通過使用VPN,以及利用多個SSID和VLAN進行網(wǎng)絡分段(詳見下文),可以為擁有多種不同客戶端的網(wǎng)絡提供一個強大的解決方案。IP安全(IPSec)和SSLVPN可以提供與802.11i和WPA類似的安全等級。思科無線局域網(wǎng)控制器可以終止IPSecVPN隧道,消除集中VPN服務器的潛在瓶頸。另外,思科統(tǒng)一無線網(wǎng)絡支持跨越子網(wǎng)的透明漫游,因此那些對延遲敏感的應用(例如無線IP語音[VoIP]或者Citrix)在漫游時不會因為延遲過長而中斷連接。
如果這些方法都無法使用,您應當設置WEP。盡管WEP容易受到一些來自互聯(lián)網(wǎng)的工具的威脅,但是它至少可以對隨意監(jiān)聽者起到一定的威懾作用。加上基于VLAN的用戶分段(詳見下文),WEP可以有效地消除安全威脅。思科WLAN解決方案還支持本地和RADIUSMAC過濾,這種方法適用于擁有一個已知的802.11接入卡MAC地址列表的小型客戶端群組。如果使用這種方法,就應當立即為采取更加嚴格的安全形式制定計劃。
無論選擇何種無線安全解決方案,思科無線局域網(wǎng)控制器和采用輕型接入點協(xié)議(LWAPP)的CiscoAironet接入點之間的所有第二層有線通信,都可以通過將數(shù)據(jù)經(jīng)由LWAPP隧道傳輸而得到保護。作為進一步的安全措施,也使用禁用功能,在達到由操作員限定的身份驗證嘗試失敗次數(shù)之后,制止第二層訪問請求。
通信世界網(wǎng)(www.cww.net.cn)
