構(gòu)建安全的無(wú)線(xiàn)局域網(wǎng)

使用射頻（RF）技術(shù)，無(wú)線(xiàn)局域網(wǎng)通過(guò)空氣發(fā)送和接收數(shù)據(jù)，最大限度減少了對(duì)有線(xiàn)連接的需要。它的優(yōu)勢(shì)就在于能夠輕松快速安裝。例如，員工能夠很輕松地改變無(wú)線(xiàn)局域網(wǎng)設(shè)備的位置，從而讓辦公室布局煥然一新。在發(fā)生緊急情況（如自然災(zāi)難）時(shí)，誰(shuí)還有時(shí)間拔掉電話(huà)線(xiàn)和其它線(xiàn)纜？無(wú)線(xiàn)局域網(wǎng)使這一切不復(fù)存在，從而將破壞降低到最低限度。小巧便攜的無(wú)線(xiàn)局域網(wǎng)基站可以在最短的時(shí)間內(nèi)安裝完畢?；净蚪尤朦c(diǎn)是無(wú)線(xiàn)局域網(wǎng)的橋梁，將無(wú)線(xiàn)局域網(wǎng)客戶(hù)連接到網(wǎng)絡(luò)上。
安全方面的考慮
安全性是廣泛部署無(wú)線(xiàn)局域網(wǎng)需要考慮的主要問(wèn)題之一。因?yàn)闊o(wú)線(xiàn)局域網(wǎng)使用無(wú)線(xiàn)電波傳輸數(shù)據(jù)信號(hào)，所以較易受到攻擊。無(wú)線(xiàn)電波能夠穿透墻壁和隔板，使黑客有機(jī)會(huì)截獲電波并進(jìn)入未受保護(hù)的公司局域網(wǎng)。
盡管無(wú)線(xiàn)局域網(wǎng)不是100％安全，但是有許多解決方案能夠提供安全保護(hù)，如虛擬專(zhuān)用網(wǎng)（VPN）、IPSec加密和利用IEEE 802.1x的EAP（可擴(kuò)展鑒權(quán)協(xié) 議）。所有這些解決方案都使實(shí)施者能夠享受到使用無(wú)線(xiàn)局域網(wǎng)的優(yōu)勢(shì)，而不必犧牲安全性。VPN是目前市場(chǎng)上最安全的解決方案，能夠阻止無(wú)線(xiàn)黑客入侵公司局域網(wǎng)或從汽車(chē)、建筑物內(nèi)、甚至建筑物附近截取機(jī)密信息。

以保護(hù)無(wú)線(xiàn)局域網(wǎng)安全為己任的網(wǎng)絡(luò)管理員應(yīng)該慎重考慮鑒權(quán)和保密性。無(wú)線(xiàn)局域網(wǎng)無(wú)線(xiàn)電波在整個(gè)企業(yè)內(nèi)部傳播，有時(shí)會(huì)傳播到企業(yè)外部，使保護(hù)網(wǎng)絡(luò)安全成為一項(xiàng)艱巨任務(wù)。
鑒權(quán)
鑒權(quán)是通過(guò)使用數(shù)字證書(shū)或令牌識(shí)別服務(wù)器用戶(hù)的過(guò)程。為了獲得更出色的安全性，企業(yè)可以在每個(gè)彼此鑒權(quán)的用戶(hù)和服務(wù)器處部署相互鑒權(quán)機(jī)制，以阻止所謂的“內(nèi)部用戶(hù)攻擊”。利用相互鑒權(quán)，沒(méi)有必需數(shù)字證書(shū)的黑客將不能通過(guò)鑒權(quán)程序，從而不被允許訪(fǎng)問(wèn)無(wú)線(xiàn)網(wǎng)絡(luò)。目前市場(chǎng)中的大多數(shù)無(wú)線(xiàn)基站都支持 EAP 802.1x鑒權(quán)。利用EAP，企業(yè)可以選擇實(shí)施TLS（傳輸層安全）或TTLS（隧 道傳輸層安全）協(xié)議來(lái)保護(hù)鑒權(quán)服務(wù)器和無(wú)線(xiàn)用戶(hù)之間的相互鑒權(quán)。
除了使用EAP 802.1x，企業(yè)還可以部署VPN來(lái)支持鑒權(quán)和加密要求。通常的 做法是將無(wú)線(xiàn)局域網(wǎng)設(shè)置成單獨(dú)的局域網(wǎng)部分，并通過(guò)VPN網(wǎng)關(guān)將該部分連接到公司局域網(wǎng)上。利用VPN，所有無(wú)線(xiàn)用戶(hù)在得到許可訪(fǎng)問(wèn)公司局域網(wǎng)之前首先由 VPN網(wǎng)關(guān)進(jìn)行鑒權(quán)。VPN網(wǎng)關(guān)只向擁有機(jī)器中所具有的有效軟件證書(shū)或令牌的用戶(hù)授權(quán)?？蛻?hù)機(jī)到VPN服務(wù)器的數(shù)據(jù)包使用IPSec加密。因此黑客將無(wú)法破解這些數(shù)據(jù)包的內(nèi)容。這些安全措施需要額外的程序（如要求用戶(hù)登錄VPN網(wǎng)關(guān)、在所有無(wú)線(xiàn)機(jī)器上安裝VPN客戶(hù)端程序）。
保密性
IEEE 802.11標(biāo)準(zhǔn)使用有線(xiàn)等效保密(WEP)加密技術(shù)。它的基礎(chǔ)是使用40位 密鑰和RC4加密算法。不知道WEP密鑰的用戶(hù)將發(fā)現(xiàn)自己被排除在網(wǎng)絡(luò)通信之 外。
不幸的是，現(xiàn)在有很多方法可以算出WEP加密密鑰。一旦密鑰被人獲得，它就可以用于破解信息。有很多工具可以攻擊WEP加密。英特爾建議使用支持 802.11a和802.11b WLAN的VPN解決方案增強(qiáng)無(wú)線(xiàn)安全性。
IEEE 802.11TGi (任務(wù)組I)委員會(huì)已經(jīng)制訂了臨時(shí)密鑰完整性協(xié)議(TKIP)， 作為過(guò)渡解決方案。TKIP像WEP一樣基于RC4加密，但以另一種方式實(shí)施，解決了WEP目前存在的脆弱性。它提供了快速更新密鑰的功能。利用TKIP，隨著各個(gè)廠(chǎng)商計(jì)劃推出TKIP固件補(bǔ)丁，消費(fèi)者在無(wú)線(xiàn)局域網(wǎng)硬件上的投資將得到保護(hù)。
最后，IEEE 802.11TGi正在開(kāi)發(fā)一個(gè)使用AES (高級(jí)加密標(biāo)準(zhǔn))的新協(xié)議，以 實(shí)施更強(qiáng)大的加密和信息完整性檢查。IEEE 802.11i預(yù)計(jì)將采用IEEE 802.1x鑒 權(quán)。
互操作性和漫游
盡管802.11a和802.11b是在不同頻帶上工作，但同時(shí)支持802.11a和802.11b的雙?；疽呀?jīng)在市場(chǎng)中出現(xiàn)，使兩種網(wǎng)絡(luò)中的用戶(hù)能夠進(jìn)行通信。英特爾公司已經(jīng)推出了支持802.11a和802.11b技術(shù)的雙模無(wú)線(xiàn)網(wǎng)卡。這些產(chǎn)品設(shè)能夠推動(dòng)從 2.4GHz 802.11b網(wǎng)絡(luò)向更快的5GHz 802.11a WLAN過(guò)渡。
Intel Pro Wireless Proset Utility允許用戶(hù)創(chuàng)建不同的無(wú)線(xiàn)簡(jiǎn)檔，以在不同 的無(wú)線(xiàn)局域網(wǎng)位置使用，而自動(dòng)簡(jiǎn)檔掃描功能還使用戶(hù)能夠選擇在每個(gè)位置所使用的適合簡(jiǎn)檔。
漫游可以分為三類(lèi)：在企業(yè)內(nèi)不同基站之間漫游；在同一運(yùn)營(yíng)商提供的不同熱點(diǎn)（hotspot）之間漫游；以及在不同運(yùn)營(yíng)商提供的熱點(diǎn)之間漫游。
在一個(gè)企業(yè)無(wú)線(xiàn)局域網(wǎng)中，在不同接入點(diǎn)之間的漫游被作為802.11b協(xié)議的一部分進(jìn)行處理。當(dāng)在同一運(yùn)營(yíng)商提供的不同熱點(diǎn)之間漫游時(shí)，用戶(hù)可能需要在新熱點(diǎn)重新登錄，以便在新熱點(diǎn)與前一熱點(diǎn)相距較遠(yuǎn)時(shí)獲得一個(gè)新的IP地址。例如，如果您離開(kāi)酒店的熱點(diǎn)漫游到相距10千米之遙的機(jī)場(chǎng)熱點(diǎn)，您就可能需要重新登錄。
然而，如果用戶(hù)在由不同運(yùn)營(yíng)商服務(wù)的不同國(guó)家或地區(qū)的不同熱點(diǎn)之間漫 游，在各熱點(diǎn)運(yùn)營(yíng)商之間必須達(dá)成雙方協(xié)議。此外，運(yùn)營(yíng)商們的后端設(shè)備必須能夠跟蹤漫游用戶(hù)，以進(jìn)行計(jì)費(fèi)。
有時(shí)，需要第三方公司作為清算機(jī)構(gòu)并提供必要的鑒權(quán)和計(jì)費(fèi)服務(wù)，以支持在不同運(yùn)營(yíng)商運(yùn)行的熱點(diǎn)之間的漫游服務(wù)。無(wú)線(xiàn)局域網(wǎng)基礎(chǔ)設(shè)施提供了基本的互聯(lián)網(wǎng)連接。使用VPN建立返回公司網(wǎng)絡(luò)的安全隧道的外出用戶(hù)還應(yīng)安裝殺毒軟件及個(gè)人防火墻，以使他們的數(shù)據(jù)鏈路在漫游期間免受黑客攻擊。
即將推出的解決方案
IEEE 802.11工作組正在制訂802.11i標(biāo)準(zhǔn)。這個(gè)安全標(biāo)準(zhǔn)將包括增強(qiáng)的加密 格式和鑒權(quán)機(jī)制，如RADIUS、Kerberos和IEEE 802.1x。IEEE 802.11i的許多安 全增強(qiáng)特性都可以通過(guò)固件升級(jí)來(lái)完成，而有些必須通過(guò)硬件來(lái)完成。
802.11i將解決無(wú)線(xiàn)安全問(wèn)題。大多數(shù)制造商都將在這些標(biāo)準(zhǔn)制訂完畢時(shí)進(jìn)行實(shí)施。此外，他們還必須提供在不同廠(chǎng)商的無(wú)線(xiàn)局域網(wǎng)產(chǎn)品之間的互操作性，并確保他們的產(chǎn)品符合802.11i標(biāo)準(zhǔn)。
未來(lái)之路
企業(yè)無(wú)須等到 802.11i安全標(biāo)準(zhǔn)最終完成才開(kāi)始部署無(wú)線(xiàn)局域網(wǎng)。隨著無(wú)線(xiàn) 局域網(wǎng)覆蓋的熱點(diǎn)數(shù)量的不斷增長(zhǎng)，公司移動(dòng)員工均裝備了VPN客戶(hù)機(jī)以寬帶接入，無(wú)線(xiàn)連接已成為一個(gè)日益普及和安全的解決方案。
公眾接入無(wú)線(xiàn)局域網(wǎng)現(xiàn)在已經(jīng)部署在機(jī)場(chǎng)、酒店、會(huì)議中心，甚至是飯館 中。這些熱點(diǎn)使帶有支持802.11b的電腦的員工能夠通過(guò)共享11Mbps鏈路連接到基于互聯(lián)網(wǎng)的服務(wù)和公司網(wǎng)絡(luò)。
在等待802.11i標(biāo)準(zhǔn)問(wèn)世的同時(shí)，管理員們應(yīng)部署無(wú)線(xiàn)VPN作為過(guò)渡解決方 案。VPN將提供比基于WEP的加密機(jī)制更強(qiáng)大的安全性。
無(wú)線(xiàn)局域網(wǎng)補(bǔ)充了現(xiàn)有的有線(xiàn)解決方案。采用現(xiàn)有有線(xiàn)解決方案的企業(yè)應(yīng)該在公共地點(diǎn)（如會(huì)議室、會(huì)場(chǎng)、食堂或餐廳）部署一個(gè)無(wú)線(xiàn)局域網(wǎng)。因?yàn)橛脩?hù)在這些場(chǎng)所也能夠自由地檢索信息，工作效率大大提高。

(完)

附錄
無(wú)線(xiàn)局域網(wǎng)的發(fā)展

像所有IEEE 802標(biāo)準(zhǔn)一樣，802.11標(biāo)準(zhǔn)也是以ISO模型最低的兩層為中心： 物理層和數(shù)據(jù)鏈路層。所有局域網(wǎng)應(yīng)用、網(wǎng)絡(luò)操作系統(tǒng)或協(xié)議（包括TCP/IP）在 符合802.11-標(biāo)準(zhǔn)的WLAN上運(yùn)行都將像在以太網(wǎng)上運(yùn)行一樣輕松。目前已有多個(gè) 標(biāo)準(zhǔn)制訂完成或正在制訂之中，以滿(mǎn)足用戶(hù)對(duì)帶寬和安全性不斷增長(zhǎng)的需求。

802.11a – 802.11a 是802.11標(biāo)準(zhǔn)家族的擴(kuò)展，在5GHz頻帶工作。該標(biāo)準(zhǔn)使 用正交頻分多路復(fù)用編碼方案，而不是802.11b 的直接序列擴(kuò)頻傳輸技術(shù)，利用 8個(gè)無(wú)重疊信道提供高達(dá)54Mbps的速度。

802.11b or Wi-Fi – 作為高速無(wú)線(xiàn)標(biāo)準(zhǔn)的發(fā)展結(jié)果，802.11b提供了完全類(lèi) 似以太網(wǎng)的數(shù)據(jù)速率－11Mbps，并已經(jīng)成為公司內(nèi)部無(wú)線(xiàn)局域網(wǎng)網(wǎng)絡(luò)的主要標(biāo) 準(zhǔn)。它工作在2.4GHz頻帶，支持3個(gè)無(wú)重疊信道。

802.11g – 802.11g標(biāo)準(zhǔn)的草案已經(jīng)完成，但尚未得到IEEE的批準(zhǔn)和聯(lián)邦通 信委員會(huì)的批準(zhǔn)。802.11g使用與802.11a相同的編碼方案，并將能提供與 802.11a相同的速度。它在2.4GHz頻譜內(nèi)工作，將可兼容現(xiàn)有的802.11b基礎(chǔ)設(shè) 施。

藍(lán)牙技術(shù)－英特爾是藍(lán)牙標(biāo)準(zhǔn)的主要推動(dòng)者和支持者。藍(lán)牙技術(shù)是覆蓋范圍為10米的個(gè)人域網(wǎng)絡(luò)的理想解決方案。像802.11b一樣，藍(lán)牙也在2.4GHz頻譜內(nèi)工作（全球均可使用這一頻譜），并使用擴(kuò)展頻譜技術(shù)提供高達(dá)1Mbps的傳輸速度。

用戶(hù)應(yīng)選擇最適合其企業(yè)需要的標(biāo)準(zhǔn)。802.11b標(biāo)準(zhǔn)是常規(guī)辦公環(huán)境或無(wú)線(xiàn)家庭網(wǎng)絡(luò)的理想選擇。更高帶寬的802.11a則適用于需要視頻點(diǎn)播或視頻數(shù)據(jù)流應(yīng)用（如電子學(xué)習(xí)）或CAD-CAM設(shè)計(jì)應(yīng)用的用戶(hù)。然而，802.11g還需要進(jìn)一步完 善， 因此不同的802.11g產(chǎn)品之間還可能存在互操作問(wèn)題。