2009/05/08
WLAN部署最主要的障碍之一是无线等效隐私(WEP)加密――一种薄弱的、独立的加密方法。而且,附加安全解决方案的复杂性让很多IT管理人员都无法采用最先进的WLAN安全技术。思科统一无线网络将安全组件整合到了一个简单的策略管理器之中,由其在每个WLAN的基础上定制整个系统的安全策略。为了便于连接客户端,制造商通常不会对接入点的无线加密方式进行设置。但是在部署完毕之后,很容易忘记这个步骤――这是WLAN被未经授权的人员破解或者盗用的最常见原因。因此,您应当在部署完毕之后立即设置一个无线安全加密方法。思科建议您使用最安全的无线加密机制――IEEE802.11i或者VPN。如果客户端因为过于陈旧或者驱动程序不兼容而无法支持802.11i、WPA2或者WPA,您可能无法使用这些加密和身份验证类型。在这种情况下,VPN可以作为保护无线客户端连接的备用解决方案。通过使用VPN,以及利用多个SSID和VLAN进行网络分段(详见下文),可以为拥有多种不同客户端的网络提供一个强大的解决方案。IP安全(IPSec)和SSLVPN可以提供与802.11i和WPA类似的安全等级。思科无线局域网控制器可以终止IPSecVPN隧道,消除集中VPN服务器的潜在瓶颈。另外,思科统一无线网络支持跨越子网的透明漫游,因此那些对延迟敏感的应用(例如无线IP语音[VoIP]或者Citrix)在漫游时不会因为延迟过长而中断连接。
如果这些方法都无法使用,您应当设置WEP。尽管WEP容易受到一些来自互联网的工具的威胁,但是它至少可以对随意监听者起到一定的威慑作用。加上基于VLAN的用户分段(详见下文),WEP可以有效地消除安全威胁。思科WLAN解决方案还支持本地和RADIUSMAC过滤,这种方法适用于拥有一个已知的802.11接入卡MAC地址列表的小型客户端群组。如果使用这种方法,就应当立即为采取更加严格的安全形式制定计划。
无论选择何种无线安全解决方案,思科无线局域网控制器和采用轻型接入点协议(LWAPP)的CiscoAironet接入点之间的所有第二层有线通信,都可以通过将数据经由LWAPP隧道传输而得到保护。作为进一步的安全措施,也使用禁用功能,在达到由操作员限定的身份验证尝试失败次数之后,制止第二层访问请求。
通信世界网(www.cww.net.cn)
