如何利用現(xiàn)有設(shè)施部署安全的無(wú)線網(wǎng)絡(luò)？

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

由于業(yè)務(wù)需要，企業(yè)對(duì)移動(dòng)化的要求也越來(lái)越高，同時(shí)安全風(fēng)險(xiǎn)也隨之而來(lái)。雖然已經(jīng)制訂了解決具體安全問(wèn)題的解決方案，我們還需要采取綜合辦法來(lái)利用企業(yè)網(wǎng)絡(luò)中的有線網(wǎng)絡(luò)基礎(chǔ)設(shè)施來(lái)加強(qiáng)對(duì)WLAN(無(wú)線局域網(wǎng)，Wireless Local Area Network)，的安全保護(hù)。

企業(yè)WLAN的發(fā)展

企業(yè)WLAN已經(jīng)飛速發(fā)展，再也不是過(guò)去的只需要簡(jiǎn)單便宜的接入點(diǎn)就能覆蓋家庭或者小型辦公室的無(wú)線網(wǎng)絡(luò)。在WLAN部署的發(fā)展后面主要有兩個(gè)推動(dòng)力，第一個(gè)就是為增強(qiáng)生產(chǎn)效率，需要為客戶或者使用筆記本的員工提供無(wú)線接入。

第二個(gè)推動(dòng)力就是使用無(wú)線取代有線基礎(chǔ)設(shè)施，并且受到先進(jìn)技術(shù)(如802.1n標(biāo)準(zhǔn)等)的推動(dòng)。無(wú)線速度提高到170Mbps以及建立企業(yè)范圍內(nèi)的無(wú)線網(wǎng)絡(luò)的能力等優(yōu)點(diǎn)，都讓無(wú)線技術(shù)性能已經(jīng)足以成為有線的更好替代品。此外，已經(jīng)開(kāi)發(fā)出很多有效攻擊能夠幫助確定最佳網(wǎng)絡(luò)覆蓋范圍、避免重疊以及更好的利用擴(kuò)頻以減少碰撞和最大限度地提高性能。雖然，重點(diǎn)都是在性能，但無(wú)線真正的好處在于為生產(chǎn)力帶來(lái)更好的移動(dòng)性。

日益增長(zhǎng)的移動(dòng)化安全風(fēng)險(xiǎn)

然而，移動(dòng)性也招致很多安全風(fēng)險(xiǎn)和問(wèn)題。因?yàn)闊o(wú)線端點(diǎn)并非固定不變的，相比于無(wú)線網(wǎng)絡(luò)，企業(yè)對(duì)于有線網(wǎng)絡(luò)的安全性更加放心，因?yàn)橛芯€網(wǎng)絡(luò)受到企業(yè)建筑實(shí)體墻和門的保護(hù)，并且還有門禁卡和用戶身份驗(yàn)證基礎(chǔ)設(shè)施。由于無(wú)線網(wǎng)絡(luò)能夠輕易地被建筑外的人訪問(wèn)，因此無(wú)線網(wǎng)絡(luò)更容易受到盜竊、攻擊和各種匿名攻擊形式。

當(dāng)然也已經(jīng)開(kāi)發(fā)了很多技術(shù)來(lái)試圖解決這些問(wèn)題，包括從WEP轉(zhuǎn)移到LEAP、WPA、802.1x，以及在客戶端和接入基礎(chǔ)設(shè)施嵌入IPSec VPN等各種措施。所有這些方法都有一定的限制。

客戶訪問(wèn)也是企業(yè)WLAN的一大問(wèn)題，因?yàn)榭赡茉斐蓢?yán)重的后果。如果客戶使用企業(yè)的無(wú)線網(wǎng)絡(luò)接入并進(jìn)行非法操作，提供網(wǎng)絡(luò)接口的企業(yè)就必須承擔(dān)一定的法律責(zé)任。如果無(wú)線網(wǎng)絡(luò)被攻破，或者重要數(shù)據(jù)庫(kù)被攻擊，給企業(yè)帶來(lái)的負(fù)面影響將更加嚴(yán)重。這些結(jié)果可能包括罰款、訴訟和名譽(yù)損失等。

IT部門需要清楚地知道是企業(yè)員工筆記本還是客戶筆記本在訪問(wèn)無(wú)線網(wǎng)絡(luò)，當(dāng)筆記本通過(guò)無(wú)線網(wǎng)絡(luò)訪問(wèn)企業(yè)網(wǎng)絡(luò)時(shí)必須進(jìn)行嚴(yán)格的加密。IT部門還應(yīng)該使用現(xiàn)有的基礎(chǔ)設(shè)施(如Active Directory)對(duì)員工進(jìn)行身份驗(yàn)證，并希望客戶也能進(jìn)行同樣的驗(yàn)證。

目前解決方案的局限性

現(xiàn)在有很多企業(yè)級(jí)WLAN解決方案已經(jīng)可以解決上述問(wèn)題，但是很多解決方案價(jià)格昂貴并且功能也不是很完善，與常用的有線基礎(chǔ)設(shè)施的加密驗(yàn)證功能還是差很多。

在無(wú)線世界里，不能解決WLAN安全的所有問(wèn)題，問(wèn)題都需要單獨(dú)解決。不足為怪的是，很多解決方案都是很獨(dú)立的，只有從同個(gè)供應(yīng)商獲取整體解決方案才能獲得最好效果。不斷變化的市場(chǎng)也讓這些移動(dòng)產(chǎn)品需要對(duì)基礎(chǔ)設(shè)施不斷的更新和升級(jí)，以充分利用必要的改進(jìn)的技術(shù)。

利用現(xiàn)有的有線基礎(chǔ)設(shè)施

鑒于這種情況，是應(yīng)該問(wèn)問(wèn)是否有不同的方法。在有線世界里，Layer 2交換機(jī)以神奇的速度進(jìn)行著大量交換數(shù)據(jù)包的工作，Layer3交換器和路由器則進(jìn)行連接網(wǎng)絡(luò)的工作，還有驗(yàn)證基礎(chǔ)設(shè)施(如Active Directory、LDAP和 RADIUS)進(jìn)行直接驗(yàn)證。此外，驗(yàn)證基礎(chǔ)設(shè)施(如防火墻和訪問(wèn)控制列表)也能加強(qiáng)保護(hù)，接入技術(shù)(如IPSec和SSL VPN)能夠提供外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的連接，當(dāng)然也有NAC基礎(chǔ)設(shè)施、端點(diǎn)安全、IDS/IPS等，這些有線設(shè)施不勝枚舉。

鑒于對(duì)所有這些基礎(chǔ)設(shè)施技術(shù)的現(xiàn)有投資，以及這些現(xiàn)有基礎(chǔ)設(shè)施后面的各種有線和遠(yuǎn)程用戶的部署，如果將WLAN基礎(chǔ)設(shè)施放在Layer 2并讓現(xiàn)有技術(shù)提供其他功能，不就能節(jié)省很多開(kāi)支嗎?如果我們這樣做，就可以擁有便宜的接入點(diǎn)，而控制器也不需要比Layer2/3交換器更好，這將很大程度降低企業(yè)無(wú)線部署的成本，并能讓企業(yè)混合搭配使用不同供應(yīng)商的何時(shí)技術(shù)，而避免大規(guī)模鎖定升級(jí)。

還有比較便宜的替代方法可以幫助企業(yè)實(shí)現(xiàn)這一點(diǎn)。NAC技術(shù)已經(jīng)成熟到它可以自動(dòng)接入端點(diǎn)并分辨企業(yè)接入還是客戶接入。NAC與SSL的整合確保了傳輸路徑在所有時(shí)候都能進(jìn)行加密，與驗(yàn)證基礎(chǔ)設(shè)施(如IPSec和SSL VPN)的整合又能提供對(duì)員工的驗(yàn)證。內(nèi)置的虛擬化技術(shù)和客戶自動(dòng)重新定向至不同的虛擬端口，能夠消除為客戶和員工使用單獨(dú)SSID或者單獨(dú)客戶接入設(shè)備的需要。某些SSL VPN上的默認(rèn)路由和VLAN技術(shù)能夠確保客戶端流量完全區(qū)分與企業(yè)流量，并能確保只有通過(guò)這個(gè)框架才能接入其他位置。

身份驗(yàn)證問(wèn)題

廣泛的身份驗(yàn)證框架允許客戶登記接入，并擁有作為用戶真實(shí)身份的永久令牌，這能夠通過(guò)客戶登記程序(如接待處的功能一樣)來(lái)實(shí)現(xiàn)。甚至可以區(qū)分不同類型的客人，為其登錄不同的網(wǎng)絡(luò)。

部署身份驗(yàn)證應(yīng)該是自動(dòng)化的，日志和問(wèn)責(zé)制能夠提供通過(guò)接入媒介的用戶極其行為相關(guān)聯(lián)的線索，當(dāng)法律規(guī)定或者上級(jí)主管有要求時(shí)，就能提供這種線索。