構建安全的無線局域網

使用射頻（RF）技術，無線局域網通過空氣發(fā)送和接收數據，最大限度減少了對有線連接的需要。它的優(yōu)勢就在于能夠輕松快速安裝。例如，員工能夠很輕松地改變無線局域網設備的位置，從而讓辦公室布局煥然一新。在發(fā)生緊急情況（如自然災難）時，誰還有時間拔掉電話線和其它線纜？無線局域網使這一切不復存在，從而將破壞降低到最低限度。小巧便攜的無線局域網基站可以在最短的時間內安裝完畢?；净蚪尤朦c是無線局域網的橋梁，將無線局域網客戶連接到網絡上。
安全方面的考慮
安全性是廣泛部署無線局域網需要考慮的主要問題之一。因為無線局域網使用無線電波傳輸數據信號，所以較易受到攻擊。無線電波能夠穿透墻壁和隔板，使黑客有機會截獲電波并進入未受保護的公司局域網。
盡管無線局域網不是100％安全，但是有許多解決方案能夠提供安全保護，如虛擬專用網（VPN）、IPSec加密和利用IEEE 802.1x的EAP（可擴展鑒權協(xié) 議）。所有這些解決方案都使實施者能夠享受到使用無線局域網的優(yōu)勢，而不必犧牲安全性。VPN是目前市場上最安全的解決方案，能夠阻止無線黑客入侵公司局域網或從汽車、建筑物內、甚至建筑物附近截取機密信息。

以保護無線局域網安全為己任的網絡管理員應該慎重考慮鑒權和保密性。無線局域網無線電波在整個企業(yè)內部傳播，有時會傳播到企業(yè)外部，使保護網絡安全成為一項艱巨任務。
鑒權
鑒權是通過使用數字證書或令牌識別服務器用戶的過程。為了獲得更出色的安全性，企業(yè)可以在每個彼此鑒權的用戶和服務器處部署相互鑒權機制，以阻止所謂的“內部用戶攻擊”。利用相互鑒權，沒有必需數字證書的黑客將不能通過鑒權程序，從而不被允許訪問無線網絡。目前市場中的大多數無線基站都支持 EAP 802.1x鑒權。利用EAP，企業(yè)可以選擇實施TLS（傳輸層安全）或TTLS（隧 道傳輸層安全）協(xié)議來保護鑒權服務器和無線用戶之間的相互鑒權。
除了使用EAP 802.1x，企業(yè)還可以部署VPN來支持鑒權和加密要求。通常的 做法是將無線局域網設置成單獨的局域網部分，并通過VPN網關將該部分連接到公司局域網上。利用VPN，所有無線用戶在得到許可訪問公司局域網之前首先由 VPN網關進行鑒權。VPN網關只向擁有機器中所具有的有效軟件證書或令牌的用戶授權?？蛻魴C到VPN服務器的數據包使用IPSec加密。因此黑客將無法破解這些數據包的內容。這些安全措施需要額外的程序（如要求用戶登錄VPN網關、在所有無線機器上安裝VPN客戶端程序）。
保密性
IEEE 802.11標準使用有線等效保密(WEP)加密技術。它的基礎是使用40位 密鑰和RC4加密算法。不知道WEP密鑰的用戶將發(fā)現自己被排除在網絡通信之 外。
不幸的是，現在有很多方法可以算出WEP加密密鑰。一旦密鑰被人獲得，它就可以用于破解信息。有很多工具可以攻擊WEP加密。英特爾建議使用支持 802.11a和802.11b WLAN的VPN解決方案增強無線安全性。
IEEE 802.11TGi (任務組I)委員會已經制訂了臨時密鑰完整性協(xié)議(TKIP)， 作為過渡解決方案。TKIP像WEP一樣基于RC4加密，但以另一種方式實施，解決了WEP目前存在的脆弱性。它提供了快速更新密鑰的功能。利用TKIP，隨著各個廠商計劃推出TKIP固件補丁，消費者在無線局域網硬件上的投資將得到保護。
最后，IEEE 802.11TGi正在開發(fā)一個使用AES (高級加密標準)的新協(xié)議，以 實施更強大的加密和信息完整性檢查。IEEE 802.11i預計將采用IEEE 802.1x鑒 權。
互操作性和漫游
盡管802.11a和802.11b是在不同頻帶上工作，但同時支持802.11a和802.11b的雙模基站已經在市場中出現，使兩種網絡中的用戶能夠進行通信。英特爾公司已經推出了支持802.11a和802.11b技術的雙模無線網卡。這些產品設能夠推動從 2.4GHz 802.11b網絡向更快的5GHz 802.11a WLAN過渡。
Intel Pro Wireless Proset Utility允許用戶創(chuàng)建不同的無線簡檔，以在不同 的無線局域網位置使用，而自動簡檔掃描功能還使用戶能夠選擇在每個位置所使用的適合簡檔。
漫游可以分為三類：在企業(yè)內不同基站之間漫游；在同一運營商提供的不同熱點（hotspot）之間漫游；以及在不同運營商提供的熱點之間漫游。
在一個企業(yè)無線局域網中，在不同接入點之間的漫游被作為802.11b協(xié)議的一部分進行處理。當在同一運營商提供的不同熱點之間漫游時，用戶可能需要在新熱點重新登錄，以便在新熱點與前一熱點相距較遠時獲得一個新的IP地址。例如，如果您離開酒店的熱點漫游到相距10千米之遙的機場熱點，您就可能需要重新登錄。
然而，如果用戶在由不同運營商服務的不同國家或地區(qū)的不同熱點之間漫 游，在各熱點運營商之間必須達成雙方協(xié)議。此外，運營商們的后端設備必須能夠跟蹤漫游用戶，以進行計費。
有時，需要第三方公司作為清算機構并提供必要的鑒權和計費服務，以支持在不同運營商運行的熱點之間的漫游服務。無線局域網基礎設施提供了基本的互聯(lián)網連接。使用VPN建立返回公司網絡的安全隧道的外出用戶還應安裝殺毒軟件及個人防火墻，以使他們的數據鏈路在漫游期間免受黑客攻擊。
即將推出的解決方案
IEEE 802.11工作組正在制訂802.11i標準。這個安全標準將包括增強的加密 格式和鑒權機制，如RADIUS、Kerberos和IEEE 802.1x。IEEE 802.11i的許多安 全增強特性都可以通過固件升級來完成，而有些必須通過硬件來完成。
802.11i將解決無線安全問題。大多數制造商都將在這些標準制訂完畢時進行實施。此外，他們還必須提供在不同廠商的無線局域網產品之間的互操作性，并確保他們的產品符合802.11i標準。
未來之路
企業(yè)無須等到 802.11i安全標準最終完成才開始部署無線局域網。隨著無線 局域網覆蓋的熱點數量的不斷增長，公司移動員工均裝備了VPN客戶機以寬帶接入，無線連接已成為一個日益普及和安全的解決方案。
公眾接入無線局域網現在已經部署在機場、酒店、會議中心，甚至是飯館 中。這些熱點使帶有支持802.11b的電腦的員工能夠通過共享11Mbps鏈路連接到基于互聯(lián)網的服務和公司網絡。
在等待802.11i標準問世的同時，管理員們應部署無線VPN作為過渡解決方 案。VPN將提供比基于WEP的加密機制更強大的安全性。
無線局域網補充了現有的有線解決方案。采用現有有線解決方案的企業(yè)應該在公共地點（如會議室、會場、食堂或餐廳）部署一個無線局域網。因為用戶在這些場所也能夠自由地檢索信息，工作效率大大提高。

(完)

附錄
無線局域網的發(fā)展

像所有IEEE 802標準一樣，802.11標準也是以ISO模型最低的兩層為中心： 物理層和數據鏈路層。所有局域網應用、網絡操作系統(tǒng)或協(xié)議（包括TCP/IP）在 符合802.11-標準的WLAN上運行都將像在以太網上運行一樣輕松。目前已有多個 標準制訂完成或正在制訂之中，以滿足用戶對帶寬和安全性不斷增長的需求。

802.11a – 802.11a 是802.11標準家族的擴展，在5GHz頻帶工作。該標準使 用正交頻分多路復用編碼方案，而不是802.11b 的直接序列擴頻傳輸技術，利用 8個無重疊信道提供高達54Mbps的速度。

802.11b or Wi-Fi – 作為高速無線標準的發(fā)展結果，802.11b提供了完全類 似以太網的數據速率－11Mbps，并已經成為公司內部無線局域網網絡的主要標 準。它工作在2.4GHz頻帶，支持3個無重疊信道。

802.11g – 802.11g標準的草案已經完成，但尚未得到IEEE的批準和聯(lián)邦通 信委員會的批準。802.11g使用與802.11a相同的編碼方案，并將能提供與 802.11a相同的速度。它在2.4GHz頻譜內工作，將可兼容現有的802.11b基礎設 施。

藍牙技術－英特爾是藍牙標準的主要推動者和支持者。藍牙技術是覆蓋范圍為10米的個人域網絡的理想解決方案。像802.11b一樣，藍牙也在2.4GHz頻譜內工作（全球均可使用這一頻譜），并使用擴展頻譜技術提供高達1Mbps的傳輸速度。

用戶應選擇最適合其企業(yè)需要的標準。802.11b標準是常規(guī)辦公環(huán)境或無線家庭網絡的理想選擇。更高帶寬的802.11a則適用于需要視頻點播或視頻數據流應用（如電子學習）或CAD-CAM設計應用的用戶。然而，802.11g還需要進一步完 善， 因此不同的802.11g產品之間還可能存在互操作問題。