目前,企业WIFI应用已经普及开来,由于WIFI安全性考量,在部署之前,企业必须要确保不会对已有安全策略产生影响。那么,企业WIFI应该采用整体方案,从安全验证,设备选型,安装位置等方面去分析,使得能够完全整合到现有LAN网络环境当中。
在建立企业WLAN时,首先要考虑的问题,就是身份安全验证,当然不能使用系统自带的无线连接,固定的WAP2密码使用起来会带来安全隐患,为无线网络选择合适的可扩展认证协议(EAP)方式是一项关键的安全决定,并且常常是不容易做出的决定。考虑到一些EAP方式(如LEAP、EAP-MD5)存在固有的安全缺陷,最好不要轻易使用,不过要在PEAPv0(保护性EAP)、PEAPv1、TTLS(隧道传输层安全协议)和EAP/TLS(传输层安全协议)中做出选择也并非易事。
哪种EAP方式最适合企业WLAN?这还取决于进行无线认证的主要出发点。如果安全性是首选因素,那么EAP/TLS是最安全EAP机制,但它需要为所有最终用户部署PKI(公共钥密基础设施)。如果主要考虑灵活性,TTLS可以适应几乎所有的认证协议,包括一次性密码、基于令牌的认证和各种流行的口令认证机制。PEAPv0则是以Windows为中心的网络的明智选择,它内置对客户机和Windows Active Directory认证源的支持。
因此,我们会选择成熟的解决方案去实现企业的EAP验证,购买安全的无线客户端连接,加上相应的个人证书,就可以满足企业WLAN的安全需要。还有一点,如果LAN和WLAN同时连接的话,必须能使得WLAN自动关闭,从而防止同时接入企业网络,WLAN是使用单独的VLAN,DHCP分配的IP地址也不同于LAN的。对于WLAN的使用控制,有独立的控制器设备去管理,瘦AP和胖AP都是由控制器去管理,不过瘦AP只能进行初始化,无法在使用过程中去改变参数设置,安全性要比胖AP高,通常家里的AP都是胖AP。
解决安全性验证问题之后,我们要考虑到设备选型,设备要保证LAN线路连接,以及供电,具备POE供电的AP是首选,这样的话,后期维护起来比较容易,如果是室外的话,还要考虑到具备防水保护。WLAN设备大都工作在办公区域,环境相对机房比较差,必须有良好的质量,能够长期稳定工作,便宜而质量不稳定的设备,是会带来后期维护成本的压力。所以WLAN设备最好是同一厂家的产品,后续的设备扩充和管理都会带来便利。
技术指标方面,原有802.11a/b/g在传输速率方面都比较低,不适合多人同时使用以及带宽保证,而新的802.11n可以将WLAN的传输速率由目前802.11a及802.11g提供的54Mbps,提高到300Mbps甚至高达600Mbps。在覆盖范围方面,802.11n采用智能天线技术,通过多组独立天线组成的天线阵列,可以动态调整波束,保证让WLAN用户接收到稳定的信号,并可以减少其它信号的干扰。因此其覆盖范围可以扩大到好几平方公里,使WLAN移动性极大提高。在兼容性方面,802.11n采用了一种软件无线电技术,它是一个完全可编程的硬件平台,使得不同系统的基站和终端都可以通过这一平台的不同软件实现互通和兼容,这使得WLAN的兼容性得到极大改善。这意味着WLAN将不但能实现802.11n向前后兼容,而且可以实现WLAN与无线广域网络的结合,比如3G。因此,WLAN要选用支持802.11n的全向内置天线的设备。
WLAN设备选好之后,要根据企业的实际情况去放置,无线信号穿墙后变弱,尤其是较厚的水泥墙面,因此要从具体的办公区域平面图去分析,使得用户也可从不同的AP进行切换,所以AP都会放在天花板上,应用方面根据使用人数密集程度来桥接,具体情况,具体对待。对于企业实际应用方面,还要做到综合考量,整合到整个网络去使用的同时,足够的安全策略去保证。
本文转自 zhaiken 51CTO博客,原文链接:http://blog.51cto.com/zhaiken/938935,如需转载请自行联系原作者
