无线局域网相关安全技术

　　图2

　　上图表明：802.1x依赖于一个EAP和一个RADIUS服务器来管理身份验证。其中：1表示客户端与拒绝通信的访问点联系，2表示访问点完成与认证服务器的一次握手，3表示认证服务器向请求者索要身份证明，4表示请求者用所指定的身份验证方法响应要求，5表示认证服务器向请求者提供一个会话密钥，6表示请求者现在与验证服务器和访问点同步，并能够在无线网络上通信。

　　基于802.1X/EAP的无线安全特别适用于多数公司级的无线网络。一些小型网络可以将802.1X安全与一个标准的加密协议（如WPA或TKIP）结合起来，一些更大的、要求更安全的网络会要求将802.1x的安全性与基于证书的的验证结合起来。

　　VPN

　　虚拟私有网络（Virtual Private Network）技术从90年代以来一直被作为一种点到点的安全方式。这种技术已经获得了广泛的使用，其被证明的安全性可以轻易地被转换到无线网络中。

　　在一个WLAN客户端使用一个VPN隧道时，数据通信保持加密状态直到它到达VPN网关，此网关位于无线访问点之后（如图3所示）。这样一来，入侵者就被阻止，使其无法截获未加密的网络通信。因为VPN对从PC到位于公司网络核心的VPN网关之间的整个链接加密，所以PC和访问点（AP）之间的无线网络部分也被加密。VPN连接可以借助于多种凭证进行管理，包括口令、证书、智能卡等。可以看出，这是保证企业级无线网络安全的又一个重要方法。

　　图3

　　上图表明：VPN为无线通信提供了一个安全的加密隧道。

　　无线安全交换机

　　无线安全交换机算是无线网络安全市场中的后来者。这种交换机是基于硬件的安全解决方案，它直接安插到有线网络的高速链路中，并且访问点完成数据包转换。这种交换机的目标是在大型的分布式网络上对访问点的安全性和管理进行集中化。这种交换机通常可以借助于一个Web、一个应用程序或命令行接口进行管理，它们可以为网络中的所有访问点提供一致性。不仅如此，它们对于将欺诈性访问点阻挡于网络之外也是很有益的。如果一个无线访问点没有在一个安全交换机的ACL中配置安全性，那么你很快就会发现它无法在网络中运行。现在几乎所有的主要网络部件制造厂商都提供无线安全交换机。

　　决定你的需要

　　在本文中笔者仅涉及了几种最常见的保障无线网络安全的方法。说实话，当你将数据通过无线信号传输时，实际上是将数据置于风险之中。我们所希望的是通过实施这里讨论的一些措施来减少风险。那么，这些方法哪一个更适合于你的网络呢？为了回答这个问题，笔者手工绘制了一张流程图（下图4），不过不要完全依赖它。在实施一项安全方案之前，你应当缜密地审查流经无线网络的信息的敏感性。

　　图4