WLAN无线局域网安全技术的选用

　　* WLAN的其它数据加密技术——虚拟专用网络(VPN)

　　虚拟专用网络(VPN)是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全。它不属于802.11标准定义，是以另外一种强大的加密方法来保证传输安全的技术，可以和其它的无线安全技术一起使用。VPN协议包括二层的PPTP/L2TP协议和三层的IPSec协议，IPSec用于保护IP数据包或上层数据，IPSec采用诸如数据加密标准(DES)和168位三重数据加密标准(3DES)以及其它数据包鉴权算法来进行数据加密，并使用数字证书来验证公钥，VPN在客户端与各级组织之间架起一条动态加密的隧道，并支持用户身份验证，实现高级别的安全。VPN支持中央安全管理，不足之处是需要在客户机中进行数据的加密和解密，增加了系统的负担，另外要求在AP后面配备VPN集中器，从而提高了成本。无线局域网的数据用VPN技术加密后再用无线加密技术加密，就好像双重门锁，提高了可靠性。

　　建设WLAN时的安全事项

　　* 制定安全规划

　　各级组织在建设WLAN时，在有数据安全需求时，保护网络中重要数据传输的安全是非常重要的问题，必须确保重要数据不外泄和完整性，制定合理的安全规划。

　　* 从访问控制考虑

　　不论是对有线的以太网络还是无线的802.11网络，RADIUS都是标准化的网络登录技术。支持802.1x 协议的RADIUS技术，提高了WLAN的用户认证能力，802.1x技术能够为用户带来高效、灵活的无线网络安全解决方案。所以，选用802.1x技术的无线产品是各级组织WLAN访问控制的最佳选择，而没有技术和设备条件的各级组织在访问控制上起码要使用SSID匹配和物理地址过滤技术。

　　* 从数据加密考虑

　　无线网络的数据完全是在空气中传输，只要处于该无线信号覆盖范围内，就很容易通过其他无线设备截取信息，因此，保密性和安全性对无线产品尤为重要。WPA、TKIP、AES等数据加密技术提供了较高的安全性，各级组织必须选用有这类安全加密标准的产品，128位的WEP加密技术是迫不得已的选择。