无线局域网 (WLAN) 制定安全无线网络策略

简介

无线局域网 （WLAN） 技术是一个具有争议性的主题。 已部署 WLAN 的组织关心的是它们是否安全。 其他没有部署它们的组织则担心会丧失用户生产力优势并降低总体拥有成本 （TCO）。 对于在企业环境中使用 WLAN 是否安全仍然存在一些困扰。

自从发现第一代 WLAN 安全性软件的弱点以来，分析师们和网络安全公司就一直在努力解决它们。 其中一些努力主要在于提高无线安全性。 但其他努力都分别带来一些缺陷：有些引入了一组不同的安全漏洞；有些则需要昂贵的专用软件；而其他的完全通过层叠来避免 WLAN 安全性问题，可能使安全技术变得更复杂，如虚拟专用网络 （VPN）。

同时，电气与电子工程师协会 （IEEE） 和其他标准组织一起坚持不懈地重新定义和改进无线安全性标准，以期在二十一世纪早期的潜在危险的环境中使 WLAN 能够经受住考验。 由于这些组织和业界领袖的努力，"WLAN 安全性"不再自相矛盾。 现在您可以部署和使用 WLAN，并可高度信任其安全性。

本章介绍 Microsoft 的两种 WLAN 安全解决方案及对有关确保 WLAN 安全的最佳做法问题的解答。

无线解决方案概述

本章主要目的在于帮助您确定在您的组织中确保 WLAN 安全的最适合方法。 为此，本文档主要涉及以下四个领域：

解决有关 WLAN 的安全问题。

使用安全 WLAN 标准

采用备用策略，如虚拟专用网络 （VPN） 和 Internet 协议安全性 （IPsec）

为您的组织选择正确的 WLAN 选项。

Microsoft 根据标准组织（如 IEEE、Internet 工程任务小组 （IETF） 和 Wi–Fi 联盟）的开放式标准制定了两个 WLAN 解决方案。 这两个解决方案标题分别为"使用证书服务确保无线 LAN 安全"和"使用 PEAP 和密码确保无线 LAN 安全"。 顾名思义，前者使用公钥证书来对 WLAN 的用户和计算机进行身份验证，而后者则使用简单的用户名和密码来对它们进行身份验证。 但两个解决方案的基本体系结构是相似的。 两者均基于 MicrosoftWindows Server2003 基础结构和运行 Microsoft WindowsXP 和 Microsoft Pocket PC 2003 的客户端计算机。

虽然从标题看来不太明显，但各个解决方案的目标用户都不同。 "使用证书服务确保无线 LAN 安全"解决方案主要是针对具有相对复杂的信息技术 （IT） 环境的大型组织："使用 PEAP 和密码确保无线 LAN 安全"则是简单得多的解决方案，大多数小型组织即可轻松部署。

但这并不是说大型组织不可以使用密码身份验证或者证书身份验证不适用于小型组织。 这些技术的使用仅反映它们更可能适用的组织类型。 下图包括一个简单的决策树，可帮助您选择最适合您组织的 WLAN 解决方案。

可实施 WLAN 安全性的三种主要技术选项是使用：

Wi–Fi 保护访问 （WPA） 预共享密钥 （PSK） （适用于很小的企业和家庭办公室）。

基于密码的 WLAN 安全性（适用于不想使用证书的组织）。

基于证书的 WLAN 安全性（适用于想部署证书的组织）。

本章后面会解释这些实施选项，以及合并后两个选项的功能以制定一个混合解决方案的可能性。

图 2.1 用于 Microsoft 两个无线 LAN 解决方案的决策树

来源：ZDNet 网络频道频道