多层次无线连接安全策略
文章来源：3Com中国区市场传讯部

　　为了提供更先进的保护技术，企业可以采用由无线接入点执行管理的动态密钥管理功能。有些无线供应商提供这种管理功能，以此作为一个附加安全层。这种多层次策略，将保证使每个用户均拥有一个独特的密钥。而且，该密钥可以经常改变。即使黑客破坏了加密机制，并获得网络访问权，但黑客获取的密钥有效期很短暂，从而限制了可能造成的破坏。这种方法因为具有在无线接入点内部设计动态密钥管理的功能，从而简化了日益扩展的IT资源的管理负担。而且，与128位共享密钥加密技术相比，动态密钥管理的功能更强劲，因为经常改变密钥进一步增加了黑客侵入系统的难度。
　　把有线安全性扩展到无线连接领域
　　下一代安全产品将利用现行有线网络基础架构，实行集中控制。当前，企业已经使用RADIUS和VPN（虚拟专网）功能为网络提供保护，从而突破了它们的物理边界。RADIUS以集中方式验证远程用户，而VPN通过“不可信赖的” 网络提供一种安全可靠的端对端隧道；如果是远程用户，这种网络就是互联网；如果是无线应用，该网络就是无线网络本身。
　　企业可以在他们的无线网络使用这些功能，以便利用现行机制提高无线连接的安全性。企业不需要管理每个无线接入点内部的MAC地址表或用户，通过在RADIUS系统内设置单一数据库，就可以简化管理，又能提供一种更有效的可扩展集中验证机制。除上述WEP和MAC地址过滤等两层安全机制外，VPN可以提供一种增强型三层安全功能。如果企业允许通过无线局域网直接访问内部系统，就可以把无线局域网移到防火墙的外部，要求用户通过IPSec VPN以及RADIUS验证机制访问网络。这是一种更加安全可靠的选择方案。
　　企业还可以采用IEEE 802.1X安全标准。该标准旨在定义基于端口的网络接入控制，以便为以太网访问提供验证。另外，它还可以用于802.11无线局域网。因此，IEEE 802.1X标准通过定义用户识别、集中验证和动态密钥管理等方法，在不同制造商的产品上使用，从而有利于在企业部署安全可靠的无线和有线网络。
　　增强保护功能
　　为了进一步利用安全架构增加另一个保护层，可以使用标准证书对无线通信执行验证。该证书允许任何无线通信的双方相互之间执行验证。为了进一步加强保护，组织机构还可以在他们的RADIUS系统部署TLS（传输层安全）服务，这种服务要求提供证书。为了获得这些安全功能，企业需要使用支持工业标准xr.519证书的无线系统。
　　通过以适当的组合形式和规模部署上述安全机制，组织机构就能够使他们的无线局域网和企业网络实现无缝集成，保证无线通信的安全，同时利用现有网络基础架构和安全资源，减轻IT管理负担。
　　为了适应改进安全性和验证机制的需要，IEEE 802.11 Task Group当前还在为Wi-Fi网络设计一种功能更强大的新型安全标准。除提供各种增强特性外，即将出台的无线安全标准802.11i将包括一种名为AES（先进加密标准）的新型加密引擎。一旦802.11i实现标准化之后，WECA无线以太网兼容联盟将把它融入自己的Wi-Fi认证。
　　综上所述，企业应该考虑使用基于标准的无线解决方案，以便迎头赶上世界技术创新的趋势。只要采用多层次安全策略，企业对他们的无线网络就可以充满信心，因为他们知道，这种无线网络提供的保护功能完全可以满足当今世界的发展需求。

<<< 上一页