企業WIFI安全應用方案

技術小阿哥發表於2017-11-26
WiFi

目前,企業WIFI應用已經普及開來,由於WIFI安全性考量,在部署之前,企業必須要確保不會對已有安全策略產生影響。那麼,企業WIFI應該採用整體方案,從安全驗證,裝置選型,安裝位置等方面去分析,使得能夠完全整合到現有LAN網路環境當中。

 
在建立企業WLAN時,首先要考慮的問題,就是身份安全驗證,當然不能使用系統自帶的無線連線,固定的WAP2密碼使用起來會帶來安全隱患,為無線網路選擇合適的可擴充套件認證協議(EAP)方式是一項關鍵的安全決定,並且常常是不容易做出的決定。考慮到一些EAP方式(如LEAPEAP-MD5)存在固有的安全缺陷,最好不要輕易使用,不過要在PEAPv0(保護性EAP)、PEAPv1TTLS(隧道傳輸層安全協議)和EAP/TLS(傳輸層安全協議)中做出選擇也並非易事。
 
哪種EAP方式最適合企業WLAN?這還取決於進行無線認證的主要出發點。如果安全性是首選因素,那麼EAP/TLS是最安全EAP機制,但它需要為所有終端使用者部署PKI(公共鑰密基礎設施)。如果主要考慮靈活性,TTLS可以適應幾乎所有的認證協議,包括一次性密碼、基於令牌的認證和各種流行的口令認證機制。PEAPv0則是以Windows為中心的網路的明智選擇,它內建對客戶機和Windows Active Directory認證源的支援。
 
因此,我們會選擇成熟的解決方案去實現企業的EAP驗證,購買安全的無線客戶端連線,加上相應的個人證書,就可以滿足企業WLAN的安全需要。還有一點,如果LANWLAN同時連線的話,必須能使得WLAN自動關閉,從而防止同時接入企業網路,WLAN是使用單獨的VLANDHCP分配的IP地址也不同於LAN的。對於WLAN的使用控制,有獨立的控制器裝置去管理,瘦AP和胖AP都是由控制器去管理,不過瘦AP只能進行初始化,無法在使用過程中去改變引數設定,安全性要比胖AP高,通常家裡的AP都是胖AP
解決安全性驗證問題之後,我們要考慮到裝置選型,裝置要保證LAN線路連線,以及供電,具備POE供電的AP是首選,這樣的話,後期維護起來比較容易,如果是室外的話,還要考慮到具備防水保護。WLAN裝置大都工作在辦公區域,環境相對機房比較差,必須有良好的質量,能夠長期穩定工作,便宜而質量不穩定的裝置,是會帶來後期維護成本的壓力。所以WLAN裝置最好是同一廠家的產品,後續的裝置擴充和管理都會帶來便利。
技術指標方面,原有802.11a/b/g在傳輸速率方面都比較低,不適合多人同時使用以及頻寬保證,而新的802.11n可以將WLAN的傳輸速率由目前802.11a802.11g提供的54Mbps,提高到300Mbps甚至高達600Mbps。在覆蓋範圍方面,802.11n採用智慧天線技術,通過多組獨立天線組成的天線陣列,可以動態調整波束,保證讓WLAN使用者接收到穩定的訊號,並可以減少其它訊號的干擾。因此其覆蓋範圍可以擴大到好幾平方公里,使WLAN移動性極大提高。在相容性方面,802.11n採用了一種軟體無線電技術,它是一個完全可程式設計的硬體平臺,使得不同系統的基站和終端都可以通過這一平臺的不同軟體實現互通和相容,這使得WLAN的相容性得到極大改善。這意味著WLAN將不但能實現802.11n向前後相容,而且可以實現WLAN與無線廣域網路的結合,比如3G。因此,WLAN要選用支援802.11n的全向內建天線的裝置。
 
WLAN裝置選好之後,要根據企業的實際情況去放置,無線訊號穿牆後變弱,尤其是較厚的水泥牆面,因此要從具體的辦公區域平面圖去分析,使得使用者也可從不同的AP進行切換,所以AP都會放在天花板上,應用方面根據使用人數密集程度來橋接,具體情況,具體對待。對於企業實際應用方面,還要做到綜合考量,整合到整個網路去使用的同時,足夠的安全策略去保證。


本文轉自 zhaiken 51CTO部落格,原文連結:http://blog.51cto.com/zhaiken/938935,如需轉載請自行聯絡原作者


相關文章