微軟安全指南：安全無線LAN規劃指南簡介(轉)

微軟安全指南：安全無線LAN規劃指南簡介(轉)[@more@]

　　本模組內容

　　歡迎使用安全無線 LAN（Microsoft® Windows® Server™ 2003 證照服務解決方案）規劃指南。本模組是該解決方案若干組成模組中的第一個。本規劃指南有兩個主要目標：幫助您明智決策本解決方案是否適於您的企業；使您深入理解本解決方案的技術設計及相應的決策理由。

　　本指南分三部分，每一部分在邏輯上都是前一部分的繼續。第一部分是制定安全無線網路策略，它描述了採用無線 LAN (WLAN) 的商業動機，並與可能在很多 WLAN 實施中出現的嚴重漏洞威脅相比較，從中得出權衡後的方案。這裡的討論內容是提出安全 WLAN 實施策略的基礎。第二部分是確保無線 LAN 解決方案體系結構的安全，它根據建議的 WLAN 策略開發了一套邏輯解決方案設計，並明確了要實施的主要元件。模組設計公鑰基礎結構、設計可確保無線 LAN 安全的 RADIUS 基礎結構和使用 802.1X 設計無線 LAN 安全性是最後一部分，佔用了本指南的大部分篇幅。上述模組定義了“確保無線 LAN 解決方案體系結構的安全”模組中標識的每個元件的詳細設計。下面將詳細說明這些模組的內容。

　　不同於很多規劃指南，本指南有意編寫成說明性的。目的是生成單一有效的設計，從而作為本型別解決方案的參考。如果有不同的設計選項，本文件將探討採用不同決策的基本原理，並適當指出可選的其他策略。希望這樣的模組能為您提供除了實際必需的設計以外的更多資訊。貫穿本指南的宗旨是，最終獲得單一可實施的解決方案，並透過實際的實施和測試，可按本指南所述的功能正常執行。

　　安全無線 LAN 規劃指南簡介

　　本模組提供了本指南其他部分的背景資訊。

　　制定安全無線網路策略

　　本模組主要介紹如何選擇安全無線網路解決方案。文中探討了採用 WLAN 技術的商業推動因素，以及安全採納該技術所需解決的安全問題。然後討論瞭解決安全問題的不同選項，並基於強身份驗證和資料保護提出使用公鑰證照的解決方案。本決策基於在大中型組織中評估的安全需求，並在實現短期強健安全性和長遠確保投資安全兩方面進行了權衡。

　　安全無線 LAN 解決方案體系結構

　　本模組探討了安全無線解決方案的體系結構設計。首先是基於 802.1X 和 EAP - TLSWLAN 的解決方案執行情況概述，本解決方案的關鍵元件如下：

　　• WLAN 基礎結構，它支援強健的身份驗證和資料保護標準

　　• RADIUS（遠端身份驗證撥入使用者服務）身份驗證基礎結構

　　• 公鑰基礎結構 (PKI)

　　將前面模組中描述的安全要求與目標組織的配置情況相結合，然後編制一套本解決方案的設計標準。描述基於這些標準的邏輯設計，並顯示調整設計的不同選項以滿足不同規模組織的需求。

　　最後，本模組介紹了一些方法，其中提出的設計可用作構建其他網路訪問解決方案的基礎，如虛擬專用網路 (VPN) 和有線網路訪問控制。同樣，簡要說明按相同的脈絡介紹瞭如何在設計中使用 PKI 元件來支援各種安全服務和應用程式。

　　設計公鑰基礎結構

　　本模組逐步介紹了基於 Microsoft 證照服務的 PKI 設計。除了 WLAN 安全，很多組織希望將 PKI 用於其他應用程式（安全電子郵件、檔案加密、智慧卡登入等）。因此，本設計平衡了針對安全 WLAN 的相對簡單、低成本的證照解決方案，及有擴充套件性（支援很多不同的應用程式）的靈活安全解決方案。

　　完成了證照需求文件後便是設計正確的證照頒發機構 (CA) 層次結構。討論內容有：將 CA 與 Microsoft Active Directory® 整合、目錄服務、Microsoft Internet 資訊服務 (IIS) 及其他 PKI。最後是制定證照管理計劃和建立證照模板。

　　設計安全無線 LAN 的 RADIUS 基礎結構

　　本模組介紹了 RADIUS 基礎結構的詳細設計，可向 WLAN 提供強身份驗證和安全金鑰管理服務。其中概述瞭如下內容：如何實施使用 Microsoft Internet 身份驗證服務 (IAS) 的 RADIUS、如何使用 RADIUS 提供廣闊的網路訪問管理解決方案、如何將 RADIUS 應用於特定 WLAN。模組列舉了解決方案的環境先決條件，詳細討論了構建 802.1X WLAN 的 RADIUS 基礎結構所面臨的設計決策。此外，還探討了及時維護 IAS 伺服器基礎結構的管理策略。

　　使用 802.1X 設計無線 LAN 安全性

　　本模組描述了無線網路安全方面的體系結構和設計（不涉及與安全無關的無線網路設計問題）。主要內容包括：基於 802.1X 的解決方案如何解決基本的有線等效專用 (WEP) WLAN 中的問題、使用證照和密碼的決策、標識成功部署的先決條件。後續章節討論瞭如何選擇 WLAN 安全選項、如何在 RADIUS 訪問策略中配置這些選項、無線訪問點 (AP) 和客戶端（使用組策略）。最後，本模組討論了一些關鍵的部署問題，如處理漫遊配置和引導僅限無線的客戶端的配置。

　　本指南適用物件

　　本指南的主要讀者是資訊科技 (IT) 結構設計人員和商業決策者（儘管只有模組“制定安全無線網路策略”與後者相關）。結構設計人員將專注於模組“制定安全無線網路策略”和“安全無線 LAN 解決方案體系結構”以及剩餘模組中需特別注意的地方。在某些組織中，可能有不同的組來負責解決方案的不同元件。因此，正確的做法是讓相關的專家來關注與其專業領域相關的模組。

　　此外，IT 結構設計人員還要熟悉構建、操作和測試方面的指南，以確保與組織的總體 IT 策略保持一致。

　　從事解決方案構建、部署和管理的 IT 專業人員也要熟悉本解決方案的總體體系結構和設計。

　　IT 安全專員也要通讀本指南，特別是後面的模組。組織中負責 IT 安全的人員一定要在部署系統並投入生產環境之前閱讀並審批設計、構建和操作說明，這一點非常重要。

　　

·上一篇：

·下一篇：

最新更新
	· · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·