企业WIFI安全应用方案.doc

企业 WIFI 安全应用方案目前, 企业 WIFI 应用已经普及开来, 由于 WIFI 安全性考量, 在部署之前,企业必须要确保不会对已有安全策略产生影响。那么,企业 WIFI 应该采用整体方案,从安全验证,设备选型,安装位置等方面去分析,使得能够完全整合到现有 LAN 网络环境当中。在建立企业 WLAN 时, 首先要考虑的问题, 就是身份安全验证, 当然不能使用系统自带的无线连接,固定的 WAP2 密码使用起来会带来安全隐患,为无线网络选择合适的可扩展认证协议( EAP )方式是一项关键的安全决定, 并且常常是不容易做出的决定。考虑到一些 EAP 方式(如 LEAP 、 EAP-MD5 )存在固有的安全缺陷,最好不要轻易使用, 不过要在 PEAPv0 (保护性 EAP )、 PEAPv1 、 TTLS (隧道传输层安全协议)和 EAP/TLS (传输层安全协议)中做出选择也并非易事。哪种 EAP 方式最适合企业 WLAN ?这还取决于进行无线认证的主要出发点。如果安全性是首选因素,那么 EAP/TLS 是最安全 EAP 机制,但它需要为所有最终用户部署 PKI (公共钥密基础设施) 。如果主要考虑灵活性, TTLS 可以适应几乎所有的认证协议,包括一次性密码、基于令牌的认证和各种流行的口令认证机制。 PEAPv0 则是以 Window s 为中心的网络的明智选择,它内置对客户机和 Windows Active Directory 认证源的支持。因此,我们会选择成熟的解决方案去实现企业的 EAP 验证,购买安全的无线客户端连接,加上相应的个人证书,就可以满足企业 WLA N 的安全需要。还有一点,如果 LAN 和 WLAN 同时连接的话,必须能使得 WLAN 自动关闭, 从而防止同时接入企业网络, WLAN 是使用单独的 VLAN , DHCP 分配的 IP 地址也不同于 LAN 的。对于 WLAN 的使用控制, 有独立的控制器设备去管理,瘦 AP 和胖 AP 都是由控制器去管理,不过瘦 AP 只能进行初始化,无法在使用过程中去改变参数设置,安全性要比胖 AP 高,通常家里的 AP 都是胖 AP。解决安全性验证问题之后, 我们要考虑到设备选型, 设备要保证 LAN 线路连接,以及供电,具备 POE 供电的 AP 是首选,这样的话,后期维护起来比较容易, 如果是室外的话, 还要考虑到具备防水保护。 WLA N 设备大都工作在办公区域, 环境相对机房比较差, 必须有良好的质量, 能够长期稳定工作, 便宜而质量不稳定的设备, 是会带来后期维护成本的压力。所以 WLAN 设备最好是同一厂家的产品,后续的设备扩充和管理都会带来便利。技术指标方面,原有 在传输速率方面都比较低,不适合多人同时使用以及带宽保证,而新的 可以将 WLAN 的传输速率由目前 及 提供的 54M