一种施部署安全的无线网络的实现

    有些企业，特别是销售型的大企业，员工的办公位置不太固定，例如一个销售项目经理在一天中可能会有80%的时间在不同的地点开会（内部开会、会见客户、同事单独交流等），无线接入已经成为他必要的办公手段了。再如，如何让老式酒店在不改变房屋建筑，不外布线的情况下，实现网络覆盖呢？无线网络就是较好的解决办法。而在大面积的野外油田，如何才能低成本、高效地建设网络监控、管理系统呢？无线网络则比有线网络效果好很多……

    无疑，无线应用已经深入到了企业之中，它不会取代有线网络，但已经成为重要的角色。不过，如何利用现有设施部署安全的构建无线网络呢。

    企业WLAN的发展

    嵌入式Wi-Fi设备，如便携式电脑和双模手机等日益普及，加之近年来，iPhone、黑莓等高智能终端设备的出现，使越来越多的企业用户开始使用这些设备。据市场调研机构In-Stat表示，无线城市热潮的兴起将带动消费电子市场的强劲增长，2007年，具备Wi-Fi功能的消费电子设备出货量为2.94亿，预计到2012年，消费电子设备出货量将达到10亿，年复合增长率达到26%

    对于企业用户，随时随地能够访问网络资源，并实现漫游服务正成为一个关键性要求，企业需要这些来提高工作效率。例如，医生通过监护设备可以很快的查看病人记录，而无需返回档案室手动查找。

    用户对WLAN网覆盖范围的增加，将推动企业WLAN市场规模的壮大。目前，企业WLAN市场正以前所未有的速度向前发展，与去年同期相比，企业接入点市场比例增长了40%,达到19%,动讯网分析，随着企业WLAN市场需求加重，这一比例将继续增长。

    日益增长的移动化安全风险

    然而，移动性也招致很多安全风险和问题。因为无线端点并非固定不变的，相比于无线网络，企业对于有线网络的安全性更加放心，因为有线网络受到企业建筑实体墙和门的保护，并且还有门禁卡和用户身份验证基础设施。由于无线网络能够轻易地被建筑外的人访问，因此无线网络更容易受到盗窃、攻击和各种匿名攻击形式。

    当然也已经开发了很多技术来试图解决这些问题，包括从WEP转移到LEAP、WPA、802.1x,以及在客户端和接入基础设施嵌入IPSec VPN等各种措施。所有这些方法都有一定的限制。

    客户访问也是企业WLAN的一大问题，因为可能造成严重的后果。如果客户使用企业的无线网络接入并进行非法操作，提供网络接口的企业就必须承担一定的法律责任。如果无线网络被攻破，或者重要数据库被攻击，给企业带来的负面影响将更加严重。这些结果可能包括罚款、诉讼和名誉损失等。

    IT部门需要清楚地知道是企业员工笔记本还是客户笔记本在访问无线网络，当笔记本通过无线网络访问企业网络时必须进行严格的加密。IT部门还应该使用现有的基础设施（如Active Directory）对员工进行身份验证，并希望客户也能进行同样的验证。

    目前解决方案的局限性

    现在有很多企业级WLAN解决方案已经可以解决上述问题，但是很多解决方案价格昂贵并且功能也不是很完善，与常用的有线基础设施的加密验证功能还是差很多。

    在无线世界里，不能解决WLAN安全的所有问题，问题都需要单独解决。不足为怪的是，很多解决方案都是很独立的，只有从同个供应商获取整体解决方案才能获得效果。不断变化的市场也让这些移动产品需要对基础设施不断的更新和升级，以充分利用必要的改进的技术。

    利用现有的有线基础设施

    鉴于这种情况，是应该问问是否有不同的方法。在有线世界里，Layer 2交换机以神奇的速度进行着大量交换数据包的工作，Layer3交换器和路由器则进行连接网络的工作，还有验证基础设施（如Active Directory、LDAP和 RADIUS）进行直接验证。此外，验证基础设施（如防火墙和访问控制列表）也能加强保护，接入技术（如IPSec和SSL VPN）能够提供外部网络到内部网络的连接，当然也有NAC基础设施、端点安全、IDS/IPS等，这些有线设施不胜枚举。

    鉴于对所有这些基础设施技术的现有投资，以及这些现有基础设施后面的各种有线和远程用户的部署，如果将WLAN基础设施放在Layer 2并让现有技术提供其他功能，不就能节省很多开支吗？如果我们这样做，就可以拥有便宜的接入点，而控制器也不需要比Layer2/3交换器更好，这将很大程度降低企业无线部署的成本，并能让企业混合搭配使用不同供应商的何时技术，而避免大规模锁定升级。

    还有比较便宜的替代方法可以帮助企业实现这一点。NAC技术已经成熟到它可以自动接入端点并分辨企业接入还是客户接入。NAC与SSL的整合确保了传输路径在所有时候都能进行加密，与验证基础设施（如IPSec和SSL VPN）的整合又能提供对员工的验证。内置的虚拟化技术和客户自动重新定向至不同的虚拟端口，能够消除为客户和员工使用单独SSID或者单独客户接入设备的需要。某些SSL VPN上的默认路由和VLAN技术能够确保客户端流量完全区分与企业流量，并能确保只有通过这个框架才能接入其他位置。

    身份验证问题

    广泛的身份验证框架允许客户登记接入，并拥有作为用户真实身份的令牌，这能够通过客户登记程序（如接待处的功能一样）来实现。甚至可以区分不同类型的客人，为其登录不同的网络。

    部署身份验证应该是自动化的，日志和问责制能够提供通过接入媒介的用户极其行为相关联的线索，当法律规定或者上级主管有要求时，就能提供这种线索。

    无线网络给企业来的效率提高方面，我们可以通过无线点餐系统来介绍。广州的丽美大酒店在未部署无线网络时，点餐时，用传统的手写单，顾客点菜以后服务员又要把这些单送到一楼厨房，这样工作效率低，而且上菜慢，造成顾客很大意见。后来，该酒楼部署了无线点餐系统，服务员只要拿着PDA给顾客点菜，顾客点完菜后，同时在厨房就可以打印出菜单，厨师就可以按照菜单来做了。这样大大提高了效率，节省了人力资源，而且提高了服务质量。

    另外，在布线、维护管理成本方面非常重要。如果只在一间办公室时，有线网络跟无线网络在成本方面并没有太大区别，但如果扩大到一个校园，或者几百平方公里的油田，就不一样了，因为线路在野外，网线很容易被外力破坏，不管是布线，还是维护，成本都非常高，但无线网络因为只涉及到无线设备本身，部署和检修范围小，成本也就很小了。

    由此种种，我们还会认为无线办公只是一种时髦么？当然不了，无线网络不会替代有线网络，但它成为一个很好的企业办公方式，并且在某些领域，起到了不可替代的作用。