正在阅读：保护无线局域网和防御无线威胁五个步骤保护无线局域网和防御无线威胁五个步骤

利用身份联网将用户划分到适当的资源

　　很多不同类型的用户需要访问WLAN网络。订单管理员需要访问订单条目和发货系统；会计和财务人员需要访问应收款项、应支付款项和其他财务系统；营销和销售团队需要访问销售绩效数据。思科统一无线网络支持身份联网。按照这个概念，网络将根据无线客户端的身份――而不是它的物理位置――分配和执行WLAN策略。利用身份联网，无线设备只需要对WLAN系统进行一次身份验证。环境信息会在设备漫游时始终伴随着它们，从而有助于确保透明的移动。当WLAN与某个特定的VLAN关联时，用户可以获得对该VLAN上的网络资源的访问权限。例如，“receiving”VLAN中的人员可以利用SSID“receiving”访问无线网络，该SSID只提供对电子邮件和企业资源计划（ERP）系统的访问权限。管理人员可以利用SSID“corp”访问无线网络，该SSID可以访问财务、客户和销售数据库信息。这两个SSID都支持严格的802.11i或者WPA加密。

　　很多企业都使用条形码扫描仪来在发货或者收货部门跟踪库存，或者在制造车间中使用移动打印机。随着WLAN语音的日益普及，Wi-Fi电话正在成为一种主流产品。这些类型的设备通常并不支持严格的802.11i或者WPA安全，而是只支持不太安全的WEP加密。它们也可以被划分到某个支持WEP的特定SSID上，将流量路由到某个只允许访问与之关联的数据库或者应用的VLAN。这种配置，再加上频繁的加密密钥改动和MAC地址控制列表，可以消除潜在的安全威胁。

　　最后，很多机构都对让访客、合作伙伴和客户在他们的工作地点访问互联网很感兴趣。无线访客网络为允许这些用户访问防火墙，以及让IT人员无需对每个用户进行授权提供了一种方便的途径。访客网络采用的是一种开放的安全方法，它们被划分到一个特定的SSID上，将流量发送到一个只允许访问互联网的VLAN。在这种情况下，SSID通常会进行广播，以便让访客可以自动发现它们。用户登录可以通过一个美观的门户网页完成，以便让网络使用经过审核，而且确保访客在使用服务之前同意遵守所有条款。

确保管理端口得到保护

　　WLAN系统上的管理接口应当支持安全的、需要身份验证的管理方式。黑客常常通过管理端口重新设置接入点，进而闯入企业网络。思科统一无线网络可通过SNMPv3、SSH协议（加密Web）和SSL（加密Telnet）接口连接思科无线控制系统（WCS）。而且，思科WCS是可以设置的，以保证管理不会通过无线介质进行。它支持一个单独的管理VLAN，因而只有位于某个特定VLAN上的基站才可以修改WLAN的网络设置。

利用轻型接入点解决方案防止网络遭受威胁

　　思科轻型接入点不会在本地存储加密或者其他安全信息，因此如果接入点失窃，网络并不会受到威胁。而且，所有接入点都会通过一个X.509证书自动通过身份验证，从而防止未经授权的接入点加入网络。您应当设法防止接入点设置被篡改，因为这可能导致RF覆盖范围的意外变化。如果可能的话，将它们部署在悬挂的天花板上方，对外只露出天线，以避免它们被别人发现。为了支持这种形式的部署，思科轻型接入点支持一个Kensington锁接口和连接天线。

监控外部建筑物和地点

　　因为接入点信号会延伸到大部分建筑物的边界之外，有人可能会坐在停车场中或者街道对面，进入企业的内部网络。如果已经采取了安全巡逻或者视频监控措施，安全人员应当注意那些长时间在企业设施周围徘徊的车辆或者人员。思科统一无线网络采用了正在申请专利的思科无线资源管理（RRM）算法，可以实时地检测和适应空间环境的变化。您可以利用思科RRM，避免RF传播到建筑物物理边界之外。

防止有线网络遭受无线威胁

　　思科自防御网络计划的另外一个要素是威胁控制和隔离。它适用于无线和有线网络。与其他安全策略一样，仅仅警告员工注意威胁通常并不足以保障安全。一个典型的例子是关于不要打开来自未知发件人的电子邮件附件的防病毒政策。大部分机构都不能单单依靠这种警告――即使一次错误也可能会导致网络遭受严重的损失，进而导致长时间的断网和生产率的降低。

　　同样，无线威胁控制和隔离也非常重要，尤其是在这个可能因为缺乏威胁控制而导致违反规定或者法律的时代。即使是一个“禁用Wi-Fi”的政策也并不能有效地避免这些威胁。员工可能会引入恶意接入点，而内嵌Wi-Fi功能的笔记本电脑可能会连接到相邻网络。这两个漏洞都像病毒、蠕虫和垃圾邮件一样，带来严重的威胁。传统的有线安全方法（例如防火墙和VPN）并不能立即检测到这些类型的威胁，但是思科统一无线网络采用了独特的设计，可以有效地监控和防范这些情况的发生。