正在阅读：保护无线局域网和防御无线威胁五个步骤保护无线局域网和防御无线威胁五个步骤

威胁控制和隔离

集成化无线入侵防御

　　在思科统一无线网络中，接入点可以同时充当无线信号显示器和数据转发设备。这种设计让接入点可以在不中断服务的情况下，发送关于无线网域的实时信息，包括对思科无线局域网控制器的潜在安全威胁。它可以迅速地发现各种类型的安全威胁，并通过思科WCS提交给网络管理人员，以便进行准确的分析和采取纠正措施。

　　如果您的企业制定了“禁用Wi-Fi”的政策，您可以在前期将思科统一无线网络部署为一个独立设备IPS，而后再为其添加WLAN数据服务。这种方式将让您的网络管理员可以在您的RF域周围创建一个“盾牌”，隔离未经授权的无线活动――直到您的机构已经为部署WLAN服务做好充分的准备。思科的WLAN系统是目前唯一可以同时提供无线保护和WLAN服务的系统，有助于在避免不必要的覆盖设备成本或者附加监控设备的情况下，确保全面的WLAN保护。

利用位置跟踪永久性地去除恶意设备

　　为了确保永久性地消除无线威胁，您必须去除实际的恶意设备。过去，一般使用手持式分析仪来寻找恶意设备。但是，因为无线信号能传播到很远的距离，这种方式可能会非常费时，尤其是对于多层地点而言。采用思科WCS的思科定位设备解决方案可以准确地跟踪多达1500个支持Wi-Fi的设备，例如射频标识（RFID）标签，Wi-Fi语音电话，笔记本电脑，以及个人数字助理（PDA）（如图1所示）。“精确”指的是该解决方案具有识别资产或者设备处于地点“in”（内）或者“out”（外）的独特功能。这些地点可以是整个院区，单个建筑物，建筑物中的一层，或者一层中的某个房间或者覆盖范围。利用识别精度可以高达几米的跟踪功能，IT管理员可以立即发现恶意接入点和客户端，以及它们所在的精确位置。

图1 利用思科定位设备和思科WCS准确地跟踪恶意接入点和客户端所在的位置

防止机构遭受外部威胁

　　今天的企业通常没有一个明确的边界。移动设备和宽带接入使得从家中、宾馆、机场和很多其他地点连接到机构网络的远程办公人员和移动办公人员不断增多。网络必须能够防范各种安全威胁，例如病毒、蠕虫和间谍软件，即使是在这些移动设备不在办公室中时。这些安全威胁也会导致业务中断，造成断网和持续不断的补丁工作。策略遵从性管理是思科自防御网络战略的最后一个要素，旨在主动地监控和隔离恶意软件，保持网络的完整性。一项遵从性计划需要包含监控功能，以确知系统和网络策略在何时遭到违反。否则，IT管理员就无法知道他们的安全策略是否得到了有效的实施。

策略遵从性管理

为移动设备提供与企业网络类似的安全服务

　　笔记本电脑需要与企业网络相同的保护。防火墙、VPN和防病毒软件都有助于防止这些设备在连接到互联网时遭受各种威胁。思科安全代理等工具可以在单个代理中整合多种终端安全功能，例如防火墙、入侵防御、间谍软件和广告软件。因为思科安全代理建立在行为分析――而不是签名匹配――的基础上，所以它无需升级就可以阻止新的攻击。这种“零升级”架构有助于降低运营成本和发现“零日”威胁。实际上，思科安全代理让机构可以在每个终端上实施安全策略。

　　与企业网络一样，用于访问控制和数据加密的用户身份验证可以有效地加强安全措施。用户身份验证可以通过密码、USB令牌或者智能卡进行。尽管在一般情况下可以发挥作用，但是这些方法并不能阻止攻击者通过取走硬盘获得敏感的数据。在这种情况下，需要考虑加密――但是为了让加密发挥作用，它必须对用户保持自动性和透明性。如果用户必须为特定的文件启用加密，它很可能会因为人为错误而失效。