企業(yè)無線網(wǎng)絡(luò)架設(shè)與安全

畢國平

0 引言

信息化進(jìn)程對于現(xiàn)代企業(yè)的發(fā)展是尤為重要的，而企業(yè)信息化的基礎(chǔ)是企業(yè)網(wǎng)，企業(yè)都在致力于建設(shè)一個高速、安全、可靠、可擴(kuò)充的網(wǎng)絡(luò)系統(tǒng)，以實現(xiàn)企業(yè)內(nèi)信息的高度共享、傳遞，大大提高工作效率;為了實現(xiàn)對外信息的交流。而企業(yè)內(nèi)部架設(shè)的傳統(tǒng)的有線網(wǎng)絡(luò)，已經(jīng)不能滿足企業(yè)不斷的發(fā)展和規(guī)模的擴(kuò)大的需求。在完成初次安裝布線后，傳統(tǒng)的有線網(wǎng)絡(luò)，在移動性、靈活性、可擴(kuò)充性上面存在嚴(yán)重的不足。

隨著Wi-Fi技術(shù)和客戶端的日益普及，以及越來越多的機(jī)場、酒店、會議中心、商場和咖啡廳設(shè)立無線熱點，使企業(yè)對于無線接入和架構(gòu)的需求日益迫切。線網(wǎng)絡(luò)技術(shù)讓企業(yè)可以大幅擴(kuò)展員工的計算機(jī)使用范圍，尤其是對于從事醫(yī)療保健、業(yè)務(wù)工作或在工廠跑來跑去等等移動性高的員工來說更是如此。

然而，由于無線網(wǎng)絡(luò)特殊機(jī)理以及IEEE 802.11等無線安全加密認(rèn)證機(jī)制本身的不完善，使得無線網(wǎng)絡(luò)的安全性相對有線網(wǎng)絡(luò)更為脆弱和敏感。無線網(wǎng)絡(luò)安全也因此成為關(guān)注的焦點。和普通家庭用戶不同，企業(yè)無線網(wǎng)絡(luò)安全是一個涉及多方面設(shè)置的綜合問題，對企業(yè)的信息安全尤為重要。

本文主要針對上述提出的問題，結(jié)合作者所參與的實際項目的實施經(jīng)驗，提出了可供企業(yè)在組建無線網(wǎng)絡(luò)的過程中參考的平臺以及指導(dǎo)經(jīng)驗。

1 無線網(wǎng)絡(luò)

1.1 無線網(wǎng)絡(luò)技術(shù)的發(fā)展

計算機(jī)通信分為兩種：有線通信和無線通信。無線網(wǎng)絡(luò)是無線通信技術(shù)與網(wǎng)絡(luò)技術(shù)相結(jié)合的產(chǎn)物。從專業(yè)角度講，無線網(wǎng)絡(luò)就是通過無線信道來實現(xiàn)網(wǎng)絡(luò)設(shè)備之間的通信，并實現(xiàn)通信的移動化、個性化和寬帶化。通俗地講，無線網(wǎng)絡(luò)就是在不采用網(wǎng)線的情況下，提供以太網(wǎng)互聯(lián)功能。

無線網(wǎng)絡(luò)的歷史起源可以追溯到50年前第二次世界大戰(zhàn)期間。當(dāng)時，美軍研發(fā)了一種無線電傳輸技術(shù)，配合高強(qiáng)度的加密，將戰(zhàn)時資料方便的在各軍之間傳輸。這項技術(shù)令許多學(xué)者產(chǎn)生了靈感。真正的計算機(jī)無線網(wǎng)絡(luò)的誕生則是在1971年。當(dāng)時美國夏威夷大學(xué)的科學(xué)家們創(chuàng)造了第一個基于封包式技術(shù)的無線電通訊網(wǎng)絡(luò)---這被稱作ALOHNET的網(wǎng)絡(luò)，它可是無線局域網(wǎng)（wireless local area network，WLAN）的雛形。

1.2 無線網(wǎng)絡(luò)和傳統(tǒng)有線網(wǎng)絡(luò)的優(yōu)缺點

隨著無線通信技術(shù)的廣泛應(yīng)用，傳統(tǒng)局域網(wǎng)絡(luò)已經(jīng)越來越不能滿足人們的需求，于是無線局域網(wǎng)（Wireless Local Area Network，WLAN）應(yīng)運(yùn)而生，且發(fā)展迅速。盡管目前無線局域網(wǎng)還不能完全獨(dú)立于有線網(wǎng)絡(luò)，但近年來無線局域網(wǎng)的產(chǎn)品逐漸走向成熟，正以它優(yōu)越的靈活性和便捷性在網(wǎng)絡(luò)應(yīng)用中發(fā)揮日益重要的作用。和傳統(tǒng)有線網(wǎng)絡(luò)相比，它主要具有以下優(yōu)缺點：

1） 靈活性和移動性。

2）安裝便捷。

3）易于進(jìn)行網(wǎng)絡(luò)規(guī)劃和調(diào)整。

4）故障定位容易。

5）易于擴(kuò)展。

2 企業(yè)無線網(wǎng)絡(luò)的安全性

2.1 安全性問題

安全威脅是指某個人、物或事件對某一資源的保密性、完整性、可用性或合法使用所造成的危險。安全威脅可分為故意的和偶然的，故意的威脅又可以進(jìn)一步分為主動的和被動的。被動威脅包括只對信息進(jìn)行監(jiān)聽，而部隊其進(jìn)行修改。主動威脅包括對信息進(jìn)行故意的篡改。信息安全主要包括以下5方面的內(nèi)容，即需保證信息的保密性、真實性、完整性、未授權(quán)拷貝和所寄生系統(tǒng)的安全性。其根本目的就是使內(nèi)部信息不受外部威脅，因此信息通常要加密。

2.2 企業(yè)無線網(wǎng)絡(luò)的安全性

無線網(wǎng)的信號是在開放空間中傳送的，根本不需要網(wǎng)線的連接。所以只要有合適的無線客戶端設(shè)備，在信號覆蓋范圍之內(nèi)就可以接收無線網(wǎng)的信號，并連接到企業(yè)內(nèi)網(wǎng)中，然后通過各種手段滲入到全網(wǎng)。正是由于無線網(wǎng)絡(luò)的這一傳輸特性，無線網(wǎng)絡(luò)存在的核心安全問題歸結(jié)起來有如下3個方面點：

1) 非法用戶接入問題

2) 非法接入點連接問題

3) 數(shù)據(jù)安全問題

2.3如何提高企業(yè)無線網(wǎng)絡(luò)的安全性

與普通家庭無線網(wǎng)絡(luò)不同，對于企業(yè)而言，信息安全尤為重要。由于無線網(wǎng)絡(luò)的開放的特性，作為企業(yè)主要做好如下幾點安全防范工作：

1）身份認(rèn)證：對于無線網(wǎng)絡(luò)的認(rèn)證可以是基于設(shè)備的，通過共享的WEP密鑰來實現(xiàn)。它也可以是基于用戶的，使用 EAP來實現(xiàn)。作為普通家庭用戶，可以使用 WPA-PSK認(rèn)證。而對于企業(yè)而言，需要使用 WPA2以上級別的認(rèn)證機(jī)制，才更能提供安全保證。對于有域環(huán)境的企業(yè)，更應(yīng)該采用AD+NAP(RADIUS)的安全機(jī)制。

2）MAC地址綁定：為了防止計算機(jī)隨意出入內(nèi)網(wǎng)和互聯(lián)網(wǎng)之間，不被當(dāng)下流行的ARP病毒襲擊，可以對無線網(wǎng)絡(luò)內(nèi)的計算機(jī)都進(jìn)行MAC地址綁定的操作。然后在AP的管理界面中，將所需要的MAC地址填入到允許訪問AP的MAC地址列表中，而不在許可列表中的MAC地址不被AP接受。

3）SSID，SSID是一個無線網(wǎng)絡(luò)的標(biāo)識，在可能的情況下不應(yīng)使用設(shè)備缺省的SSID.另外，設(shè)置為封閉的Wi-Fi網(wǎng)絡(luò)，不響應(yīng)那些將SSID設(shè)置為Any的無線設(shè)備，而且不在無線網(wǎng)絡(luò)內(nèi)進(jìn)行SSID廣播，這樣能夠減少無線網(wǎng)絡(luò)被發(fā)現(xiàn)的可能

4）定期更換密鑰：并不一定所有的環(huán)境都需要每周變更密鑰，但是應(yīng)該根據(jù)企業(yè)自身情況，考慮至少更換一次密鑰的周期。隨著時間的發(fā)展，一個從不更換密鑰的無線網(wǎng)絡(luò)，其安全性會大幅度下降。

3 解決方案的實例

3.1 需求分析

某一跨國公司在中國的辦事處由于規(guī)模擴(kuò)大，而原來的布線系統(tǒng)無法滿足當(dāng)前的需求。如果重新布線，一來成本較高，二來將影響現(xiàn)有辦公室的裝修布局。同時，公司內(nèi)部有多個公共辦公區(qū)域和會議室會客室。隨著科技的進(jìn)步，各種無線接入設(shè)備越來越多，如平板電腦、智能手機(jī)、投影儀等等。各種應(yīng)用對無線網(wǎng)絡(luò)的需求很高，故考慮在現(xiàn)有網(wǎng)絡(luò)的基礎(chǔ)上，架設(shè)無線網(wǎng)絡(luò)。通過無線信號的覆蓋來滿足各種需求。

3.2 產(chǎn)品選型

在無線產(chǎn)品選型上，由于公司對信息安全性較為重視，故選擇了全套CISCO產(chǎn)品的解決方案。它主要具有以下特點：

1）安全：無線局域網(wǎng)安全的一個基本最佳實踐是能夠保護(hù)和控制RF環(huán)境。思科在提供企業(yè)級RF安全和WLAN安全策略監(jiān)控方面處于業(yè)界領(lǐng)先地位。包括： 通過多種驗證和加密策略，包括802.11i、Wi-Fi受保護(hù)接入(WPA)、WPA2和移動VPN等，提供了到WLAN的可控接入。WLAN IPS用于檢測并防御惡意接入點、無客戶端設(shè)備和臨時網(wǎng)絡(luò)，并提供了可定制RF攻擊簽名來防御常見無線威脅。

2）管理：思科通過提供 RF環(huán)境的明確可視性和控制而簡化了WLAN管理。這提高了網(wǎng)絡(luò)可擴(kuò)展性、故障排除能力和網(wǎng)絡(luò)管理員的生產(chǎn)率，從而降低了運(yùn)營開支。

3）性能：WLAN覆蓋范圍必須可靠，RF帶寬必須經(jīng)過優(yōu)化，以確保實現(xiàn)其最優(yōu)性能。包括帶負(fù)載均衡的實時容量管理，覆蓋范圍漏洞檢測和修復(fù)。

4）移動性：最終用戶在各接入點間漫游時（子網(wǎng)內(nèi)和子網(wǎng)間）需要不間斷網(wǎng)絡(luò)接入。包括安全的第二、第三層漫游，在802.11i環(huán)境中實現(xiàn)快速、安全、可擴(kuò)展的漫游。安全和 Qos策略在各環(huán)境中專業(yè)，是用戶的身份能隨其一起漫游。

5）可擴(kuò)展性：支持?jǐn)?shù)個、數(shù)百乃至數(shù)千中央或遠(yuǎn)程接入點的不熟。WLAN永續(xù)性、冗余性和故障容錯性。

3.3 具體各級產(chǎn)品的選擇

1）AIR-WLC2106-K9（圖1）：適用于企業(yè)無線局域網(wǎng)部署，并提供了系統(tǒng)級無線局域網(wǎng)功能，如安全策略、入侵防御、RF管理、服務(wù)質(zhì)量(QoS)和移動性。它們與Cisco 1000系列輕型接入點和思科無線控制系統(tǒng)(WCS)軟件共用，可支持關(guān)鍵的無線應(yīng)用。從語音和數(shù)據(jù)服務(wù)到地點跟蹤，WLAN控制器提供了必要的控制能力、可擴(kuò)展性和可靠性，以便 IT經(jīng)理能構(gòu)建從分支機(jī)構(gòu)到主園區(qū)的安全、企業(yè)級無線網(wǎng)絡(luò)。

圖1 AIR-WLC2106-K9

2）AIR-LAP1242AG-C-K9（圖2）：Cisco Aironet 1200 系列接入點不但為高性能、安全、可管理且可靠的新一代無線局域網(wǎng)（WLAN）制定了企業(yè)標(biāo)準(zhǔn)，還能提供投資保護(hù)，因為它既可以升級，又符合當(dāng)前的無線局域網(wǎng)標(biāo)準(zhǔn)。Cisco Aironet 1200的模塊化設(shè)計支持電子和電氣工程小組（IEEE）802.11a和802.11b技術(shù)，它可以工作在單模式（802.11b或802.11a）操作或者雙模式（802.11b＋802.11a）操作模式下。

圖2 AIR-LAP1242AG-C-K9

3）AIR-PWRINJ3，無線AP網(wǎng)線供電模塊

4）AIR-ANT4941，cisco Aironet 2.4GHz 2.2dBi全向天線

3.4 網(wǎng)絡(luò)架設(shè)（圖3）

圖3 網(wǎng)絡(luò)的架構(gòu)圖

通過對辦公區(qū)域結(jié)構(gòu)的分析，發(fā)現(xiàn)該公司的樓宇平面呈長條形，考慮到各個房間都是采用承重墻分割，而不是普通的石膏板。故決定使用2個AP來做信號接入。在具體安裝位置的選擇上，考慮到會議室對無線的較高需求，將一個AP安裝在大會議室門口，同時兼顧另一個會議室。而另一個AP安裝在公共辦公較為集中的區(qū)域。

在實際安裝的過程中，考慮到布線和AP安裝的美觀，將2個AP安裝在吊頂?shù)母舭迳稀＿@樣便將AP巧妙的隱藏起來。由于吊頂上面沒有電源線路，所以選用AIR-PWRINJ3電源模塊接口，利用連接AP和控制器的普通超5類電纜中空閑的一對銅線來傳輸電力。這樣所有設(shè)備的電源都取自機(jī)房，無需在AP點而且布設(shè)電源線。在天線的選擇上，考慮到整個環(huán)境都是在室內(nèi)應(yīng)用，所以為每臺AP選擇2個2.4G的全向天線。

將2個無線AP和控制器連接后，再使用一根網(wǎng)線將無線控制器聯(lián)入現(xiàn)有局域網(wǎng)的主干交換機(jī)上，實現(xiàn)無線網(wǎng)絡(luò)到現(xiàn)有網(wǎng)絡(luò)的接入。

在解決了物理連接后，還需要解決聯(lián)入無線網(wǎng)絡(luò)計算機(jī)的IP地址分配問題。通常由無線網(wǎng)絡(luò)控制器來分配聯(lián)入計算機(jī)的IP地址。考慮到現(xiàn)有的有線網(wǎng)絡(luò)環(huán)境中已經(jīng)有了專用的 DHCP服務(wù)器，而在一個網(wǎng)段中，只能有一個 DHCP服務(wù)器來統(tǒng)一分發(fā)、管理用戶設(shè)備的IP地址，所以就必須在無線網(wǎng)絡(luò)控制器上做 DHCP請求轉(zhuǎn)發(fā)。一方面解決的DHCP廣播數(shù)據(jù)包無法跨路由傳播，另一方面也解決了一個網(wǎng)段只能有一個DHCP服務(wù)器的問題。

3.5 安全性問題

在用戶認(rèn)證方面，WEP認(rèn)證采用一個靜態(tài)的密鑰來加密所有的通訊，加上密碼固定，初始向量只有24位，故容易被破解。而WPA是改進(jìn)WEP所使用密鑰的安全性的協(xié)議和算法。它改變了密鑰生成方式，更頻繁地變換密鑰來獲得安全。WPA是繼承了WEP基本原理而又解決了WEP缺點的一種新技術(shù)。由于加強(qiáng)了生成加密密鑰的算法，因此即便收集到分組信息并對其進(jìn)行解析，也幾乎無法計算出通用密鑰。雖然WPA和WPA2的認(rèn)證方式在安全上有了很大的保證，但是在企業(yè)的應(yīng)用中，還必須定期的修改密碼。同時針對不同的用戶組需要設(shè)定不同的驗證密碼，而WPA在一個信道里只能設(shè)定一組密碼，這就無法滿足復(fù)雜的應(yīng)用。

為此就需要采用 IAS RADIUS方式，結(jié)合現(xiàn)有域的結(jié)構(gòu)來實現(xiàn)對無線網(wǎng)絡(luò)的用戶接入驗證。在基于現(xiàn)有域的基礎(chǔ)上，使用無線控制器和 IAS結(jié)合，將無線網(wǎng)絡(luò)無縫的嵌入到用戶現(xiàn)有的域結(jié)構(gòu)中，并實現(xiàn)用戶登錄域的過程中，完成無線連接，域計算機(jī)認(rèn)證，域用戶認(rèn)證等多項功能。由于采用和域用戶整合的用戶驗證方式，每個用戶都有各自的登錄帳號和密碼，更新密碼的工作就由用戶自己完成。而對于臨時外來訪客，可以專門建一訪客帳號，定期修改密碼。這樣也不會影響到正常的用戶使用。

4 結(jié)束語

隨著企業(yè)信息化和企業(yè)自身規(guī)模的不斷發(fā)展，企業(yè)對無線局域網(wǎng)的要求已越來越高，如何尋求成本低，實現(xiàn)容易并且可操作性強(qiáng)的無線網(wǎng)絡(luò)解決方案，對于企業(yè)有著重要的意義。計算機(jī)網(wǎng)絡(luò)和無線技術(shù)在不斷的發(fā)展，無線網(wǎng)絡(luò)以其特有的自由行、便捷性越來越被廣大用戶所接受。對于企業(yè)而言，無線網(wǎng)絡(luò)建立了高效、便捷、自由的平臺，實現(xiàn)企業(yè)用戶移動辦公的夢想，大大提高了員工的工作效率，節(jié)約了網(wǎng)絡(luò)建設(shè)成本，且擴(kuò)充性強(qiáng)，是企業(yè)邁入了網(wǎng)絡(luò)應(yīng)用的新時代。

[1]常潘 CISCO無線局域網(wǎng)配置基礎(chǔ)，[M]北京，電子工業(yè)出版社，2011.3

[2]林曉，見證時代發(fā)展，從有線網(wǎng)絡(luò)到無線網(wǎng)絡(luò)，[J]網(wǎng)絡(luò)與信息，2011.6

[3]Carlo Blundo, Security in Communication Networks,[J]SCN 2004.9

[4]王元，王東，潘洪友，無線網(wǎng)絡(luò)安全威脅與防范措施綜述，[J]北京，中國無線電，2011.5