使用嚴格的加密方法

　　WLAN部署最主要的障礙之一是無線等效隱私(WEP)加密――一種薄弱的、獨立的加密方法。而且，附加安全解決方案的復雜性讓很多IT管理人員都無法采用最先進的WLAN安全技術。思科統一無線網絡將安全組件整合到了一個簡單的策略管理器之中，由其在每個WLAN的基礎上定制整個系統的安全策略。為了便于連接客戶端，制造商通常不會對接入點的無線加密方式進行設置。但是在部署完畢之后，很容易忘記這個步驟――這是WLAN被未經授權的人員破解或者盜用的最常見原因。因此，您應當在部署完畢之后立即設置一個無線安全加密方法。思科建議您使用最安全的無線加密機制――IEEE802.11i或者VPN。

　　IEEE802.11i(當接入點經過Wi-Fi聯盟認證時，它也被稱為WPA2)為數據加密采用了高級加密標準(AES)。AES是目前最嚴格的加密標準，可以取代WEP。您應當盡可能使用結合AES的WPA2。它的前身WPA是一種由Wi-Fi聯盟認證的過渡性安全標準，當時802.11i還處于審核階段。WPA為加密使用了臨時密鑰完整性協議(TKIP);TKIP是一種可以大幅度加強無線安全的加密形式，同時允許傳統的802.11b客戶端進行升級，從而保護了客戶的投資。盡管AES被視為更加嚴格的加密方式，但是值得一提的是，TKIP從來沒有被“破解”過。思科建議將WPA作為備用加密標準。如果您擁有的是可以升級的舊式客戶端，您可以使用該標準。對于那些無法從WEP升級到TKIP的客戶端，“專用客戶端的替代安全策略”一節將介紹保護它們的替代戰略。

　　注意：802.11i標準、WPA2和WPA都需要借助RADIUS服務器來為每個客戶端提供唯一的、輪換的加密密鑰。思科統一無線網絡可以與思科安全訪問控制服務器(ACS)，以及其他制造商的、兼容802.11i和WPA的RADIUS服務器進行互操作。另外，與其他必須利用第三方軟件來支持IEEE802.11i功能的客戶端不同，思科客戶端可以在安全WPA或者WPA2模式下，直接連接到思科統一無線網絡基礎設施。必須指出的是，WPA2和WPA的個人版本并不需要借助RADIUS服務器。因此，思科建議將其用于保護家庭或者小型辦公室/家庭辦公室(SOHO)部署。

　　思科兼容擴展計劃有助于確保多種WLAN客戶端設備可以兼容和支持思科WLAN基礎設施產品的創新功能。因此，IT管理人員可以放心地部署WLAN――即使在這些WLAN需要為多種客戶端設備提供服務時。思科兼容擴展是一項重要的計劃，可以提供無線網絡所需要的端到端性能、RF管理、服務質量(QoS)和安全功能。通過該計劃實現的一些重要的安全改進包括思科LEAP、PEAP和EAP-FAST模式，以及針對延遲敏感型應用(例如WLAN語音)的安全快速漫游和密鑰緩存。其中部分功能已經標準機構逐步采用，思科也在它們通過審核之后提供給客戶。

　　因為客戶端功能對于整個網絡的安全性具有重要的意義，思科和Intel圍繞思科兼容擴展計劃開展了密切的合作。作為一個戰略聯盟合作伙伴，Intel已經憑借它的CentrinoMobile技術達到了思科兼容狀態。這項技術已用于很多的筆記本電腦。包括Acer、Dell、Fujitsu、IBM、HP和Toshiba在內的很多筆記本電腦供應商都提供了思科兼容筆記本電腦。

　　在客戶端和網絡之間部署雙向身份驗證

　　原始的802.11標準所缺少的另外一項重要功能是網絡和客戶端之間的雙向身份驗證。WPA和IEEE802.11i添加了這項功能。這兩項協議都為客戶端和網絡之間的雙向身份驗證采用了IEEE802.1X。

　　專用客戶端的替代安全戰略

　　如果客戶端因為過于陳舊或者驅動程序不兼容而無法支持802.11i、WPA2或者WPA，您可能無法使用這些加密和身份驗證類型。在這種情況下，VPN可以作為保護無線客戶端連接的備用解決方案。通過使用VPN，以及利用多個SSID和VLAN進行網絡分段(詳見下文)，可以為擁有多種不同客戶端的網絡提供一個強大的解決方案。IP安全(IPSec)和SSLVPN可以提供與802.11i和WPA類似的安全等級。思科無線局域網控制器可以終止IPSecVPN隧道，消除集中VPN服務器的潛在瓶頸。另外，思科統一無線網絡支持跨越子網的透明漫游，因此那些對延遲敏感的應用(例如無線IP語音[VoIP]或者Citrix)在漫游時不會因為延遲過長而中斷連接。

　　如果這些方法都無法使用，您應當設置WEP。盡管WEP容易受到一些來自互聯網的工具的威脅，但是它至少可以對隨意監聽者起到一定的威懾作用。加上基于VLAN的用戶分段(詳見下文)，WEP可以有效地消除安全威脅。思科WLAN解決方案還支持本地和RADIUSMAC過濾，這種方法適用于擁有一個已知的802.11接入卡MAC地址列表的小型客戶端群組。如果使用這種方法，就應當立即為采取更加嚴格的安全形式制定計劃。

　　無論選擇何種無線安全解決方案，思科無線局域網控制器和采用輕型接入點協議(LWAPP)的CiscoAironet接入點之間的所有第二層有線通信，都可以通過將數據經由LWAPP隧道傳輸而得到保護。作為進一步的安全措施，也使用禁用功能，在達到由操作員限定的身份驗證嘗試失敗次數之后，制止第二層訪問請求。