无线安全技术大揭秘

针对用户和用户权限不统一的情况，Eric Wu表示，由于传统的认证和授权功能是分别设在两个设备上，这样授权用户就有可能在两个设备缺乏沟通的情况下获得更高的权限，威胁到局域网的安全。针对这种问题，目前的认证和授权功能都是设在同一个设备上。用户身份一经认证，通过一个存取记号通知授权功能模块，用户的权限就被设定，不会出现用户身份和用户权限不统一的情况，有效保证了无线网络的安全。

无线入侵检测和保护

目前可以在互联网上下载到很多无线入侵和攻击的工具，这些工具对无线网络造成了很大的威胁，可以使AP无法征程工作，甚至可以突破无线网络的安全措施，非法盗取网络资源。另外一个问题就是因为用户购买的AP，在接入有线网络钟后，可能会自动创建一些“软”AP。这些不安全的AP在缺乏安全机制的情况下自动在企业的局域网中出现。若是外部入侵者利用这些软AP实现恶意目的，企业将遭受巨大的损失。而且这种事情发生时，员工可能并不知道已经遭受攻击，无意之中促成了攻击。

针对这种情况，出现了一些尝试入侵软件。就是人为的将这些入侵软件带入企业局域网内部。但是这些入侵软件具有一些特定的功能，包括跟测、防御和定位功能。也就是说，这些入侵软件在接入局域网之后，可以跟踪入侵者的动态，并且进行防御，同时还可以定位入侵者的动作和位置。

另外，针对病毒入侵的情况，无线终端病毒防护的第一步是准入检查，当无线终端连接试图访问网络时，无线系统要求用户在认证之前下载一个小程序，这个程序将对终端的安全配置进行检查，不能通过检查的终端将被策略禁止访问网络，也可设置成将无线用户重定向到一台升级服务器，经过一系列程序之满足安全机制后，该无线终端才可以进入认证环节进行用户的认证。

宣文威认为，当无线终端通过了准入检查，但是如何对无线终端发出数据进行有效的检查和监控是更加进一步的病毒防护手段。 ZoneFlex系列产品简化了安全需要的配置，就可在整个系统范围支持非法接入点入侵检测，并能通过网络将这些接入点客户端设备列入黑名单。当多个接入点的位置十分接近时，Ruckus产品则可以自动控制每个接入点的功率和信道设置，从而确保最佳的覆盖范围和连贯性。

防止盗窃引起的安全威胁

无线网络中的AP不像有线网络中的路由器和交换机一样，是放在比较隐秘的机柜或者专门的机房里面。无线AP可能是在天花板上或者屋内的任何位置，方便用户接入。这也就带来了一定的安全威胁。例如，有恶意的人将AP拿走。传统的无线网络，采用的是胖AP，瘦客户端形式。胖AP指的是集成了全部功能的AP，这些功能包括了加密解密、过滤防护等等，而瘦AP与之对应，就是只有无线功能的设备。在胖AP结构下，一旦有人将AP拿走，就可以通过解密，得到AP中的金钥。获得了这个金钥之后，就可以登陆公司网络，窃取公司机密信息。而在瘦AP环境下，加密解密以及防火墙等安全措施可以通过一个单独的安全设备来实现，除了显而易见的成本降低之外，提升了AP的性能，还提升了安全性能与安全管理的方便性。在瘦AP环境下，用户访问网络的需求通过AP传递到AP之后的防火墙上，由防火墙进行统一的身份验证，并且赋予用户不同的权限，这种良好的身份认证以及其他的统一安全管理将有效的规避大量的安全问题。

Eric Wu在谈及此问题时表示：“传统的无线网络，接入网络的金钥是放在了AP中，一旦AP被人拿走，就可以破解得到这个金钥。这样他就可以接入该公司网络，窃取信息。而Aruba的产品中，AP的功能得到了简化，只是起到了一个接入的作用。所有与安全和其他控制信息有关的功能都放在了无线控制器（Controller）中。” 这样，即使AP丢失或遭盗窃，也不会担心会丢失信息。

良好的成本控制、便捷的网络管理以及可控可管理的安全特性，都让无线网络的发展前景无限宽广。而随着全球笔记本出货量超越台式机以及802.11n的全面普及，无线网络正在越来越广泛的存在于我们的身边。相比于家庭网络，企业网络拥有更多的终端，更复杂的网络管理，也对无线这种便捷廉价的网络接入方式有着更强烈的需求。未来的无线网络发展方向就是瘦AP方式，无线网络的控制措施将不在AP中实施，都放在无线控制器中进行，简化的AP更易于部署和管理。不管对个人用户还是企业用户，他们最担心的无线网络的安全问题也随着安全技术的不断发展而得到解决。目前，无线厂商都在无线网络的安全方面下了大成本，也推出了比较有效地无线安全措施。例如上述的几种技术，通过几种技术的结合，可以有效地解决无线网络的安全问题。未来，无线网络的目标不是为了取代有线网络，而是和有线网络结合为用户带来最好的体验。