在一些開放環(huán)境中,如教育領(lǐng)域,WLAN對(duì)客戶機(jī)缺乏一些必要的控制,此時(shí)該如何來保護(hù)數(shù)據(jù)呢?
保護(hù)數(shù)據(jù)最好的辦法是,先對(duì)所有的客戶機(jī)進(jìn)行認(rèn)證,再授權(quán)客戶機(jī)訪問受保護(hù)數(shù)據(jù)。這可以通過在Wi-Fi網(wǎng)絡(luò)與受保護(hù)數(shù)據(jù)所在網(wǎng)絡(luò)(通常為骨干網(wǎng))之間安裝訪問控制器,來保護(hù)開放WLAN環(huán)境中的數(shù)據(jù)。大多數(shù)接入控制器都支持通用訪問機(jī)制(UAM)。UAM需要客戶機(jī)上的Web瀏覽器進(jìn)行支持。控制器利用安全HTTPS交換用戶名和口令,對(duì)客戶機(jī)進(jìn)行認(rèn)證。它通過訪問保存合法用戶名和口令的RADIUS服務(wù)器來驗(yàn)證這些信息。根據(jù)從RADIUS服務(wù)器收到的應(yīng)答,合法用戶被授予訪問限定的資源或所有資源的權(quán)限。
虛擬接入點(diǎn)技術(shù)可以與訪問控制器配合使用,提供多級(jí)網(wǎng)絡(luò)安全和支持智能化較低的Wi-Fi客戶機(jī)(如VoWi-Fi電話和手持掃描儀)。在使用虛擬接入點(diǎn)技術(shù)時(shí),1個(gè)物理接入點(diǎn)可以為網(wǎng)絡(luò)中的客戶機(jī)提供多種Wi-Fi服務(wù)。每個(gè)虛擬接入點(diǎn)都可以提供對(duì)不同網(wǎng)絡(luò)資源的訪問和支持不同安全水平的服務(wù)。在一個(gè)網(wǎng)絡(luò)中,可以使用虛擬接入點(diǎn)提供兩種服務(wù)。第一種是為授權(quán)的大學(xué)員工提供對(duì)保護(hù)數(shù)據(jù)訪問的服務(wù),第二種是為非授權(quán)的用戶(如學(xué)生或來訪者)提供對(duì)Internet的自由訪問。
內(nèi)置的基于角色訪問控制(RBAC)功能的WLAN可以區(qū)別對(duì)待不同的用戶。通過在無線網(wǎng)絡(luò)上執(zhí)行強(qiáng)制策略和RBAC可保障數(shù)據(jù)的安全。此外,還可保證無線帶寬不被下載MP3文件的學(xué)生所獨(dú)占。目前,全球有幾百所大學(xué)提供WLAN服務(wù)。在這些WLAN服務(wù)中,學(xué)生、員工和來訪者首先通過啟動(dòng)移動(dòng)設(shè)備上的Web瀏覽器獲得相應(yīng)的無線接入,然后通過SSL保護(hù)的登錄網(wǎng)頁登錄到WLAN上。在登錄時(shí),SSL保護(hù)的登錄網(wǎng)頁經(jīng)過網(wǎng)絡(luò)中的無線網(wǎng)關(guān)連接到后端服務(wù)器上(如RADIUS或LDAP服務(wù)器),對(duì)用戶進(jìn)行認(rèn)證和授權(quán),從而控制網(wǎng)絡(luò)的使用。一些系統(tǒng)還可以對(duì)從移動(dòng)設(shè)備到無線網(wǎng)關(guān)的數(shù)據(jù)進(jìn)行加密,無需客戶機(jī)安裝客戶端VPN軟件。大學(xué)的IT管理人員不能控制學(xué)生和訪問者將什么設(shè)備和解決方案帶到大學(xué)校園,因此,提供數(shù)據(jù)保密功能的無線客戶端解決方案是應(yīng)付大學(xué)開學(xué)時(shí)各種設(shè)備沖擊的一劑良方。
此外,用戶可以利用多種VPN技術(shù)來保護(hù)數(shù)據(jù),其中包括IPSec、SSL和移動(dòng)VPN技術(shù)。使用SSL和IPSec技術(shù)時(shí),請(qǐng)切記:除非最終用戶的PC和PDA要使用個(gè)人防火墻保護(hù),否則它們將受到許多2~3層的攻擊。順便提一句,移動(dòng)VPN中內(nèi)置了個(gè)人防火墻功能。IPSec和移動(dòng)VPN都需要在最終用戶的PC或PDA中安裝客戶程序。這項(xiàng)工作可以通過Web方式進(jìn)行自我安裝SSL VPN則只需要PC或PDA上的預(yù)安裝瀏覽器。所有這三種技術(shù)都可以保護(hù)在空中傳送的無線數(shù)據(jù)。廣泛部署在異類客戶環(huán)境中的另一種解決方案是:基于Web的認(rèn)證和將用戶劃分為不同用戶種類的分類方法。每一種類的用戶允許訪問網(wǎng)絡(luò)的不同部分。與上面所說的VPN技術(shù)不同,這種技術(shù)并不那么安全,因?yàn)樗鼪]有加密無線網(wǎng)絡(luò)上傳送的數(shù)據(jù)。
