思科认证：思科结合VPN与无线AP增强无线网络安全

会计考友

询问任何熟悉平安的IT专业人员有关在企业情形中使用无线收集的问题，他们城市告诉你，通俗的AP平安法子并不能真正解决问题。无线通信的广播性质、日益高级的无线监听工具和破解无线AP传输数据的手段，都剖明不采用额外的法子，无线收集并不平安。年夜年夜都专家建议，把无线AP放在自己的网段中，并将这一网段用防火墙呵护起来，防止内部网的其它部门与无线AP毗连起来。 　　采纳的下矣闽轨范是让你的所有的无线客户使用虚拟专用网软件，你的无线收集会更平安一些。同时，如不美观你的收集有一个DMZ(半军事化区，内部收集与外部互联网之间的半平安区域)，就使用这个DMZ。如不美观没有DMZ，就坚持使用老的体例， 使用零丁的电缆隔离或者AP的虚拟收集，让数据在进入内部网之前经由过程一个防火墙，只让这个通信勾留在收集的平安的一边。
　　有两种体例可以把虚拟专用网和无线AP连系起来。第一种体例是把AP放在Windows处事器的接口上，使用Windows内置的虚拟专用网软件增添无线通信的笼盖规模。这种体例许可你使用内置的Windows客户端软件以及L2TP和IPSec软件，为你的无线网路的通信进行加密。这种手艺也合用于撑持同样的内置或者免费的虚拟专用网客户端软件的其它操作系统。这个体例的益处是使用内置的软件，客户端软件的转变很小，很是轻易设置和应用，不需要增添额外的处事器或者硬件成本。这种体例的不足是增添了现有的处事器的额外负荷(按照你供给处事的AP的数目和使用这些AP的客户数目的分歧，负荷也有所分歧)。处事器执行其它的使命也许会效不美观欠好。如不美观统一处事器还供给防火墙功能，额外负荷可能会提醒使用其它的处事器或者采用分歧的体例。
　　第二种体例搜罗使用一个包含内置虚拟专用网网关处事的无线AP。SonicWall、WatchGuard和Colubris等公司今朝供给一种单个机箱的解决方案。这种解决方案集成了AP和虚拟专用网功能，使应用无线平安收集加倍轻易。这种预先封装在一路的两种功能连鲜ё仝一路设备很轻易安装、设置、设置装备摆设和打点，而且很轻易强制划定政策，让每一个无线毗连都使用虚拟专用网完成毗连。因为这种体例在使用的时辰很轻易选择，加密也加倍合理了，避免了802.1x加密为虚拟专用网毗连增添的费用。这种体例的弱点搜罗价钱昂贵，采办新的机械只能知足新的无线局域网子网的需求，在不改换硬件的情形下很难年夜一种无线手艺进级到另一种手艺。
　　同化的体例也许搜罗与现有无线AP一路使用客户端软件，而且打算过渡到新的基于设备的产物。另一种体例是指定一台在DMZ(或者在自己的网段)的处事器，专门措置无线毗连、VPN网关需求以及防火墙信息，开启或封锁无线网段。可是，在其中增添一个虚拟专用网，你可以提高平安性而且感应更有抉择信念，有时日常收集通信在无线收集中像在有线收集一一样平安。