WLAN建设注意事项

　　硬件安装部署

　　合理布置无线AP及工作站的位置，同样对网络安全性十分重要。例如，应将AP置于接近建筑物中心的地方，远离外向墙壁或窗户。这样不仅可使所有办公室能够更好地接入WLAN，而且还可减少来自外界的干扰，而且还应灵活地减少接入点广播强度，仅覆盖所需区域，减少被窃听的机会。

　　制定安全策略

　　各级组织在建设WLAN时，保护网络中重要数据传输的安全是非常重要的问题，必须确保重要数据的完整性和可靠性，制定合理的安全策略。支持802.1x协议的RADIUS技术，可以提高WLAN的用户认证能力，通过802.1x技术能够为用户带来高效、灵活的无线网络安全解决方案。

　　无线网络的数据完全是在空气中传输，只要处于该无线信号覆盖范围内，就很容易通过其他无线设备截取信息。因此，保密性和安全性对无线产品尤为重要。WPA、TKIP、AES等数据加密技术提供了较高的安全性，各级组织必须选用有这类安全加密标准的产品，128位的WEP加密技术是迫不得已的选择。

　　安全培训及制度

　　各级组织的网络技术人员可以让办公室中的用户各自负责其单点安全，将所有网络用户制定为“安全代理”，明确每位员工对安全的责任。

　　重要的是制定安全制度，进行定期安全检查。WLAN实施是危险的，网络技术人员应该公布关于无线网络安全的服务等级协议或政策，还应指定政策负责人，积极定期检查各级组织网络上的欺骗性或未知接入点。

　　此外，更改接入点上的缺省管理密码和SSID，并实施动态密钥（802.1x)或定期配置密钥更新，这样有助于最大限度地减少非法接入网络的可能性。

　　安全的“矛”与“盾”

　　WLAN的各项技术均处在快速的发展过程当中，总的发展方向是速度会越来越快，安全性会越来越高。研制中的IEEE 802.16的WiMax标准能够在50公里的城域范围内，进行高速无线数据传输和互联网接入，速度将达到70Mbps。

　　近两年来，还有许多短距离无线技术也日益走向成熟，UWB、ZigBee和RFID便是其中比较典型的技术。其中UWB是一种短距离、高速率的无线传输技术，它能在10米左右的范围内实现每秒数百兆至数千兆的数据传输速率。而且，UWB具有抗干扰性能强、能量消耗少、保密性好等诸多优点，可广泛应用于室内通信、安全检测、位置测定等诸多领域。

　　但无线网络的安全问题不会在短期内彻底解决，因为“矛”与“盾”总是在相互对抗中不断促进、不断提高的，各种解密技术、骇客技术也在快速发展、更新中，所以没有绝对的安全。

　　各级组织根据自身的数据安全需求对WLAN安全及其标准给予足够的关注，选用合适的WLAN安全技术，提供足够的安全防护，可以让各级组织更安心的享受WLAN的自由，同时也保证各级组织重要数据的安全，促进各级组织健康、快速地发展。

　　虚拟专用网络（VPN）

　　虚拟专用网络（VPN）是指在一个公共IP网络平台上，通过隧道以及加密技术保证专用数据的网络安全。它不属于802.11x标准定义，是以另外一种强大的加密方法来保证传输安全的技术，可以和其它的无线安全技术一起使用。

　　VPN协议包括二层的PPTP/L2TP协议和三层的IPSec协议，IPSec用于保护IP数据包或上层数据，IPSec采用诸如数据加密标准（DES）和168位三重数据加密标准（3DES）以及其它数据包鉴权算法来进行数据加密，并使用数字证书来验证公钥。VPN在客户端与各级组织之间架起一条动态加密的隧道，并支持用户身份验证，实现高级别的安全。

　　VPN支持中央安全管理，不足之处是需要在客户机中进行数据的加密和解密，增加了系统的负担，另外要求在AP后面配备VPN集中器，从而提高了成本。无线局域网的数据用VPN技术加密后再用无线加密技术加密，就好像双重门锁，提高了可靠性。