英特爾無線網(wǎng)絡(luò)部署

無線網(wǎng)絡(luò)不可抗拒的魅力促使英特爾開始為整個公司遍布全球的8萬名員工部署基于802.11b標(biāo)準(zhǔn)無線局域網(wǎng)（WLAN）。802.11b無線標(biāo)準(zhǔn)之所以能夠從眾多標(biāo)準(zhǔn)中異軍突起，獨獲英特爾的青睞，主要在于它提供了無縫的無線連接，能夠顯著改進(jìn)網(wǎng)絡(luò)訪問性能、提高公司生產(chǎn)力。

隨著越來越多的英特爾員工開始采用基于最新迅馳移動計算技術(shù)或英特爾移動式處理器的筆記本電腦，這一措施變得更具實際意義。英特爾公司的員工經(jīng)常攜帶筆記本電腦到會議室和其它場所，借助無線網(wǎng)絡(luò)，他們可隨時接入公司網(wǎng)絡(luò)。項目小組可根據(jù)需要隨時上網(wǎng)查找文件、訪問演示文稿、發(fā)送電子郵件和進(jìn)行Web搜索，而不會打斷會議進(jìn)程。目前，大約有65%的英特爾員工配備了筆記本電腦。

然而保護(hù)諸如英特爾等如此龐大的網(wǎng)絡(luò)并非易事。英特爾主要有兩個安全目標(biāo)：

利用強(qiáng)大的身份驗證特性防止非法人員訪問公司網(wǎng)絡(luò)。

利用優(yōu)異的加密性能防止數(shù)據(jù)在傳輸過程中被竊聽。

802.11b技術(shù)規(guī)范本身提供了一定程度的保護(hù)。其內(nèi)建的有線對等保密（WEP）協(xié)議是對用戶進(jìn)行身份驗證和對數(shù)據(jù)加密的常用方法。WEP封裝技術(shù)可在傳輸前將數(shù)據(jù)打亂，之后使用名為共享密鑰驗證（shared key authentication）的算法對客戶機(jī)進(jìn)行身份驗證。理論上只有享有接入點發(fā)出的密鑰的人員才能破譯信號。但在實際使用中，WEP并不能滿足英特爾對網(wǎng)絡(luò)安全的要求。從802.11b數(shù)據(jù)流中可以獲取用于打亂數(shù)據(jù)的密鑰基礎(chǔ)結(jié)構(gòu)。這意味著黑客可以重新組織起有效密鑰，并利用它們偽裝成網(wǎng)絡(luò)的授權(quán)客戶，進(jìn)入到采用WEP保護(hù)的802.11b無線網(wǎng)絡(luò)。經(jīng)過精挑細(xì)選，虛擬專用網(wǎng)（VPN）技術(shù)最終獲得了英特爾IT部門的青睞。

通過在802.11b網(wǎng)絡(luò)中部署業(yè)經(jīng)驗證的VPN安全機(jī)制，企業(yè)可以在無線客戶機(jī)與企業(yè)網(wǎng)絡(luò)之間建立安全的連接。在歷經(jīng)3年多的實際考驗之后，VPN仍是用戶心中最受歡迎的解決方案。英特爾IT部門的研發(fā)管理人員稱之為久經(jīng)考驗的安全解決方案，對于它能夠幫助英特爾大展宏圖深信不疑。

工作中，虛擬專用網(wǎng)（VPN）將在客戶機(jī)和VPN網(wǎng)關(guān)之間建立一對一的安全連接。在802.11b網(wǎng)絡(luò)中，VPN網(wǎng)關(guān)位于無線接入點后面。一般而言，網(wǎng)絡(luò)的每一客戶機(jī)均通過一個專用的VPN通道與網(wǎng)絡(luò)連接。數(shù)據(jù)包經(jīng)由無線網(wǎng)絡(luò)從一臺客戶機(jī)向另一臺發(fā)送時，首先需經(jīng)過VPN通道，之后逐次通過接入點和VPN網(wǎng)關(guān)。隨后數(shù)據(jù)包將通過無線局域網(wǎng)抵達(dá)另一個VPN網(wǎng)關(guān)，此處它們將進(jìn)行加密，之后通過無線接入點發(fā)送至接收客戶機(jī)。通過將VPN網(wǎng)關(guān)置于802.11b接入點后面，公司可以確保所有無線傳輸?shù)男畔⒍荚趪?yán)密保護(hù)之下。

適用于802.11b無線網(wǎng)絡(luò)的VPN解決方案：

在數(shù)據(jù)抵達(dá)位于無線接入點后面的VPN網(wǎng)關(guān)之前，將一直處于加密狀態(tài)之下。

現(xiàn)在，在采用端到端的兼容性解決方案的前提下，英特爾公司正將這一解決方案部署于網(wǎng)絡(luò)之中。例如，選擇來自同一廠商的防火墻和VPN解決方案，兩者之間的兼容性將相對較高。如網(wǎng)絡(luò)中存在多個移動和遠(yuǎn)程通信設(shè)備，客戶端的VPN應(yīng)由軟件進(jìn)行控制。在這種情況下，企業(yè)的所有終端使用相同的軟件將至關(guān)重要。

使用VPN增強(qiáng)公司網(wǎng)絡(luò)的安全

在無線局域網(wǎng)中部署VPN還有另外一個優(yōu)勢：由于VPN是一種交叉?zhèn)鬏斀鉀Q方案，它可以成為企業(yè)用以保護(hù)有線和無線網(wǎng)絡(luò)的唯一技術(shù)標(biāo)準(zhǔn)。從本地客戶機(jī)到員工家庭電腦，再到員工在酒店使用的筆記本電腦，IT部門能夠為其提供一個連續(xù)統(tǒng)一的安全防護(hù)網(wǎng)。

IT部門面臨的一個真正挑戰(zhàn)為使市場中眾多的VPN解決方案實現(xiàn)標(biāo)準(zhǔn)化。有許多解決方案可以提供某種程度的一致性。這一點非常重要，因為在使用不同的VPN解決方案時（根據(jù)所涉及的介質(zhì)而定），可能會引起不必要的麻煩。英特爾IT部門認(rèn)為這一環(huán)境正逐步走向成熟，將可以為IT管理員提供更高的互操作性和跨平臺支持。隨著這些解決方案的出現(xiàn)，為網(wǎng)絡(luò)部署適當(dāng)?shù)腣PN技術(shù)和相應(yīng)的管理工作將變得比較簡單。然而，管理員仍需謹(jǐn)慎進(jìn)行規(guī)劃，以創(chuàng)建一個可以支持所有相關(guān)平臺和使用模式的解決方案。其中的工作將非常艱辛，但回報亦將令人欣喜。在VPN的部署過程中，英特爾公司總結(jié)出一系列的經(jīng)驗，可供參考。

部署技巧

在網(wǎng)絡(luò)操作方面，沒有絕對的安全。英特爾IT部門每年要花費數(shù)千小時來重新修正政策和步驟、部署最新技術(shù)和管理網(wǎng)絡(luò)環(huán)境。隨著無線網(wǎng)絡(luò)浪潮的發(fā)展，更須小心謹(jǐn)慎。以下為IT管理員在使用無線技術(shù)時需謹(jǐn)記的幾件事情：

掌握和靈活應(yīng)用專業(yè)知識：安全性是一門特殊的學(xué)科，它要求您具備獨到的見解和豐富的經(jīng)驗。在掌握專門處理安全問題的IT能力的過程中，所有工作都需要認(rèn)真去思考。

測試、測試、再測試：公司應(yīng)考慮聘請外部顧問對自身的安全設(shè)施和政策予以審核和測試。如果您缺乏相關(guān)的專業(yè)知識，則此不失為一個最有效的辦法，將可以幫助您找出網(wǎng)絡(luò)中最薄弱的環(huán)節(jié)。

關(guān)注無線環(huán)境：從定義的角度而言，無線網(wǎng)絡(luò)面臨著最大的威脅，幾乎任何人都可以借助天線輕松竊取網(wǎng)絡(luò)流量……甚至在數(shù)英里以外也可輕松辦到。您的安全政策和部署方案應(yīng)集中考慮解決這一威脅。

尋求標(biāo)準(zhǔn)化：WEP的魅力之一在于它提供了一個保護(hù)802.11b網(wǎng)絡(luò)的通用基礎(chǔ)，而與具體廠商或設(shè)備無關(guān)。相比而言，VPN更為復(fù)雜，但公司可以通過盡可能購買單一廠商的產(chǎn)品，實現(xiàn)平穩(wěn)移植。對于眾多大型公司而言，VPN增強(qiáng)的安全性足可以彌補(bǔ)其昂貴的成本這一缺點。

小心謹(jǐn)慎：如果被黑客得到密鑰，加密將失去其應(yīng)有的作用。同樣，如果攻擊者能訪問到可信賴的客戶機(jī)（如員工的家庭電腦），并利用它們來進(jìn)入您的網(wǎng)絡(luò)，VPN也將無濟(jì)于事。因此您需要為員工提供大量有關(guān)密碼管理和電腦使用方面的培訓(xùn)，以增強(qiáng)您的安全方案。

隨時準(zhǔn)備終止訪問：確保您的賬戶終止程序能在需要時迅速終止訪問。如果由于IT流程的缺陷，某一心懷不滿或有敵意、并能夠訪問到敏感或關(guān)鍵系統(tǒng)的員工，在終止雇傭后意外地保留了對網(wǎng)絡(luò)的訪問權(quán)，其后果將不堪設(shè)想。因此您需要隨時做好應(yīng)對準(zhǔn)備。

總結(jié)

借助可最大限度地提高移動性和溝通靈活性的技術(shù)，企業(yè)將可以顯著提高員工的工作效率。802.11b無線標(biāo)準(zhǔn)具有無縫集成、出色數(shù)據(jù)傳輸速率和支持多廠商互操作性等眾多優(yōu)勢，是部署無線連接的理想選擇。通過精心部署，虛擬專用網(wǎng)（VPN）與802.11b無線標(biāo)準(zhǔn)內(nèi)建的有線對等保密（WEP）協(xié)議的完美組合，將可以為公司的無線802.11b環(huán)境提供強(qiáng)大的安全保護(hù)。雖然在企業(yè)中部署虛擬專用網(wǎng)（VPN）方案需要進(jìn)行仔細(xì)的規(guī)劃和管理，但英特爾的體會是：盡管工作頗為艱辛，但物有所值。

【編輯推薦】

1. 如何保護(hù)企業(yè)無線網(wǎng)絡(luò)安全
2. 簡要分析無線網(wǎng)絡(luò)安全五戒