英特爾無線網絡部署

無線網絡不可抗拒的魅力促使英特爾開始為整個公司遍布全球的8萬名員工部署基于802.11b標準無線局域網（WLAN）。802.11b無線標準之所以能夠從眾多標準中異軍突起，獨獲英特爾的青睞，主要在于它提供了無縫的無線連接，能夠顯著改進網絡訪問性能、提高公司生產力。

隨著越來越多的英特爾員工開始采用基于最新迅馳移動計算技術或英特爾移動式處理器的筆記本電腦，這一措施變得更具實際意義。英特爾公司的員工經常攜帶筆記本電腦到會議室和其它場所，借助無線網絡，他們可隨時接入公司網絡。項目小組可根據需要隨時上網查找文件、訪問演示文稿、發(fā)送電子郵件和進行Web搜索，而不會打斷會議進程。目前，大約有65%的英特爾員工配備了筆記本電腦。

然而保護諸如英特爾等如此龐大的網絡并非易事。英特爾主要有兩個安全目標：

利用強大的身份驗證特性防止非法人員訪問公司網絡。

利用優(yōu)異的加密性能防止數(shù)據在傳輸過程中被竊聽。

802.11b技術規(guī)范本身提供了一定程度的保護。其內建的有線對等保密（WEP）協(xié)議是對用戶進行身份驗證和對數(shù)據加密的常用方法。WEP封裝技術可在傳輸前將數(shù)據打亂，之后使用名為共享密鑰驗證（shared key authentication）的算法對客戶機進行身份驗證。理論上只有享有接入點發(fā)出的密鑰的人員才能破譯信號。但在實際使用中，WEP并不能滿足英特爾對網絡安全的要求。從802.11b數(shù)據流中可以獲取用于打亂數(shù)據的密鑰基礎結構。這意味著黑客可以重新組織起有效密鑰，并利用它們偽裝成網絡的授權客戶，進入到采用WEP保護的802.11b無線網絡。經過精挑細選，虛擬專用網（VPN）技術最終獲得了英特爾IT部門的青睞。

通過在802.11b網絡中部署業(yè)經驗證的VPN安全機制，企業(yè)可以在無線客戶機與企業(yè)網絡之間建立安全的連接。在歷經3年多的實際考驗之后，VPN仍是用戶心中最受歡迎的解決方案。英特爾IT部門的研發(fā)管理人員稱之為久經考驗的安全解決方案，對于它能夠幫助英特爾大展宏圖深信不疑。

工作中，虛擬專用網（VPN）將在客戶機和VPN網關之間建立一對一的安全連接。在802.11b網絡中，VPN網關位于無線接入點后面。一般而言，網絡的每一客戶機均通過一個專用的VPN通道與網絡連接。數(shù)據包經由無線網絡從一臺客戶機向另一臺發(fā)送時，首先需經過VPN通道，之后逐次通過接入點和VPN網關。隨后數(shù)據包將通過無線局域網抵達另一個VPN網關，此處它們將進行加密，之后通過無線接入點發(fā)送至接收客戶機。通過將VPN網關置于802.11b接入點后面，公司可以確保所有無線傳輸?shù)男畔⒍荚趪烂鼙Ｗo之下。

適用于802.11b無線網絡的VPN解決方案：

在數(shù)據抵達位于無線接入點后面的VPN網關之前，將一直處于加密狀態(tài)之下。

現(xiàn)在，在采用端到端的兼容性解決方案的前提下，英特爾公司正將這一解決方案部署于網絡之中。例如，選擇來自同一廠商的防火墻和VPN解決方案，兩者之間的兼容性將相對較高。如網絡中存在多個移動和遠程通信設備，客戶端的VPN應由軟件進行控制。在這種情況下，企業(yè)的所有終端使用相同的軟件將至關重要。

使用VPN增強公司網絡的安全

在無線局域網中部署VPN還有另外一個優(yōu)勢：由于VPN是一種交叉?zhèn)鬏斀鉀Q方案，它可以成為企業(yè)用以保護有線和無線網絡的唯一技術標準。從本地客戶機到員工家庭電腦，再到員工在酒店使用的筆記本電腦，IT部門能夠為其提供一個連續(xù)統(tǒng)一的安全防護網。

IT部門面臨的一個真正挑戰(zhàn)為使市場中眾多的VPN解決方案實現(xiàn)標準化。有許多解決方案可以提供某種程度的一致性。這一點非常重要，因為在使用不同的VPN解決方案時（根據所涉及的介質而定），可能會引起不必要的麻煩。英特爾IT部門認為這一環(huán)境正逐步走向成熟，將可以為IT管理員提供更高的互操作性和跨平臺支持。隨著這些解決方案的出現(xiàn)，為網絡部署適當?shù)腣PN技術和相應的管理工作將變得比較簡單。然而，管理員仍需謹慎進行規(guī)劃，以創(chuàng)建一個可以支持所有相關平臺和使用模式的解決方案。其中的工作將非常艱辛，但回報亦將令人欣喜。在VPN的部署過程中，英特爾公司總結出一系列的經驗，可供參考。

部署技巧

在網絡操作方面，沒有絕對的安全。英特爾IT部門每年要花費數(shù)千小時來重新修正政策和步驟、部署最新技術和管理網絡環(huán)境。隨著無線網絡浪潮的發(fā)展，更須小心謹慎。以下為IT管理員在使用無線技術時需謹記的幾件事情：

掌握和靈活應用專業(yè)知識：安全性是一門特殊的學科，它要求您具備獨到的見解和豐富的經驗。在掌握專門處理安全問題的IT能力的過程中，所有工作都需要認真去思考。

測試、測試、再測試：公司應考慮聘請外部顧問對自身的安全設施和政策予以審核和測試。如果您缺乏相關的專業(yè)知識，則此不失為一個最有效的辦法，將可以幫助您找出網絡中最薄弱的環(huán)節(jié)。

關注無線環(huán)境：從定義的角度而言，無線網絡面臨著最大的威脅，幾乎任何人都可以借助天線輕松竊取網絡流量……甚至在數(shù)英里以外也可輕松辦到。您的安全政策和部署方案應集中考慮解決這一威脅。

尋求標準化：WEP的魅力之一在于它提供了一個保護802.11b網絡的通用基礎，而與具體廠商或設備無關。相比而言，VPN更為復雜，但公司可以通過盡可能購買單一廠商的產品，實現(xiàn)平穩(wěn)移植。對于眾多大型公司而言，VPN增強的安全性足可以彌補其昂貴的成本這一缺點。

小心謹慎：如果被黑客得到密鑰，加密將失去其應有的作用。同樣，如果攻擊者能訪問到可信賴的客戶機（如員工的家庭電腦），并利用它們來進入您的網絡，VPN也將無濟于事。因此您需要為員工提供大量有關密碼管理和電腦使用方面的培訓，以增強您的安全方案。

隨時準備終止訪問：確保您的賬戶終止程序能在需要時迅速終止訪問。如果由于IT流程的缺陷，某一心懷不滿或有敵意、并能夠訪問到敏感或關鍵系統(tǒng)的員工，在終止雇傭后意外地保留了對網絡的訪問權，其后果將不堪設想。因此您需要隨時做好應對準備。

總結

借助可最大限度地提高移動性和溝通靈活性的技術，企業(yè)將可以顯著提高員工的工作效率。802.11b無線標準具有無縫集成、出色數(shù)據傳輸速率和支持多廠商互操作性等眾多優(yōu)勢，是部署無線連接的理想選擇。通過精心部署，虛擬專用網（VPN）與802.11b無線標準內建的有線對等保密（WEP）協(xié)議的完美組合，將可以為公司的無線802.11b環(huán)境提供強大的安全保護。雖然在企業(yè)中部署虛擬專用網（VPN）方案需要進行仔細的規(guī)劃和管理，但英特爾的體會是：盡管工作頗為艱辛，但物有所值。

【編輯推薦】

1. 如何保護企業(yè)無線網絡安全
2. 簡要分析無線網絡安全五戒