保持網(wǎng)絡(luò)安全至關(guān)重要。網(wǎng)絡(luò)負(fù)責(zé)用戶、各部門、分支機(jī)構(gòu)以及客戶之間的數(shù)據(jù)傳輸，可謂公司的命脈。若公司的網(wǎng)絡(luò)處于不安全，也就無法保證公司的安全，置公司于危險(xiǎn)境地。值得注意的是，如今幾乎每個(gè)公司都有某種類型的無線網(wǎng)絡(luò)，部署和采用無線網(wǎng)絡(luò)已是一種趨勢(shì)，而且這種趨勢(shì)在全球范圍內(nèi)日益突出。

因此，很有必要將Wi-Fi 納入公司的IT 戰(zhàn)略，在公司的IT 政策文件中作重點(diǎn)闡述。組織的IT 政策文件有助于確保組織用戶知曉任何潛在安全風(fēng)險(xiǎn)以及如何保護(hù)自身和網(wǎng)絡(luò)的安全。那么，如何保持無線網(wǎng)絡(luò)的安全性呢?本文圍繞這一重要問題介紹一些方法，幫助您時(shí)刻保持高度安全意識(shí)。

如何保持無線網(wǎng)絡(luò)的安全性?

若未合理配置，無線網(wǎng)絡(luò)可能會(huì)遭遇各種方式的入侵。為此，我們介紹一些常見威脅以及如何最大限度地緩解或預(yù)防這些威脅。要了解無線網(wǎng)絡(luò)會(huì)給基礎(chǔ)設(shè)施帶來多大風(fēng)險(xiǎn)，關(guān)鍵是明確無線網(wǎng)絡(luò)是如何融入網(wǎng)絡(luò)的其他部分的。

非法訪問對(duì)于任何網(wǎng)絡(luò)來說都是一個(gè)巨大威脅。若無線網(wǎng)絡(luò)未鎖定，則可能會(huì)成為懷有以下惡意企圖之人的切入點(diǎn)。

• 未知無線局域網(wǎng)：有時(shí)，用戶或第三方承包商會(huì)在您的網(wǎng)絡(luò)中安裝不安全的無線設(shè)備，然后將其接入您的有線網(wǎng)絡(luò)接入點(diǎn)。他們可能并無惡意，但在網(wǎng)絡(luò)中安裝此等設(shè)備無異于為出于好奇想要接入您網(wǎng)絡(luò)的各方提供免費(fèi)通行證。在計(jì)算機(jī)或手機(jī)上安裝Wi-Fi 嗅探器經(jīng)常進(jìn)行網(wǎng)絡(luò)掃描是個(gè)不錯(cuò)的辦法，因?yàn)檫@樣您可以檢測出那些在您不知情的情況下運(yùn)行的無線網(wǎng)絡(luò)。
• 偽裝和IP 欺騙：一旦入侵者獲取了網(wǎng)絡(luò)訪問權(quán)限，可能會(huì)模擬網(wǎng)絡(luò)內(nèi)部通信，讓客戶和用戶誤認(rèn)為發(fā)起通信的來源是合法的。信息及敏感數(shù)據(jù)失竊發(fā)生的可能性非常大，因此定期網(wǎng)絡(luò)掃描以及細(xì)致的流量檢測應(yīng)納入每日、每周及每月系統(tǒng)檢查。
• 帶寬盜鏈：帶寬盜鏈可能是公司在毫不知情的情況下面臨的最常見問題之一。若無線客戶端的互聯(lián)網(wǎng)接入權(quán)限不基于會(huì)話提供而且無線密碼從不更改，可能發(fā)生帶寬不當(dāng)利用問題。若獲得您網(wǎng)站的訪問權(quán)限，無線客戶端可隨時(shí)重返您的站點(diǎn)重新連接。若未部署內(nèi)容過濾或資源管理工具處理此類連接，您的網(wǎng)絡(luò)可能會(huì)在您不知情的情況下向非授權(quán)方提供互聯(lián)網(wǎng)接入權(quán)限。MAC 過濾和帶寬分配等措施簡單易實(shí)現(xiàn)，可防止此類非授權(quán)接入為網(wǎng)絡(luò)帶來安全威脅。

如何提升無線網(wǎng)絡(luò)防御?

您可實(shí)施以下級(jí)別的無線網(wǎng)絡(luò)防護(hù)，降低安全入侵風(fēng)險(xiǎn)：

• 防火墻
• VLAN 隔離
• WLAN 集中管理工具
• 訪客會(huì)話權(quán)限

1. 防火墻

網(wǎng)絡(luò)中部署的防火墻可提供很多交叉功能，是一款可方便使用的關(guān)鍵工具。防火墻可限制和過濾在線內(nèi)容，基于IP 地址和MAC 地址限制特定設(shè)備和客戶端的訪問，或基于數(shù)據(jù)使用監(jiān)控限制訪問權(quán)限等。利用防火墻，您可對(duì)通過無線網(wǎng)絡(luò)訪問互聯(lián)網(wǎng)和您網(wǎng)絡(luò)資源的用戶進(jìn)行有效管理。

2. 基于SSID 的VLAN 隔離

現(xiàn)今，大多數(shù)無線產(chǎn)品允許基于無線網(wǎng)絡(luò)的服務(wù)集標(biāo)識(shí)符(SSID)和管理型交換機(jī)為網(wǎng)絡(luò)的不同路徑分配不同的IP 地址范圍。也就是說，接入網(wǎng)絡(luò)的無線客戶端可在不同IP地址范圍內(nèi)隔離(若有必要)。例如，訪客可能需訪問互聯(lián)網(wǎng)，但無需訪問文件共享或打印機(jī)等內(nèi)部網(wǎng)絡(luò)資源，而員工卻同時(shí)需要這兩種訪問權(quán)限。在這種情況下，訪客接入訪客SSID，而員工接入公司SSID。這種基于SSID 的VLAN 隔離方法對(duì)于限制公司資源的未授權(quán)訪問來說非常有效。

3. WLAN 集中管理工具

組織往往并非總使用同一品牌的硬件。不過，我們通常建議組織采用同一廠商的無線接入點(diǎn)，以便利用一種專有軟件應(yīng)用進(jìn)行有效管理，讓網(wǎng)絡(luò)管理員對(duì)無線客戶端、信號(hào)強(qiáng)度以及其他大量信息一目了然，無需對(duì)實(shí)時(shí)監(jiān)控情況進(jìn)行推測。因此，WLAN 集中管理工具對(duì)系統(tǒng)管理員來說是一種不可或缺的工具。

(1) 訪客會(huì)話接入

為確保對(duì)無線網(wǎng)絡(luò)的完全控制，您可能希望向訪客分配動(dòng)態(tài)Wi-Fi 權(quán)限。為此，您可提供每日更新的訪問密鑰或配置配額系統(tǒng)，限制設(shè)備的訪問時(shí)間或數(shù)據(jù)使用情況。這種模式尤其適用于機(jī)場或大學(xué)等對(duì)Wi-Fi 資源的訪問計(jì)費(fèi)的場所。

(2) 評(píng)估無線網(wǎng)絡(luò)的安全

要保障無線網(wǎng)絡(luò)的安全，首先您要看一下當(dāng)前部署了哪些安全措施，然后確定還需采取哪些措施，從而提供全方位防護(hù)。您可以從審核無線硬件入手，確定無線接入點(diǎn)的結(jié)構(gòu)、模式和數(shù)量，這有助于您規(guī)劃網(wǎng)絡(luò)覆蓋范圍，查明建筑物、倉庫或辦公室的哪些區(qū)域正在傳輸無線信號(hào)。

接下來，確保您已制定了IT 政策，管理Wi-Fi 使用。該IT 政策應(yīng)包含以下方面：

• 資產(chǎn)、感知風(fēng)險(xiǎn)和政策目標(biāo)：明確需防護(hù)的網(wǎng)絡(luò)資源及防護(hù)原因。
• 最佳實(shí)踐和安全措施：解釋安全戰(zhàn)略制定的理論依據(jù)及最佳實(shí)現(xiàn)方法。
• 可接受的使用和執(zhí)行：闡述何謂無線網(wǎng)絡(luò)的合理使用，說明哪些行為構(gòu)成入侵，并明確違反政策的后果。

一旦形成文件，您需確保組織內(nèi)的每位員工認(rèn)可文件內(nèi)容，將其納入公司入職學(xué)習(xí)資料，讓新員工一入職就了解IT 政策。

4. 保護(hù)網(wǎng)絡(luò)免遭威脅

目前，預(yù)防上述威脅的最佳方法是提供用戶培訓(xùn)，增強(qiáng)威脅意識(shí)。提升用戶的威脅防御能力可使其在使用您的網(wǎng)絡(luò)資源時(shí)做出更明智的決策。

跟大多數(shù)教育過程一樣，您需通過提供復(fù)訓(xùn)、在公司范圍內(nèi)開展安全意識(shí)活動(dòng)、通過郵件、通知和通告等發(fā)布安全提醒等形式持續(xù)推動(dòng)安全意識(shí)提升。只有通過持續(xù)推動(dòng)安全意識(shí)提升，幫助用戶保護(hù)好自己，才能保護(hù)您公司的網(wǎng)絡(luò)和用戶。

IT 政策文件應(yīng)為IT 部門解決所有安全相關(guān)問題提供指導(dǎo)方針，而且組織與用戶通信時(shí)也應(yīng)以該文件為指導(dǎo)準(zhǔn)則。網(wǎng)絡(luò)培訓(xùn)和安全保障對(duì)于組織培養(yǎng)健康的安全意識(shí)文化起關(guān)鍵作用，可使組織長期受益。

【本文是51CTO專欄作者“綠盟科技博客”的原創(chuàng)稿件，轉(zhuǎn)載請(qǐng)通過51CTO聯(lián)系原作者獲取授權(quán)】

戳這里，看該作者更多好文