在一些开放环境中,如教育领域,WLAN对客户机缺乏一些必要的控制,此时该如何来保护数据呢?
保护数据最好的办法是,先对所有的客户机进行认证,再授权客户机访问受保护数据。这可以通过在Wi-Fi网络与受保护数据所在网络(通常为骨干网)之间安装访问控制器,来保护开放WLAN环境中的数据。大多数接入控制器都支持通用访问机制(UAM)。UAM需要客户机上的Web浏览器进行支持。控制器利用安全HTTPS交换用户名和口令,对客户机进行认证。它通过访问保存合法用户名和口令的RADIUS服务器来验证这些信息。根据从RADIUS服务器收到的应答,合法用户被授予访问限定的资源或所有资源的权限。
虚拟接入点技术可以与访问控制器配合使用,提供多级网络安全和支持智能化较低的Wi-Fi客户机(如VoWi-Fi电话和手持扫描仪)。在使用虚拟接入点技术时,1个物理接入点可以为网络中的客户机提供多种Wi-Fi服务。每个虚拟接入点都可以提供对不同网络资源的访问和支持不同安全水平的服务。在一个网络中,可以使用虚拟接入点提供两种服务。第一种是为授权的大学员工提供对保护数据访问的服务,第二种是为非授权的用户(如学生或来访者)提供对Internet的自由访问。
内置的基于角色访问控制(RBAC)功能的WLAN可以区别对待不同的用户。通过在无线网络上执行强制策略和RBAC可保障数据的安全。此外,还可保证无线带宽不被下载MP3文件的学生所独占。目前,全球有几百所大学提供WLAN服务。在这些WLAN服务中,学生、员工和来访者首先通过启动移动设备上的Web浏览器获得相应的无线接入,然后通过SSL保护的登录网页登录到WLAN上。在登录时,SSL保护的登录网页经过网络中的无线网关连接到后端服务器上(如RADIUS或LDAP服务器),对用户进行认证和授权,从而控制网络的使用。一些系统还可以对从移动设备到无线网关的数据进行加密,无需客户机安装客户端VPN软件。大学的IT管理人员不能控制学生和访问者将什么设备和解决方案带到大学校园,因此,提供数据保密功能的无线客户端解决方案是应付大学开学时各种设备冲击的一剂良方。
此外,用户可以利用多种VPN技术来保护数据,其中包括IPSec、SSL和移动VPN技术。使用SSL和IPSec技术时,请切记:除非最终用户的PC和PDA要使用个人防火墙保护,否则它们将受到许多2~3层的攻击。顺便提一句,移动VPN中内置了个人防火墙功能。IPSec和移动VPN都需要在最终用户的PC或PDA中安装客户程序。这项工作可以通过Web方式进行自我安装SSL VPN则只需要PC或PDA上的预安装浏览器。所有这三种技术都可以保护在空中传送的无线数据。广泛部署在异类客户环境中的另一种解决方案是:基于Web的认证和将用户划分为不同用户种类的分类方法。每一种类的用户允许访问网络的不同部分。与上面所说的VPN技术不同,这种技术并不那么安全,因为它没有加密无线网络上传送的数据。
