利用现有的有线基础设施
目前许多企业WLAN的解决方案已经具备了解决这些问题的一些功能。不幸的是,与常用的有线网络安全方案相比,多数无线解决方案价格昂贵,功能也不够完善。
在无线世界里,往往当问题出现时总是单独解决,也就是说解决方案不能解决WLAN安全的所有问题。不足为奇的是,多数解决方案都是各行其事的,只有供应商提供完整的解决方案才能获得最好效果。市场不断变化的特性要求这些移动产品不断的更新和升级基础设施,以充分利用必要的技术改进。
在这种情况下,不妨看看是否可以采取其他的方式来解决问题。在有线世界里,各种基础设施的例子不胜枚举,以惊人的速度进行大量的数据包交换工作的是二层交换机,进行连接网络工作的是三层交换机或路由器,进行身份验证的是活动目录、LDAP和RADIUS等验证基础设施,还有防火墙和存取控制表等验证基础设施、提供记录和报告的问责制基础设施等,还有像IPSec和SSL VPN等可以提供从外部网络到内部网络的连接桥梁的接入技术,当然也有NAC基础设施、端点安全、IDS/IPS等。
考虑到所有这些基础设施和技术的现有投资,以及这些基础设施背后的大量有线和远程用户的部署,如果让WLAN基础设施利用二层和现有技术来提供更多的功能,不是很有意义吗?如果我们能够做到这一点,就可以拥有便宜的接入点,也不需要使用比二层/三层交换机更好的控制器。这将显著降低企业无线部署的成本,企业可以混合搭配使用不同供应商的技术,避免了锁定和大规模升级的风险。
幸运的是,便宜的替代办法就可以使企业做到这一点。NAC技术已经成熟,它可以自动接入端点并分辨是企业接入还是客户接入。NAC与SSL的融合使传输路径确保全天侯加密。活动目录、LDAP和RADIUS等认证基础设施的整合可以提供对员工的验证。内置的虚拟化技术和客户自动重定向至不同的虚拟端口,消除了为客户和员工使用单独SSID或者单独客户接入设备的需要。某些SSL VPN上的默认路由和VLAN技术可以确保完全区分客户流量与企业流量,并确保只有通过这个框架才能接入其他位置。