在一些開放環(huán)境中，如教育領(lǐng)域，WLAN對客戶機缺乏一些必要的控制，此時該如何來保護數(shù)據(jù)呢?

保護數(shù)據(jù)最好的辦法是，先對所有的客戶機進行認證，再授權(quán)客戶機訪問受保護數(shù)據(jù)。這可以通過在Wi-Fi網(wǎng)絡(luò)與受保護數(shù)據(jù)所在網(wǎng)絡(luò)(通常為骨干網(wǎng))之間安裝訪問控制器，來保護開放WLAN環(huán)境中的數(shù)據(jù)。大多數(shù)接入控制器都支持通用訪問機制(UAM)。UAM需要客戶機上的Web瀏覽器進行支持�？刂破骼�用安全HTTPS交換用戶名和口令，對客戶機進行認證。它通過訪問保存合法用戶名和口令的RADIUS服務(wù)器來驗證這些信息。根據(jù)從RADIUS服務(wù)器收到的應(yīng)答，合法用戶被授予訪問限定的資源或所有資源的權(quán)限。

虛擬接入點技術(shù)可以與訪問控制器配合使用，提供多級網(wǎng)絡(luò)安全和支持智能化較低的Wi-Fi客戶機(如VoWi-Fi電話和手持掃描儀)。在使用虛擬接入點技術(shù)時，1個物理接入點可以為網(wǎng)絡(luò)中的客戶機提供多種Wi-Fi服務(wù)。每個虛擬接入點都可以提供對不同網(wǎng)絡(luò)資源的訪問和支持不同安全水平的服務(wù)。在一個網(wǎng)絡(luò)中，可以使用虛擬接入點提供兩種服務(wù)。第一種是為授權(quán)的大學員工提供對保護數(shù)據(jù)訪問的服務(wù)，第二種是為非授權(quán)的用戶(如學生或來訪者)提供對Internet的自由訪問。

內(nèi)置的基于角色訪問控制(RBAC)功能的WLAN可以區(qū)別對待不同的用戶。通過在無線網(wǎng)絡(luò)上執(zhí)行強制策略和RBAC可保障數(shù)據(jù)的安全。此外，還可保證無線帶寬不被下載MP3文件的學生所獨占。目前，全球有幾百所大學提供WLAN服務(wù)。在這些WLAN服務(wù)中，學生、員工和來訪者首先通過啟動移動設(shè)備上的Web瀏覽器獲得相應(yīng)的無線接入，然后通過SSL保護的登錄網(wǎng)頁登錄到WLAN上。在登錄時，SSL保護的登錄網(wǎng)頁經(jīng)過網(wǎng)絡(luò)中的無線網(wǎng)關(guān)連接到后端服務(wù)器上(如RADIUS或LDAP服務(wù)器)，對用戶進行認證和授權(quán)，從而控制網(wǎng)絡(luò)的使用。一些系統(tǒng)還可以對從移動設(shè)備到無線網(wǎng)關(guān)的數(shù)據(jù)進行加密，無需客戶機安裝客戶端VPN軟件。大學的IT管理人員不能控制學生和訪問者將什么設(shè)備和解決方案帶到大學校園，因此，提供數(shù)據(jù)保密功能的無線客戶端解決方案是應(yīng)付大學開學時各種設(shè)備沖擊的一劑良方。

此外，用戶可以利用多種VPN技術(shù)來保護數(shù)據(jù)，其中包括IPSec、SSL和移動VPN技術(shù)。使用SSL和IPSec技術(shù)時，請切記：除非最終用戶的PC和PDA要使用個人防火墻保護，否則它們將受到許多2～3層的攻擊。順便提一句，移動VPN中內(nèi)置了個人防火墻功能。IPSec和移動VPN都需要在最終用戶的PC或PDA中安裝客戶程序。這項工作可以通過Web方式進行自我安裝SSL VPN則只需要PC或PDA上的預(yù)安裝瀏覽器。所有這三種技術(shù)都可以保護在空中傳送的無線數(shù)據(jù)。廣泛部署在異類客戶環(huán)境中的另一種解決方案是：基于Web的認證和將用戶劃分為不同用戶種類的分類方法。每一種類的用戶允許訪問網(wǎng)絡(luò)的不同部分。與上面所說的VPN技術(shù)不同，這種技術(shù)并不那么安全，因為它沒有加密無線網(wǎng)絡(luò)上傳送的數(shù)據(jù)。

【相關(guān)文章】

• 無線局域網(wǎng)的七大安全難題及解決
  

• 無線局域網(wǎng)的安全風險分析和解決方案
  

• 無線局域網(wǎng)的相關(guān)網(wǎng)絡(luò)安全技術(shù)應(yīng)用指南