自從1999年9月份IEEE（電子和電氣工程師協(xié)會(huì)）批準(zhǔn)了802.11b標(biāo)準(zhǔn)以來(lái)，WEP（Wired Equivalent PRivacy，有線對(duì)等保密）就成為無(wú)線局域網(wǎng)上應(yīng)用的主要的加密機(jī)制，來(lái)對(duì)無(wú)線局域網(wǎng)上的數(shù)據(jù)流進(jìn)行加密。不過(guò)目前許多企業(yè)并沒(méi)有啟動(dòng)WEP，主要是因?yàn)閃EP的密鑰治理和配置起來(lái)過(guò)于繁瑣。盡管META Group已經(jīng)承認(rèn)了一些與WEP有關(guān)的漏洞，不過(guò)最近報(bào)道的一些攻擊行為證實(shí)，該保密機(jī)制的漏洞要比并想象中的還要多。所以企業(yè)用戶必須依據(jù)使用環(huán)境的機(jī)密要求程度，來(lái)對(duì)使用的應(yīng)用軟件進(jìn)行評(píng)估。切入點(diǎn)是從無(wú)線局域網(wǎng)的連接上開(kāi)始，考慮三個(gè)基本的安全服務(wù)：審計(jì)、認(rèn)證和機(jī)密性。 從短期的解決方案來(lái)看，用戶應(yīng)該對(duì)已存在的WLAN的安全性重新進(jìn)行評(píng)估。一些企業(yè)用戶已經(jīng)推遲或終止了在WLAN上WEP的開(kāi)發(fā)和應(yīng)用。在以后的12至24個(gè)月內(nèi)，即在完整的解決方案出臺(tái)之前，企業(yè)用戶最好是配置附加的解決方案（例如使用防火墻和虛擬私有網(wǎng)VPN），來(lái)保證網(wǎng)絡(luò)安全。在今后的一段時(shí)期內(nèi)，企業(yè)的WLAN將會(huì)通過(guò)特定的網(wǎng)關(guān)，集成為一個(gè)新的網(wǎng)絡(luò)，其目標(biāo)就是來(lái)解決安全、治理、漫游和服務(wù)質(zhì)量（QoS）問(wèn)題。 第1步：審計(jì)。網(wǎng)絡(luò)安全在WLAN上尤其顯得重要，這是因?yàn)樗茌p易在網(wǎng)絡(luò)內(nèi)部增加新的訪問(wèn)節(jié)點(diǎn)。保護(hù)WLAN的第一步就是完成網(wǎng)絡(luò)審計(jì)，實(shí)現(xiàn)對(duì)內(nèi)部網(wǎng)絡(luò)的所有訪問(wèn)節(jié)點(diǎn)都做審計(jì)，確定欺騙訪問(wèn)節(jié)點(diǎn)，建立規(guī)章制度來(lái)約束它們，或者完全從網(wǎng)絡(luò)上剝離掉它們。從短期來(lái)看，企業(yè)應(yīng)該使用一些能檢測(cè)WLAN網(wǎng)絡(luò)流量（以及WLAN訪問(wèn)節(jié)點(diǎn)）的網(wǎng)絡(luò)監(jiān)控產(chǎn)品或工具，例如Sniffer Technologies和WildPackets廠家的產(chǎn)品。不過(guò)，采取的這些措施能達(dá)到的安全程度究竟還是有限的，因?yàn)樗缶W(wǎng)絡(luò)治理員要根據(jù)WLAN的信號(hào)來(lái)檢測(cè)網(wǎng)絡(luò)流量，知道網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)流量情況。到2002年末，WLAN的提供商們（例如3Com，Avaya，Cisco，Enterasys和Symbol）將會(huì)開(kāi)發(fā)出新的能夠檢測(cè)遠(yuǎn)程訪問(wèn)節(jié)點(diǎn)的網(wǎng)絡(luò)治理工具。企業(yè)用戶應(yīng)該形成一個(gè)治理政策，保證網(wǎng)絡(luò)審計(jì)成為一個(gè)規(guī)范化的行為（至少每三個(gè)月檢測(cè)一次），來(lái)限制具有欺騙訪問(wèn)行為的站點(diǎn)恣意進(jìn)入WLAN。 第2步：認(rèn)證。因?yàn)榛赪EP標(biāo)準(zhǔn)的WLAN安全協(xié)議并不是可信的，用戶必須考慮到提供商可能會(huì)留有后門(mén)。企業(yè)應(yīng)該增加對(duì)WLAN用戶的認(rèn)證功能（例如使用RADIUS）。到2002年末，提供商們將把IEEE 802.1x用戶認(rèn)證標(biāo)準(zhǔn)融入到WLAN產(chǎn)品中，成為解決基于WEP漏洞的一種替代方式。企業(yè)用戶也可以配置入侵檢測(cè)系統(tǒng)（IDS），做為一種檢測(cè)欺騙訪問(wèn)站點(diǎn)的前期識(shí)別方式。入侵檢測(cè)系統(tǒng)還能幫助治理員識(shí)別特定的、可能存在安全漏洞的訪問(wèn)點(diǎn)或網(wǎng)段，能夠幫助絡(luò)治理員發(fā)現(xiàn)入侵者的物理位置。 第3步：機(jī)密性。許多企業(yè)并不會(huì)要求擁有第二步中提到的其它安全防護(hù)層。已經(jīng)完成了WLAN機(jī)密性評(píng)估的企業(yè)用戶就可以決定使用特定的網(wǎng)段來(lái)傳輸那些沒(méi)有商業(yè)價(jià)值和不要求加密的信息（例如從貨倉(cāng)中掃描來(lái)的條形碼數(shù)據(jù)等）。在這種情況下，使用基本的WEP功能就能完全滿足需要，因?yàn)檫@是一種低級(jí)加密與低價(jià)值信息的結(jié)合。不過(guò)當(dāng)用戶在WLAN上交換機(jī)密商業(yè)信息，或者傳送個(gè)人信息時(shí)，VPN（虛擬私有網(wǎng)）就成為保證隱私的最可信賴的方法了。META Group提醒企業(yè)用戶每個(gè)季度對(duì)網(wǎng)絡(luò)使用情況進(jìn)行一次評(píng)估，以決定根據(jù)網(wǎng)絡(luò)流量來(lái)改變網(wǎng)絡(luò)中機(jī)密性要求。 許多企業(yè)已經(jīng)擁有VPN，為遠(yuǎn)程訪問(wèn)提供連接。但是配置VPN并不是一個(gè)簡(jiǎn)單或者僅僅依靠經(jīng)驗(yàn)的事情，而且目前制約VPN迅速發(fā)展的一個(gè)重要因素就是其可擴(kuò)展性，當(dāng)使用802.11b標(biāo)準(zhǔn)時(shí)，VPN網(wǎng)關(guān)就很難進(jìn)行擴(kuò)展。當(dāng)前的VPN設(shè)備能可能承受40Mbps至100Mbps的ipSec（互聯(lián)網(wǎng)安全協(xié)議）流量（運(yùn)行3DES加密和SHA-1的哈稀函數(shù)）——足夠滿足遠(yuǎn)程拔號(hào)用戶或者DSL用戶的使用。對(duì)于802.11a來(lái)說(shuō)，每個(gè)用戶的流量?jī)H能提供到1 Mbps 到 10 Mbps。對(duì)于使用802.11b的網(wǎng)絡(luò)來(lái)說(shuō)，假如要實(shí)現(xiàn)基本的網(wǎng)絡(luò)服務(wù)（例如提供電子郵件和HTTP服務(wù)），企業(yè)在每個(gè)100Mbps的VPN網(wǎng)段上最多答應(yīng)有300到500個(gè)用戶。當(dāng)應(yīng)用軟件帶寬增加，或者訪問(wèn)點(diǎn)有802.11a節(jié)點(diǎn)時(shí)，就會(huì)降低到每個(gè)100M的VPN網(wǎng)段上只能承擔(dān)100到200個(gè)用戶。VPN的一些不足：昂貴的網(wǎng)關(guān)（10萬(wàn)至50萬(wàn)美元），缺乏普遍存在的客戶支持，有限的漫游功能（這由終端設(shè)備決定），沒(méi)有治理控制（因?yàn)橛兴淼懒髁浚?主要的WLAN提供商目前正忙于提供WEP漏洞的解決方案，包括WEP的后門(mén)漏洞、防火墻、入侵檢測(cè)系統(tǒng)和VPN性能。新成長(zhǎng)起來(lái)的提供商（例如BlueSocket和Vernier Networks），則把目標(biāo)瞄準(zhǔn)于解決WLAN的可移動(dòng)性、安全、QoS和治理問(wèn)題，還有可移植性。不過(guò)他們的產(chǎn)品還處在早期階段 關(guān) 鍵 字 無(wú)線局域網(wǎng),WLAN