構筑Wi-Fi防護屏障--看各廠商的推薦方案

2019-11-04 22:35:08

字體：大中小

來源：轉載

供稿：網友

　　 Wi-Fi的發展有三大攔路虎：安全、漫游和覆蓋。而安全則首當其中，處在第一要位。如何解決安全問題，始終是制約Wi-Fi得到用戶尤其是企業用戶大規模應用的瓶頸問題。為此，網絡設備生產商在應用現有的服務集標識符(SSID)、物理地址(MAC)過濾、有線對等保密(WEP)、虛擬專用網絡(VPN)、端口訪問控制技術(802.1x)等相關的技術，生產出了一系列相關的安全設備。同時，將更多的安全防護功能集成在同一個設備上，以圖達到“一夫當關，萬夫難開”的結果。筆者這里介紹幾款市場上熱賣的無線安全產品，供大家選擇。
　　
　　
　　　　適合企業用戶
　　
　　　　企業用戶為保護自己的商業秘密，對無線產品的安全性要求比較高。為了保證安全，我們除了采取其它一切可以采取治理和操作辦法外，購買安全性好的產品，可謂是基礎性的因素。限于篇幅，這里為企業級用戶介紹兩款具有安全功能的無線產品：一款最近出的，一款熱買的。前者應用了最新的技術，安全上達到了一個現實中最新的層次；后者，因為產品的性能和價格等因素，得到了用戶的信賴。
　　
　　　　1.NETGEAR FWAG114
　　
　　　　美國網件公司(NETGEAR)7月發布了據稱是業界第一個802.11a+g雙頻三模無線VPN防火墻解決方案—NETGEAR PRoSafe雙頻三模無線VPN防火墻FWAG114。
　　
　　　　它為用戶提供了有線以太網、無線局域網、SPI防火墻及VPN互連集成的安全解決方案，集多種功能于一體：10/100M廣域網口可連接所有流行的寬帶接入方式，并通過NAT(網絡地址轉換)實現多用戶共享寬帶線路接入互聯網；真正的SPI防火墻可確保內部局域網絡的安全；2個支持3DES數據加密、使用數字證書來進行PKI密匙交換、基于ipSec的VPN隧道可方便實現企業廣域網的互連；同時支持802.11a/b/g標準的無線局域網接入點可構建靈活的內部無線局域網；4個10/100M的交換端口可構建一個高性能的內部有線局域網。
　　
　　　　在安全性方面，FWAG114提供了一系列企業級的安全特性：利用基于連接的狀態數據包過濾(SPI)技術、URL訪問和內容過濾、日志記錄、報告及實時報警提供高級安全性及拒絕服務(DoS)保護和入侵檢測。另外，FWAG114支持完善的VPN功能，2個專用VPN隧道，56位DES和168位3DES數據加密，支持X.509 v.3數字證書的PKI特性，密鑰壽命和IKE生命周期時間設置。支持局域網到局域網(Site-to-Site)和遠程訪問(Client-to-Site)兩種VPN的組網方式，并支持IPSec、PPTP和L2TP的VPN穿透功能。對于無線局域網接入點，對IEEE 802.11b/g標準，提供最高128位WEP(152位802.11g)加密，對IEEE 802.11a標準，提供最高152位WEP加密。隨FWAG114同時提供一個供8用戶使用的防病毒PC用軟件，產品獲Wi-Fi認證。
　　
　　　　從這里看，這確實應該算是一款相當好的防火墻。由于新推出，筆者沒有看到它們的報價。
　　
　　　　2. Cisco Aironet 1100
　　
　　　　Cisco Aironet 1100是基于Cisco IOS軟件的第一個接入點產品。它能夠將端到端智能聯網特性擴展到無線接入點借助Cisco命令行界面(CLI)，用戶能夠快速一致地實施Cisco IOS軟件中的擴展功能。用戶可以利用內部為Cisco路由器和交換機開發的工具治理網絡，并實現網絡的標準化。企業級特性包括虛擬局域網(VLAN)、服務質量(QoS)、代理移動IP、支持標準的Cisco Aironet特性，例如熱備份和負載均衡等，使企業能夠實施可靠的智能網絡服務。Cisco Aironet 1100系列最多能治理16個VLAN，可以為不同的用戶提供個性化的局域網政策和服務。
　　
　　　　在安全性上，Cisco是走在無線產品商們的前列的，802.1X認證，以及既然推出的820.11i的一些核心技術就是基于Cisco的技術，這些安全技術共同構成了Cisco無線產品的套件。而Cisco Aironet 1100就采用了這一Cisco安全套件。Cisco無線安全套件基于為端口網絡接入制定的802.1X標準，利用可擴展認證協議(EAP)框架執行基于用戶的認證。它支持所有的802.1X認證類型，包括EAP Cisco無線(LEAP)、受保護的可擴展認證協議(PEAP)、可擴展認證協議傳輸層安全(EAP-TLS)和EAP通道型TLS(EAP-TTLS)。支持相同認證類型的多種遠程訪問撥號用戶服務(RADIUS)服務器可用于執行企業可擴展的集中用戶治理。另外，Cisco無線安全套件還包括標準前臨時密鑰完整性協議(TKIP)逐包細分和消息完整性檢查(MIC)，以及廣播密鑰旋轉。總之，Cisco Aironet 1100系列將企業功能、可治理性、安全性和可用性集成在一個可以擴展、易于部署、經濟有效的WLAN解決方案中。由此，我們也知道了，為什么這一款產品會受到企業用戶的青睞。價格：IT168統計的報價3400～5200元。
　　
　　　　適合于家庭用戶
　　
　　　　家庭用戶一般沒有什么能引起黑客關注的機密資料，最多是好事者或好奇者偶然光顧，或試試自己的偷窺本領。由于這些多是一些初級的技術人員所為，對于家庭用戶來說，只要產品安全性比較好，不需要采取其他復雜的多層防護技術或設備就可以達到安全的需要。因此，這里我們為大介紹兩款適合于家庭的網絡產品。與上面介紹的方式一樣，介紹一款最新的，一款熱賣的。
　　
　　　　1.3Com OfficeConnect 802.11g
　　
　　　　3Com公司是老牌的無線網絡產品制造商，它的產品成系列，高中低檔都有，報價和購買地一應俱全，大家可以到IT168的網絡頻道查看。3Com公司今年在美國舉行的CeBIT展會上隆重推出了與802.11g標準完全兼容的新型無線產品系列——3Com OfficeConnect 802.11g無線解決方案。包括下面三種獲得Wi-Fi認證的設備：
　　
　　　　無線訪問點：這款新型訪問點不僅符合802.11g和WPA安全標準，而且可以配置成客戶機橋接器或訪問點，具有Clear Channel Select(暢通信道選擇)特性，便于執行無線配置文件。
　　
　　　　無線網關：具有訪問點所配置的802.11g工業標準、WPA安全以及Clear Channel Select等特性，同時還配置了附加有線安全特性，其中包括狀態包檢查防火墻、黑客模式檢測、VPN直通、NAT以及URL過濾等。
　　
　　　　無線PC卡：把802.11g工業標準、WPA安全特性和Wireless LAN Manager等特性融為一體，從而答應網絡治理員執行無線配置文件以及站點掃描/瀏覽技術。
　　
　　　　這三款產品最大的特點是具有全方位IEEE 802.11g標準和新型WPA安全特性的統一。802.11g可以與802.11b兼容，最突出的是能夠達到54 Mbps數據速率。而新型WPA安全特性把256位加密技術用于無線數據包，增強了加密效果，消除了現行無線連接設備在安全上的限制因素，能夠把未經授權接入的危險性減少到最低程度。雖然這是一款適應于家庭用戶需要的系列產品，但因為其采用了WPA安全特性，同樣適用于小型企業。
　　
　　　　由于是新推出的產品，目前筆者沒有找到相關的價格，有愛好的朋友，可以隨時關注公司主頁(www.3com.com.cn)或IT168的網絡頻道。
　　
　　　　2.清華同方TFW3000
　　
　　　　之所以向大家介紹這款產品，最重要的一點是它相對于家庭的需要來說，非常實惠！
　　
　　　　TFW3000作為路由器定位于家庭用戶，提供了4個自適應交換端口，其WAN端口旁還提供了一個切換按鍵，用以在Normal和Uplink兩種狀態下進行轉換，適應不同的連接電纜，為家庭用戶提供方便。它還提供PPPoE ADSL連接以及靜態、動態Cable WAN連接共享。一般這種寬帶路由器都會提供MAC地址克隆功能，而這款TFW3000的該功能則更為簡便。假如你不知道以往寬帶服務商所綁定PC的網卡地址，只要將這臺PC連接到TFW3000的4個交換端口之一，然后在設置界面中點擊Clone MAC按鍵就可以完成，其過程相當簡單。另外，TFW3000還具備了打印服務器功能。
　　
　　　　在無線網絡安全方面，TFW3000可以為用戶提供64或者128位的WEP加密連接方式，也可以對固定的無線客戶端進行MAC地址過濾。當連接到外部Internet時，TFW3000提供了Locale Server以及DMZ主機功能，可以讓用戶更好地利用內網或者WAN的IP地址服務。當受到外部的惡意攻擊，TFW3000可以自行封閉一些受到攻擊的端口，而且可以通過E-mail方式來警告治理員。針對不同的需要，你可以設置WAN到LAN、LAN到WAN的不同過濾規則，而針對一些應該受到限制的網址和要害詞，TFW3000也提供了屏蔽功能。其Web過濾功中還有一些比較有用的選項，就是對網頁上的Active控件、Cookie等內嵌程序進行屏蔽。
　　
　　　　這樣的安全設置對于企業來說，是不夠的，但對于一般家庭使用來說，還行。價格：999元，外加一款PCMCIA的802.11b無線網卡。低價格應該是它最動人之處。
　　
　　　　順便給朋友們個建議：IEEE820.11i標準大約在今年9月左右出臺，符合這一標準的產品將會在2004年底上市，2005年大規模推行。假如等到價格可以接受，大約要到2006年了。一味等待總不是個辦法，那么就有兩種較好的選擇。一種是利用現有的安全技術和產品，組建多層次的防護系統；另一種是采用如今已經上市場的具有WAP加密功能的產品。當然假如是企業用戶，無論采取什么樣的水準的加密產品，采取多層次防護系統是非常必要的。

上一篇：家庭組網用無線

下一篇：校園無線ADSL接入方案