让无线网络更安全

不管企业会采用什么设备，您一定会立刻遇到我们当前最热门的安全问题：怎样使我们的无线网络更安全？

在国际上占上风的观点是采用VPN。与此同时，许多的802.11的新的安全扩展被加入到WLAN技术中，它们许诺能提供更多的安全保障。去年12月强制实施的中国无线局域网标准中针对安全问题的WAPI规范已经给解决无线安全性问题带来了一些启示，国际标准的802.11i也会在几个月内就拿出第一版的草案。

不过，安全是以消耗带宽和AP以及客户端额外的计算能力为代价的。“如果AP都采用国家推荐的标准进行加密数据传输的话，客户端还好办，PC的处理能力现在就很强；但是对于AP来说，要么厂家提高AP所采用的CPU等硬件部件的指标，要么采用低端AP的用户的无线网络实际应用性会降到很低。有的厂商会告诉用户，我们支持先进的安全标准（但是仅是支持而已）。”这是朗通环球公司前市场经理王新强先生对记者说的，“更不要提如果同一个AP下面有十几个用户的情况了，AP要有很强的处理能力。现在国外的廉价AP的价格都在50美元左右，这样的价格厂家是生产不出来真正可用的，具备处理大规模加解密运算能力的产品的。”言下之意就是，如果现在我们的无线产品支持了较强的无线安全协议，并且用户使用他的安全功能的话，在多个用户的情况下，网络的实际性能会有极大的下降。这样的结果和编辑在计算机世界评测实验室所做的部分测试结果是相吻合的。

现在是让我们来审视一下这些基于新协议的安全性的时候了，“VPN只是一个权宜之计。再过半年到一年，WPA将是占统治地位的技术。”WPA是即将确认的802.11i标准的一部分，它包括TKIP（随机密钥完整性协议）编码—一种相对WEP技术的巨大改进。这些协议中当然还包括802.1x认证技术，这种使用EAP来验证用户的技术需要RADIUS等其他认证服务器的支持。WPA会实际上带来比VPN更强大的安全性，而且更便于使用和管理。一个原因，TKIP比IPSec需要更小的系统开销；另一个原因，VPN技术需要对数据包头进行封装，所以系统就无法区别数据包的优先级。这是思科无线网络事业部产品线经理Ron Seide的观点，他认为采用VPN技术可能会对希望在WLAN网络上实现语音或者其他流媒体应用的企业带来麻烦。

我们的国家标准更关注安全性，而不是应用模式和易用性；国际上的观点是在保证易用性的前提下，提供足够的安全性。从这里可以看出两个标准制定者的不同思想。不过WLAN网络是为了方便地应用才出现的，我们的标准更像是国家对政府及有安全需求应用的推荐方案。

更多的对安全的关注出现在网络工作者和政府管理机构的口中和手中。相信要解决这样的“魔高”还是“道高”的问题，我们有很重的任务和无限的机会，需求就是我们的机会，不对吗？

毫无疑问，今天的企业用户如果要部署一个稳定的WLAN网络，不得不作一些妥协。采用某一个供应商的集中管理工具可能是很合适的，但是安全性的选择可能同样是很有限的。从另一方面来说，供应商的缺乏能使IT经理们考虑更多的解决无线管理的方案。只有一点是清楚的：时间不多了。如果您现在不想办法部署一个安全的WLAN网络，无线网络的安全问题会越来越多。

（计算机世界报 第04期 D10）