定位技術(shù)增強(qiáng)無(wú)線網(wǎng)絡(luò)安全

申請(qǐng)免費(fèi)試用、咨詢(xún)電話(huà)：400-8352-114

企業(yè)為無(wú)線網(wǎng)絡(luò)添加物理安全并非易事。

通過(guò)內(nèi)置RFID芯片的員工胸卡和Wi-Fi移動(dòng)設(shè)備，并結(jié)合一定的位置算法，可以確定用戶(hù)身份，允許其擁有相應(yīng)級(jí)別的網(wǎng)絡(luò)訪問(wèn)權(quán)，此舉為無(wú)線網(wǎng)絡(luò)增加了安全性。

隨著802.11n和網(wǎng)狀網(wǎng)技術(shù)的出現(xiàn)，無(wú)線網(wǎng)絡(luò)開(kāi)始真正成為有線局域網(wǎng)之外的另一種選擇。不過(guò)Wi-Fi想漸成氣候，就必須提供級(jí)別更高的安全性和可靠性。它采用了哪些措施來(lái)預(yù)防未授權(quán)訪問(wèn)？網(wǎng)絡(luò)管理員如何防范“看不見(jiàn)”的威脅呢？

雖然Wi-Fi受WPA2和802.11i等標(biāo)準(zhǔn)影響提供了新的無(wú)線安全級(jí)別，并且得到了新的監(jiān)控及入侵防護(hù)工具的支持，但許多企業(yè)對(duì)綜合IT安全和物理安全的防御措施日益產(chǎn)生了興趣。 不過(guò)，企業(yè)為無(wú)線網(wǎng)絡(luò)添加物理安全并非易事。企業(yè)如何做到既為員工提供足夠的移動(dòng)性又能對(duì)這種無(wú)線自由進(jìn)行必要的控制呢，這是一對(duì)矛盾體。

企業(yè)可能不放心讓員工在無(wú)線局域網(wǎng)覆蓋的任何地方都能訪問(wèn)人力資源、財(cái)務(wù)或者新產(chǎn)品文檔方面的敏感信息，所以對(duì)訪問(wèn)身份和地點(diǎn)要進(jìn)行限制。在財(cái)務(wù)部門(mén)提供移動(dòng)功能，要限制財(cái)務(wù)部門(mén)以外的員工無(wú)線訪問(wèn)財(cái)務(wù)信息，防止敏感材料被泄露。這時(shí)候，基于位置的安全就可以派上用場(chǎng): 根據(jù)某人身份，限制誰(shuí)可以或不可以訪問(wèn)無(wú)線局域網(wǎng)。定位控制結(jié)合訪問(wèn)權(quán)限不但可以添加另一層安全，還可以防止網(wǎng)絡(luò)段負(fù)荷過(guò)大（以及防止拒絕服務(wù)攻擊），并且限制訪客在指定地點(diǎn)訪問(wèn)無(wú)線局域網(wǎng)。

如今主要的無(wú)線局域網(wǎng)交換機(jī)能夠利用無(wú)線接入點(diǎn)收集來(lái)的數(shù)據(jù)，分析出筆記本電腦或者移動(dòng)設(shè)備的位置。這種所謂的“定位”服務(wù)可用來(lái)跟蹤整個(gè)企業(yè)里面的資產(chǎn)。比如在醫(yī)院，它們用來(lái)確定醫(yī)生和輸血及手術(shù)器材的位置。同樣的，這項(xiàng)技術(shù)用于安全方面，能夠通過(guò)“地理圍欄”（geo-fencing）的方式起到更大的作用?！暗乩韲鷻凇边@個(gè)術(shù)語(yǔ)主要指根據(jù)移動(dòng)員工或者訪客的地理位置和授權(quán)狀況，限制他們對(duì)網(wǎng)絡(luò)的訪問(wèn)。

這種“地理圍欄”的工作方式如下: 無(wú)線交換機(jī)“跟蹤”用戶(hù)在大樓內(nèi)的行蹤，根據(jù)用戶(hù)的授權(quán)狀況以及對(duì)方是否在許可的指定區(qū)域，允許或者拒絕對(duì)方訪問(wèn)網(wǎng)絡(luò)上的資源。它還確保只有當(dāng)指定的用戶(hù)及其移動(dòng)設(shè)備出示了身份卡，才可以訪問(wèn)無(wú)線局域網(wǎng)和有線網(wǎng)絡(luò)的資源。

例如: 無(wú)線交換機(jī)能夠監(jiān)控訪客，如果訪客與公司其他員工在一起，那么可以授權(quán)他們?cè)L問(wèn)會(huì)議室里面的無(wú)線局域網(wǎng); 但如果訪客離開(kāi)會(huì)議室， “地理圍欄”技術(shù)就會(huì)發(fā)出警報(bào)，終止無(wú)線局域網(wǎng)訪問(wèn)權(quán)。

如果企業(yè)使用RFID標(biāo)簽和閱讀器，那么只要用戶(hù)通過(guò)RFID閱讀器，就能夠被記錄下來(lái)，用于一般的資產(chǎn)跟蹤。不過(guò)，最準(zhǔn)確的位置信息需要借助Wi-Fi三角測(cè)量（Wi-Fi triangulation）這種方法來(lái)獲得。企業(yè)使用無(wú)線局域網(wǎng)接入點(diǎn)以及支持定位功能的無(wú)線交換機(jī)，只要測(cè)量所傳輸數(shù)據(jù)包的信號(hào)強(qiáng)度，或者利用來(lái)自三個(gè)或者更多接入點(diǎn)的信標(biāo)來(lái)ping（一種網(wǎng)絡(luò)命令）連接設(shè)備，就能跟蹤網(wǎng)絡(luò)上的每一個(gè)移動(dòng)設(shè)備。

因?yàn)榇蠖鄶?shù)企業(yè)的無(wú)線局域網(wǎng)被配置成確保應(yīng)用擁有最佳吞吐率，因而接入點(diǎn)的覆蓋區(qū)域通常存在大批重疊現(xiàn)象。這意味著，在任何一個(gè)位置，移動(dòng)設(shè)備有可能連接到某個(gè)接入點(diǎn)，但它仍能看到并且連接到附近的接入點(diǎn)。需要三個(gè)接入點(diǎn)才能使用Wi-Fi三角測(cè)量術(shù)準(zhǔn)確測(cè)出移動(dòng)設(shè)備在大樓中的方位。這種方法可以把移動(dòng)設(shè)備的位置精度控制在3到5米內(nèi)，準(zhǔn)確性超過(guò)90%。

有些企業(yè)結(jié)合Wi-Fi、RFID及其他新興技術(shù)來(lái)獲得更詳細(xì)的位置信息。這項(xiàng)技術(shù)名為復(fù)合技術(shù)（compounding）?；厩疤崾牵瑹o(wú)線交換機(jī)能夠分析兩組數(shù)據(jù)（Wi-Fi和RFID），為網(wǎng)絡(luò)上每個(gè)移動(dòng)設(shè)備和用戶(hù)描繪出更準(zhǔn)確的位置信息。

結(jié)合IT安全、身份卡等物理安全工具，以及通過(guò)無(wú)線局域網(wǎng)實(shí)時(shí)監(jiān)控移動(dòng)設(shè)備的功能，為網(wǎng)絡(luò)另外增添了一道防御的屏障。地理圍欄設(shè)起了一道定制、隱形的圍欄，可以隨著每個(gè)移動(dòng)設(shè)備一起移動(dòng)，從而向網(wǎng)絡(luò)管理員保證: 每個(gè)設(shè)備只能訪問(wèn)網(wǎng)絡(luò)上的授權(quán)區(qū)域和資源。（ccw-2007年12月24日第49期 B15）