Wi-Fi的发展有三大拦路虎:安全、漫游和覆盖。而安全则首当其中,处在第一要位。如何解决安全问题,始终是制约Wi-Fi得到用户尤其是企业用户大规模应用的瓶颈问题。
为此,网络设备生产商在应用现有的服务集标识符(SSID)、物理地址(MAC)过滤、有线对等保密(WEP)、虚拟专用网络(VPN)、端口访问控制技术(802.1x)等相关的技术,生产出了一系列相关的安全设备。同时,将更多的安全防护功能集成在同一个设备上,以图达到“一夫当关,万夫难开”的结果。笔者这里介绍几款市场上热卖的无线安全产品,供大家选择。
适合企业用户
企业用户为保护自己的商业秘密,对无线产品的安全性要求比较高。为了保证安全,我们除了采取其它一切可以采取管理和操作办法外,购买安全性好的产品,可谓是基础性的因素。限于篇幅,这里为企业级用户介绍两款具有安全功能的无线产品:一款最近出的,一款热买的。前者应用了最新的技术,安全上达到了一个现实中最新的层次;后者,因为产品的性能和价格等因素,得到了用户的信赖。
1.NETGEAR FWAG114
美国网件公司(NETGEAR)7月发布了据称是业界第一个802.11a+g双频三模无线VPN防火墙解决方案—NETGEAR ProSafe双频三模无线VPN防火墙FWAG114。
它为用户提供了有线以太网、无线局域网、SPI防火墙及VPN互连集成的安全解决方案,集多种功能于一体:10/100M广域网口可连接所有流行的宽带接入方式,并通过NAT(网络地址转换)实现多用户共享宽带线路接入互联网;真正的SPI防火墙可确保内部局域网络的安全;2个支持3DES数据加密、使用数字证书来进行PKI密匙交换、基于IPSec的VPN隧道可方便实现企业广域网的互连;同时支持802.11a/b/g标准的无线局域网接入点可构建灵活的内部无线局域网;4个10/100M的交换端口可构建一个高性能的内部有线局域网。
在安全性方面,FWAG114提供了一系列企业级的安全特性:利用基于连接的状态数据包过滤(SPI)技术、URL访问和内容过滤、日志记录、报告及实时报警提供高级安全性及拒绝服务(DoS)保护和入侵检测。另外,FWAG114支持完善的VPN功能,2个专用VPN隧道,56位DES和168位3DES数据加密,支持X.509 v.3数字证书的PKI特性,密钥寿命和IKE生命周期时间设置。支持局域网到局域网(Site-to-Site)和远程访问(Client-to-Site)两种VPN的组网方式,并支持IPSec、PPTP和L2TP的VPN穿透功能。对于无线局域网接入点,对IEEE 802.11b/g标准,提供最高128位WEP(152位802.11g)加密,对IEEE 802.11a标准,提供最高152位WEP加密。随FWAG114同时提供一个供8用户使用的防病毒PC用软件,产品获Wi-Fi认证。
从这里看,这确实应该算是一款相当好的防火墙。由于新推出,笔者没有看到它们的报价。
2. Cisco Aironet 1100
Cisco Aironet 1100是基于Cisco IOS软件的第一个接入点产品。它能够将端到端智能联网特性扩展到无线接入点借助Cisco命令行界面(CLI),用户能够快速一致地实施Cisco IOS软件中的扩展功能。用户可以利用内部为Cisco路由器和交换机开发的工具管理网络,并实现网络的标准化。企业级特性包括虚拟局域网(VLAN)、服务质量(QoS)、代理移动IP、支持标准的Cisco Aironet特性,例如热备份和负载均衡等,使企业能够实施可靠的智能网络服务。Cisco Aironet 1100系列最多能管理16个VLAN,可以为不同的用户提供个性化的局域网政策和服务。
在安全性上,Cisco是走在无线产品商们的前列的,802.1X认证,以及既然推出的820.11i的一些核心技术就是基于Cisco的技术,这些安全技术共同构成了Cisco无线产品的套件。而Cisco Aironet 1100就采用了这一Cisco安全套件。Cisco无线安全套件基于为端口网络接入制定的802.1X标准,利用可扩展认证协议(EAP)框架执行基于用户的认证。它支持所有的802.1X认证类型,包括EAP Cisco无线(LEAP)、受保护的可扩展认证协议(PEAP)、可扩展认证协议传输层安全(EAP-TLS)和EAP通道型TLS(EAP-TTLS)。支持相同认证类型的多种远程访问拨号用户服务(RADIUS)服务器可用于执行企业可扩展的集中用户管理。另外,Cisco无线安全套件还包括标准前临时密钥完整性协议(TKIP)逐包细分和消息完整性检查(MIC),以及广播密钥旋转。总之,Cisco Aironet 1100系列将企业功能、可管理性、安全性和可用性集成在一个可以扩展、易于部署、经济有效的WLAN解决方案中。由此,我们也知道了,为什么这一款产品会受到企业用户的青睐。价格:IT168统计的报价3400~5200元。
适合于家庭用户
家庭用户一般没有什么能引起黑客关注的机密资料,最多是好事者或好奇者偶尔光顾,或试试自己的偷窥本领。由于这些多是一些初级的技术人员所为,对于家庭用户来说,只要产品安全性比较好,不需要采取其他复杂的多层防护技术或设备就可以达到安全的需要。因此,这里我们为大介绍两款适合于家庭的网络产品。与上面介绍的方式一样,介绍一款最新的,一款热卖的。
1.3Com OfficeConnect 802.11g
3Com公司是老牌的无线网络产品制造商,它的产品成系列,高中低档都有,报价和购买地一应俱全,大家可以到IT168的网络频道查看。3Com公司今年在美国举行的CeBIT展会上隆重推出了与802.11g标准完全兼容的新型无线产品系列——3Com OfficeConnect 802.11g无线解决方案。包括下面三种获得Wi-Fi认证的设备:
无线访问点:这款新型访问点不仅符合802.11g和WPA安全标准,而且可以配置成客户机桥接器或访问点,具有Clear Channel Select(畅通信道选择)特性,便于执行无线配置文件。
无线网关:具有访问点所配置的802.11g工业标准、WPA安全以及Clear Channel Select等特性,同时还配置了附加有线安全特性,其中包括状态包检查防火墙、黑客模式检测、VPN直通、NAT以及URL过滤等。
无线PC卡:把802.11g工业标准、WPA安全特性和Wireless LAN Manager等特性融为一体,从而允许网络管理员执行无线配置文件以及站点扫描/浏览技术。
这三款产品最大的特点是具有全方位IEEE 802.11g标准和新型WPA安全特性的统一。802.11g可以与802.11b兼容,最突出的是能够达到54 Mbps数据速率。而新型WPA安全特性把256位加密技术用于无线数据包,增强了加密效果,消除了现行无线连接设备在安全上的限制因素,能够把未经授权接入的危险性减少到最低程度。虽然这是一款适应于家庭用户需要的系列产品,但因为其采用了WPA安全特性,同样适用于小型企业。
由于是新推出的产品,目前笔者没有找到相关的价格,有兴趣的朋友,可以随时关注公司主页(www.3com.com.cn)或IT168的网络频道。
2.清华同方TFW3000
之所以向大家介绍这款产品,最重要的一点是它相对于家庭的需要来说,非常实惠!
TFW3000作为路由器定位于家庭用户,提供了4个自适应交换端口,其WAN端口旁还提供了一个切换按键,用以在Normal和Uplink两种状态下进行转换,适应不同的连接电缆,为家庭用户提供方便。它还提供PPPoE ADSL连接以及静态、动态Cable WAN连接共享。一般这种宽带路由器都会提供MAC地址克隆功能,而这款TFW3000的该功能则更为简便。如果你不知道以往宽带服务商所绑定PC的网卡地址,只要将这台PC连接到TFW3000的4个交换端口之一,然后在设置界面中点击Clone MAC按键就可以完成,其过程相当简单。另外,TFW3000还具备了打印服务器功能。
在无线网络安全方面,TFW3000可以为用户提供64或者128位的WEP加密连接方式,也可以对固定的无线客户端进行MAC地址过滤。当连接到外部Internet时,TFW3000提供了Locale Server以及DMZ主机功能,可以让用户更好地利用内网或者WAN的IP地址服务。当受到外部的恶意攻击,TFW3000可以自行封闭一些受到攻击的端口,而且可以通过E-mail方式来警告管理员。针对不同的需要,你可以设置WAN到LAN、LAN到WAN的不同过滤规则,而针对一些应该受到限制的网址和关键词,TFW3000也提供了屏蔽功能。其Web过滤功中还有一些比较有用的选项,就是对网页上的Active控件、Cookie等内嵌程序进行屏蔽。
这样的安全设置对于企业来说,是不够的,但对于一般家庭使用来说,还行。价格:999元,外加一款PCMCIA的802.11b无线网卡。低价格应该是它最动人之处。
顺便给朋友们个建议:IEEE820.11i标准大约在今年9月左右出台,符合这一标准的产品将会在2004年底上市,2005年大规模推行。如果等到价格可以接受,大约要到2006年了。一味等待总不是个办法,那么就有两种较好的选择。一种是利用现有的安全技术和产品,组建多层次的防护系统;另一种是采用如今已经上市场的具有WAP加密功能的产品。当然如果是企业用户,无论采取什么样的水准的加密产品,采取多层次防护系统是非常必要的。