科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道微软安全指南:安全无线 LAN 规划指南简介

微软安全指南:安全无线 LAN 规划指南简介

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

本模块逐步介绍了基于 Microsoft 证书服务的 PKI 设计。除了 WLAN 安全,很多组织希望将 PKI 用于其他应用程序(安全电子邮件、文件加密、智能卡登录等)。

作者:中国IT实验室 2007年9月14日

关键字: 身份验证 无线网络 Wlan RADIUS 公钥基础结构 证书

  • 评论
  • 分享微博
  • 分享邮件

  本模块内容

  欢迎使用安全无线 LAN(Microsoft Windows Server? 2003 证书服务解决方案)规划指南。本模块是该解决方案若干组成模块中的第一个。本规划指南有两个主要目标:帮助您明智决策本解决方案是否适于您的企业;使您深入理解本解决方案的技术设计及相应的决策理由。

  

  本指南分三部分,每一部分在逻辑上都是前一部分的继续。第一部分是制定安全无线网络策略,它描述了采用无线 LAN (WLAN) 的商业动机,并与可能在很多 WLAN 实施中出现的严重漏洞威胁相比较,从中得出权衡后的方案。这里的讨论内容是提出安全 WLAN 实施策略的基础。第二部分是确保无线 LAN 解决方案体系结构的安全,它根据建议的 WLAN 策略开发了一套逻辑解决方案设计,并明确了要实施的主要组件。模块设计公钥基础结构、设计可确保无线 LAN 安全的 RADIUS 基础结构和使用 802.1X 设计无线 LAN 安全性是最后一部分,占用了本指南的大部分篇幅。上述模块定义了“确保无线 LAN 解决方案体系结构的安全”模块中标识的每个组件的详细设计。下面将详细说明这些模块的内容。

  

  不同于很多规划指南,本指南有意编写成说明性的。目的是生成单一有效的设计,从而作为本类型解决方案的参考。如果有不同的设计选项,本文档将探讨采用不同决策的基本原理,并适当指出可选的其他策略。希望这样的模块能为您提供除了实际必需的设计以外的更多信息。贯穿本指南的宗旨是,最终获得单一可实施的解决方案,并通过实际的实施和测试,可按本指南所述的功能正常运行。

  

  安全无线 LAN 规划指南简介

  本模块提供了本指南其他部分的背景信息。

  

  制定安全无线网络策略

  本模块主要介绍如何选择安全无线网络解决方案。文中探讨了采用 WLAN 技术的商业推动因素,以及安全采纳该技术所需解决的安全问题。然后讨论了解决安全问题的不同选项,并基于强身份验证和数据保护提出使用公钥证书的解决方案。本决策基于在大中型组织中评估的安全需求,并在实现短期强健安全性和长远确保投资安全两方面进行了权衡。

  

  安全无线 LAN 解决方案体系结构

  本模块探讨了安全无线解决方案的体系结构设计。首先是基于 802.1X 和 EAP - TLSWLAN 的解决方案运行情况概述,本解决方案的关键组件如下:

  

  ? WLAN 基础结构,它支持强健的身份验证和数据保护标准

  

  ? RADIUS(远程身份验证拨入用户服务)身份验证基础结构

  

  ? 公钥基础结构 (PKI)

  

  将前面模块中描述的安全要求与目标组织的配置情况相结合,然后编制一套本解决方案的设计标准。描述基于这些标准的逻辑设计,并显示调整设计的不同选项以满足不同规模组织的需求。

  

  最后,本模块介绍了一些方法,其中提出的设计可用作构建其他网络访问解决方案的基础,如虚拟专用网络 (VPN) 和有线网络访问控制。同样,简要说明按相同的脉络介绍了如何在设计中使用 PKI 组件来支持各种安全服务和应用程序。

  

  设计公钥基础结构

  本模块逐步介绍了基于 Microsoft 证书服务的 PKI 设计。除了 WLAN 安全,很多组织希望将 PKI 用于其他应用程序(安全电子邮件、文件加密、智能卡登录等)。因此,本设计平衡了针对安全 WLAN 的相对简单、低成本的证书解决方案,及有扩展性(支持很多不同的应用程序)的灵活安全解决方案。

  

  完成了证书需求文档后便是设计正确的证书颁发机构 (CA) 层次结构。讨论内容有:将 CA 与 Microsoft Active Directory 集成、目录服务、Microsoft Internet 信息服务 (IIS) 及其他 PKI。最后是制定证书管理计划和创建证书模板。

  

  设计安全无线 LAN 的 RADIUS 基础结构

  本模块介绍了 RADIUS 基础结构的详细设计,可向 WLAN 提供强身份验证和安全密钥管理服务。其中概述了如下内容:如何实施使用 Microsoft Internet 身份验证服务 (IAS) 的 RADIUS、如何使用 RADIUS 提供广阔的网络访问管理解决方案、如何将 RADIUS 应用于特定 WLAN。模块枚举了解决方案的环境先决条件,详细讨论了构建 802.1X WLAN 的 RADIUS 基础结构所面临的设计决策。此外,还探讨了及时维护 IAS 服务器基础结构的管理策略。

  

  使用 802.1X 设计无线 LAN 安全性

  本模块描述了无线网络安全方面的体系结构和设计(不涉及与安全无关的无线网络设计问题)。主要内容包括:基于 802.1X 的解决方案如何解决基本的有线等效专用 (WEP) WLAN 中的问题、使用证书和密码的决策、标识成功部署的先决条件。后续章节讨论了如何选择 WLAN 安全选项、如何在 RADIUS 访问策略中配置这些选项、无线访问点 (AP) 和客户端(使用组策略)。最后,本模块讨论了一些关键的部署问题,如处理漫游配置和引导仅限无线的客户端的配置。

  

  本指南适用对象

  本指南的主要读者是信息技术 (IT) 结构设计人员和商业决策者(尽管只有模块“制定安全无线网络策略”与后者相关)。结构设计人员将专注于模块“制定安全无线网络策略”和“安全无线 LAN 解决方案体系结构”以及剩余模块中需特别注意的地方。在某些组织中,可能有不同的组来负责解决方案的不同组件。因此,正确的做法是让相关的专家来关注与其专业领域相关的模块。

  

  此外,IT 结构设计人员还要熟悉构建、操作和测试方面的指南,以确保与组织的总体 IT 策略保持一致。

  

  从事解决方案构建、部署和管理的 IT 专业人员也要熟悉本解决方案的总体体系结构和设计。

  

  IT 安全专员也要通读本指南,特别是后面的模块。组织中负责 IT 安全的人员一定要在部署系统并投入生产环境之前阅读并审批设计、构建和操作说明,这一点非常重要。

  

  

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章