微软安全指南：安全无线 LAN 规划指南简介

　　本模块内容

　　欢迎使用安全无线 LAN（Microsoft Windows Server? 2003 证书服务解决方案）规划指南。本模块是该解决方案若干组成模块中的第一个。本规划指南有两个主要目标：帮助您明智决策本解决方案是否适于您的企业；使您深入理解本解决方案的技术设计及相应的决策理由。

　　本指南分三部分，每一部分在逻辑上都是前一部分的继续。第一部分是制定安全无线网络策略，它描述了采用无线 LAN (WLAN) 的商业动机，并与可能在很多 WLAN 实施中出现的严重漏洞威胁相比较，从中得出权衡后的方案。这里的讨论内容是提出安全 WLAN 实施策略的基础。第二部分是确保无线 LAN 解决方案体系结构的安全，它根据建议的 WLAN 策略开发了一套逻辑解决方案设计，并明确了要实施的主要组件。模块设计公钥基础结构、设计可确保无线 LAN 安全的 RADIUS 基础结构和使用 802.1X 设计无线 LAN 安全性是最后一部分，占用了本指南的大部分篇幅。上述模块定义了“确保无线 LAN 解决方案体系结构的安全”模块中标识的每个组件的详细设计。下面将详细说明这些模块的内容。

　　不同于很多规划指南，本指南有意编写成说明性的。目的是生成单一有效的设计，从而作为本类型解决方案的参考。如果有不同的设计选项，本文档将探讨采用不同决策的基本原理，并适当指出可选的其他策略。希望这样的模块能为您提供除了实际必需的设计以外的更多信息。贯穿本指南的宗旨是，最终获得单一可实施的解决方案，并通过实际的实施和测试，可按本指南所述的功能正常运行。

　　安全无线 LAN 规划指南简介

　　本模块提供了本指南其他部分的背景信息。

　　制定安全无线网络策略

　　本模块主要介绍如何选择安全无线网络解决方案。文中探讨了采用 WLAN 技术的商业推动因素，以及安全采纳该技术所需解决的安全问题。然后讨论了解决安全问题的不同选项，并基于强身份验证和数据保护提出使用公钥证书的解决方案。本决策基于在大中型组织中评估的安全需求，并在实现短期强健安全性和长远确保投资安全两方面进行了权衡。

　　安全无线 LAN 解决方案体系结构

　　本模块探讨了安全无线解决方案的体系结构设计。首先是基于 802.1X 和 EAP - TLSWLAN 的解决方案运行情况概述，本解决方案的关键组件如下：

　　? WLAN 基础结构，它支持强健的身份验证和数据保护标准

　　? RADIUS（远程身份验证拨入用户服务）身份验证基础结构

　　? 公钥基础结构 (PKI)

　　将前面模块中描述的安全要求与目标组织的配置情况相结合，然后编制一套本解决方案的设计标准。描述基于这些标准的逻辑设计，并显示调整设计的不同选项以满足不同规模组织的需求。

　　最后，本模块介绍了一些方法，其中提出的设计可用作构建其他网络访问解决方案的基础，如虚拟专用网络 (VPN) 和有线网络访问控制。同样，简要说明按相同的脉络介绍了如何在设计中使用 PKI 组件来支持各种安全服务和应用程序。

　　设计公钥基础结构

　　本模块逐步介绍了基于 Microsoft 证书服务的 PKI 设计。除了 WLAN 安全，很多组织希望将 PKI 用于其他应用程序（安全电子邮件、文件加密、智能卡登录等）。因此，本设计平衡了针对安全 WLAN 的相对简单、低成本的证书解决方案，及有扩展性（支持很多不同的应用程序）的灵活安全解决方案。

　　完成了证书需求文档后便是设计正确的证书颁发机构 (CA) 层次结构。讨论内容有：将 CA 与 Microsoft Active Directory 集成、目录服务、Microsoft Internet 信息服务 (IIS) 及其他 PKI。最后是制定证书管理计划和创建证书模板。

　　设计安全无线 LAN 的 RADIUS 基础结构

　　本模块介绍了 RADIUS 基础结构的详细设计，可向 WLAN 提供强身份验证和安全密钥管理服务。其中概述了如下内容：如何实施使用 Microsoft Internet 身份验证服务 (IAS) 的 RADIUS、如何使用 RADIUS 提供广阔的网络访问管理解决方案、如何将 RADIUS 应用于特定 WLAN。模块枚举了解决方案的环境先决条件，详细讨论了构建 802.1X WLAN 的 RADIUS 基础结构所面临的设计决策。此外，还探讨了及时维护 IAS 服务器基础结构的管理策略。

　　使用 802.1X 设计无线 LAN 安全性

　　本模块描述了无线网络安全方面的体系结构和设计（不涉及与安全无关的无线网络设计问题）。主要内容包括：基于 802.1X 的解决方案如何解决基本的有线等效专用 (WEP) WLAN 中的问题、使用证书和密码的决策、标识成功部署的先决条件。后续章节讨论了如何选择 WLAN 安全选项、如何在 RADIUS 访问策略中配置这些选项、无线访问点 (AP) 和客户端（使用组策略）。最后，本模块讨论了一些关键的部署问题，如处理漫游配置和引导仅限无线的客户端的配置。

　　本指南适用对象

　　本指南的主要读者是信息技术 (IT) 结构设计人员和商业决策者（尽管只有模块“制定安全无线网络策略”与后者相关）。结构设计人员将专注于模块“制定安全无线网络策略”和“安全无线 LAN 解决方案体系结构”以及剩余模块中需特别注意的地方。在某些组织中，可能有不同的组来负责解决方案的不同组件。因此，正确的做法是让相关的专家来关注与其专业领域相关的模块。

　　此外，IT 结构设计人员还要熟悉构建、操作和测试方面的指南，以确保与组织的总体 IT 策略保持一致。

　　从事解决方案构建、部署和管理的 IT 专业人员也要熟悉本解决方案的总体体系结构和设计。

　　IT 安全专员也要通读本指南，特别是后面的模块。组织中负责 IT 安全的人员一定要在部署系统并投入生产环境之前阅读并审批设计、构建和操作说明，这一点非常重要。