计算机网络的无线计算机网络
近年来,无线蜂窝电话通信技术得到了飞速发展。人们也希望能够在移动通信中使用计算机网络。随着便携机和个人数字助理(PDA)的普遍使用,无线计算机网络也逐渐流行起来。 无线局域网提供了移动接入的功能,这就给许多需要发送数据但又不能坐在办公室的工作人员提供了方便。当大量持有便携式电脑的用户都在同一个地方同时要求上网时,若用电缆连网,那么布线就是个很大的问题。这时若采用无线局域网则比较容易。无线局域网可分为两大类。第一类是有固定基础设施的,第二类是无固定基础设施的。所谓“固定基础设施”是指预先建立起来的、能够覆盖一定地理范围的一批固定基础。大家经常使用的蜂窝移动电话就是利用电信公司预先建立的、覆盖全国的大量固定基站来接通用户手机拨打的电话。另一类无线局域网是无固定基础设施的无线局域网,它又叫做自组网络。这种自组网络没有上述基本服务集中的接入点(AP),而是由一些处于平等状态的移动站之间相互通信组成的临时网络。自组网络通常是这样构成的:一些可移动的设备发现在它们附近还有其他的可移动设备,并且要求和其他移动设备进行通信。随着便携式电脑的大量普及,自组网络的组网方式已受到人们的广泛关注。由于在自组网络中的每一个移动站都要参与到网络中的其他移动站的路由的发现和维护,同时由移动站构成的网络拓扑有可能随时间变化得很快,因此在固定网络中行之有效的一些路由选择协议对移动自组网络已不适用。这样,在自组网络中路由选择协议就引起了特别的关注。另一个重要问题是多播。在移动自组网络中往往需要将某个重要信息同时向多个移动站传送。这种多播比固定节点网络的多播要复杂得多,需要有实时性好而效率又高的多播协议。在移动自组网络中,安全问题也是一个更为突出的问题。移动自组网络在军用和民用领域都有很好的应用前景。在军事领域中,由于战场上往往没有预先建好的固定接入点,其移动站就可以用临时建立的移动自组网络进行通信。这种组网方式也能够应用到作战的地面车辆群和坦克群,以及海上的舰艇群、空中的机群。由于每一个移动设备都具有路由器转发分组的功能,因此分布式的移动自组网络的生存性非常好。在民用领域,持有笔记本电脑的人可以利用这种移动自组网络方便地交换信息,而不受便携式电脑附近没有电话线插头的限制。当出现各种自然灾害(如地震、洪水、森林火灾等)时,在抢险救灾时利用移动自组网络进行及时的通信往往也是很有效的,因为这时事先已建好的固定网络基础设施(基站)可能已经都被破坏了。近年来,移动自组网络中的一个子集—无线传感器网络引起了人们广泛的关注。无线传感器网络是由大量传感器节点通过无线通信技术构成的自组网络。无线传感器网络的应用就是进行各种数据的采集、处理和传输,一般并不需要很高的带宽,但是在大部分时间必须保持低功耗,以节省电池的消耗。无线传感器网络中的节点基本上是固定不变的,这点和移动自组网络有很大的区别。无线传感器网络的应用领域主要有以下方面。① 环境监测与保护(如洪水预报、动物栖息的监控)。② 战争中对敌情的侦查和对兵力、装备、物资等的监控。③ 医疗中对病房的监测和对患者的护理。④ 在危险的工业环境(如矿井、核电站等)中的安全监测。⑤ 城市交通管理、建筑内的温度/照明/安全控制等。 无线个人区域网(WPAN)就是在个人工作地方把属于个人使用的电子设备(如便携式电脑、掌上电脑、便携式打印机以及蜂窝电话等)用无线技术连接起来自组网络,不需要使用接入点AP,整个网络的范围为10m左右。WPAN可以是一个人使用,也可以是若干人共同使用。WPAN是以个人为中心来使用的无线个人区域网,它实际上就是一个低功率、小范围、低速率和低价格的电缆替代技术。3.无线城域网(WMAN)我们已经有了多种有线宽带接入因特网的网络,然而人们发现,在许多情况下,使用无线宽带接入可以带来很多好处,如更加经济和安装快捷,同时也可以得到更高的数据率。近年来,无线城域网(WMAN)又成为无线网络中的一个热点。WMAN可提供“最后一英里”的宽带无线接入(固定的、移动的和便携的)。许多情况下,WMAN可用来替代现有的有线宽带接入,所以可称无线本地环路。
如何使用有线设备实现更安全的无线网络
尽管目前已经有了针对特定安全问题的解决方案,不过我们还需要利用企业有线网络已存在的安全基础设施,对WLAN安全问题进行整体分析。 企业WLAN的发展 企业WLAN引起关注是从一个简单需求开始的,当时有人要求提供一个便宜的接入点(access point),以满足家庭或小型办公室的上网需求。WLAN部署增长的背后有两个推动力。第一个推动力始于增强生产力,通过为使用有无线功能笔记本电脑的员工或客户提供网络接入服务而实现。 第二个推动力是通过技术进步实现的。在802.1n标准等技术进步的推动下,出现了用无线基础设施代替有线基础设施的需求浪潮。 随着无线上网的速度提高到170 Mbps和建设企业范围内的无线网络能力的提高,无线技术的性能被认为已经好的足以替代有线技术了。此外,达到最佳网络覆盖范围的工具已经开发完成,可以避免重复并更好地利用频谱,以便基站覆盖范围重叠,并使性能最大化。虽然WLAN看上去重点是为了提高性能,不过其真正的目标是更高灵活性所产生的生产力的提高。 移动上网风险日益增长 然而,移动上网面临着一系列的安全风险和问题。由于无线上网的终端不是固定不变的,相对于无线网络,企业对于有线网络的安全性更加放心。企业的有线网络被保护在大门和围墙里面,还有门禁卡和用户身份验证等基础设施的防护。由于无线网络能被楼内的人访问的同时,也能够轻易地被楼外的人访问,因此无线网络比有线网络更容易遭到探测和各种形式的匿名攻击。 目前已经开发了很多技术来解决这些问题,如从WEP转向到使用LEAP、WPA、802.1x,以及在客户端和接入基础设施嵌入IPSec VPN等各种措施。所有这些技术措施都有自己的局限性。WEP加密技术已经能被破解。 由于失败的代价高昂,非公司人员的接入也是企业WLAN的一大问题。如果他们使用无线上网并进行非法操作,提供无线网络接入的企业就要承担法律后果。如果无线网络被非法入侵,或者重要数据库被非法进入,给企业带来的负面影响将更加严重,将包括罚款、法律诉讼和名誉损失等。 IT部门需要知道使用无线网络的笔记本电脑是企业员工的还是客户的。笔记本通过无线网络访问企业网络时需要进行严格加密。IT部门应该使用现有的基础设施(如活动目录等)对员工进行身份验证,最好对客户也能进行同样的验证。 利用现有的有线基础设施 目前许多企业WLAN的解决方案已经具备了解决这些问题的一些功能。不幸的是,与常用的有线网络安全方案相比,多数无线解决方案价格昂贵,功能也不够完善。 在无线世界里,往往当问题出现时总是单独解决,也就是说解决方案不能解决WLAN安全的所有问题。不足为奇的是,多数解决方案都是各行其事的,只有供应商提供完整的解决方案才能获得最好效果。市场不断变化的特性要求这些移动产品不断的更新和升级基础设施,以充分利用必要的技术改进。 在这种情况下,不妨看看是否可以采取其他的方式来解决问题。在有线世界里,各种基础设施的例子不胜枚举,以惊人的速度进行大量的数据包交换工作的是二层交换机,进行连接网络工作的是三层交换机或路由器,进行身份验证的是活动目录、LDAP和RADIUS等验证基础设施,还有防火墙和存取控制表等验证基础设施、提供记录和报告的问责制基础设施等,还有像IPSec和SSL VPN等可以提供从外部网络到内部网络的连接桥梁的接入技术,当然也有NAC基础设施、端点安全、IDS/IPS等。 考虑到所有这些基础设施和技术的现有投资,以及这些基础设施背后的大量有线和远程用户的部署,如果让WLAN基础设施利用二层和现有技术来提供更多的功能,不是很有意义吗?如果我们能够做到这一点,就可以拥有便宜的接入点,也不需要使用比二层/三层交换机更好的控制器。这将显著降低企业无线部署的成本,企业可以混合搭配使用不同供应商的技术,避免了锁定和大规模升级的风险。 幸运的是,便宜的替代办法就可以使企业做到这一点。NAC技术已经成熟,它可以自动接入端点并分辨是企业接入还是客户接入。NAC与SSL的融合使传输路径确保全天侯加密。活动目录、LDAP和RADIUS等认证基础设施的整合可以提供对员工的验证。内置的虚拟化技术和客户自动重定向至不同的虚拟端口,消除了为客户和员工使用单独SSID或者单独客户接入设备的需要。某些SSL VPN上的默认路由和VLAN技术可以确保完全区分客户流量与企业流量,并确保只有通过这个框架才能接入其他位置。 对身份验证问题的关注 大量的身份验证框架允许客户通过登记接入无线网络,登记账号被视为与用户的真实身份相关的固定象征。这可以通过客户登记程序来实现,就像住旅馆之前先要到前台登记一样。登记程序可以区分不同类型的客户,比如有些是仅仅来参加会议的临时性接入客户,有些是参与项目实施的相对长期的接入客户。不同类型的客户对接入方式的需求也是不一样的。对于临时参加会议的客户只需提供上网功能即可。对于参与项目实施的相对长期的客户,还需要为他们提供接入企业网络特定应用软件的权限,但是处于同一网络中的企业员工肯定比所有的客户拥有的权限都更多更全面。 接入登记真正需要的是区别用户身份的功能。其执行应该是自动和无痛的。当法律或上级主管机关要求提供用户线索时,登记上网时提供的大量的注册信息可以证实用户身份,并据此了解用户行为。 结论 通过使用当前市场上现有的有线产品,企业可以避免昂贵的锁定成本,并能在必要时保持性能改进,还不会在安全性上有任何损失,并能满足问责制的要求。
