摘要：很多廠商都在宣傳整合有線和無線局域網(wǎng)安全方案，但是一些網(wǎng)絡安全專家，如愛爾蘭供電局（The Electricity Supply Board，ESB）的IT安全專家Ruairi Brennan不那么認為。
 

很多廠商都在宣傳整合有線和無線局域網(wǎng)安全方案，但是一些網(wǎng)絡安全專家，如愛爾蘭供電局（The Electricity Supply Board，ESB）的IT安全專家Ruairi Brennan不那么認為。Brennan說：“隔離有線和無線網(wǎng)絡會讓安全漏洞僅存在于Wi-Fi網(wǎng)絡。”該供電局無線局域網(wǎng)是由60臺Aruba網(wǎng)絡接入點組成，支持8000到10000個用戶，它專門給會議室和其它無法使用有線網(wǎng)絡的地方提供無線接入。

在安全方面，ESB使用AirTight的SpectraGuard企業(yè)級無線IPS（無線入侵預防產(chǎn)品）和SpectraGuard SAFE終端保護系統(tǒng)，把它們部署在一起后，這些產(chǎn)品可以阻止有線和無線網(wǎng)絡的“橋接”。

Brennan說：“如果在局域網(wǎng)上的用戶同時接入了外面的無線AP，那將帶來很大的安全隱患。你會在一個安全的局域網(wǎng)和無線網(wǎng)絡中未知的AP間架起橋梁。”這為受保護的數(shù)據(jù)提供了非法切入點。

SpectraGuard公司的程序包通過執(zhí)行認證策略，阻止未經(jīng)授權的設備接入無線局域網(wǎng)，保障無線局域網(wǎng)的安全。它還可以檢測非法AP，防止它們連接局域網(wǎng)，而且它還有集中管理和策略部署功能。SpectraGuard SAFE產(chǎn)品部署在終端，阻止用戶在接入有線網(wǎng)絡的情況下連入無線局域網(wǎng)，反之亦然。

無線局域網(wǎng)策略集中控制

Atlantic Health醫(yī)院把由2000臺思科AP組成的無線局域網(wǎng)分解成幾個獨立策略，部署在6家醫(yī)院。無線局域網(wǎng)為病人提供了免費的公共Wi-Fi，為NICU會議室提供了私人無線接入，為救護車和移動看護者提供了遠程接入，為醫(yī)院醫(yī)務人員間的移動通信提供了Vocera badges通訊系統(tǒng)，還有遙測報告和其他類型的無線通信。

根據(jù)Atlantic Health基礎架構支持和服務主管Pat Zinno介紹，Atlantic Health將不會為無線局域網(wǎng)安全使用第三方產(chǎn)品。諸如WPA2加密，認證和非法AP檢測的射頻監(jiān)控等安全機制將安裝在AP和控制器中，這些都由思科無線定位設備集中管理。它不管接入的是什么設備，都可以按照地理位置部署用戶策略和射頻容量管理。

思科整合無線網(wǎng)絡安全和有線網(wǎng)絡入侵檢測系統(tǒng)方案，但現(xiàn)在，Atlantic有線和無線安全策略仍然是獨立的。Zinno說：“Atlantic Health有線局域網(wǎng)安全沒有無線的要求高、也沒那么復雜。畢竟，電腦接入網(wǎng)絡的端口都是由防火墻保護的。企業(yè)還使用了Sourcefire的入侵檢測系統(tǒng)產(chǎn)品，監(jiān)控所有經(jīng)過網(wǎng)絡的流量，”他相信整合遲早會到來。“通過監(jiān)控有線/無線網(wǎng)絡的流量越多，效果越好。”他說。

整合有線和無線局域網(wǎng)安全　從日志和報表開始

負責無線和有線網(wǎng)絡安全的網(wǎng)絡工程師希望他們的安全事件信息統(tǒng)一而不是他們的安全工具統(tǒng)一。他們想要一個平臺可以收集不同的報表，用同一標準展示信息視圖，來分析防火墻和服務器上的日志。

Gartner咨詢公司著名分析師John Pescatore說：“一套安全事件管理產(chǎn)品可以關聯(lián)這些事件，幫助企業(yè)看清安全隱患，而不是制造混亂。當然是無線局域網(wǎng)安全產(chǎn)品整合到有線安全產(chǎn)品中。”

Zinno說：“因為基本需求的差別，要進一步集成安全策略到極其復雜的網(wǎng)絡上是非常困難的。按照用戶訪問的程序，企業(yè)將在有線和無線網(wǎng)絡上設置相同的基本策略。然而，企業(yè)還應該在有線和無線上分別部署各自的高級安全策略。無線網(wǎng)絡經(jīng)理關注射頻接口，它的測試和排除故障技術應該與有線局域網(wǎng)完全不一樣。”