導言
隨著無線技術的廣泛應用,人們迫切需要安全機制保護網絡和數據完整性免遭惡意威脅�����。較之于有線的局域網(LAN),通過無線傳播的WiFi數據����,其數據控制與數據訪問限制更加困難���。自WiFi問世以來����,已經取得了迅猛進展����。近年來針對現代無線網絡保護的新功能與新標準也接踵而至�����。一般而言�,WiFi安全機制旨在實現以下功能:
?身份驗證——僅限授權用戶使用無線局域網(WLAN)�。用戶通過身份認證后僅能連接至指定接入點。
?完整性——傳輸數據以原始形式到達一個終端設備;操縱數據應被識別并拒絕。
?機密性——未經授權方不能攔截網絡報文�。
本文件概述了施耐德電氣WiFi設備的安全特性�。欲了解基礎技術的更多信息�����,請參閱其他文件(詳細配置信息可參閱參考手冊)�。建議客戶充分利用所有可用的安全機制保護無線網絡免受攻擊��。
有線等效保密(WEP)64/128/152
WEP安全技術起源于WLAN加密標準���。WEP的首要目標是保護數據免遭非法竊取�����。WEP有效利用長度不同的對稱密鑰���。WEP64與WEP128加密技術確保市場上的任何標準客戶端適配器均可兼容���。
接入點與路由器均支持加長密鑰的WEP152加密技術�����。不同WEP可提供基本水平的加密技術,保護網絡免遭未授權的嗅探。而WEP可輕而易舉地被專家破解,因此僅推薦家庭網絡使用WEP安全技術����。
工業網絡應另當別論,采用更加先進的保密技術以保無虞���。
注:有關WEP的更多信息,請參閱施耐德電氣文件“WPA與IEEE 802.11i”。
WPA&IEEE 802.11i
據證實,WEP數據加密不足以保護無線局域網絡免遭專業攻擊,而WPA與IEEE 802.11i屬于先進的加密技術,可提供可靠的無線網絡保護�。
注:有關WPA與IEEE 802.11i的更多信息����,請參閱施耐德電氣文件“WPA與IEEE 802.11i”���。配置
加密的詳細說明請參閱設備手冊�����。
(1)WPA
WPA使用一種經改進的�、基于軟件的加密方法來解決WEP中存在的技術漏洞���。這種動態密鑰不再在未加密的狀態下進行傳輸��,且WPA的密鑰長度為48比特��,是WEP密鑰長度的兩倍。此外�����,WPA可定期修改加密密鑰�,因此,即使沒有RADIUS服務器���,也可使用真正的會話密鑰。WPA與IEEE 802.1x結合使用可為公司網絡提供認證選擇�。
(2)IEEE 802.11i
硬件加速AES-CCK加密算法與IEEE802.11i認證方式結合使用時�,可實現比WPA安全技術更高水平的加密方法�����,安全系數堪與虛擬專用網絡(VPN)相比擬。由于接入點和無線路由器均實現硬件加速���,AES-CCK加密算法在性能上絲毫不受影響?��?沙浞掷镁W絡的最大帶寬(比如:加速模式下高達108Mbps。)
(3)帶密碼口令的IEEE 802.11i
在一個小型網絡中���,用IEEE 802.11i加密一個無線網絡連接的一個簡單方式就是為每個無線網絡設置一個“口令”,用于直接進入接入點和無線客戶端適配器��。這一口令是每次連接至WLAN時加密密鑰的計算依據���。理想情況下�,口令應該盡可能長且復雜,僅供相關人員知曉使用�����,并定期修改��?���?诹罘峙渑c管理中的“人為”因素是其薄弱環節。
(4)支持點對點連接的IEEE 802.11i
IEEE 802.11i的推出使得點對點連接直接加密成為可能����,不再需要來自虛擬專用網絡(VPN)的額外保護����。施耐德電氣產品的硬件加速可執行這一加密方式�����,且不影響性能。
基于WLAN的IPSec技術
