在無(wú)線LAN認(rèn)證系列文章的第一部分中，我們介紹了如何確保來(lái)賓無(wú)線網(wǎng)絡(luò)安全。在第二部分，我們探討無(wú)線LAN訪問(wèn)控制的方法，包括創(chuàng)建策略、設(shè)備識(shí)別和整合其他網(wǎng)絡(luò)訪問(wèn)控制解決方案。

對(duì)于網(wǎng)絡(luò)安全和無(wú)線LAN（WLAN）訪問(wèn)控制，企業(yè)已經(jīng)取得了巨大的突破。最遠(yuǎn)可追溯到靜態(tài)可破解的WEP密鑰，然后是部署較強(qiáng)的認(rèn)證和加密所需要的第三方Wi-Fi客戶端和OS補(bǔ)丁。現(xiàn)在，一些Wi-Fi設(shè)備和現(xiàn)有的操作系統(tǒng)已經(jīng)可以支持WPA2-Enterprise了，甚至電話等小型可識(shí)別設(shè)備也可提供支持。

即使有這樣一些進(jìn)步，（具備802.1X認(rèn)證和AES加密的）WPA2-Enterprise仍然沒(méi)有占據(jù)主導(dǎo)地位。802.1X需要整合很多組件，它們來(lái)自多個(gè)供應(yīng)商，并且通常由不同部分管理。要想取得成功就必須要進(jìn)行規(guī)劃和協(xié)調(diào)，包括用戶帳號(hào)管理、設(shè)備分配和網(wǎng)絡(luò)整合。幸運(yùn)的是，現(xiàn)在已經(jīng)出現(xiàn)了更好的有助于解決無(wú)線LAN訪問(wèn)控制問(wèn)題的工具。

從群組策略開始進(jìn)行WLAN訪問(wèn)控制

雖然使用802.1X的企業(yè)往往能夠很好地控制公司擁有的筆記本電腦，但這對(duì)其它無(wú)線設(shè)備則不可同日而語(yǔ)，特別是那些不由IT部門采購(gòu)的設(shè)備。

IT經(jīng)常會(huì)在發(fā)布筆記本電腦之前將它們添加到Active Directory，是通過(guò)使用Group Policy Objects自動(dòng)配置802.1X參數(shù)來(lái)反映每個(gè)用戶的組群成員身份而實(shí)現(xiàn)的。Windows 7、Vista和XP都支持802.1X群組策略，包括有線和無(wú)線客戶，Microsoft Windows Server 2008 R2指南中有這方面的描述：

Access Group Policy Extensions for 802.1X Wired and Wireless

Configure 802.1X Wired Access Clients by using Group Policy Management

Configure 802.1X Wireless Access Clients by using Group Policy Management

但是目前大多數(shù)工作人員使用的一些無(wú)線設(shè)備往往都不是運(yùn)行在Windows上，甚至也不是IT部門購(gòu)買的。有些IT部門將這種員工自行購(gòu)買的大量的智能手機(jī)和平板電腦作為來(lái)賓設(shè)備對(duì)待。例如，當(dāng)CFO從他們的筆記本電腦登錄到無(wú)線LAN上時(shí)，他們可能被要求連接到公司的SSID，并提供基于他們身份和角色的802.1X的登錄信息來(lái)獲得訪問(wèn)權(quán)限。然而，當(dāng)CFO使用他們的個(gè)人iPad登錄到無(wú)線LAN時(shí)，可能會(huì)連接到只提供因特網(wǎng)訪問(wèn)的來(lái)賓SSID。這對(duì)于那些還沒(méi)有處理員工自行購(gòu)買設(shè)備的公司而言是一個(gè)“權(quán)宜之計(jì)”，但是這并不是一個(gè)理想的長(zhǎng)期策略。

通過(guò)設(shè)備識(shí)別實(shí)施WLAN訪問(wèn)控制策略

為了解決這個(gè)問(wèn)題，大量的網(wǎng)絡(luò)和安全產(chǎn)品目前都使用了設(shè)備識(shí)別技術(shù)。通過(guò)觀察MAC地址、協(xié)議、請(qǐng)求和響應(yīng)，人們可以猜測(cè)（有一定自信的）一個(gè)設(shè)備的制造商、模型和OS。然后這個(gè)“指紋”可以根據(jù)訪問(wèn)控制、設(shè)備分配和策略目的將設(shè)備映射到群組中。

目前，Aruba Networks所擁有的Amigopod  Visitor Management Appliance (VMA)就是一個(gè)設(shè)備識(shí)別工具。該裝置可以監(jiān)控設(shè)備使用公司網(wǎng)絡(luò)所發(fā)送的DHCP和HTTP。例如，通過(guò)檢查這些流量，VMA云，區(qū)分CFO的公司筆記本電腦和他個(gè)人iPad，可以將每個(gè)識(shí)別的設(shè)備映射到正確的訪問(wèn)策略上。CFO的筆記本電腦可能由于其可信任狀態(tài)而得到更寬松的訪問(wèn)權(quán)限，而iPad則只限于企業(yè)的郵件和內(nèi)部網(wǎng)站的訪問(wèn)。然而，這兩種設(shè)備發(fā)送的所有數(shù)據(jù)將受到WPA2-Enterprise的保護(hù)，其中使用802.1X來(lái)控制公司SSID的訪問(wèn)。

這個(gè)例子還漏掉了一個(gè)問(wèn)題：CFO的iPad如何配置才能訪問(wèn)公司的SSID？手動(dòng)配置是一種可能，但是顯然自動(dòng)化分配會(huì)更好一些。

自動(dòng)化的Wi-Fi客戶分配和配置文件

在這個(gè)例子中，我們的CFO可能先將他的iPad連接到訪客SSID，并且訪問(wèn)了提供VMA自動(dòng)登入頁(yè)面。VMA將為我們CFO的iPad生成一個(gè)配置文件，并通過(guò)郵件或SMS發(fā)送。通過(guò)點(diǎn)擊所包含的URL，CFO可以安裝802.1X參數(shù)和證書，從而使能夠iPad訪問(wèn)公司的SSID。

事實(shí)上，現(xiàn)在很多產(chǎn)品都提供這種類型的自動(dòng)化Wi-Fi客戶端分配功能。對(duì)于iPad和其他iOS設(shè)備，Apple的iPhone Configuration Utility可以生成（可選擇鎖定和加密的）Wi-Fi配置文件，它們可以發(fā)送到用戶，發(fā)布在網(wǎng)站上，或者通過(guò)支持iOS4原生MDM的移動(dòng)設(shè)備管理器即時(shí)安裝。

后者適用于AirWatch、BoxTone、MobileIron、Sybase和其他的類型的設(shè)備，可以與企業(yè)的Active Directory注冊(cè)整合在一起，同時(shí)為每個(gè)已經(jīng)批準(zhǔn)的iPad生成證書。如果有一臺(tái)iPad丟失了，那么所有安裝的MDM文件（包括Wi-Fi設(shè)置）都會(huì)被刪除。然而，MDM并不局限于支持Apple設(shè)備——其中很多都可以用來(lái)注冊(cè)和分配Androids、BlackBerrys以及員工擁有的筆記本電腦和上網(wǎng)本。

整合802.1X認(rèn)證和網(wǎng)絡(luò)訪問(wèn)控制

由于有了一種有效新無(wú)線設(shè)備識(shí)別方法，在沒(méi)有IT協(xié)助的情況下使用WPA2-Enterprise進(jìn)行登記并為每個(gè)員工應(yīng)用恰當(dāng)?shù)脑L問(wèn)策略并不是一件困難的事。但是如果WPA2與NAC整合到一起，那么策略的實(shí)施效果更佳。

接入端（AP）和控制器經(jīng)過(guò)簡(jiǎn)單的配置就可以將請(qǐng)求轉(zhuǎn)發(fā)到802.1X認(rèn)證服務(wù)器上——其中有很多甚至已經(jīng)內(nèi)置在使用本地帳戶數(shù)據(jù)庫(kù)的認(rèn)證服務(wù)器上了。為了簡(jiǎn)化多個(gè)供應(yīng)商設(shè)備的互操作性，Wi-Fi Alliance現(xiàn)在對(duì)所有WPA2-Enterprise 認(rèn)證的產(chǎn)品進(jìn)行了Extensible Authentication Protocol (EAP)類型測(cè)試，包括EAP-TLS、EAP-TTLS/MSCHAPv2、PEAPv0/EAP-MSCHAPv2、PEAPv1/EAP-GTC、EAP-SIM、EAP-AKA和EAP-FAST。

然而，在沒(méi)有使用NAC的情況下，802.1X可以作為簡(jiǎn)單交換使用：如果出錯(cuò)您就會(huì)無(wú)法連接無(wú)線LAN；如果成功，您就可以獲得您所在用戶/群組的對(duì)應(yīng)訪問(wèn)權(quán)限（通常是通過(guò)RFC 3580 VLAN標(biāo)簽實(shí)現(xiàn)）。但是，如果與NAC一起使用時(shí)，802.1X就可以根據(jù)用戶/群組的身份和設(shè)備安全狀態(tài)來(lái)執(zhí)行策略決定。雖然NAC可以在沒(méi)有802.1X的情況下執(zhí)行，但是這二種技術(shù)一起使用就可以實(shí)現(xiàn)更強(qiáng)大的企業(yè)無(wú)線LAN訪問(wèn)控制。