本模块内容
欢迎使用安全无线 LAN(Microsoft® Windows® Server™ 2003 证书服务解决方案)规划指南。本模块是该解决方案若干组成模块中的第一个。本规划指南有两个主要目标:帮助您明智决策本解决方案是否适于您的企业;使您深入理解本解决方案的技术设计及相应的决策理由。
本指南分三部分,每一部分在逻辑上都是前一部分的继续。第一部分是制定安全无线网络策略,它描述了采用无线 LAN (WLAN) 的商业动机,并与可能在很多 WLAN 实施中出现的严重漏洞威胁相比较,从中得出权衡后的方案。这里的讨论内容是提出安全 WLAN 实施策略的基础。第二部分是确保无线 LAN 解决方案体系结构的安全,它根据建议的 WLAN 策略开发了一套逻辑解决方案设计,并明确了要实施的主要组件。模块设计公钥基础结构、设计可确保无线 LAN 安全的 RADIUS 基础结构和使用 802.1X 设计无线 LAN 安全性是最后一部分,占用了本指南的大部分篇幅。上述模块定义了“确保无线 LAN 解决方案体系结构的安全”模块中标识的每个组件的详细设计。下面将详细说明这些模块的内容。
不同于很多规划指南,本指南有意编写成说明性的。目的是生成单一有效的设计,从而作为本类型解决方案的参考。如果有不同的设计选项,本文档将探讨采用不同决策的基本原理,并适当指出可选的其他策略。希望这样的模块能为您提供除了实际必需的设计以外的更多信息。贯穿本指南的宗旨是,最终获得单一可实施的解决方案,并通过实际的实施和测试,可按本指南所述的功能正常运行。
安全无线 LAN 规划指南简介
本模块提供了本指南其他部分的背景信息。
制定安全无线网络策略
本模块主要介绍如何选择安全无线网络解决方案。文中探讨了采用 WLAN 技术的商业推动因素,以及安全采纳该技术所需解决的安全问题。然后讨论了解决安全问题的不同选项,并基于强身份验证和数据保护提出使用公钥证书的解决方案。本决策基于在大中型组织中评估的安全需求,并在实现短期强健安全性和长远确保投资安全两方面进行了权衡。
安全无线 LAN 解决方案体系结构
本模块探讨了安全无线解决方案的体系结构设计。首先是基于 802.1X 和 EAP - TLSWLAN 的解决方案运行情况概述,本解决方案的关键组件如下:
• WLAN 基础结构,它支持强健的身份验证和数据保护标准
• RADIUS(远程身份验证拨入用户服务)身份验证基础结构
• 公钥基础结构 (PKI)
将前面模块中描述的安全要求与目标组织的配置情况相结合,然后编制一套本解决方案的设计标准。描述基于这些标准的逻辑设计,并显示调整设计的不同选项以满足不同规模组织的需求。
最后,本模块介绍了一些方法,其中提出的设计可用作构建其他网络访问解决方案的基础,如虚拟专用网络 (VPN) 和有线网络访问控制。同样,简要说明按相同的脉络介绍了如何在设计中使用 PKI 组件来支持各种安全服务和应用程序。
设计公钥基础结构
本模块逐步介绍了基于 Microsoft 证书服务的 PKI 设计。除了 WLAN 安全,很多组织希望将 PKI 用于其他应用程序(安全电子邮件、文件加密、智能卡登录等)。因此,本设计平衡了针对安全 WLAN 的相对简单、低成本的证书解决方案,及有扩展性(支持很多不同的应用程序)的灵活安全解决方案。
完成了证书需求文档后便是设计正确的证书颁发机构 (CA) 层次结构。讨论内容有:将 CA 与 Microsoft Active Directory® 集成、目录服务、Microsoft Internet 信息服务 (IIS) 及其他 PKI。最后是制定证书管理计划和创建证书模板。
设计安全无线 LAN 的 RADIUS 基础结构
本模块介绍了 RADIUS 基础结构的详细设计,可向 WLAN 提供强身份验证和安全密钥管理服务。其中概述了如下内容:如何实施使用 Microsoft Internet 身份验证服务 (IAS) 的 RADIUS、如何使用 RADIUS 提供广阔的网络访问管理解决方案、如何将 RADIUS 应用于特定 WLAN。模块枚举了解决方案的环境先决条件,详细讨论了构建 802.1X WLAN 的 RADIUS 基础结构所面临的设计决策。此外,还探讨了及时维护 IAS 服务器基础结构的管理策略。
使用 802.1X 设计无线 LAN 安全性
本模块描述了无线网络安全方面的体系结构和设计(不涉及与安全无关的无线网络设计问题)。主要内容包括:基于 802.1X 的解决方案如何解决基本的有线等效专用 (WEP) WLAN 中的问题、使用证书和密码的决策、标识成功部署的先决条件。后续章节讨论了如何选择 WLAN 安全选项、如何在 RADIUS 访问策略中配置这些选项、无线访问点 (AP) 和客户端(使用组策略)。最后,本模块讨论了一些关键的部署问题,如处理漫游配置和引导仅限无线的客户端的配置。
本指南适用对象
本指南的主要读者是信息技术 (IT) 结构设计人员和商业决策者(尽管只有模块“制定安全无线网络策略”与后者相关)。结构设计人员将专注于模块“制定安全无线网络策略”和“安全无线 LAN 解决方案体系结构”以及剩余模块中需特别注意的地方。在某些组织中,可能有不同的组来负责解决方案的不同组件。因此,正确的做法是让相关的专家来关注与其专业领域相关的模块。
此外,IT 结构设计人员还要熟悉构建、操作和测试方面的指南,以确保与组织的总体 IT 策略保持一致。
从事解决方案构建、部署和管理的 IT 专业人员也要熟悉本解决方案的总体体系结构和设计。
IT 安全专员也要通读本指南,特别是后面的模块。组织中负责 IT 安全的人员一定要在部署系统并投入生产环境之前阅读并审批设计、构建和操作说明,这一点非常重要。
