尽管许多企业和用户已经开始采用无线局域网,但是都感觉它的安全性远不如通常的企业网。因为传统802.11无线局域网缺乏可靠的加密手段和用户认证手段,而且也缺乏针对不同用户的权限控制方案,不能做到记账、日志等服务,因此其功能是相当有限的。针对这种情况,SMC提出了自己的以VPN为安全通道,以认证服务器、权限治理器、日志记录服务器为组件的安全解决方案。
SMC的无线安全解决方案,主要包含三个逻辑功能模块:无线访问治理器、控制服务器和权限治理器。从硬件产品角度来说,方案主要由两款产品构成:一是SMC2504W无线安全服务器,包含全部三个逻辑功能模块,即一个4端口的无线访问治理器模块、控制服务器模块和权限治理器模块;第二个是SMC2502W无线访问治理器,仅包含有一个4端口的无线访问治理器模块。这两款产品在整个无线局域网的构架中,担负起了从无线客户端到有线网络的防火墙功能。
SMC无线安全解决方案
对于一个安全的无线局域网来说,至少需要一台无线安全服务器(SMC2504W),假如整个网络中AP数量多于4个,则根据需要扩展一定数量的无线访问治理器(SMC2502W)。
SMC无线安全解决方案具体的实现过程是这样的:
1.客户机开始请求访问网络资源,请求信息到达访问治理器。
这里所说的无线访问治理器既可以是一台硬件设备(SMC2502W),也可以是内置在无线安全服务器(SMC2504W)中的无线访问治理器组件。它负责建立一条从客户端到访问治理器的VPN隧道,保证从无线客户端到网络用户通信的安全。
2.访问治理器询问权限治理器,查看该用户是否可以具有相应的权限。权限治理器通过设定用户组、用户位置和定义对于用户组、位置的策略,可以控制哪些用户、在哪些时间段、可以通过哪些AP、访问网络中的哪些资源。所有非法的访问将被拒之门外。
3.控制服务器检查自己的数据库,若该用户没有经过认证,则发送一条要求认证的通知,请求客户端的登录信息。控制服务器位于无线安全服务器(SMC2504W)上,它负责协调所有的访问治理器之间的通信,以实现无线用户的无缝漫游。
4.客户端发送登录信息。
5.控制服务器通过内建的或者外部的认证服务器认证用户。
6.控制服务器通知访问治理器用户所拥有的权限。
7.用户得以访问其权限内的网络资源,而没有权限的网络资源将不能访问。
实际使用过程中,用户可以在不同的AP之间进行漫游,即使他们是连接到不同的无线访问治理器也如此。
SMC的无线安全服务器还内置有日志功能,可以将每个会话的数据流量、通话时间等要素记录下来,并可以输出到外部的日志服务器,这样就可以完成日志记账的功能。在这个基础上开发一些接口软件,还能达到按时计费或者按流量计费的目的。这对于在一些公共的热点场所(HotSpot)提供无线的Internet接入服务是十分有用的。