安全指南：结合VPN与AP增强安全性_动网_社区论坛·开发者网络源动力

询问任何熟悉安全的IT专业人员有关在企业环境中使用无线网络的问题，他们都会告诉你，普通的AP安全措施并不能真正解决问题。无线通信的广播性质、日益高级的无线监听工具和破解无线AP传输数据的手段，都表明不采用额外的措施，无线网络并不安全。大多数专家建议，把无线AP放在自己的网段中，并将这一网段用防火墙保护起来，防止内部网的其它部分与无线AP连接起来。

采取的下一个步骤是让你的所有的无线客户使用虚拟专用网软件，你的无线网络会更安全一些。同时，如果你的网络有一个DMZ（半军事化区，内部网络与外部互联网之间的半安全区域），就使用这个DMZ。如果没有DMZ，就坚持使用老的方法，使用单独的电缆隔离或者AP的虚拟网络，让数据在进入内部网之前通过一个防火墙，只让这个通信停留在网络的安全的一边。

有两种方法可以把虚拟专用网和无线AP结合起来。第一种方法是把AP放在Windows服务器的接口上，使用Windows内置的虚拟专用网软件增加无线通信的覆盖范围。这种方法允许你使用内置的Windows客户端软件以及L2TP和IPSec软件，为你的无线网路的通信进行加密。这种技术也适用于支持同样的内置或者免费的虚拟专用网客户端软件的其它操作系统。这个方法的好处是使用内置的软件，客户端软件的变化很小，非常容易设置和应用，不需要增加额外的服务器或者硬件成本。这种方法的不足是增加了现有的服务器的额外负荷（根据你提供服务的AP的数量和使用这些AP的客户数量的不同，负荷也有所不同）。服务器执行其它的任务也许会效果不好。如果同一服务器还提供防火墙功能，额外负荷可能会提示使用其它的服务器或者采用不同的方法。

第二种方法包括使用一个包含内置虚拟专用网网关服务的无线AP。SonicWall、WatchGuard和Colubris等公司目前提供一种单个机箱的解决方案。这种解决方案集成了AP和虚拟专用网功能，使应用无线安全网络更加容易。这种预先封装在一起的两种功能结合在一起设备很容易安装、设置、配置和管理，而且很容易强制规定政策，让每一个无线连接都使用虚拟专用网完成连接。由于这种方法在使用的时候很容易选择，加密也更加合理了，避免了802.1x加密为虚拟专用网连接增加的费用。这种方法的弱点包括价格昂贵，购买新的机器只能满足新的无线局域网子网的需求，在不更换硬件的情况下很难从一种无线技术升级到另一种技术。

混合的方法也许包括与现有无线AP一起使用客户端软件，并且计划过渡到新的基于设备的产品。另一种方法是指定一台在DMZ（或者在自己的网段）的服务器，专门处理无线连接、VPN网关需求以及防火墙信息，开启或关闭无线网段。但是，在其中增加一个虚拟专用网，你可以提高安全性并且感到更有信心，有时日常网络通信在无线网络中像在有线网络中一样安全。（　　