英特尔无线网络部署
无线网络不可抗拒的魅力促使英特尔开始为整个公司遍布全球的8万名员工部署802.11b无线局域网(wlan)。802.11b无线标准之所以能够从众多标准中异军突起,独获英特尔的青睐,主要在于它提供了无缝的无线连接,能够显著改进网络访问性能、提高公司生产力。
随着英特尔员工开始采用基于最新英特尔迅驰移动计算技术的笔记本电脑,这一措施变得更具实际意义。英特尔公司的员工经常携带笔记本电脑到会议室和其它场所,借助无线网络,他们可随时接入公司网络。项目小组可根据需要随时上网查找文件、访问演示文稿、发送电子邮件和进行web搜索,而不会打断会议进程。目前,大约有65%的英特尔员工配备了笔记本电脑。
为了部署802.11b网络,英特尔it部门安装了无线接入点(ap)设备,作为将客户机连接到网络的无线基站。这些接入点使用线缆与服务器相连,覆盖范围可达300英尺(视墙壁和楼层的干扰而定)。具有无线功能的笔记本电脑可通过这些接入点无线接入网络。图1 表示了简单的接入点配置。
图1:典型的802.11b无线网络(300英尺半径)
在接入点范围内,业经授权的设备可以接入公司网络
图2:对无线局域网的入侵(wlan)(300英尺半径)
第三方可能利用便携式天线和笔记本电脑窃听802.11b传输
最重要的是,英特尔无线网络使用户能够随意漫游,并始终保持与网络的连接。某一员工将笔记本电脑与其办公桌上的主网络或有线网络断开后,即可以通过无线接入点(ap)建立网络连接。如果会议转到另一个会议室举行,用户将可以通过另一个ap再次登录到网络上。用户所使用的网络资源和服务没有任何变化。
网络安全防护
保护象英特尔公司这样庞大的无线网络并非一件易事。英特尔it部门主要有两个安全目标:
·利用强大的身份验证特性防止非法人员访问公司网络。
·利用优异的加密性能防止数据在传输过程中被窃听。
802.11b技术规范本身提供了一定程度的保护。其内建的wep(有线对等保密)协议是对用户进行身份验证和对数据加密的常用方法。wep打包技术可在传输前将数据打乱,之后使用名为共享密钥验证(shared key authentication)的算法对客户机进行身份验证。理论上只有享有接入点发出的密钥的人员才能破译信号。但在实际使用中,wep并不能满足英特尔对网络安全的要求。从802.11b数据流中可以获取用于打乱数据的密钥基础结构。这意味着黑客可以重新组织起有效密钥,并利用它们伪装成网络的授权客户,进入到采用wep保护的802.11b无线网络。经过精挑细选,虚拟专用网(vpn)技术最终获得了英特尔it部门的青睐。
虚拟专网安全解决方案
虚拟专网(vpn)旨在使客户机系统能够通过公共互联网安全地连接到服务器上。它采用了强大的身份验证和加密机制,并在过去几年里经受住了重重的考验。此外,vpn还能够在两点间建立一个通道,使在互联网上传输的数据避免遭到入侵。
vpn安全方案建立在互联网密钥交换(ike)协议之上。该协议是ipsec(ip安全的缩写)的一部分,它提供了三种身份验证协议,用以保护数据和通信。it管理员可以使用密钥加密技术对数据包中的标头和有效负载进行加密,从而使得数据包可以在传输过程中抵御住所有已知的攻击。在互联网密钥交换协议中,可以使用双方之间的预共享私密密钥或标准公共密钥加密技术来对数据包进行加密。此外,互联网密钥交换还支持数字证书,从而在数字证书通过认证机构(如versign等)的验证后,可为数据提供另一层的保护。
vpn获得了希望通过公共互联网提供远程网络接入的公司的广泛认可。通过在系统间建立安全链路,它可以使公司摒弃使用众多昂贵的调制解调器。随着宽带互联网接入的不断发展,vpn还将可以提供更快、更安全的远程网络接入。
<
