PDF《室外无线安全的最佳实践》

2016 思科和/或其附属机构.版权所有.本文档所含内容为思科公开发布的信息. 第3页,共5页?建立单独的 WLAN(SSID/VLAN)DD可以被用于分隔不同的用户群组,以提高安全策略的等级. ? 使用严格的加密DD如果移动设备可以提供支持,那么符合行业标准的 Wi-Fi 受保护接入(WPA)或者 WPA2 将是 首选加密方式.Cisco Aironet?和思科兼容客户端(即经过思科兼容扩展计划验证,可以与思科产品互操作)都 支持 WPA 和WPA2. ? 在客户端和网络之间部署双向身份验证DDIEEE 802.1X(WPA 或者 WPA2 所采用的身份验证方法)可以对客户端 提供强大的身份验证.一个 IP 安全(IPSec)或者 SSL VPN 也将提供强大的双向身份验证. ? 利用 VPN 或者有线等效隐私(WEP)和MAC 地址控制列表来保护不支持 WPA 或者 WPA2 的专用设备DDVPN 可以为网络和设备的安全提供最佳的保护,因而我们强烈建议客户使用 VPN.如果移动设备只支持 WEP,那么最 好使用定期密钥 轮换和额外的 MAC 地址控制加强安全管理,而不是敞开网络. ? 部署一个不在本地存储安全信息的轻型接入点架构DD思科统一无线网络是一种轻型接入点架 构.这意味着敏感的 安全信息不会存储在本地接入点,而是集中存放在思科无线局域网控制器.因为控制器可以部署在锁闭的网络配 线间内部,所以失窃的可能性很 低.任何失窃的无线网格接入点都不会提供任何可能危及网络的安全信息. ? 确保管理端口得到安全保护DD利用 SNMPv

3、SSH 或者 SSL 来保护无线网络的管理接 口.一个像思科统一无线 网络这样的轻型架构非常适用于室外无线网络,因为所有配置改动都可以通过安全部署在室内的思科无线控制系 统(WCS)集中管理.不 能通过无线方式对 Cisco

1500 系列接入点的配置进行任何改动.思科 WCS 还可以降 低长期运营开支(OpEx),因为所有升级任务都是集中完成,消除了对每个接入点进行现场升级 的需要. ? 掩藏或者保障接入点设备,防止被篡改DD尽管放置在露天环境中........