本模块内容

本模块从概念上描述了使用 EAP-TLS 的基于 802.1X 的安全无线 LAN (WLAN) 解决方案。基于这个概念性的解决方案，并使用从公司实例中得出的设计标准，您可生成相应的逻辑设计，该逻辑设计即实施组织解决方案的基础。

返回页首

目标

使用本模块可以实现：

返回页首

适用范围

本模块适用于下列产品和技术：

返回页首

如何使用本模块

本模块在概念上概述了如何基于 802.1X 和可扩展验证协议（传输层安全 (EAP-TLS) 功能）来设计安全的 WLAN 解决方案。您可根据自己的情况按需调整解决方案的设计。

为充分理解本模块，请：

返回页首

概念设计

如上一模块的讨论，无线网络本身有很多固有的严重安全缺陷。这些缺陷至多仅有一部分能通过 IEEE（电气与电子工程师协会）802.11 标准中指定的有线对等保密 (WEP) 来解决。建议的解决方案必须解决如何保证无线网络通信安全的问题。为此，理想的解决方案要有如下功能：

结合使用网络访问控制的 802.1X 标准与安全验证方法（如 EAP-TLS）可满足上述部分要求。高强度 WEP 提供了通信流的安全加密，但在密钥管理方面比较薄弱。Microsoft 和其他供应商已开发了基于标准的方法，可更安全地管理 WEP 加密密钥，并将其作为 EAP 身份验证过程的一部分。WiFi 保护访问 (WPA) 标准是行业标准集，其中包括了所有这些标准以及密钥管理（在其他改善中）的标准化协议（即所谓的“临时密钥完整性协议”(TKIP)）。这是迈向 WLAN 安全的重大一步，并已受到大多数分析师的认可。

注意：在所有的 WPA 改进中，没有一个能解决 802.11 和 802.1X 的 DoS 缺陷。DoS 缺陷并不像 WEP 的其他任何缺陷那样严重，几乎所有论证过的 DoS 攻击都只导致临时的混乱。但它仍是某些组织极其关注的问题，也是 IEEE 802.11i 标准发布（2004 年某日）前不可能解决的一个问题。

尽管 Microsoft Windows XP 操作系统支持 WPA，但截至编写本解决方案之时，尚未有任何一家无线 AP 供应商发布支持 WPA 的产品。因此，本解决方案的设计旨在适于 Microsoft 动态 WEP 的实施和 WPA 的实施。前者受大多数供应商支持。为了达到这样的设计目的，后面将交替介绍两种方法。究竟选择哪一种方法对设计没有重大影响。

下表大致显示了选定解决方案（802.1X EAP-TLS 身份验证）的概念图表。

图 1
基于 802.1X EAP-TLS 身份验证的解决方案概念

图表描述了四大组件：

图表中的数字说明了网络访问过程，下面将详细描述这些步骤：

下面的图表详细描述了这一过程。

图 2
802.1X EAP-TLS 访问过程

这个图表详细显示了各个组件。后面的章节将返回至本图作进一步扩展；但现在，您必须记下本方案所指的 NAAS 的几个子组件：证书颁发机构 (CA)、目录和 RADIUS。尽管从概念上讲，这些子组件执行的是相对简单的任务集，但要使用一种可伸缩、可管理、可靠的方式来安全地执行这些操作，则需具备相当复杂的支持基础结构。在本指南的其他模块中，大部分的规划、实现和管理内容都涉及这些方面。

返回页首

解决方案设计标准

描述了本解决方案的基本概念之后，必须提出它的关键设计标准。这些内容提供的相关指导可将解决方案概念转化为可真正实现的设计。

为此，必须勾画出本解决方案适用的目标组织简要描述。

目标组织

本节的组织描述仅限于提供设计标准的上下文。如果要评估组织解决方案的适用性，应重点关注设计标准是否有意义，而不是组织是否与下面的描述相似。

目标组织可能已在某些位置部署了 WLAN，以期最大限度降低网络基础结构成本，并增加员工的活动能力和生产效率。组织可能在安全需求方面有更明确的认识，并已部署了若干技术来增强信息技术 (IT) 的安全性。例如，域身份验证、Internet 防火墙、病毒扫描程序、远程访问和虚拟专用网 (VPN) 解决方案。组织很有可能长期规划使用大量其他高安全应用程序（如文件加密和安全电子邮件）。

该组织的逻辑/物理网络布局类似下图（大大简化）。

图 3
目标组织网络和物理布局示意图

尽管仅显示了一个大的外部办公室和一个小型外部办公室，但实际上，每种办公室都可能有几个。为了清晰起见，图中仅显示了少量的服务器和客户端，但这并不代表组织的规模。

在一定限度内，目标组织的大小对解决方案设计标准的影响相对较小。如果规模较小，总部可能有几百位员工，分部有数十位员工。如果规模较大，总部员工可能有数千位员工，外部办公室也有数百位员工。通常，两类组织都有小办公室，办公室里员工不多。

组织要求

像上面描述的组织一般都有如下几种解决方案要求：

同时，通常还有很多其他更常规的技术要求：

解决方案设计标准

根据这些要求，可确定下表中的标准来支持解决方案设计。

表 1：解决方案设计标准

返回页首

解决方案逻辑设计

本节描述了逻辑方面以及逻辑－物理方面的解决方案设计。其中涉及实际组件的规格和摆放位置，但不包含物理设计细节（如服务器硬件规格）。

概念设计回顾

下面的图表已在本模块前面出现过。下一节将分析图表中描绘的各种组件，以及它们是如何在整个设计中相互配合的。

图 4
网络访问过程的概念视图

逻辑设计

如果按上图来分组组件，则在理解 WLAN 访问过程的角度上来看是有意义的。但是，若要形成模块化、实施简化的逻辑设计，只有将这些组件按所需 IT 服务相互间相对独立的部署方式分组才有意义。

选定的组件分组方式允许通过模块查看整个设计，这种模块的方式可最大限度重用组件。例如，可以将 PKI 组件仅用作验证 WLAN 用户身份的方式。但这可能限制了 PKI 组件对于其他应用程序的重用性。同样，RADIUS 组件的设计应考虑将来其他应用程序的支持要求。显然，这需要考虑到成本。而且，模块化和重用要求的优先级不能超越解决方案的商业价值。

设计中的 IT 服务将按下列逻辑组分组：

最后一个组件包括目录和支持网络服务，它由组织中通常已存在的 IT 服务组成，本方案只是以某种方式对它们加以利用或进行交互而已。

图 5
安全 WLAN 解决方案的逻辑设计

逻辑－物理

在逻辑-物理层面上，设计可显示这些组件是如何作为物理服务器实现的，它们如何链接在一起，以及它们如何分布在目标组织的不同站点之间。但是，虽然下图显示的服务器数通常正确，但它们也只是演示性的。服务器数和摆放位置的最后确定将在本指南后面的详细规划模块中讨论。

总部

下图描绘了总部服务器的实现。只有上面三个组件代表了必须采购的新服务器或组件。通常，大多数组织的基础结构服务组件已以某种形式存在。如果组织已部署了启用 802.1X 的 WLAN 设备，WLAN 组件可能已存在，不需要进行新的采购。

图 6
总部服务器实现

大型分支/区域办公室

下图描绘了大型办公室的物理布局。与小型分支办公室不同的是，它有一个本地域控制器。远程办公室部署了一个 IAS 服务器。尽管它被描绘成一个独立的服务器，但它可作为域控制器上的一项服务来运行。

注意：如果与总部的 WAN 链路可靠（也即，存在冗余网络链路）且不是过度拥挤，则大型分支办公室可使用总部 RADIUS 服务，而不必有自己的 RADIUS 服务。这将在本指南的模块设计可确保无线 LAN 安全的 RADIUS 基础结构中详细讨论。

所有其他服务（例如 CA）都由总部提供。

图 7
大型办公室的物理布局

小型分支办公室

小型分支办公室可以有（或没有）一些本地 IT 服务（例如文件服务器和打印机），但通常没有任何身份验证基础结构。这里并未描绘小型分支办公室，因为它没有部署任何服务器基础结构。有些组织可能认为，这些办公室不需要也没有理由有任何 WLAN 服务。而另一些组织认为，使用临时办公室不用布置和管理网络电缆，因此是一种灵活性很强的方案，其前景非常光明。

如果缺少本地域控制器的小型办公室需要使用 WLAN 服务，本地无线 AP 将依赖总部的 IAS 和域身份验证基础结构。但这样做的主要问题是，如果与总部的 WAN 链路出现故障，则将失去所有 WLAN 连接。通过提供 WAN 冗余作为代价可解决这一问题，但该方法没有简单的解决方案。需记住的一点是，如果客户端失去了对域控制器的访问，它们无论如何也无法通过身份验证来访问任何本地或远程资源。

另一种不算安全的可选办法是，部署支持静态 WEP 和密钥滚动的无线 AP。这些无线 AP 功能是供应商特定的，但能改善静态 WEP 的安全，它们没有 RADIUS 服务器也可以工作。

可伸缩策略

关键设计标准之一是设计可伸缩性。解决方案必须广泛支持各种实施规模，且成本与实施相当（即，500 用户的实施方案成本应按一定比例低于 5000 用户的实施方案）。必须考虑组织规模的实施和管理复杂性。

大型组织

下面的图表描绘了如何使设计向上伸缩，从而适应有大量用户的总部和大型区域办公室。很有可能 IAS 服务器还为其他网络应用程序（如 VPN）提供服务。（有关详细信息，请参阅本模块后面的扩展设计部分。）因此，必须考虑这些因素来确定服务器的精确布局。此处显示的其他 RADIUS 代理 IAS 服务器仅供图示使用。

解决方案向上伸缩版本中所需的服务器以黑色阴影显示。

图 8
向上伸缩策略图示

小型组织

考虑另一极端，实施解决方案仅需相对较少的新硬件和软件。这主要通过组合现有域控制器上的 IAS 服务来实现。这已通过 IAS 产品组的广泛测试，建议在大多数方案中使用。下面的图表描绘了这种设计变化。

图 9
向下伸缩策略图示

RADIUS 组件在此处仍显示为逻辑分离的（为了符合上一图表中的布局，以便比较），但实际上它是作为已存在的域控制器中的一个过程实现的。此版本解决方案所需要的唯一服务器是 CA，它们以阴影显示。

扩展设计

另一关键设计标准是组件对将来应用程序的重用性。RADIUS 组件和 PKI 组件都可通过重用为大量应用程序提供验证和其他安全服务。

用于来宾访问的无线 LAN

有些组织可能希望将访问公司资源的未经身份验证的用户或合约商限定在可访问无线网络的有限内容。尽管本解决方案不包括这一功能，但通过对设计进行配置，可允许根据出示的客户端凭据（或没有凭据）访问不同的虚拟局域网 (VLAN)。这项功能允许访问者访问公司防火墙外无安全保障的 VLAN，使他们能访问 Internet，同时还可连接回自己的组织。

来宾访问 VLAN 的另一用途是，使新客户端不必连接有线网络即可获得凭据（例如，注册一个证书）。显然，这预示着必然存在某些其他充分有力的身份验证和访问机制，该机制可控制什么人能获得凭据，什么人不能获得凭据。关于这个问题的讨论已超出本文档的范围。

其他网络访问服务

本解决方案使用的 RADIUS 设计可为其他网络访问服务器（例如 802.1X 有线网络身份验证、VPN 和远程访问身份验证）提供身份验证、授权和记帐服务。

802.1X 有线网络身份验证

无需修改基本 RADIUS 设计的最简单的应用程序是 802.1X 有线身份验证。广泛分布有线网络基础结构的组织可能会发现，控制公司网络的未授权使用非常困难。例如，通常很难阻止访问者插入便携式计算机，或雇员在网络中添加未授权的计算机。网络的某些部分（如数据中心）可能是指定的高安全级区域。只有经授权的设备才能访问这些网络，而且使用公司计算机的雇员也不能访问这些网络。

下面的图表描绘了有线网络访问解决方案是如何集成的。在前面的设计图表中，阴影框代表 802.1X 有线组件，白框则包含相关服务。

图 10
802.1X 有线身份验证的使用

启用 802.1X 的网络交换机在核心解决方案中与无线 AP 扮演着同样的角色，可以利用同一 RADIUS 基础结构来验证客户端，并有选择地授权访问适当的网段。一个明显的优势是，可在公司目录中集中管理帐号，但网络访问策略仍受网络安全管理员的控制。

使用 RADIUS（特别是 IAS）的另一个优势是，可以利用隔离策略。如果连接时执行客户端检查（为确保客户端有最新的防病毒软件，或运行的操作系统版本通过了公司的认可）并基于检查内容作出访问决定，则这一策略有效。因此，即使是经授权的用户和计算机，只要对网络有威胁，也会被拒绝访问。

VPN 和远程拨号身份验证

另一种利用 RADIUS 组件的网络访问服务是 VPN 和远程拨号。特别是在大型组织中，可能需要添加某些设备才能实现这样的设计，例如，添加 RADIUS 代理。下面的图表显示了扩展解决方案的设计。

图 11
扩展 RADIUS 组件以支持 VPN

本解决方案中的 VPN 服务器与核心设计中的无线 AP 一样承担同样的 NAS 角色。它们将客户端身份验证请求传递到 RADIUS 基础结构中。尽管将 RADIUS 请求直接传递到内部 IAS 服务器是可能的，但使用 RADIUS 代理层将请求转发到内部 IAS 服务器上更安全。

本解决方案还有一个优势，即可以利用现有的基础结构和集中式帐户管理，但访问策略控制仍受网络安全管理员的监管。深层的增强功能（如委托基于智能卡的用户身份验证、隔离客户端）增加了解决方案提供的全面安全性。Microsoft 对内部员工使用类似的设置，允许它们安全连接公司网络。

如果将路由和远程访问服务 (RRAS) 的拨号服务器用作 NAS（而非 VPN 功能），拨号远程访问的工作方式类似。

PKI 应用程序

由于重用性和扩展性标准非常重要，因此决定设计 PKI 组件，以便将来可用于各种不同的安全应用程序。如下一模块的讨论，PKI 设计是一种混合策略：一方面，可使成本和复杂性最小化（作为安全无线解决方案设计的一部分），另一方面，可维护足够的灵活性以便将来用作其他应用程序的基础。

下面的图表描绘了 PKI 组件和安全无线解决方案支持的几个应用程序。其中一些应用程序相对简单，且可利用本方案中的 PKI，您基本上不必对设计作出任何修改。另一些应用程序（如安全电子邮件和智能卡登录）比较复杂，您必须对 PKI 解决方案进行深入仔细的考虑和扩展。

图 12
PKI 应用程序

返回页首

重新评估的设计标准

在结束本模块之前，有必要重新检查一下设计标准列表，明确建议的设计究竟在多大程度上满足了预定目标。下面的列表给出了汇总情况。但其中很多内容仅在后面的详细设计模块中充分讨论。

返回页首

小结

本模块分析了使用 EAP-TLS 的 802.1X 解决方案的概念设计，并在基础结构层面上解释了各种关键组件。此外，模块还概述了本解决方案适用的目标组织，以及用于实施解决方案的设计标准。

然后，设计标准将用于使概念设计转化为逻辑解决方案设计。其中包括调整实施选项（以适应不同规模和需求的组织）、扩展基本设计（以支持其他网络访问和安全应用程序）。最后，模块针对建议的设计重新回顾了主要的设计标准。这种回顾也是开始规划指南其余部分的入口。

下面三个模块对本方案中的每一个主要基础结构组件都进行了详细设计，包括 PKI、RADIUS 基础结构和 WLAN 安全设计。