集中式無(wú)線(xiàn)局域網(wǎng)（WLAN）架構(gòu)的應(yīng)用極大降低了成本并簡(jiǎn)化了無(wú)線(xiàn)系統(tǒng)管理、安全和升級(jí)任務(wù)，使其得到了普遍應(yīng)用和快速發(fā)展。

　　特別是，隨著802.11n和Mesh技術(shù)的推出，無(wú)線(xiàn)網(wǎng)絡(luò)正在成為有線(xiàn)以太網(wǎng)的可選替代品。但是對(duì)于取代有線(xiàn)網(wǎng)絡(luò)而言，Wi-Fi必須提供高安全性和可靠性。那么有哪些措施可以防止非法訪(fǎng)問(wèn)？網(wǎng)絡(luò)管理員如何監(jiān)控那些“看不見(jiàn)”的東西呢？

　　雖然一些標(biāo)準(zhǔn)如Wi-Fi WPA2和802.11i能夠提供全新水平的無(wú)線(xiàn)安全能力并且得到了新的監(jiān)視和入侵保護(hù)工具的支持，但企業(yè)更感興趣如何將IT安全和物理安全的優(yōu)點(diǎn)結(jié)合在一起。

　　遺憾的是企業(yè)很難為無(wú)線(xiàn)網(wǎng)絡(luò)設(shè)置增加物理安全的防范措施。那么，企業(yè)如何平衡在為自己的員工和訪(fǎng)客提供移動(dòng)技術(shù)便利的同時(shí)，提供對(duì)這種難以管理的自由性進(jìn)行必要檢查之間的矛盾呢？

　　例如，企業(yè)不希望員工訪(fǎng)問(wèn)的敏感信息，如人力資源、財(cái)務(wù)或新產(chǎn)品文檔，雖然它們也在無(wú)線(xiàn)局域網(wǎng)可達(dá)范圍內(nèi)。財(cái)務(wù)部門(mén)實(shí)現(xiàn)移動(dòng)很有意義，需要限制除財(cái)務(wù)部門(mén)以外的無(wú)線(xiàn)訪(fǎng)問(wèn)，以阻止其他人可能看到敏感資料。

　　這就是基于定位的安全技術(shù)發(fā)揮作用的根本所在：基于用戶(hù)的位置限制WLAN訪(fǎng)問(wèn)權(quán)限。這樣，除了增加了一個(gè)安全層，定位控制再加上訪(fǎng)問(wèn)權(quán)限還可以防止網(wǎng)絡(luò)單元的過(guò)載（并且阻止“拒絕服務(wù)”的攻擊），以及限制訪(fǎng)客在哪里可以訪(fǎng)問(wèn)網(wǎng)絡(luò)。

　　當(dāng)今先進(jìn)的WLAN交換機(jī)可以通過(guò)采用無(wú)線(xiàn)接入點(diǎn)采集的數(shù)據(jù)來(lái)報(bào)告便攜機(jī)或移動(dòng)設(shè)備的位置。這些所謂的“定位”服務(wù)已經(jīng)被廣泛應(yīng)用于跟蹤企業(yè)的資產(chǎn)。例如，在醫(yī)院，它們被用來(lái)定位醫(yī)生、輸血設(shè)備和外科手術(shù)設(shè)備的位置。但是，該項(xiàng)技術(shù)能夠以“地理圍欄”的形式在安全方面發(fā)揮更大的作用。“地理圍欄”這一術(shù)語(yǔ)主要指基于移動(dòng)員工和訪(fǎng)客的地理位置以及授權(quán)狀態(tài)等因素，從而限制對(duì)網(wǎng)絡(luò)訪(fǎng)問(wèn)的活動(dòng)。

　　用戶(hù)的身份基于一種或多種ID（如RFID訪(fǎng)客牌和移動(dòng)Wi-Fi設(shè)備）來(lái)建立，同時(shí)采用定位算法來(lái)確定具體ID的位置，這樣就實(shí)現(xiàn)了對(duì)某人適當(dāng)?shù)木W(wǎng)絡(luò)訪(fǎng)問(wèn)級(jí)別的設(shè)定。其基本的前提是圍繞每一個(gè)移動(dòng)設(shè)備和每名用戶(hù)建立了一個(gè)虛擬的訪(fǎng)問(wèn)圍欄。這就是它的工作原理。無(wú)線(xiàn)交換機(jī)“跟蹤”用戶(hù)在樓內(nèi)的行動(dòng)，根據(jù)他的授權(quán)狀態(tài)和是否在指定的允許區(qū)域，來(lái)認(rèn)可或拒絕他對(duì)網(wǎng)絡(luò)資源的訪(fǎng)問(wèn)。

　　另外，它還設(shè)定了只有當(dāng)ID卡（物理安全）符合提供給指定的用戶(hù)和他的移動(dòng)設(shè)備時(shí)，才能訪(fǎng)問(wèn)無(wú)線(xiàn)局域網(wǎng)和網(wǎng)絡(luò)資源，這樣就極大地降低了某人使用其他用戶(hù)的便攜機(jī)或移動(dòng)設(shè)備訪(fǎng)問(wèn)網(wǎng)上非授權(quán)信息的可能性。

　　再舉一個(gè)例子，無(wú)線(xiàn)交換機(jī)能夠?qū)υL(fǎng)客進(jìn)行監(jiān)視，當(dāng)他在會(huì)議室與公司其他員工在一起時(shí)允許訪(fǎng)問(wèn)WLAN，而離開(kāi)會(huì)議室之后的訪(fǎng)問(wèn)則予以拒絕。同時(shí)，“地理圍欄”還可以在訪(fǎng)客離開(kāi)允許區(qū)域后發(fā)出告警信息，并終止WLAN訪(fǎng)問(wèn)。

　　采用RFID標(biāo)簽和閱讀器，企業(yè)可以記錄用戶(hù)何時(shí)通過(guò)某個(gè)RFID門(mén)和閱讀器，以進(jìn)行總體資產(chǎn)跟蹤。但是，最準(zhǔn)確的定位信息一般是依靠稱(chēng)之為Wi- Fi三角定位的技術(shù)來(lái)獲得。這樣，采用WLAN接入點(diǎn)和支持位置功能的無(wú)線(xiàn)交換機(jī)，企業(yè)可以通過(guò)以3個(gè)或更多接入點(diǎn)為信標(biāo)，測(cè)量發(fā)射物體的信號(hào)強(qiáng)度或?qū)υO(shè)備進(jìn)行探測(cè)，來(lái)跟蹤網(wǎng)絡(luò)中的每一個(gè)移動(dòng)設(shè)備。

　　因?yàn)榇蠖鄶?shù)企業(yè)的無(wú)線(xiàn)局域網(wǎng)在進(jìn)行配置時(shí)都是為了確保最優(yōu)的應(yīng)用吞吐量，所以通常在接入點(diǎn)覆蓋范圍方面有很大的交疊。這意味著在任意地點(diǎn)，一個(gè)移動(dòng)設(shè)備都能與某個(gè)接入點(diǎn)連接，但同時(shí)仍然可以看到和連接附近的其它接入點(diǎn)。采用Wi-Fi三角定位方法對(duì)移動(dòng)設(shè)備定位時(shí)，需要樓內(nèi)的3個(gè)接入點(diǎn)。該方法有3 到5米的定位誤差，準(zhǔn)確度超過(guò)90%。

　　有些企業(yè)組合使用Wi-Fi、RFID和其它新技術(shù)來(lái)得到更加詳細(xì)的位置信息，稱(chēng)之為復(fù)合法。其基本前提是通過(guò)無(wú)線(xiàn)交換機(jī)分析來(lái)自各方的數(shù)據(jù)（Wi-Fi和RFID）來(lái)生成網(wǎng)絡(luò)中每一個(gè)移動(dòng)設(shè)備和用戶(hù)的更加精確的位置圖像。

　　IT安全、物理安全工具如ID卡，以及WLAN上移動(dòng)設(shè)備實(shí)時(shí)監(jiān)視等手段的綜合使用，把網(wǎng)絡(luò)的防護(hù)和智能辨認(rèn)功能提升到更高的層次。其中的“地理圍欄”可以創(chuàng)建一個(gè)伴隨每一個(gè)移動(dòng)設(shè)備移動(dòng)的客戶(hù)化的無(wú)形圍欄，使網(wǎng)絡(luò)管理員能夠確保每一個(gè)設(shè)備僅能訪(fǎng)問(wèn)網(wǎng)絡(luò)上的被授權(quán)的區(qū)域和資源。