企业网络的无线安全完善(3)

    在企业内部网络中，必须拒绝非授权的AP接入。要实现这一点，首先，必须能识别出AP，然后才能判断是否授权。但是，如何在网络中自动识别出私接乱建的AP，思科的MSE系统只能解决cisco自己的AP设备，对其它厂家，没法处理。华为等其他厂商的产品也同样存在这样的问题，针对企业内部各种厂家的AP，目前还缺乏一个统一的解决方案。

    因此，我们可以换一种思路来考虑这个问题。在标准的企业网络模型中，AP一般都是接在接入层网络设备上，而接入层主要是负责本地和远程工作组接入的，它工作在企业网络内部，默认的安全策略往往是允许接入。但是，在引入AP设备后，由于AP的特殊性，本来我们认为相对安全的内部接入层，开始变得不再可以盲目信任，要求对每一个接入点进行安全验证。对于主机接入，通过安装的Agent，将采集的信息发给认证服务器进行合规判断，以决定是否可以入网，对于那些硬件设备，由于不能自行安装这类Agent，必须通知网络管理员，对他们的IP进行例外，以保证其正常工作。

    因此，对接入层的设备启用网络准入认证，就可以达到自动识别AP的目的。

（编辑：ASP站长网）