由于无线局域网是通过无形的空气传播的，这给用户带来了极大的移动性和便利性的同时，也给黑客带来了极大的方便。只需要有一块无线网卡，黑客就可以在无线AP所覆盖的任何位置，侦听、拦截、破坏用户的数据通讯。

　　不仅如此，黑客一旦通过无线网络进入了公司局域网，便能够得到企业网络的访问口令，登录到数据库服务器上窃取信息，破坏或者控制企业的Web站点，甚至中断整个企业网络的运行。

　　根据2001年10月WECA所作的一项研究指出，在无线网络采纳者中有50%、在无线网络的即将实施者中有72%都对无线网络的安全性问题有所顾虑。由此可见，无线安全性已经成为了是否实施或者能否更好的实施的一项关键性因素。

　　传统802.11无线局域网的安全性措施

　　SSID

　　SSID(Service Set Identifier)提供了一个标志无线局域网边界的方法，所有SSID相同的无线设备处于一个无线网络内。因此不知道SSID是无法访问特定的无线局域网的。但是SSID可以说不能算是一个安全性措施，因为其一，大多数AP通常都会在自己的信标中广播自己的SSID；其二，即使AP不广播SSID，黑客也很容易通过其他手段获知这个在每台无线设备（包括利用无线网卡的电脑）上都需要配置的参数。

　　WEP

　　WEP(Wired Equivalent Privacy) 是所有经过Wi-Fi认证的无线局域网所支持的一项标准功能，它是由电子与电气工程师协会（IEEE）制定的802.11标准中定义的一种可选的无线加密方案。虽然是可选的，但是WECA要求所有Wi-Fi认证的产品都必须支持WEP。

　　从本质上说，WEP是一种加密手段，它利用一套基于40位共享加密秘钥的RC4加密算法对网络中所有通过无线传送的数据进行加密，从而有效地保护数据的传输。WEP并没有能阻止黑客的窃听，但是它能有效的防止黑客直接截获以明文形式存在的用户机密数据。

　　但是，通常WEP密钥是通过预定义共享的方式，整个无线网络共享同一套WEP密钥（最多4个），并且由管理员手工配置到每一台无线局域网设备上的，这是工作量相当大的。而且，当需要更换密钥（比如某一台无线设备上的密钥泄漏，或者由于一个安全性的策略需要定期更新密钥），都需要管理员到每一台设备上进行配置操作，更加剧了管理员的负担。而且，共享同一套WEP密钥的隐患是，越是广泛的分配，密钥泄漏的可能性越大。

　　即使对预共享的WEP密钥管理非常好，黑客还是有办法攻击。他们可以在您的办公室外通过笔记本电脑获取加密的数据流。由于WEP天生的24bit IV（initial vector）的缺陷，黑客可以通过在互联网上下载得到的一些破解软件，在一天时间内就可能攻破WEP密钥，并由此进入公司网络。

　　加密的关键在于加密算法和密钥的长度，由于WEP采用RC4的加密算法和64位(24位IV加上40位预配置的密钥)静态密钥，因此比较容易被攻破。一个比较有名的黑客软件AirSnort声称可以在几分钟内破解一个64位的WEP密钥。虽然说增加WEP密钥的长度（比如使用128位的密钥，我们强烈建议用户在任何时候都使用不少于128位的WEP密钥）可以延缓黑客对密钥的破解，但是由于密钥本身是静态的，因此无法从根本上保护用户的通讯。

　　MAC认证

　　第二种方法是MAC认证，它通过检查用户数据包的源MAC地址来认证用户的可信度。只有当客户机的MAC地址和可信的MAC地址列表中的地址匹配时，AP才允许客户机与之通讯。

　　但是该方法也是不可靠的，这是因为用户的MAC地址是可以伪造的，只要黑客能检测到有效客户机的MAC地址，该方法不攻自破。更何况，用户的无线网卡、甚至是笔记本电脑都可能会遗失。该方法也不能保证无线安全性。

　　新的无线局域网安全性措施

　　针对802.11各个方面的安全性缺陷，存在着多种解决的方法，来提升整体网络的安全性。

　　动态秘钥管理

　　目前，消除WEP安全性方面缺陷的工作正在加紧进行，不论是WECA还是IEEE任务组i（TGi）都在努力对WEP进行改进。相关的规范会在2003年年中发布，并有可能Wi-Fi认证标准的一个组成部分。SMC也积极参与这个802.11i规范的制定，并会在这个标准完成后推出支持802.11i的相关产品。

　　802.11i 动态密钥协议的工作原理是，当一台接入点设备与无线客户端设备完成第一次回话后，能够自动生成下一次会话所需要使用的一个新的128位加密秘钥。因此，该密钥对每个网络用户和每次网络会话来说都是唯一的。这一技术能够比静态共享秘钥策略提供更高的网络安全性，帮助用户从手工的输入工作中解脱出来。由于确保了每一个用户拥有一个唯一、可以不断变更的秘钥，因此，即使黑客攻破加密防线并获取了网络的访问权，所获取的秘钥也可能已经过期，从而大大提高了整体网络的安全性。

　　虚拟专用网络（VPN）

　　虚拟专用网（Virtual Private Network）是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性，目前许多企业以及运营商已经采用VPN技术。只要具有IP的连通性，就可以建立VPN。

　　VPN技术不属于802.11标准定义，它是一种以更强大更可靠的加密方法来保证传输安全新的一种技术，可以替代WEP解决方案以及MAC地址过滤解决方案，也可以与WEP协议互补使用。

　　VPN协议包括第二层PPTP/L2TP协议以及第三层的IPsec协议。SMC公司在无线局域网VPN解决方案中支持包括PPTP/L2TP/IPsec所有这些协议。SMC公司的SMC2504W无线安全服务器/SMC2502W 就是位于无线AP背后的无线网络专用的防火墙，承担起了VPN Server端和数据过滤的功能。

　　IPsec是标准的第三层安全协议，用于保护IP数据包或上层数据，它可以定义哪些数据流需要保护，怎样保护以及应该将这些受保护的数据流转发给谁。由于它工作在网络层，因此可以用于两台主机之间，网络安全网关之间，或主机与网关之间。在无线局域网环境，主要采用客户端到网关组网方式。 SMC的无线安全服务器和无线访问管理器可以提供目前最高级别的168位3DES加密算法，其安全程度远远好于WEP协议。

　　802.1x

　　802.1x协议是由IEEE定义的，用于以太网和无线局域网中的端口访问与控制。该协议定义了认证和授权，可以用于局域网，也可以用于城域网。因此完全对无线局域网也适用。

　　802.1x引入了PPP协议定义的扩展认证协议EAP。传统的PPP协议都采用PAP/CHAP或Microsoft的MS-CHAP认证方式，它们都是基于用户名/口令或Challenge/Response（对口令加密）方式，而作为扩展认证协议，EAP可以采用更多的认证机制，比如MD5，一次性口令，智能卡，公共密钥等等，从而提供更高级别的安全。在用户认证方面，802.1x的客户端认证请求也可以由外部的Radius服务器进行认证，从而提高了认证的安全级别。

　　SMC的无线安全性全面解决方案

　　从前面我们可以得出结论，传统802.11无线局域网缺乏可靠的加密手段和用户认证手段。不仅如此，802.11也缺乏针对不同用户的权限控制方案，不能做到记账、日志等服务，因此其功能是相当有限的。针对这种情况，SMC从用户出发，提出了自己的以VPN为安全通道，以强大的认证服务器、权限管理器、日志记录服务器为组件的全面安全性解决方案。

　　SMC的无线安全性全面解决方案，主要是通过VPN解决方案来保证用户数据的安全性，通过无线防火墙来将黑客拒之门外。

　　SMC的无线安全性全面解决方案，主要包含3个逻辑功能模块：无线访问管理器、控制服务器和权限管理器。

　　就硬件产品角度来说，主要由2款产品构成，一是SMC2504W无线安全服务器，包含全部三个逻辑功能模块，即一个4端口的无线访问管理器模块、控制服务器模块和权限管理器模块；第二个是SMC2502W无线访问管理器，仅包含有一个4端口的无线访问管理器模块。这2款产品在整个无线局域网的构架中，担负起了从无线客户端到有线的网络的防火墙的功能。

（见图）

　　对于一个安全的无线局域网来说，至少需要一台无线安全服务器(SMC2504W)，如果整个网络中AP数量多于4个，则根据需要扩展一定数量的无线访问管理器(SMC2502W)即可。

　　无线访问管理器
　　这里所说得无线访问管理器模块是一个逻辑概念，既可以是一台硬件设备(SMC2502W)，也可以是内置在无线安全服务器(SMC2504W)中的无线访问管理器组件。

　　无线访问管理器位于AP和有线的局域网之间，起到了一个类似于防火墙的功能。它负责建立一条从客户端到访问管理器的VPN隧道，保证从无线客户端到网络的用户通讯的安全。
　　此外，无线访问管理器还检查无线客户端到网络资源之间的每个数据包，并根据一定的权限策略和规则集进行过滤。这个规则集是用户在登录时，由权限管理器告知的。

　　控制服务器

　　控制服务器位于无线安全服务器(SMC2504W)上，它负责协调所有的访问管理器之间的通讯，以实现无线用户的无缝漫游。

　　权限管理器

　　权限管理器也位于无线安全服务器(SMC2504W)上，通过设定用户组、用户位置和定义对于用户组、位置的策略，可以控制哪些用户、在哪些时间段、可以通过哪些AP、访问网络中的哪些资源。所有非法的访问将被拒之门外。权限管理器也可以用以进行用户认证，它内置一个用户数据库。当然，根据需要，也可以指定一台外部的认证服务器（比如：RADIAUS、LDAP、Kerberos或者Windows 2000/NT的域控制器）

　　除了以上三大功能模块之外，SMC的无线安全服务器还内置有日志功能，可以将每个会话的数据流量、通话时间等要素记录下来，并可以输出到外部的日志服务器，这样就可以完成日志记账的功能，在这个基础上开发一些接口软件，还能达到按时计费或者按流量计费的目的。这对于在一些公共的热点场所(Hot Spot)提供无线的Internet接入服务是十分有用的。

　　SMC无线安全解决方案的实现过程

　　具体的实现过程是这样的：
　　1. 客户机开始请求访问网络资源，请求信息到达访问管理器
　　2. 访问管理器询问权限管理器，查看该用户是否可以具有相应的权限
　　3. 控制服务器检查自己的数据库，若该用户没有经过认证，则发送一条要求认证的通知，请求客户端的登录信息
　　4. 客户端发送登录信息
　　5. 控制服务器通过内建的或者外部的认证服务器认证用户
　　6. 控制服务器通知访问管理器用户所拥有的权限
　　7. 用户得以访问其权限内的网络资源，而没有权限的网络资源将不能访问。

　　实际使用过程中，用户可以在不同的AP之间进行漫游，即使他们是连接到不同的无线访问管理器。该实现过程是这样的：
　　1. 已经通过认证的客户从访问管理器A移动访问管理器B
　　2. 客户数据包抵达访问管理器B时，访问管理器B询问控制服务器
　　3. 控制服务器协调访问管理器A和B，了解到该用户已经通过认证，并把该用户的权限通知访问管理器B
　　4. 访问管理器B允许客户的数据包通过，用户得以无缝的漫游。