分层网络防御：增加无线防御

　　网络安全实践很早以前就有了分层防御，它会在各个检查点对有线流量的信任和敏感信息修改进行检查、控制和审计。这些分层防御的重要性并不亚于整合有线和无线网络，但是它们必须实现支持无线的防御。

　　像防火墙、VPN网关和内嵌IPS设备等的传统边界防御是设计用来阻止外部威胁进入网络的。这些威胁很可能只是来自于有线和无线客户端。然而，无线客户端可以很容易通过接入新的、邻近的或恶意的AP来绕过边界防御。不管是意外还是有意的，这些未授权的连接都可能暴露敏感信息到外部或打开不安全的网络后门。

　　无线入侵防御系统和NAC

　　像这样的威胁可以通过严密的客户端配置、无线连接的相互认证加密和无线入侵防御系统（WIPS）来避免。当将无线网络整合到企业网络的更深层次时，将这些新的防御手段与现有方法进行整合是很重要的。

　　例如，理想情况下用户应该提供相同的身份认证、接受相同的统一检查和接收相同的访问权限，而不管它们是通过Ethernet或Wi-Fi进行连接。否则，用户将遇到问题，并且漏洞可能会被引入或者处理不当。幸运的是，同期的网络访问控制（NAC）产品通常会同时对有线和无线用户一致地强化这种无缝但安全的访问。

　　最终，无线安全系统通常在与有线系统整合后会更有效。一个WIPS应该组合从无线探测器、无线AP/控制器和交换机收集的数据，以访问一个可能的恶意连接并对它设置一定的威胁级别。当自动响应被确认后，WIPS应该通过一个统一的NMS来采取行动，而这个NMS应该是能够修改受影响的控制器或交换机端口设置，也能够发现并避免更多的用户受到影响。

　　业务可以通过对无线网络作更多的扩展以增大或替换有线网络元素来获得可观的收益，但是转换到一个真正整合的有线和无线网络将显著地影响企业网络设计、部署、管理、监控和安全化的方式。在本系列文章中，我们已经建议了关于最大化无线投资和使迁移更平衡的许多应该评估的因素。公司的网络整合方法、时间和周期都会各不相同，但其中有一点是通用的：在没有恰当规划和坚强基础就冒然进行迁移是很危险的。

阅读：分层网络防御：增加无线防御（上）