很多廠商都在宣傳整合有線和無(wú)線局域網(wǎng)安全方案，但是一些網(wǎng)絡(luò)安全專(zhuān)家，如愛(ài)爾蘭供電局（The Electricity Supply Board，ESB）的IT安全專(zhuān)家Ruairi Brennan不那么認(rèn)為。Brennan說(shuō)：“隔離有線和無(wú)線網(wǎng)絡(luò)會(huì)讓安全漏洞僅存在于Wi-Fi網(wǎng)絡(luò)。”該供電局無(wú)線局域網(wǎng)是由60臺(tái)Aruba網(wǎng)絡(luò)接入點(diǎn)組成，支持8000到10000個(gè)用戶(hù)，它專(zhuān)門(mén)給會(huì)議室和其它無(wú)法使用有線網(wǎng)絡(luò)的地方提供無(wú)線接入。

在安全方面，ESB使用AirTight的SpectraGuard企業(yè)級(jí)無(wú)線IPS（無(wú)線入侵預(yù)防產(chǎn)品）和SpectraGuard SAFE終端保護(hù)系統(tǒng)，把它們部署在一起后，這些產(chǎn)品可以阻止有線和無(wú)線網(wǎng)絡(luò)的“橋接”。

Brennan說(shuō)：“如果在局域網(wǎng)上的用戶(hù)同時(shí)接入了外面的無(wú)線AP，那將帶來(lái)很大的安全隱患。你會(huì)在一個(gè)安全的局域網(wǎng)和無(wú)線網(wǎng)絡(luò)中未知的AP間架起橋梁。”這為受保護(hù)的數(shù)據(jù)提供了非法切入點(diǎn)。

SpectraGuard公司的程序包通過(guò)執(zhí)行認(rèn)證策略，阻止未經(jīng)授權(quán)的設(shè)備接入無(wú)線局域網(wǎng)，保障無(wú)線局域網(wǎng)的安全。它還可以檢測(cè)非法AP，防止它們連接局域網(wǎng)，而且它還有集中管理和策略部署功能。SpectraGuard SAFE產(chǎn)品部署在終端，阻止用戶(hù)在接入有線網(wǎng)絡(luò)的情況下連入無(wú)線局域網(wǎng)，反之亦然。

無(wú)線局域網(wǎng)策略集中控制

Atlantic Health醫(yī)院把由2000臺(tái)思科AP組成的無(wú)線局域網(wǎng)分解成幾個(gè)獨(dú)立策略，部署在6家醫(yī)院。無(wú)線局域網(wǎng)為病人提供了免費(fèi)的公共Wi-Fi，為NICU會(huì)議室提供了私人無(wú)線接入，為救護(hù)車(chē)和移動(dòng)看護(hù)者提供了遠(yuǎn)程接入，為醫(yī)院醫(yī)務(wù)人員間的移動(dòng)通信提供了Vocera badges通訊系統(tǒng)，還有遙測(cè)報(bào)告和其他類(lèi)型的無(wú)線通信。

根據(jù)Atlantic Health基礎(chǔ)架構(gòu)支持和服務(wù)主管Pat Zinno介紹，Atlantic Health將不會(huì)為無(wú)線局域網(wǎng)安全使用第三方產(chǎn)品。諸如WPA2加密，認(rèn)證和非法AP檢測(cè)的射頻監(jiān)控等安全機(jī)制將安裝在AP和控制器中，這些都由思科無(wú)線定位設(shè)備集中管理。它不管接入的是什么設(shè)備，都可以按照地理位置部署用戶(hù)策略和射頻容量管理。

思科整合無(wú)線網(wǎng)絡(luò)安全和有線網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)方案，但現(xiàn)在，Atlantic有線和無(wú)線安全策略仍然是獨(dú)立的。Zinno說(shuō)：“Atlantic Health有線局域網(wǎng)安全沒(méi)有無(wú)線的要求高、也沒(méi)那么復(fù)雜。畢竟，電腦接入網(wǎng)絡(luò)的端口都是由防火墻保護(hù)的。企業(yè)還使用了Sourcefire的入侵檢測(cè)系統(tǒng)產(chǎn)品，監(jiān)控所有經(jīng)過(guò)網(wǎng)絡(luò)的流量，”他相信整合遲早會(huì)到來(lái)。“通過(guò)監(jiān)控有線/無(wú)線網(wǎng)絡(luò)的流量越多，效果越好。”他說(shuō)。

整合有線和無(wú)線局域網(wǎng)安全　從日志和報(bào)表開(kāi)始

負(fù)責(zé)無(wú)線和有線網(wǎng)絡(luò)安全的網(wǎng)絡(luò)工程師希望他們的安全事件信息統(tǒng)一而不是他們的安全工具統(tǒng)一。他們想要一個(gè)平臺(tái)可以收集不同的報(bào)表，用同一標(biāo)準(zhǔn)展示信息視圖，來(lái)分析防火墻和服務(wù)器上的日志。

Gartner咨詢(xún)公司著名分析師John Pescatore說(shuō)：“一套安全事件管理產(chǎn)品可以關(guān)聯(lián)這些事件，幫助企業(yè)看清安全隱患，而不是制造混亂。當(dāng)然是無(wú)線局域網(wǎng)安全產(chǎn)品整合到有線安全產(chǎn)品中。”

Zinno說(shuō)：“因?yàn)榛拘枨蟮牟顒e，要進(jìn)一步集成安全策略到極其復(fù)雜的網(wǎng)絡(luò)上是非常困難的。按照用戶(hù)訪問(wèn)的程序，企業(yè)將在有線和無(wú)線網(wǎng)絡(luò)上設(shè)置相同的基本策略。然而，企業(yè)還應(yīng)該在有線和無(wú)線上分別部署各自的高級(jí)安全策略。無(wú)線網(wǎng)絡(luò)經(jīng)理關(guān)注射頻接口，它的測(cè)試和排除故障技術(shù)應(yīng)該與有線局域網(wǎng)完全不一樣。”

整合有線和無(wú)線局域網(wǎng)安全方案，會(huì)有人要嗎？

諸如SonicWall和Fortinet安全公司銷(xiāo)售的整合一體化系統(tǒng)可以為網(wǎng)絡(luò)簡(jiǎn)單的小公司提供整合方案。安全公司針對(duì)進(jìn)入無(wú)線局域網(wǎng)的流量擴(kuò)展了他們的UTM（統(tǒng)一威脅管理）系統(tǒng)，包括防火墻，內(nèi)容監(jiān)控和入侵檢測(cè)。

SonicWALL聲稱(chēng)可以用“啞”AP提供分布式無(wú)線網(wǎng)絡(luò)，將無(wú)線流量連接到集中式有線/無(wú)線UTM設(shè)備上。

負(fù)責(zé)遠(yuǎn)程訪問(wèn)安全的SonicWALL產(chǎn)品線經(jīng)理Matthew Dieckman說(shuō)：“所有流量都會(huì)回到UTM上，我們可以根據(jù)它做出明智的決定。SonicWALL認(rèn)為無(wú)線流量不可信，除非它經(jīng)過(guò)UTM設(shè)備掃描。只有這樣，它才可以應(yīng)用和有線局域網(wǎng)流量相同的訪問(wèn)規(guī)則。Pescator說(shuō)：“對(duì)于尋找方案價(jià)格最低的小公司，一臺(tái)組合的設(shè)備也許就行。另一個(gè)方案適合擁有一些小型分支辦事處的企業(yè)。如果讓我負(fù)責(zé)這些辦事處，而且他們只需要一個(gè)接入點(diǎn)，我很容易做到，因?yàn)槲覠o(wú)需在各個(gè)分支機(jī)構(gòu)使用獨(dú)立的安全方案。但是把這套方案擴(kuò)展到更復(fù)雜的網(wǎng)絡(luò)中卻沒(méi)那么容易。

更大的無(wú)線安全問(wèn)題：各種各樣的無(wú)線設(shè)備

很多企業(yè)在采用有線和無(wú)線網(wǎng)絡(luò)安全整合方案上，行動(dòng)緩慢。因?yàn)樗麄冇懈o急的無(wú)線安全問(wèn)題還沒(méi)解決。

首先，網(wǎng)絡(luò)部經(jīng)理更擔(dān)心如何監(jiān)控和解決各種無(wú)線設(shè)備，像智能手機(jī)，平板電腦和其他充斥在網(wǎng)絡(luò)里的無(wú)線設(shè)備，如自動(dòng)售貨機(jī)。Atlantic Health基礎(chǔ)架構(gòu)支持和服務(wù)主管Pat Zinno說(shuō)：“如果我有一個(gè)工具，我希望它可以管理網(wǎng)絡(luò)中所有的無(wú)線設(shè)備。”除此之外，Atlantic Health網(wǎng)絡(luò)也受到微波爐和藍(lán)牙設(shè)備的干擾。如果某人不小心把一臺(tái)帶有藍(lán)牙的掃描儀放在有Wi-Fi傳輸?shù)牡胤剑琙inno團(tuán)隊(duì)得找出這個(gè)設(shè)備在哪，目前的工具效果不是很理想。Zinno正在測(cè)試思科的CleanAir頻譜分析儀。思科稱(chēng)它可以發(fā)現(xiàn)無(wú)線電干擾問(wèn)題，找到問(wèn)題源頭，然后自動(dòng)解決。

工程師還希望無(wú)線入侵防御系統(tǒng)設(shè)備除了能檢測(cè)非法接入點(diǎn)，也可以判斷企業(yè)網(wǎng)絡(luò)中是否有人違規(guī)使用3G或4G。在政府機(jī)構(gòu)和醫(yī)療行業(yè)，就更得符合法規(guī)要求。

雖然整合有線和無(wú)線網(wǎng)絡(luò)安全方案看上去是能讓管理更簡(jiǎn)潔，但是無(wú)線網(wǎng)絡(luò)工程師仍然會(huì)要求無(wú)線網(wǎng)絡(luò)功能與企業(yè)有線網(wǎng)絡(luò)不同。除非這些安全規(guī)范可以合并到一個(gè)完整的系統(tǒng)，企業(yè)很有可能繼續(xù)堅(jiān)持獨(dú)立管理兩個(gè)安全系統(tǒng)。