在一些開放環境中，如教育領域，WLAN對客戶機缺乏一些必要的控制，此時該如何來保護數據呢?

保護數據最好的辦法是，先對所有的客戶機進行認證，再授權客戶機訪問受保護數據。這可以通過在Wi-Fi網絡與受保護數據所在網絡(通常為骨干網)之間安裝訪問控制器，來保護開放WLAN環境中的數據。大多數接入控制器都支持通用訪問機制(UAM)。UAM需要客戶機上的Web瀏覽器進行支持。控制器利用安全HTTPS交換用戶名和口令，對客戶機進行認證。它通過訪問保存合法用戶名和口令的RADIUS服務器來驗證這些信息。根據從RADIUS服務器收到的應答，合法用戶被授予訪問限定的資源或所有資源的權限。

虛擬接入點技術可以與訪問控制器配合使用，提供多級網絡安全和支持智能化較低的Wi-Fi客戶機(如VoWi-Fi電話和手持掃描儀)。在使用虛擬接入點技術時，1個物理接入點可以為網絡中的客戶機提供多種Wi-Fi服務。每個虛擬接入點都可以提供對不同網絡資源的訪問和支持不同安全水平的服務。在一個網絡中，可以使用虛擬接入點提供兩種服務。第一種是為授權的大學員工提供對保護數據訪問的服務，第二種是為非授權的用戶(如學生或來訪者)提供對Internet的自由訪問。

內置的基于角色訪問控制(RBAC)功能的WLAN可以區別對待不同的用戶。通過在無線網絡上執行強制策略和RBAC可保障數據的安全。此外，還可保證無線帶寬不被下載MP3文件的學生所獨占。目前，全球有幾百所大學提供WLAN服務。在這些WLAN服務中，學生、員工和來訪者首先通過啟動移動設備上的Web瀏覽器獲得相應的無線接入，然后通過SSL保護的登錄網頁登錄到WLAN上。在登錄時，SSL保護的登錄網頁經過網絡中的無線網關連接到后端服務器上(如RADIUS或LDAP服務器)，對用戶進行認證和授權，從而控制網絡的使用。一些系統還可以對從移動設備到無線網關的數據進行加密，無需客戶機安裝客戶端VPN軟件。大學的IT管理人員不能控制學生和訪問者將什么設備和解決方案帶到大學校園，因此，提供數據保密功能的無線客戶端解決方案是應付大學開學時各種設備沖擊的一劑良方。

此外，用戶可以利用多種VPN技術來保護數據，其中包括IPSec、SSL和移動VPN技術。使用SSL和IPSec技術時，請切記：除非最終用戶的PC和PDA要使用個人防火墻保護，否則它們將受到許多2～3層的攻擊。順便提一句，移動VPN中內置了個人防火墻功能。IPSec和移動VPN都需要在最終用戶的PC或PDA中安裝客戶程序。這項工作可以通過Web方式進行自我安裝SSL VPN則只需要PC或PDA上的預安裝瀏覽器。所有這三種技術都可以保護在空中傳送的無線數據。廣泛部署在異類客戶環境中的另一種解決方案是：基于Web的認證和將用戶劃分為不同用戶種類的分類方法。每一種類的用戶允許訪問網絡的不同部分。與上面所說的VPN技術不同，這種技術并不那么安全，因為它沒有加密無線網絡上傳送的數據。

【相關文章】

• 無線局域網的七大安全難題及解決
  

• 無線局域網的安全風險分析和解決方案
  

• 無線局域網的相關網絡安全技術應用指南