【正文】 這些干擾源使室內(nèi)WiFi設(shè)備難以區(qū)分合法的傳輸和背景噪音。開始， Wi – Fi頻段干擾非常嚴重。今天，許多消費者將Wi – Fi技術(shù)和寬帶連接結(jié)合，以便于在室內(nèi)各個房間進行網(wǎng)頁瀏覽和電子郵件。還可以限制用戶無線連接的最高帶寬，以及分別設(shè)置語音、視頻和數(shù)據(jù)的應(yīng)用帶寬。每個調(diào)度器都會考慮語音、視頻和數(shù)據(jù)流量對延遲/抖動容忍度、帶寬需求以及不斷變化的無線客戶端性能特點需求，從而保證最佳的用戶體驗。每個客戶端擁有4個優(yōu)先級隊列，從而在同時傳送語音、多個視頻流時還能夠保證傳輸優(yōu)先級和精確性。SmartCast可智能地根據(jù)不同應(yīng)用的流量特性、UDP/TCP端口和其他應(yīng)用屬性對所有流量分類，并且根據(jù)分類的優(yōu)先級和特點管理每一種流量類型（視頻、語音和數(shù)據(jù)）。這樣即可為語音和視頻包的可靠傳輸保證最佳的性能。 SmartCast技術(shù)能夠從所有流量中自動區(qū)分和管理語音、視頻流以及數(shù)據(jù)和背景管理數(shù)據(jù)流，還能夠提供從寬帶網(wǎng)關(guān)到用戶多媒體終端的強大穩(wěn)定無線傳輸。優(yōu)科 Wirelss專利的SmartCast技術(shù)，包括創(chuàng)新的組播流量處理技術(shù)、智能QoS和基于“識別應(yīng)用”的流量分類能力。在短期內(nèi)，WMM的優(yōu)先級技術(shù)可以給VoWLAN一個嘗試的機會，但仍然沒有解決語音質(zhì)量下降的本質(zhì)問題。 在VoWLAN終端從一個AP漫游到另外一個AP時，WMM也不能減少延遲。不過，WMM仍不能區(qū)分具有相同的優(yōu)先級的應(yīng)用。許多企業(yè)級AP產(chǎn)品（但不包括消費性AP產(chǎn)品） e的子集：所謂Wi Fi多媒體（ WMM ）給不同的Wi Fi業(yè)務(wù)流分配不同的優(yōu)先級，使需要不同的延遲和吞吐量的應(yīng)用，可以得到更適當?shù)奶幚?。但VoIP數(shù)據(jù)包延遲，可使電話無法撥通和使用。數(shù)據(jù)包到達時間的標號產(chǎn)生抖動，表現(xiàn)為聲音和圖象的不連貫。SIP ， ，語音、視頻對帶寬的要求不同，但對性能的要求要求是一致的。由于負荷增加，所有用戶都需要遭受同樣的等待更長的時間才能傳送的情況。這是被稱為CSMA / CA （載波偵聽/沖突避免）的技術(shù)。先到先服務(wù)。用戶應(yīng)該在成本和安全系統(tǒng)強度之間取得一定的平衡。所以說，安全是一個系統(tǒng)，包括方方面面的組成部分。只要終端設(shè)備是正常的，整個通訊過程都是非常安全的，尤其是利用證書方式的加密。迭代加密使用一個循環(huán)結(jié)構(gòu)，在該循環(huán)中重復(fù)置換和替換輸入數(shù)據(jù)。與公共密鑰密碼使用密鑰對不同，對稱密鑰密碼使用相同的密鑰加密和解密數(shù)據(jù)。AES 使用幾種不同的方法來執(zhí)行排列和置換運算。AES（Advanced Encryption Standard）：高級加密標準，是下一代的加密算法標準，速度快，安全級別高； AES 算法基于排列和置換運算。對稱加密算法用來對敏感數(shù)據(jù)等信息進行加密，常用的算法包括：DES（Data Encryption Standard）：數(shù)據(jù)加密標準，速度較快，適用于加密大量數(shù)據(jù)的場合。在數(shù)據(jù)鏈路的加密選項中盡量選擇3DES和AES的加密算法。IKE是IPSec目前正式確定的密鑰交換協(xié)議，IKE為IPSec的AH和ESP協(xié)議提供密鑰交換管理和SA管理，同時也為ISAKMP提供密鑰管理和安全管理。IKE通過一系列報文交換為兩個實體（如網(wǎng)絡(luò)終端或網(wǎng)關(guān)）進行安全通信派生會話密鑰。ESP主要支持IP數(shù)據(jù)包的機密性，它將需要保護的用戶數(shù)據(jù)進行加密后再重新封裝到新的IP數(shù)據(jù)包中。ESP屬于IPSec的機密性服務(wù)。（4）ESP（Encapsulate Security Payload，封裝安全載荷）協(xié)議：封裝安全載荷（ESP）用于提高Internet協(xié)議（IP）協(xié)議的安全性。隧道模式把需要保護的IP包封裝在新的IP包中，作為新報文的載荷， 然后把AH插在新的IP報頭的后面。 驗證報頭的工作方式有傳輸模式和隧道模式。IPSec驗證報頭AH是個用于提供IP數(shù)據(jù)報完整性、身份認證和可選的抗重傳攻擊的機制，但是不提供數(shù)據(jù)機密性保護。（3）AH（Authentication Header，認證頭）協(xié)議：設(shè)計AH認證協(xié)議的目的是用來增加IP數(shù)據(jù)報的安全性。通常情況下，只要IPSec雙方有一方是安全網(wǎng)關(guān)或路由器，就必須使用隧道模式。（2）IPSec 協(xié)議的運行模式：IPSec協(xié)議的運行模式有兩種，IPSec隧道模式及IPSec傳輸模式。IPSec將幾種安全技術(shù)結(jié)合形成一個完整的安全體系，它包括安全協(xié)議部分和密鑰協(xié)商部分。提供包括存取控制、無連接數(shù)據(jù)的完整性、數(shù)據(jù)源認證、防止重發(fā)攻擊、基于加密的數(shù)據(jù)機密性和受限數(shù)據(jù)流的機密性服務(wù)。IPSec針對數(shù)據(jù)在通過公共網(wǎng)絡(luò)時的數(shù)據(jù)完整性、安全性和合法性等問題設(shè)計了一整套隧道、加密和認證方案。3．3．9通過VPN再次加固無線接入 對于數(shù)據(jù)安全性要求非常高的用戶可以考慮VPN的方式，尤其是IPSec的VPN解決方案。同時優(yōu)科還有較強的訪問控制機制，可以采取阻斷中毒客戶端流量的措施。所以病毒的防護，一定要從源頭抓起，要采取各種手段，減少客戶端不中毒的可能性。像蠕蟲病毒尼坶達，它不但會感染EXE文件，還會通過局域網(wǎng)，電子郵件網(wǎng)頁等途徑進行傳播。對網(wǎng)絡(luò)有影響主要是蠕蟲類病毒。3．3．8無線接入的病毒防護病毒的防護要從客戶端的防護做起。優(yōu)科的專長在天線的技術(shù)，射頻的技術(shù)，以及網(wǎng)絡(luò)接入技術(shù)。入侵偵測做的不專業(yè)，只能是花錢買心理安慰，不能發(fā)揮作用。優(yōu)科向用戶推薦使用第三方的入侵偵測產(chǎn)品。入侵檢測模型可以分為兩大類：基于網(wǎng)絡(luò)的入侵檢測：通過實時監(jiān)視網(wǎng)絡(luò)上的數(shù)據(jù)流，來尋找具有網(wǎng)絡(luò)攻擊特征的活動；基于主機的入侵檢測：通過分析系統(tǒng)的審記數(shù)據(jù)，檢查系統(tǒng)資源的使用情況以及啟動的服務(wù)等來檢測本機是否受到了攻擊。通過優(yōu)科 的網(wǎng)絡(luò)安全管理系統(tǒng)，網(wǎng)絡(luò)安全管理人員可以及時發(fā)現(xiàn)是否有非法的AP接入，發(fā)現(xiàn)后可以開啟自動保護機制，阻止無線終端通過非法AP聯(lián)接到無線網(wǎng)中。認證方式有以下幾種：1. 本地認證2. 與現(xiàn)有的Windows服務(wù)器的AD認證3. 與現(xiàn)有的RADIUS 服務(wù)器整合進行認證4. 3．3．5安全的AP技術(shù)由于優(yōu)科的AP是不儲存任何網(wǎng)絡(luò)配置（IP地址除外）和安全設(shè)置，因此優(yōu)科 管理的AP是不能單獨工作的，因此獲得和接入進優(yōu)科 AP，黑客也不會拿到無線網(wǎng)的網(wǎng)絡(luò)和安全配置參數(shù)。 （5）動態(tài)秘鑰技術(shù)3．3．4 優(yōu)科支持的認證方式AP支持認證方式用戶可以通過設(shè)置AP自身對無線用戶進行認證?；赪eb界面的安全管理界面讓管理員可以進行策略的集中配置和分發(fā)，以及觀察網(wǎng)絡(luò)狀況、產(chǎn)生報表。，判斷有無異?，F(xiàn)象，比如非法接入的AP和終端設(shè)備、中間人攻擊、有無違反規(guī)定傳輸數(shù)據(jù)的情況，以及通過對無線網(wǎng)絡(luò)進行的性能和狀態(tài)分析，識別拒絕服務(wù)攻擊現(xiàn)象。（4）專用無線網(wǎng)入侵檢測系統(tǒng)采用第三方專業(yè)公司生產(chǎn)的無線網(wǎng)專用入侵檢測系統(tǒng)對網(wǎng)絡(luò)進行監(jiān)控，及時發(fā)現(xiàn)非法接入的AP以及假冒的客戶端，并且對無線網(wǎng)的安全狀況進行實時的分析和監(jiān)控。應(yīng)將無線局域網(wǎng)的流量接入有線網(wǎng)的非信任區(qū)，由整個網(wǎng)絡(luò)的安全控制機制統(tǒng)一的進行安全控制。防火墻產(chǎn)品主要分為兩大類：包過濾防火墻（網(wǎng)絡(luò)層）在網(wǎng)絡(luò)層提供較低級別的安全防護和控制。（3）防火墻系統(tǒng)防火墻是建立在被保護網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)之間的一道安全屏障，用于保護企業(yè)內(nèi)部網(wǎng)絡(luò)和資源。當對數(shù)據(jù)的安全性要求非常之高時，可以考慮增加VPN虛擬網(wǎng)關(guān)，尤其是以IPsec協(xié)議建立的VPN。IPsec是標準的第三層安全協(xié)議，用于保護IP數(shù)據(jù)包或上層數(shù)據(jù)，它可以定義哪些數(shù)據(jù)流需要保護，怎樣保護以及應(yīng)該將這些受保護的數(shù)據(jù)流轉(zhuǎn)發(fā)給誰。VPN協(xié)議包括第二層PPTP/L2TP協(xié)議以及第三層的IPsec協(xié)議。 （2）VPN虛擬專網(wǎng)系統(tǒng)，在無線網(wǎng)之上采用VPN技術(shù)，可以進一步增強關(guān)鍵數(shù)據(jù)的安全性。IEEE 支持集中化用戶標識、身份驗證、動態(tài)密鑰管理以及記帳。它的優(yōu)點是不需要特殊的客戶端軟件，降低網(wǎng)絡(luò)維護工作量。然后Portal Server 與NAS之間用Portal協(xié)議直接通信，而NAS又與RADIUS 服務(wù)器直接通信完成用戶的認證和上線過程。用戶登錄到Portal Server后，可以瀏 覽上面的內(nèi)容，比如廣告、新聞等免費信息，同時用戶還可以在網(wǎng)頁上輸入用戶名和密碼，它們會被WEB客戶端應(yīng)用程序傳給Portal Server，再由Portal Server與NAS之間交互來實現(xiàn)用戶的認證。 （1）Web Portal Web Portal認證的基本過程是：客戶機首先通過DHCP協(xié)議獲取到IP地址（也 可以使用靜態(tài)IP地址），但是客戶使用獲取到的IP地址并不能登上Internet，在認證通過前只能訪問特定的IP地址，這個地址通常是PORTAL服務(wù)器的IP地址。實現(xiàn)比較簡單有效，主要解決無線覆蓋的問題。（6）關(guān)閉SNMP功能要是無線網(wǎng)絡(luò)訪問節(jié)點支持“簡單網(wǎng)絡(luò)管理”（SNMP）功能的話，筆者建議你盡量將該功能關(guān)閉，以防止非法攻擊者輕易地通過無線網(wǎng)絡(luò)節(jié)點，來獲取整個無線局域網(wǎng)中的隱私信息。每一塊無線網(wǎng)卡都有自己的MAC地址，我們可以在無線網(wǎng)絡(luò)節(jié)點設(shè)備中創(chuàng)建一張“MAC訪問控制表”，然后將合法的無線網(wǎng)卡MAC地址逐一錄入到這個列表中，允許只有“MAC訪問控制表”中顯示的MAC地址，才能進入到無線網(wǎng)絡(luò)中。而WPA2是WPA的第二代，它支持更高級的AES加密，因此能夠更好地解決無線網(wǎng)絡(luò)的安全問題。（4）采用比WEP更安全的WPA，甚至WPA2要破解WPA加密并非易事，需要監(jiān)聽到的數(shù)據(jù)包是合法客戶端正在開始與無線AP進行“握手”的有關(guān)驗證操作過程，而且還要提供一個正好包含有這個密鑰的“字典文件”。（3）WEP加密盡管WEP已經(jīng)被證明是比較脆弱的，但是采用加密方式比明文傳播還是要安全一些。3．3．2基礎(chǔ)型無線網(wǎng)安全機制（1）更改無線AP的管理員登錄初始口令和初始SSID（2）SSID設(shè)置成隱藏，不廣播SSID大多數(shù)破解無線網(wǎng)的初始步驟都是先嗅探出無線AP所使用的頻道和SSID，再進行下一個步抓包、破解。管理是企業(yè)網(wǎng)絡(luò)安全的核心，技術(shù)是安全管理的保證。統(tǒng)籌設(shè)計安全總體架構(gòu)，建立規(guī)范、有序的安全管理流程，集中管理各系統(tǒng)的安全問題，避免安全“孤島”和安全“短板”。在此前提之下，追求適度安全，合理保護組織信息資產(chǎn)，安全投入與資產(chǎn)的價值應(yīng)相匹配。 2．戰(zhàn)略優(yōu)先，合理保護。網(wǎng)絡(luò)安全取決于系統(tǒng)中最薄弱的環(huán)節(jié)。集中網(wǎng)管是目前安全市場的一大趨勢。網(wǎng)絡(luò)安全越完善，體系架構(gòu)就越復(fù)雜。IPSec已經(jīng)成為市場的主流和標準。 5．加密和虛擬專用網(wǎng)技術(shù)。 4．入侵監(jiān)測和主動防衛(wèi)技術(shù)。在一般人的心目中，基于Radius的鑒別、授權(quán)和管理（AAA）系統(tǒng)是一個非常龐大的安全體系，主要用于大的網(wǎng)絡(luò)運營商，企業(yè)內(nèi)部不需要這么復(fù)雜的東西。80%的攻擊發(fā)生在內(nèi)部，而不是外部。防病毒技術(shù)將逐步實現(xiàn)由單機防病毒向網(wǎng)絡(luò)防病毒方式過渡，而防病毒網(wǎng)關(guān)產(chǎn)品的病毒庫更新效率和服務(wù)水平，將成為今后防病毒產(chǎn)品競爭的核心要素。以防火墻為代表的邏輯隔離技術(shù)將逐步向大容量，高效率，基于內(nèi)容的過濾技術(shù)以及與入侵監(jiān)測和主動防衛(wèi)設(shè)備、防病毒網(wǎng)關(guān)設(shè)備聯(lián)動的方向發(fā)展，形成具有統(tǒng)計分析功能的綜合性網(wǎng)絡(luò)安全產(chǎn)品。 從管理和技術(shù)兩個維度推進網(wǎng)絡(luò)安全工作不僅是現(xiàn)階段解決好網(wǎng)絡(luò)安全問題的需要，也是今后網(wǎng)絡(luò)安全發(fā)展的必然趨勢。安全運作體系包括安全管理和技術(shù)實施的操作規(guī)程，實施手段和考核辦法。安全組織體系包括安全組織結(jié)構(gòu)建立、安全角色和職責劃分、人員安全管理、安全培訓(xùn)和教育、第三方安全管理等。首先必須有具體的人和組織來承擔安全工作，并且賦予組織相應(yīng)的責權(quán)；其次必須有相應(yīng)的安全策略來指導(dǎo)和規(guī)范安全工作的開展，明確應(yīng)該做什么，不應(yīng)該做什么，按什么流程和方法來做；再次若有了安全組織、安全目標和安全策略后，需要選擇合適的安全技術(shù)方案來滿足安全目標；最后在確定了安全組織、安全策略、安全技術(shù)后，必須通過規(guī)范的運作過程來實施安全工作，將安全組織、安全策略和安全技術(shù)有機地結(jié)合起來，形成一個相互推動、相互聯(lián)系地整體，通過實際的工程運作和動態(tài)的運營維護，最終實現(xiàn)安全工作的目標。隨著網(wǎng)絡(luò)規(guī)模的不斷發(fā)展，基于TR069的網(wǎng)管系統(tǒng)會越來越普遍。優(yōu)科公司的AP可以人為配置由基于SNMP的網(wǎng)管系統(tǒng)管理還是由基于TR069的網(wǎng)管系統(tǒng)管理，也可以讓AP自動選擇。如果用戶已部署SNMP網(wǎng)管系統(tǒng)，優(yōu)科公司可以提供AP詳細的MIB庫，經(jīng)SNMP網(wǎng)管軟件編譯后，優(yōu)科公司的AP就可以納入用戶的SNMP網(wǎng)管系統(tǒng)來管理?；咀龅紸P設(shè)備的“零”配置或即插即用。而基于TR069的集中網(wǎng)管系統(tǒng)能夠穿透NAT設(shè)備，方便的管理分布于不同區(qū)域、數(shù)量龐大的CPE(客戶端網(wǎng)絡(luò)設(shè)備)，集中管理服務(wù)器具有如下功能：自動設(shè)備發(fā)現(xiàn)、批量并發(fā)配置更新、安全遠程無線監(jiān)視、告警、日志和報告、單個設(shè)備的細節(jié)管理、無需上門進行故障診斷、可遠程自動升級。當無線客戶端再漫游回到原先的AP時，無線客戶端仍然會使用存儲的PMK和原先的AP做4次握手，完成快速漫游切換，每個PMK一般保存8個小時。ZD AZD BZD AZD B3．2．4 客戶端的漫游無線用戶在在同一個ZoneDirector 1000/3000管理下的不同AP之間可以無縫漫游，維持會話的連續(xù)性。在某些重要的場所，可以在一個IP子網(wǎng)內(nèi)部署冗余的優(yōu)科無線公司的無線控制器ZoneDirector 1000/3000，當某一個工作的ZoneDirector 1000/3000出現(xiàn)故障，AP會自動注冊到備用的ZoneDirector 1000/3000，無線用戶能夠維持會話，不需要重新手工登錄。進一步的網(wǎng)絡(luò)擴展和系統(tǒng)冗余備份則是分布式數(shù)據(jù)中心冗余，分別部署FlexMaster集中網(wǎng)管系統(tǒng)在地理冗余的不同數(shù)據(jù)中心，北部地區(qū)的AP則配置網(wǎng)管URL到部署在北部數(shù)據(jù)中心FlexMaster的URL，同樣南部地區(qū)的AP則配置網(wǎng)管URL到部署在南部數(shù)據(jù)中心FlexMaster的URL，利用AP上配置不同F(xiàn)lexMaster服務(wù)器URL來做適當?shù)呢撦d均衡。3．2．3 系統(tǒng)的冗余備份當無線網(wǎng)絡(luò)規(guī)模越來越大，作為集中網(wǎng)管系統(tǒng)FlexMaster就需要系統(tǒng)冗余備份。當AP的部署密度很高，一旦AP內(nèi)置的BeamFlex技術(shù)無法有效避免鄰近AP的相互干擾，ZoneDirector 1000/3000會自動調(diào)整A