简介
　　当今，无线技术已成为商界争论的热门话题；多数组织或是已部署了无线局域网 (WLAN)，或是已卷入到无线技术利与弊的讨论中。用户切身体会到的生产率的提高以及维护量较低的网络系统对信息技术 (IT) 部门的吸引力都是不可否认的。然而，严重的问题已经使得大多数 IT 首脑谨慎考虑（如果不是彻底反对）为组织引入 WLAN。而且，分析员和网络供应商提出的针对这些问题的解决方案似乎过度复杂并且部署费用昂贵。
　　
　　“使用 PEAP 和密码确保无线 LAN 的”是 Microsoft® 针对 WLAN 提出的第二种安全解决方案。它是第一种解决方案“确保无线 LAN 的安全 — 证书服务解决方案”的配套产品。第一种解决方案是针对大型组织的，与之相比，第二种解决方案则部署简单得多，是为中小型组织设计的。两套解决方案的主要技术差异在于，第一套解决方案采用公钥证书来验证连接到 WLAN 上的用户和计算机，而第二套解决方案则使用用户名和密码进行身份验证。此解决方案另一个显著的特点是：它使用已有（而非全新）硬件，采用更简单的管理委派模型，并使用脚本和预定义设置来自动完成更多的配置任务。
　　
　　不同于 Microsoft ® 操作系统下的普通产品文档和 Microsoft 提供的许多技术白皮书，针对此解决方案的本篇文档具有两个显著特点：第一是指南“来自于实践”的特点，根据内部部署获得的知识和 Microsoft 收到的客户反馈来进行设计选择和决断。此解决方案基于最佳实践做法，并在 Microsoft 实验室进行了构建和测试，以确保它能够如期生效。第二个特点是，它是“端到端”解决方案，包含设计、计划、构建、测试以及管理解决方案的整个周期。
　　
　　此解决方案是基于电气和电子工程师协会 (IEEE) 的 802.1x 标准的，需要远程验证拨入用户服务 (RADIUS) 基础结构，后面的章节中将有详细介绍。本方案采用灵活的体系结构，可以适合从只有几十位用户到拥有几千位用户范围的组织。此解决方案已经使用 Microsoft ® XP 客户端、Microsoft Pocket PC 2003 客户端以及 Microsoft Windows Server™ 2003 进行了构建和测试。
　　
　　解决方案概述
　　本指南由四部分组成，每一部分都对应于解决方案整个周期的某一阶段。这四个阶段是：计划、实施、测试和运行。这些阶段又细分为各个章节。
　　　
　　计划部分包括：简介“选择无线 LAN 的安全策略”和第二章“制定无线 LAN 的安全实施计划”。接下来的四章是针对构建和部署部分的。这四章概述了如何使用 Windows Server 2003 IAS（Internet 验证服务）实现 RADIUS 服务器，以及如何部署无线客户端和支持 RADIUS 结构。每一章详细介绍了安装和配置软件组件并将其集成到解决方案的具体步骤。这些章节还包括帮助将错误减少到最小的验证步骤。
　　
　　测试部分包含一章，讲述了在部署解决方案之前应如何验证它能正常工作。运行部分也只包含一章，讲述了如何对解决方案中的所有组件进行操作、监控、更换和故障排除。
　　
　　指南中附带了一组工具和脚本，它们可用于自动处理很多实施和操作任务。
　　
　　下面的部分对各个章节作了更详细的说明。
　　
　　选择无线 LAN 的安全策略。
　　此文档简单介绍了前面提到的两种 WLAN 安全方案。其目的是帮助您为无线网络的安全基础结构选择合适的策略。它阐述了业界采用 WLAN 技术的驱动因素以及围绕它产生的安全问题。它讨论了解决这些安全问题可以采用的不同方案，并概述了基于强身份验证和网络数据保护的解决方案。同时论述了确保 WLAN 安全的不同方法的相对优点，这些方法包括：本地 WLAN 安全解决方案，虚拟专用网 (VPN) 和 IP 安全。
　　
　　第 1 章：使用 PEAP 和密码确保无线 LAN 的安全。
　　第 1 章即是本章节，对解决方案指南的内容作了概述。
　　
　　第 2 章：制定无线 LAN 的安全实施计划
　　本章描述了无线 LAN 安全解决方案的体系结构设计。包括下列主题：
　　
　　• 基于 802.1x 和 PEAP（受保护的可扩展身份验证）的 WLAN 解决方案是如何工作的。
　　
　　• 讲述此解决方案的目标组织和关键设计标准。
　　
　　• 根据目标组织的要求，开发设计 WLAN 的安全解决方案。
　　
　　• 讲述如何调整基本设计以适应大型组织。
　　
　　• 讨论对设计加以修改以满足核心解决方案之外的要求，例如引入 VPN 或者有线 802.1x 网络。
　　
　　本章主要内容是如何使用 IAS（Windows Server 附带的 RADIUS 实施方案）设计 RADIUS 结构以提供强身份验证和密钥管理服务。本章还讨论了此解决方案支持的无线客户端和证书的要求。
　　
　　第 3 章：准备环境
　　本章主要讲述支持此 WLAN解决方案所需要的的基础信息技术 (IT) 结构。其中介绍了如何准备 Microsoft Active Directory®、Active Directory、动态主机配置 (DHCP) 和域名系统 (DNS) 服务，以及如何满足基本网络要求。还介绍了用于在解决方案中使用的服务器上应用安全设置和安装所需的安全更新的步骤。
　　
　　第 4 章：建立网络证书颁发机构
　　本章讲述如何在域控制器上安装简单的证书颁发机构，从而为 IAS 服务器提供证书。使用指南中附带的脚本，这一过程大部分可以自动执行。此解决方案中建立的 CA 专门用于为 IAS 服务器颁发证书的任务，因此需要很少或不需要日后维护。
　　
　　第 5 章：构建无线 LAN 安全性基础结构
　　本章介绍了如何部署 WLAN 安全组件、IAS 服务器和无线接入点 (AP)。其中包括下列循序渐进指南：在域控制器（成员服务器）上安装 IAS、配置 IAS 设置和策略、设置无线 AP 以使用 IAS 服务器以及在 IAS 服务器之间复制 IAS 设置。
　　
　　第 6 章：配置无线 LAN 客户端
　　本章包括配置此解决方案所支持的客户端的步骤。其中包括下列三个主要部分：控制用户和计算机对 WLAN 的访问权限、为 Windows XP WLAN 客户端配置组策略设置以及为 Pocket PC 2003 客户端手动配置 WLAN 设置。
　　
　　第 7 章：测试安全无线 LAN 解决方案
　　本章来源于 Microsoft 小组在测试此解决方案时使用的测试计划。构建章节（3~6章）介绍了在整个构建过程中用于验证一切是否工作正常所使用的常规验证方法。本章对那些步骤进行了补充，同时附加了在产品中部署解决方案之前需要进行的测试。
　　
　　第 8 章：维护安全无线 LAN 解决方案
　　本章主要内容是如何保持 WLAN 安全基础结构正常运行。第一部分包括在维护系统时需要的关键操作任务。其中划分为不同类别的任务，包括：日常维护任务、监控和报警、引入环境变化、优化性能以及解决各种问题。最后的故障排除部分包括一系列故障排除流程图、表格和步骤，并详细介绍了可用于帮助诊断和修复问题的故障排除工具和技术。
　　
　　附录
　　附录 A：在企业中使用 PEAP
　　此解决方案是为中小型企业设计的。与之相比，前面提到的基于证书的解决方案是为企业级组织设计的。但是，使用 PEAP 和密码的 WLAN 解决方案也可以用于大型组织。
　　
　　此附录介绍了如何调整使用基于证书的 WLAN 解决方案中面向企业的指南，以便部署基于 PEAP 和密码的 WLAN 解决方案。
　　
　　附录 B：在解决方案中使用 WPA
　　本附录提供了对 WiFi 受保护访问 (WPA) 安全性的支持状态信息，并介绍了如何使用 WPA 代替动态有线对等保密 (WEP) 数据保护的信息。此解决方案在设计上能够支持 WPA，整个指南中均引用了 WPA。但是，在开发解决方案时，对 WPA 的支持尚未普及，因此 WPA 没有作为默认选项使用。
　　
　　附录 C：操作系统版本的支持
　　附录中包含的表格显示了能够支持此解决方案中的无线客户端和各种服务器角色的操作系统版本。它旨在解答在此解决方案的不同角色中能否使用其他 Windows 版本和其他平台的问题。
　　
　　附录 D：脚本和支持文件
　　实施和运行章节中的步骤使用了一些脚本和其他支持文件。本附录介绍了脚本的信息以及脚本是如何运行的。脚本中包含的 SecuringWirelessLANs.rtf 文件中也提供了这些信息。
　　
　　样式约定
　　下面的表格显示了本指南中使用的样式约定。
　　
　　表1.1：样式约定
　　
--------------------next---------------------