無線區域網路（WLAN）的熱點（hot spot）愈來愈多，不過，這些咖啡館、速食店的 WLAN 使用率一直不高。業界甚至流傳一個笑話，只要隨便到一棟辦公大樓附近，就可以找到好幾個免費的存取設備（Access Point）。

WLAN 在企業中日益普及，讓員工享受自由、彈性及競爭力，讓經營者得到提昇生產力的好處，但安全性的問題層出不窮。如果企業的 WLAN 環境，處於缺乏防護的狀態，企業內部的機密資料，就可能輕易外洩而影響企業的商業利益。WLAN 既是利器，也是夢魘，對於企業主或資訊管理人員而言，都是不可避免的新課題及新挑戰。

企業組織當然可以選擇不要建置 WLAN，表面上，這樣避免了衍生的各種安全性問題；不過，仍然無可避免員工私下安裝未經公司認可的存取設備，如此一來，反而大幅增加風險，企業實有必要建置一套安全、可有效管理、且能整合有線與無線網路的環境。

利器 V.S. 夢魘－ WLAN 的兩難宿命？

根據思科系統（Cisco Systems）委託NOP世界科技研究機構的「無線區域網路效益」（Wireless LAN Benefits Study）研究報告，企業使用 WLAN之後，可增加員工每天持續連線時間達1小時45分鐘以上，進而提高 22％生產力，而 WLAN 可使企業每年平均省下 16.4 萬美元的網路佈線及勞動成本，比資訊管理人員所預期的高出 3.5 倍，如果合計節省的成本及生產力提升所帶來的收益，企業每年從每位員工獲得的投資報酬為 7,550 美元。

數字會說話，WLAN 確實是方便而有效率的新科技，不過，無線電波在空氣中自由穿梭，自然也會有被不當竊取的風險。華爾街日報（Wall Street Journal）曾經撰文報導，有兩位駭客開車進入矽谷，利用筆記型電腦與手提式天線，就可輕易竊聽每個 WLAN，其中財星五百大企業的外部周圍，竟是最佳的竊聽點!

WLAN 也並非全然缺乏安全機制，IEEE 802.11 委員會很早就制訂了一套 WEP 加密技術，但其採用單向、靜態的認證機制，被發現漏洞百出，且容易受到中間人攻擊（man-in-the-middle attack）的入侵，駭客僅需利用偽裝的存取設備，來攔截資訊，再經由用戶端收集認證資料，接著複製或更動封包，就能將這些封包偽裝成合法封包，進入此一 WLAN 環境。

但是 WEP 太過脆弱而不堪一擊，甚至有不少網頁公開教導如何侵入別人的 WLAN 網路，不只是駭客可以長驅而入，連非行家都能如法炮製，在 10～20 分鐘內輕易破解 WEP。

在安全性無法保障的前提下，許多企業主因此對佈建 WLAN 更為裹足不前；畢竟既有的乙太網路，已可應付多數人在多數時間的上網需求，而重新佈建 WLAN 又需增加額外支出，萬一出現安全漏洞，更是企業所不願樂見的。

然而，WLAN 是否僅能陷於兩面刃的境地，讓企業機構要也擔心，不要又不甘心？答案是否定的。隨著技術不斷創新，WLAN 的安全機制不僅趨於多元，功能也日益強大，以現有技術架構來看，WLAN 絕對可以像傳統的有線網路一樣安全。

主流的 WLAN 安全設計

目前 WLAN 所採用的安全機制，主要包含下列幾種型態：

一、實體無線網路（ Physical Wireless Network ）
要成為高度安全的網路環境，最好是將存取設備與現有的有線網路分開，使用獨立的交換器網路，來作為無線網路的骨幹，或是透過虛擬私有網路（ VLAN ）的方式，使其不會導引路徑到既有的有線網路，兩者之間須安裝虛擬私有網路（ VPN ）設備，其後再加裝防火牆（ Firewall ），使出入無線網路的流量，都被防火牆及 VPN 所過濾。

在此一架構下，WLAN 的使用者，可以彼此透過無線網路溝通，但是無法接取內部網路資源，除非用戶端設備有安裝 VPN 機制及軟體防火牆，才被允許能與其他子網路的使用者溝通。所有合法的通訊，在穿越無線網路時都被加密，而且僅有被授權的 WLAN 使用者，才能接取內部網路資源。

二、授權（Authentication）
多數 WLAN 安全的設計，都與個人使用授權的接取控制有關，其中多層次授權的方式相當普遍。舉例而言，思科提供的 LEAP（ Lightweight Extensible Authentication Protocol ），是以 IEEE 802.11x 安全標準為基礎，採用RADIUS （ Remote Authentication Dial-In User Service ），同時針對接取 WLAN 的服務與使用者進行控管。

在此一架構下，存取設備形同一種代理（ proxy ）伺服器，代表用戶端頒發通往 RADIUS 伺服器的「證書」。如果用戶端設備的 MAC 位址或使用者名稱，與授權伺服器中的清單不符，存取設備就無法將流量傳向後方的有線網路。

基於安全起見，授權伺服器應被置於無線網路的區域子網路以外，透過防火牆與 VPN 設備，藉以區隔存取設備與授權伺服器甚至更內部的網路，如此可保護授權伺服器免於遭受可能的直接攻擊。

三、加密（ Encryption ）
眾所皆知，採用靜態 WEP 鑰匙的加密方式，無法確保 WLAN 的安全性，因此，目前多半採用動態鑰匙的作法，針對每位使用者、每次交談（ session ），提供動態的鑰匙；以思科的 LEAP 為例，隨時隨地當使用者被授權使用無線網路時，就會產生一組新的 WEP 鑰匙，充分彌補了 WEP 的弱點。

另外，VPN 也可加入提昇安全等級的行列。不管無線網路採用哪一個品牌或哪一種技術，VPN 將是有線與無線網路之間的關鍵橋樑。IPSec 就是一種用於 VPN 之中的高度安全的加密演算法。

總之，無線網路的安全技術不在少數，整合各種技術將是最有保障的作法。一個高度安全的設計，至少要包括授權伺服器（像是 RADIUS ）、高層次的加密演算法（像是在 VPN 上運行 IPSec ）以及具有授權機制的存取設備。

一旦設計了層層的安全關卡，無線網路需要明確的授權，才會允許一台電腦或使用者連上網路，而無線網路中的各種流量，都經過高度加密，要使用內部網路資源的流量，更是被防火牆或 VPN 所嚴格監控。

有線 V.S. 無線－整合安全架構現身

過去，企業無線網路的安全架構，多半獨立於有線網路以外；不過，無線與有線網路，都是企業網路環境的一環，由相同的資訊人員所管理，不管是產品或網路架構，都已掀起有線與無線整合的趨勢。

企業的資管人員，現在面臨很大的挑戰，就是如何將 WLAN 整合到現有的有線網路中，並擴大 WLAN 的容量，使其得以支援成千上百的使用者，甚至是數千公里以外的分支機構。他們必須提供隨處可得的WLAN 環境，就如員工過去使用有線網路一般。

在資本支出緊縮的時代，企業網路管理者必須以最低的整體持有成本，在任何地方，提供企業等級的行動運算應用，又能確保滴水不漏的網路安全、移動性及控管能力；如何選擇正確的 WLAN 方案，正是當務之急。
以思科為例，其目前正推廣 SWAN ( Structured Wireless-Aware Network ）的新架構，使網路管理者得以建置、運行並管理數以百計至千計的存取設備，不管是企業、校園、零售業、製造業及醫療業都適用，這套架構針對中大型組織所設計，可提供具有與有線網路相同等級的安全性、可擴充性、可靠度與網管能力。

思科的 SWAN，是一種將 WLAN 整合到有線網路的嶄新架構，使無線網路能真正成為有線網路的延伸。這套架構使交換器、路由器與存取設備、無線網卡，都在同一個管理平台上運作，並有堅實的安全機制、簡單的建置與運作、中央控管與設定、偵測未經認可的存取設備、行動設備漫遊及自我診斷等功能。

SWAN 架構將有線與無線網路緊密結合，使基礎建設的設備，都有無線感知的能力，大幅簡化 WLAN 的佈建及控管，但有線網路卻無須增加任何設備。

對於多數資管人員而言，無線網路是一種與纜線、乙太網路及光纖截然不同的媒介，無線世界與過去熟悉的有線世界有如天壤之別。SWAN 架構突破了這層迷思，資管人員無須瞭解射頻（ RF ）技術，就能用熟悉的軟體及管理知識，充分掌控無線設備，存取設備其實與交換器、路由器，都是同一個世界，沒有什麼不同!