规划指南 — 第 2 章到第 6 章
该指南是解决方案的第一部分。 规划指南有两个主要用途:帮助您明智决策本解决方案是否适合您的组织,使您深入理解本解决方案的技术设计及相应的决策理由。
在概念上,本指南分为三部分,每一部分在逻辑上都是前一部分的继续。 第一部分(第 2 章)描述了采用 WLAN 的商业动机,并将它们与在许多 WLAN 实施中出现严重漏洞的安全威胁进行了权衡。 这里的讨论内容是提出安全实施 WLAN 的策略的基础。 第二部分(第 3 章)根据建议的 WLAN 策略开发了一套逻辑解决方案设计,并标识了要实施的主要组件。 第三部分由第 4 章、第 5 章和第 6 章组成,是规划指南的主要部分。 这三章定义了第 3 章中标识的每个组件的详细设计。 下列子节提供了有关这三章的内容的详细信息。
不同于很多规划指南,本指南有意编写成规范性指南。 目的是生成单一的设计,从而作为这类解决方案的参考。 在文档中有不同设计选项可用的地方,讨论了采用的决策的理论基础。 适当地指出了可选的策略,如果您需要采用这些策略,这几章应提供了进行分支设计所需的足够信息。 贯穿整个指南的宗旨是获得单一解决方案,该方案已通过实际的实施和测试,可完全按本解决方案指南所述的那样工作。
本指南的主要读者是 IT 架构师和商业决策者(虽然只有第 2 章与后者特别相关)。 架构师需要集中精力学习第 2 章和第 3 章,并至少要学习其余各章的要点。 从事本解决方案构建、部署和管理的 IT 专业人员也需要熟悉这几章提出的解决方案总体体系结构和设计。
IT 安全专业人员需要认真阅读本指南的各章 — 特别是后面各章。 组织中负责 IT 安全的人员一定要在任何部署和将系统投入生产环境之前阅读并审批设计、构建和操作说明,这一点非常重要。
第 2 章:制定安全无线网络策略
本章重点介绍为安全无线网络选择技术解决方案。 本章探讨了采用 WLAN 技术的商业驱动原因,以及安全采用该技术所需克服的安全障碍。 然后讨论了解决这些安全问题的选项,并基于强身份验证和数据保护提出使用公钥证书的解决方案。 决策基于已评估的大中型组织的安全需要,并对强健安全性的紧迫需要和解决方案如何长期保护组织投资进行了权衡。
第 3 章:确保无线 LAN 解决方案体系结构的安全
本章重点介绍安全无线解决方案的体系结构设计。 开始时概述基于 802.1X 和 EAP–TLS(可扩展身份验证协议–传输层安全性协议)的 WLAN 解决方案如何工作,以及本解决方案的下列关键组件:
| • |
WLAN 基础结构,它支持强健的身份验证和数据保护标准。 |
| • |
|
| • |
|
将前一章描述的安全要求与目标组织的配置文件相结合,编制了一套解决方案的设计标准。 然后描述了基于这些标准的逻辑设计,显示了用于伸缩设计以适合不同规模组织的选项。
最后,本章说明了可将建议的设计用作构建其他网络访问解决方案(如虚拟专用网络连接 (VPN) 和有线网络访问控制解决方案)的基础的一些方法。 另外,还简要讨论了如何在设计中使用 PKI 组件来支持各种安全服务和应用。
第 4 章:设计公钥基础结构
本章说明了基于 Microsoft 证书服务的 PKI 设计。 除了 WLAN 安全性之外,许多组织可能希望将 PKI 用于其他应用(如安全电子邮件、文件加密和智能卡登录)。 因此,本设计是以下两种解决方案之间的平衡:安全 WLAN 的相对简单、低成本证书解决方案,以及提供足够灵活性和安全性以便支持许多不同应用的解决方案。
编写证书需求文档,然后是设计正确的证书颁发机构 (CA) 层次结构。 还讨论了将 CA 与 Active Directory、Internet 信息服务 (IIS) 及其他 PKI 集成。 最后,讨论了制定证书管理计划和创建证书模板。
第 5 章:设计可确保无线 LAN 安全的 RADIUS 基础结构
本章提供 RADIUS 基础结构的详细设计。 该基础结构为 WLAN 提供强身份验证和安全的密钥管理服务。 本章说明使用 Microsoft Internet 验证服务 (IAS) 实施的 RADIUS 如何提供广泛的网络访问管理解决方案,特别是它如何应用于 WLAN。 本章列举了解决方案的环境先决条件,并详细讨论了构建 802.1X WLAN 的 RADIUS 基础结构涉及的设计决策。 本章还讨论了长期维护 IAS 服务器基础结构的管理策略。
第 6 章:使用 802.1X 设计无线 LAN 安全性
第 6 章描述无线网络安全方面的体系结构和设计。 (不涉及与安全无关的无线网络设计问题。)包括以下主题:基于 802.1X 的解决方案如何解决基本有线对等保密 (WEP) WLAN 中的安全缺陷、使用证书而非密码的决策、标识成功部署的先决条件。 后续各节讨论了如何选择 WLAN 安全选项、如何在 RADIUS 访问策略中配置这些选项、无线访问点 (AP) 和客户端(使用组策略)。 最后,本章讨论了一些关键的部署问题,如处理漫游配置文件和引导仅无线的客户端的配置。
构建指南 — 第 7 章到第 9 章
构建指南为实施解决方案的所有组件提供逐步说明:基于 Windows Server 2003 证书服务的 PKI、基于 IAS 的 RADIUS 基础结构以及无线访问点 (AP) 和客户端的配置。 这几章包含安装和确保操作系统安全、配置软件组件和将它们集成到解决方案中的详细操作过程。 每个主要步骤与验证操作过程相链接以帮助将错误降到最低。
本指南的主要读者是从事 PKI、RADIUS 和 WLAN 组件的设计、构建和部署的 IT 专业人员。 面向的读者包括以下两类人员:从事 IT 基础结构设计和规定的 IT 工程专业人员,以及在生产环境中从事解决方案部署的 IT 交付专业人员。
IT 架构师需要仔细阅读构建步骤,以确保解决方案符合组织的标准和做法。 但是,这几章包含的许多细节与他们并不相关。 IT 安全专业人员在阅读“规划指南”后,应该仔细阅读本指南。 如前所述,在进行任何部署之前,请组织中负责 IT 安全的人员阅读并审批设计、构建和操作说明,这一点非常重要。
负责本解决方案各组件的 IT 支持和操作管理人员应该将这些章节都浏览一遍,以便理解解决方案组件和其他 IT 基础结构之间的互相依赖关系。 技术支持专业人员需要将本指南和“规划指南”各章用作参考。
第 7 章:实施公钥基础结构
本章为构建解决方案的 PKI 提供详细说明,包括为 CA 服务器准备硬件和操作系统、对服务器应用安全策略以及为 PKI 准备支持基础结构(Active Directory 和 IIS)。 随后,安装和配置证书服务以构建脱机根 CA 和颁发 CA。 还说明了使用 Active Directory 和组策略的客户端 PKI 设置的配置,以及配置和管理任务的委派。 提供了本指南后面各章为构建完整的解决方案所使用的证书基础结构。
第 8 章:实施 RADIUS 基础结构
本章描述了实施解决方案的 RADIUS 基础结构,包括准备和构建服务器、应用安全策略、准备 Active Directory 安全组以及在每台服务器上配置 IAS。 这样,就可以得到适应性 RADIUS 基础结构,它提供该解决方案的身份验证和授权组件。
第 9 章:实施无线 LAN 安全性
本章说明如何使用前几章构建的 PKI 和 RADIUS 组件配置 WLAN 安全性解决方案。 包括以下主题:准备网络基础结构(DHCP 和 Active Directory)、创建和颁发正确的证书类型、在 IAS 服务器上创建远程访问策略和在新的 RADIUS 基础结构上配置要使用的无线 AP。 本章完成解决方案的安装。
操作指南 — 第 10 章到第 12 章
操作指南概述了长期维护解决方案组件的操作过程。 根据 Microsoft 管理解决方案 (MSM),本指南为操作、监视、更改以及支持证书服务和 IAS 组件提供一整套任务和说明。 包括实施管理系统的设置任务(包括定期每天和每周运行状况检查和监视脚本)、备份和恢复操作过程以及解决资源问题。
与本解决方案的其他指南不同,这几章无需从头至尾阅读。 主要的各章有两部分。 第一部分相对简短,用于提供有关规划、设置操作流程和操作技术基础结构的所有必需信息。 应先读完第一部分。 第二部分主要是参考资料,描述了维护解决方案组件所需的所有操作和支持任务。
本指南的主要读者是从事管理本解决方案的 PKI、RADIUS 和 WLAN 组件的 IT 专业人员。 在许多组织中,由不同的人甚至不同的部门负责解决方案不同组件的维护,因此不同的部门并非对所有章节都感兴趣。
IT 架构师需要熟悉这些章节的内容以理解解决方案的操作要求对整个 IT 基础结构的总体影响。 但是,这几章包含的许多细节与他们并不相关。 如果架构师对“规划指南”中描述的设计进行了更改,他们必须将这些更改传达到 IT 服务管理部门,以便对操作指南进行相应的更改。
从事构建和部署组织的 IT 基础结构的 IT 专业人员需要广泛了解这些内容,以便有效地将解决方案的构建和部署的相关信息传达给 IT 服务管理员工。
IT 安全专业人员在阅读规划和构建指南之后应仔细阅读本指南,以确保操作实践符合公司安全标准。
第 10 章:操作指南简介
本章提供了有关 Microsoft 操作框架 (MOF) 的背景信息,对正确理解下面两章非常重要。 如果您还不熟悉 MOF 概念,请阅读本章末尾“更多信息”一节中引用的某些背景信息。
第 11 章:管理公钥基础结构
本章目的在于指导您为 PKI 实施完整的管理系统。 包括以下主题:开始监视和维护系统所需的所有设置任务、使系统正常运转所需的常规操作任务、以及帮助您处理支持事故、管理环境更改和优化系统性能的操作过程。
第 12 章:管理 RADIUS 和无线 LAN 安全性基础结构
本章目的在于使您可以全面管理远程身份验证拨入服务器 (RADIUS) 和无线 LAN (WLAN) 安全性基础结构。 类似于上一章,它包括开始监视并维护系统所需的所有设置任务、保持系统正常运转所需的常规操作任务、以及帮助您处理支持事件、管理环境变更和优化系统性能的过程。
测试指南 — 第 13 章
“测试指南”只包含一章(第 13 章),说明了 Microsoft 用于验证本解决方案的总体测试策略。 它还描述了可用于在您自己的实验室验证解决方案的主要测试事例。 本章是根据 Microsoft 在自己的实验室验证解决方案所使用的测试流程和测试事例编写的,包括了整套测试事例。 本解决方案还接受了第三方的渗透测试。
网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)